การติดตั้ง RODC
การติดตั้ง RODC สำหรับโดเมนคอนโทรลเลอร์ของสาขาต่างจังหวัดที่เชื่อมต่อกับสำนักงานใหญ่ผ่าน WAN Link (สาย Leased Line) อาจมีความไม่ปลอดภัย เพราะจะมีใครแอบล็อกออนเข้าโดเมนคอนโทรลเลอร์ได้ ทำให้เกิดปัญหาต่างๆ เช่น การขโมยรหัสผ่านของยูสเซอร์ที่เก็บอยู่ในฐานข้อมูลของ Active Directory รวมทั้งเรื่องของไวรัส วิธีแก้ปัญหานี้ คือ การกำหนดโดเมนคอนโทรลเลอร์ตัวนี้ให้เป็น (Read Only Domain Controller) เพื่อให้อ่านข้อมูลได้อย่างเดียวเท่านั้น ไม่สามารถจะเขียนหรือแก้ไขข้อมูลใดๆ ลงไปในโดเมนคอนโทรลเลอร์ตัวนี้ได้
ข้อดีของ RODC
– No Password Stored ถึงแม้ RODC จะต้องเก็บข้อมูลของยูสเซอร์ก็ตาม แต่จะไม่มีการเก็บรหัสผ่านของยูสเซอร์เอาไว้ในฐานข้อมูลของ Active Directory เลย ดังนั้นถ้าเกิดเหตุการณ์ที่ฮาร์ดดิสก์ของเครื่อง RODC เสียหายหรือถูกขโมย ก็ไม่ต้องกังวลเรื่องข้อมูลรหัสผ่านของยูสเซอร์ (แต่จะใช้การทำ Password Caching แทน)
– ฐานข้อมูล Active Directory เป็นแบบ Read – Only ทำให้ไม่สามารถทำการเปลี่ยนแปลงใดๆ ใน RODC ได้
– One Way Replication เป็นการเรพลิเคตข้อมูลของ Active Directory แบบทางเดียวเท่านั้น คือจากเครื่องโดเมนคอนโทรลเลอร์สำนักงานใหญ่ที่เป็น Writeable มายังเครื่อง RODC
– Admin Role Separation (ARS) เป็นการ Delegate RODC Administration คือ สามารถกำหนดว่าให้ใครเป็น Local Administration ของ RODC โดยที่ยูสเซอร์คนนั้นไม่ต้องเป็นสมาชิกใน Domain Admin และจะมอง RODC เป็นเพียง Member Server ตัวหนึ่ง
– Read – Only DNS เราสามารถกำหนดให้ RODC ทำหน้าที่เป็น DNS แบบ Read – Only ได้ด้วย ที่จะช่วยในการ Authentication และการทำ Name Resolution
– ไม่สามารถติดตั้ง RODC เป็น Operations Master ได้
เริ่มต้นให้เราติดตั้ง Server Role ตัว Active Directory Domain Service ให้เรียบร้อย
จากนั้นก็รีสตาร์ทเครื่อง และไปที่เครื่องโดเมนคอนโทรลเลอร์หลัก (ในตัวอย่างคือ Capricorn) ให้สร้างยูสเซอร์และกรุ๊ปยูสเซอร์ขึ้นมา ในตัวอย่าง สร้างยูสเซอร์ BranchAdmin และกรุ๊ปยูสเซอร์ Branchuser เอาไว้จัดการกับเครื่อง RODC แล้วให้กลับไปที่เครื่อง RODC และทำการติดตั้งตามขั้นตอนดังนี้
- ที่หน้าต่าง Server Manager ให้คลิกที่เครื่องหมาย Link และเลือก Promote this server to a domain controller
- ที่แท็บ Deployment Configuration เลือกการติดตั้งแบบ Add a domain Controller to an existing domain เพื่อเพิ่มโดเมนคอนโทรลเลอร์ใหม่ในโดเมนที่มีอยู่แล้ว
- ระบุชื่อโดเมนหลัก คือ siam2019.com