Promote Child Domain

การสร้างโดเมนลูก หรือ Child Domain เป็นทางเลือกหนึ่งที่ให้องค์กรที่มีผู้ใช้งานจำนวนมากในการกระจายทรัพยากรที่จะใช้งานร่วมกัน แยกออกไปในแต่ละแห่ง ซึ่งผมว่ามันเหมาะกับการที่เรามี Domain Controller ต่างสถานที่กันนะ เช่น องค์กรมี Domain Controller หลักอยู่ที่กรุงเทพ และมีสาขาอยู่ต่างจังหวัด ครั้นจะให้เครื่อง Windows Client ทุกเครื่องวิ่งมาทำการยืนยันตัวตนที่กรุงเทพอย่างเดียว มันก็ไม่สมควรใช่ไหมล่ะ

ดังนั้น เราจึงจะต้องตั้ง Child Domain ขึ้นมาเอาไว้ที่ต่างจังหวัดสาขาต่าง ๆ เพื่อที่ให้ผู้ดูแลระบบแต่ละสาขาเป็นผู้จัดการและรับผิดชอบ Child Domain ดังกล่าว ถึงตรงนี้คงจะมีมือใหม่สงสัยบ้างว่า ทำไมต้อง Child Domain เราตั้ง Promote Domain ใหม่เหมือนที่เราทำกันเลยไม่ได้หรือไง ?

พูดที่วิธีทำมันก็ทำได้ครับ แต่ถ้าคุณต้องการเข้าใช้ทรัพยากรของกรุงเทพล่ะ คุณจะไม่สามารถเข้าใช้งานได้โดยตรงเพราะไม่มีสิทธิ์ในการเข้าถึง ดังนั้นหากเป็นรูปแบบของ Child Domain แล้วล่ะก็ ความสัมพันธ์ระหว่างโดเมนหลัก กับโดเมนลูกจะเชื่อมโยงกันอยู่และสามารถยืนยันพิสูจน์ตัวตนได้

ตัวอย่างนี้ ผมมีโดเมนหลักชื่อว่า domain.local แล้วต้องการสร้างโดเมนลูกชื่อว่า child.domain.local ซึ่งอยู่ต่าง Location กันโดย ซึ่ง domain.local อยู่ใน Network 192.168.174.0 และ  child.domain.local อยู่ใน Network 192.168.5.0 โดยใน LAB นี้จะใช้ RRAS มาเป็นตัวคั่นกลางระหว่าง Network เพื่อให้เหมือนกับว่าอยู่ต่างสถานที่ ต่าง Subnet กัน

ตรวจสอบเบื้องต้นก่อนว่า

1. domain.local ใช้งานได้ปกติ
2. ไม่ต้อง Join Domain บนเครื่อง Child ก็ได้
3. เครื่อง Child ต้องสามารถ Resolve DNS ของ domain.local ได้ คุณจะเลือกวิธีใดก็ได้ เช่น DNS Forwarder หรือระบุค่า Preferred DNS server ลงไปเลยก็ได้

ตรวจสอบเรื่อง Port ต่าง ๆ ระหว่างสาขาด้วยตามข้อมูลดังนี้ http://support.microsoft.com/kb/2102154

ก่อนอื่นต้องทำเรื่องที่เกือบทุกคนมักจะมองข้ามไป โดยการสร้าง Object Site และ Subnet ขึ้นมาก่อน โดยเรื่องนี้จะขอเอาไว้อธิบายในบทความต่อไปละกัน รวมถึงการใช้ RRAS เพื่อจำลองให้เสมือนอยู่ต่าง Network กันก็จะขอติดไว้ในบทความถัดไปด้วยละกันครับ

Create Object Site and Subnet บน Windows Server 2008 R2

ที่ฝั่ง domain.local เปิด Active Directory Sites and Services

คลิกขวาที่ Sites เลือก New Site

พิมพ์ชื่อ Country สมมติว่าเป็นต่างจังหวัด, เลือก DEFAULTIPSITELINK, คลิก OK

มี Dialog ขึ้นมาอธิบายว่า Site ได้ถูกสร้างแล้ว และให้ตรวจสอบเรื่อง Site Link, Subnet และ Domain Controller ก็กด OK ไปก่อน

ให้แก้ Object Site ที่ชื่อ Default-First-Site-Name เป็น BKK เสียก่อน จะได้ไม่งง

คลิกขวาที่ Subnets เลือก New Subnet

พิมพ์ Network ID ของทางฝั่ง BKK แล้วก็ทำเช่นเดียวกันที่ Object Country ด้วย โดยเปลี่ยน Network ID เป็นทางฝั่ง Country แทน

เมื่อทำเสร็จทั้ง 2 Object จะได้หน้าตาแบบนี้

เอาล่ะตอนนี้เราก็พร้อมที่จะ Promote Child Domain กันแล้ว ก็ให้ไปทางฝั่งสาขาแล้วเริ่มทำได้เลย

ติดตั้งโดเมนลูก (Child Domain) บน Windows Server 2008 R2

บนเครื่องที่ต้องการทำเป็น Child Domain ให้พิมพ์ dcpromo ที่ Run

หน้า Active Directory Domain Services Installation Wizard คลิก Next

หน้า Operating System Compatibility คลิก Next

หน้า Choose a Deployment Configuration เลือก Existing forest > Create a new domain in an existing forest

หน้า Network Credentials พิมพ์โดเมนหลัก, ช่อง Alternate credentials คลิกปุ่ม Set แล้วระบุ Username และ Password ของโดเมนหลักที่เป็นสมาชิกของกลุ่ม Enterprise Admins หรือ Domain admins

หน้า Name the New Domain ในช่อง FQDN of the parent domain คลิกปุ่ม Browse แล้วเลือกโดเมนหลัก

ช่อง Single-label DNS name of the child domain พิมพ์ชื่อโดเมนลูกที่ต้องการสร้าง ซึ่งทั้งหมดก็จะถูกกำหนดให้เป็นชื่อของ Child Domain ในช่อง FQDN of the new child domain

หน้า Select a Site จะพบว่ามันทำการตรวจสอบ IP Address ที่สอดคล้องกับ Object Subnet ให้อัตโนมัติ และเลือก Site Country ให้เราเลย โดยเบื้องต้นเราไม่ควรปรับเปลี่ยนค่านี้ ให้คลิก Next

หน้า Additional Domain Controller Options ให้เพิ่มตัวเลือก Global catalog

หน้า Location for Database, Log Files, and SYSVOL คลิก Next

หน้า Directory Services Restore Mode Administrator Password กำหนดรหัสผ่านสำหรับการกู้คืนระบบ AD แล้วคลิก Next

หน้า Summary คลิก Next แล้วก็รอจนกว่ากระบวนการติดตั้งจะทำงานเสร็จ เครื่องจะ Reboot

เมื่อเปิด Active Directory Users and Computers ขึ้นมา และ Active Directory Domains and Trusts จะพบว่า Child Domain ของเราได้ถูกสร้างขึ้นมาแล้ว