วันจันทร์ที่ 26 มิถุนายน พ.ศ. 2560

Zone Transfers Active Directory to F5


     วันนี้ผมจะมาพูดถึงการ ทำ Zone Transfers จาก AD มายัง F5 ในกรณีที่ต้องการให้ Client ทั้งหมดมาใช้งาน DNS Client ชี้มายัง F5 ในการใช้งานกันนะครับ เนื่องจากมีลูกค้าต้องการใช้งาน F5 แต่ติดปัญหาที่ว่า Domain Name Private และ Public ชื่อเดียวกัน ผมก็เลยแนะนำทางออกและหา Solution ที่คิดว่าผลกระทบน้อยที่สุดมาช่วย Support ทางลูกค้าครับ โดยมี Solution ที่ได้แจ้งลูกค้าดังต่อไปนี้

1. Re-Name Domain Name (Active Directory)
2. Migrate Cross Forest
3. Zone Transfer จาก AD ไปยัง F5 

     โดยจาก Solution ทั้งหมดนั้นเมื่อตรวจสอบ Environment ลูกค้าและพบว่ามีผลกระทบและใช้ระยะเวลา ในการทำ จึงได้หาทางออกใน solution ที่3 ให้กับทางลูกค้าครับ จากนี้ก็จะเป็นภาพการ Design และ Environment TEST ที่ผมตั้งขึ้นมาไว้สำหรับทดสอบกันให้ดูนะครับ



Design Zone Transfers Active Directory to F5

Login เพื่อเข้าใช้งาน F5



Add License F5 เพื่อใช้งาน และ Enable GTM ขึ้นมาใช้งาน


ไปที่ Domain Controller และเปิด DNS --> Domain Name --> Property --> Zone Transfers และทำการ Add IP ของ F5 เข้าไป


1. Create Listener List

2. Create Name Server List

3. Create Zone List

4. Select Record Creation Method เป็น Transfer From Server (ต้อง ตั้งค่าที่ Domain Controller Transfer Zone มายัง F5 ก่อนถึงจะสามารถทำได้)


5. DNS Client ชี้ไปที่ F5 (network ขาฝั่ง internal)

6. Join Domain












วันศุกร์ที่ 23 มิถุนายน พ.ศ. 2560

Design Active Directory Certificate Services


Design Active Directory Certificate Services


          วันนี้จะมาพูดถึงการ Design  Active Directory Certificate Services แต่ก่อนจะเริ่มพูดถึงการ Design ผมขออธิบายให้ทุกท่านเข้าใจก่อนนะครับว่า Active Directory Certificate Services คืออะไร และมีไว้ทำไม
           Active Directory Certificate Services คือ การให้บริการและการบริหารจัดการ ที่เกี่ยวข้องกับ Certificate ที่จะนำไปใช้งานร่วมกับ Software Security ต่างๆ ไม่ว่าจะเป็น Single Sign On, SSL, Dot1X Authentication เป็นต้น ในการตรวจสอบตัวตน และยืนยันตัวตน โดยการออก Certificate นั้นใช้เทคโนโลยีของ Public Key Infrastructure (PKI) ในการ Generate Key เพื่อในการใช้งานครับ
           ในการ Design นั้นส่วนใหญ่ก็จะขึ้นอยู่กับลักษณะขององค์กร ครับ โดยการ Design นั้นควรที่จะแบ่งออกมาเป็นดังต่อไปนี้
1. Root Tier (Root CAs) แนะนำให้ท่านตั้งเป็น Standard Root CAs (Offiline Mode) เนื่องจาก Root CAs จะทำหน้าที่ ในการถือ Primary Key (*ถ้าต้องการด้านความปลอดภัยเพิ่ม แนะนำให้ เอา Primary Key มาเก็บกับอุปกรณ์ HSM : Hardware Security Module ครับ) 
2. Issuer Tier ทำหน้าที่ในการบริหารจัดการ Certificate ครับ
3. Front End Tier ทำหน้าที่ในการ ขอออกใบ Certificate และตรวจสอบ ความถูกต้องของ Certificate ครับ เช่น Certificate นั้นหมดอายุหรือยัง รวมถึง มีการไม่อนุญาติให้ใช้งาน Certificate นั้นไปแล้วหรือยังครับ
4. DMZ Tier จะเป็นในส่วนของที่องค์กรท่านมีการนำ Certificate ไปใช้งานภายนอกองค์กร จะต้องมีการตรวจสอบอยู่เสมอว่า Certificate ของท่านถูกต้องหรือไม่ครับ
           แต่ว่าส่วนใหญ่ที่ผมสัมผัสกับ องค์กรต่างๆนั้น มักจะ Design แค่ว่า ตั้ง Root CAs เครื่องเดียวและทำทุกอย่างเลยไม่ว่าจะ เป็น บริหารจัดการ Certificate (Issuer), ขอออกใบ Certificate (Web Enroll), ตรวจสอบใบ Certificate (CDP/AIA) ซึ่งถ้าในทางการใช้งานสามารถทำได้นะครับ แต่ผมไม่แนะนำให้ทำ เนื่องจากไม่ปลอดภัย เพราะมีโอกาสที่ Primary Key ที่เก็บอยู่ที่ Root CAs ของท่านจะหลุดได้ครับ
ก็เสมือนกับว่า ท่านทำกุญแจ หายไปนั่นเอง ซึ่งคนที่ได้กุญแจไป ก็จะเข้ามาเมื่อไรก็ได้ครับ





วันพฤหัสบดีที่ 22 มิถุนายน พ.ศ. 2560

Installation VCenter 6.5 on Windows Server


Installation VCenter 6.5 on Windows Server


     วันนี้จะมาพูดถึงการติดตั้ง VCenter 6.5 บน Windows Server 2012 R2 กันครับ โดยเหตุผลในการที่จะต้องใช้งาน VCenter นั้นได้อธิบายไปแล้วครับ คลิก ซึ่งใน VCenter 6.5 นั้นจะสามารถ Support VMWare ESX 5.5 ขึ้นไปครับ โดยท่าสามารถติดตั้งได้ ตามนี้ครับ














Installation VCenter 5.5 on Windows Server


Installation VCenter 5.5 on Windows Server

     วันนี้จะมาพูดถึงการติดตั้ง VCenter 5.5 บน Windows Server 2008 R2 กันครับ ซึ่ง VCenter 5.5 นั้น จะ Support VMWare ESX 5.5 และต่ำกว่าลงไปครับ โดยถ้าท่านมี VMWare ESX ที่เวอร์ชั่น สุงกว่า VMWare ESX 5.5 นั้นท่านอาจต้องไปใช้ VCenter 6.5 ครับ วิธีการติดตั้ง VCenter 6.5
     ก่อนจะพูดถึงการติดตั้งนั้น ท่านจะต้องทราบก่อนว่าทำไมเราถึงต้องใช้งาน VCenter ด้วย ทั้งๆที่เรามีแค่ VMWare ESX ก็พอต่อการใช้งาน ซึ่งผมจะชี้แจงเหตุผลให้ดังนี้ครับ
 1. ถ้าในองค์กรของท่านมี VMWare ESX หลายเครื่อง การบริหารจัดการก็ยาก ที่จะดูแล เนื่องจากต้องเข้าไปทีละเครื่องเพื่อทำการตรวจสอบ นี่จึงเป็นอีกเหตุผลหนึ่งในการนำ VCenter มาใช้งานในองค์กรของท่านครับ (ในการบริหารจัดการ VMWare ESX จำนวนมากๆ)
 2. ถ้าท่านต้องการที่จะทำ High Availability ในกรณีที่ VMWare ESX (Host) ของท่านมีปัญหา ไม่ว่าจะด้วย Hardware Failed, System Error เกิดขึ้น แน่นอนว่าถ้า VM ที่ใช้งานอยู่บน HOST นั้นมีปัญหา VM นั้น ก็จะไม่สามารถใช้งานได้ด้วย แต่ว่า ถ้าท่านนำ VCenter มาใช้งานในการทำ Solution High Availability ถ้า VMWare Host ของท่านมีปัญหา VM ที่อยู่ใน VMWare Host นั้นก็จะย้ายไปทำงานที่ VMWare Host ที่ใช้งานได้แทนครับ ระบบงานของท่านก็ยังดำเนินการต่อไปได้นั้นเอง (SLA: Solution HA)
 3. ถ้า Site ที่ท่านทำงานอยู่ มีปัญหา ไม่ว่าจะอาคารถล่ม โดนปิดไม่สามารถเข้าไปในตัวอาคารที่ทำงานได้  แต่ธุรกิจองค์กรของท่าน ยังต้องดำเนินการต่อ นี่ก็คืออีกหนึ่งเหตุผลในการใช้งาน VCenter ครับ คือท่านสามารถย้ายระบบของท่าน ไปทำงานที่ DR Site ได้นั่นเองครับ (SLA: DR Site)
   ซึ่งเมื่อท่านทราบเหตุผลในการที่จะใช้งาน VCenter กันแล้ว ก็จะมาพูดถึงการติดตั้ง VCenter กันครับโดยท่านก็สามารถ คลิกที่ไฟล์ติดตั้งได้เลยครับ เมื่อคลิกที่ไฟล์ติดตั้งแล้วก็จะขึ้น Wizard ตามภาพ โดยจากภาพจะมีการติดตั้ง Tools เพิ่มในการ Update VMWare ESX















วันอังคารที่ 20 มิถุนายน พ.ศ. 2560

Active Directory Domain Services 2008 R2: Recovery Object

Recovery Object


                Active Directory Users and Computers ในที่นี้จะทำการ Remove Object Users ออกจาก ระบบ และจะทำการ Restore กลับมาใช้งาน ในการ Restore จะได้ค่า SID ของ Object Users กลับมา


                ทำการ Remove Object Users: testtt บน OU test



เมื่อทำการ Remove Users ไปแล้วจะเห็นได้ว่าไม่มี Users นั้นอยู่


                จะทำการ Restore Object โดยใช้ LDP.EXE





                ไปที่ connection menu เลือก bind



               ไปที่ view menu และทำการเลือก tree





               หา object ที่ทำการ ลบไป 


               คลิกขวา Modify


               ในช่อง Attribute ใส่คำว่า isDeleted เลือก Operation เป็น Delete และคลิก Enter และคลิก Check box Extended 



               ในช่อง Attribute ใส่คำว่า distinguishedName และในช่อง Values ใส่เป็น CN=testtt, OU=test, DC=CONTOSO, DC=LOCAL เลือก Operation เป็น Replace และคลิก Enter


              คลิก Run เพื่อทำการ Restore Objects Users testtt กลับมา


              ถ้าเปิด Active Directory User and Computers ให้กด Refresh แล้วจะเห็น User testtt กลับมา




             เมื่อ User testtt กลับมา ก็สามารถ Enable Account นำกลับมาใช้งานได้ปรกติเลยครับ