CHAPTER 3

บทที่ 3
การออกแบบและบริหารเครือข่ายแบบโดเมน
(Domain Design and Administration)

รูปแบบเครือข่ายแบบไมโครซอฟต์หรือ Microsoft Network นั้นมีได้สองรูปแบบคือ แบบ Workgroup และ Domain Model ซึ่งแตกต่างกันในเรื่องคุณลักษณะ การนำไปใช้งาน และวิธีการติดตั้ง

Workgroup Model
เครือข่ายแบบ Workgroup นี้จะใช้สำหรับเครือข่ายที่มีจำนวนเครื่องไม่มาก ลักษณะการทำงานเป็นแบบ Peer-to-Peer หมายถึงไม่มีเครื่องใดเป็นเซอร์ฟเวอร์กลาง แต่ละเครื่องสามารถทำตัวเป็นเซอร์ฟเวอร์เพื่อให้บริการแก่เครื่องอื่นได้ ในขณะเดียวกันสามารถเข้าไปใช้บริการจากเครื่องอื่นๆได้ด้วย วิธีนี้เป็นวิธีที่ง่ายเมื่อเริ่มต้น แต่จะมีข้อเสียหลายอย่าง เช่นในกรณีที่มีเครื่องให้บริการอยู่หลายเครื่องแล้วเครื่องที่ให้บริการบางเครื่องเกิดเสียหาย หรือเจ้าของเครื่องทำการปิดเครื่องก็จะทำให้เครื่องที่รอรับบริการไม่สามารถทำงานต่อไปได้ และมีความยุ่งยากในการกำหนดความปลอดภัยในการใช้งานซึ่งต้องทำที่เครื่องทุกๆเครื่องที่จะให้บริการ การกำหนดความปลอดภัยนี้ก็จะเป็นการกำหนดที่ซ้ำซ้อนกันทุกๆเครื่อง

การกำหนดเครื่องให้อยู่ใน Workgroup เดียวกันทำได้โดยการตั้งชื่อ Workgroup ให้ตรงกัน ซึ่งจะทำให้เกิดกลุ่มขึ้นมา หากตั้งชื่อ Workgroup ไม่ตรงกันก็จะทำให้เกิดกลุ่มใหม่ขึ้นมาอีกหนึ่งกลุ่ม เราสามารถเรียกดูเครื่องที่เป็นสมาชิกของ Workgroup ได้โดยใช้ เมนู Map Network Drive ในโปรแกรม Explorer หรือใน My Computer หรือดูจาก Network Neighbourhood

เครื่องคอมพิวเตอร์แต่ละเครื่องใน Workgroup จะมีระบบความปลอดภัยแยกจากกัน เช่น รหัสบัญชีผู้ใช้(User-ID), รหัสผ่าน(Password) ผู้ที่ต้องการเข้าใช้งานที่เครื่องใดจะต้องมีรหัสบัญชีผู้ใช้ที่เครื่องนั้นจึงจะสามารถเข้าไปใช้ทรัพยากรในเครื่องนั้นได้

การเข้าใช้เครื่องฯที่ติดตั้งวินโดวส์เอ็นทีนั้นจะต้องทำการ Logon เสียก่อน การ Logon มี 2 ประเภทคือ Local Logon และ Network Logon โดยที่ Local Logon นั้นเป็นการที่ผู้ใช้กดปุ่ม Ctrl+Alt+Delete พร้อมกัน วินโดวส์เอ็นทีจะแสดงจอภาพ Logon ขึ้นมา เพื่อให้ใส่รหัสบัญชีผู้ใช้และรหัสผ่าน ส่วน Network Logon เป็นการเข้าใช้ทรัพยากรของเครื่องคอมพิวเตอร์อื่นผ่านเครือข่าย เช่นเมื่อผู้ใช้ทำ Local Logon ที่เครื่องที่หนึ่งจากนั้น เรียกเมนู Map Network Drive เพื่อทำการเข้าใช้ไดรว์ของเครื่องอีกเครื่องหนึ่ง ในกรณีนี้วินโดวส์เอ็นทีเครื่องที่เป็น Local Logon จะส่งรหัสบัญชีผู้ใช้และรหัสผ่านเข้าไปที่เครื่องคอมพิวเตอร์เป้าหมายเพื่อให้ตรวจสอบ ถ้าตรวจสอบผ่านก็สามารถจะเข้าใช้ข้อมูลในไดรว์ที่ต้องการได้

จากลักษณะการทำงานของ Workgroup ข้างต้นจะเห็นว่า ถ้าต้องการให้ผู้ใช้เข้าใช้เครื่องใดไม่ว่าจะเป็นแบบ Local, Network Logon แล้วจะต้องกำหนด รหัสบัญชีผู้ใช้ ไว้ที่เครื่องที่ต้องการให้บริการนั้นด้วย ในกรณีที่มีเครื่องให้บริการมากมายจะทำให้การกำหนดรหัสบัญชีผู้ใช้, การกำหนดสิทธิ์การเข้าใช้ทรัพยากรเป็นเรื่องที่ยุ่งยากซ้ำซ้อน และเป็นปัญหามากในการบริหารจัดการ

รูปต่อไปนี้แสดงกระบวนการ Logon เข้าใช้ระบบทั้งแบบ Local และ Network Logon

Domain Model
เป็นรูปแบบที่เหมาะสำหรับเครือข่ายที่มีเซอร์ฟเวอร์เป็นจำนวนมาก ข้อดีของการจัดการแบบโดเมนคือการจัดการ รหัสบัญชีผู้ใช้ และการจัดการทรัพยากร/การเข้าถึงทรัพยากร เป็นแบบรวมศูนย์(อยู่ที่เครื่องเดียว) โดยที่ฐานข้อมูลรหัสบัญชีผู้ใช้และสิทธิ์การใช้งานจะอยู่ในเครื่องคอมพิวเตอร์ที่มีบทบาทเป็น PDC (Primary Domain Controller)

ลักษณะโครงสร้างของโดเมนคือจะมีเซอร์ฟเวอร์หนึ่งตัวทำหน้าที่เป็น PDC ส่วนเซอร์ฟเวอร์อื่นๆที่เป็น Stand-Alone Server จะถูกนำเข้าไปเป็นสมาชิกของโดเมน (ปกติเซอร์ฟเวอร์ที่ติดตั้งวินโดวส์เอ็นทีจะเลือกได้ว่าต้องการเป็นสมาชิกของ Workgroup หรือ Domain อย่างใดอย่างหนึ่ง) ในกรณีที่ต้องการเพิ่มความมั่นคงให้กับโดเมน ก็ทำได้โดยจัดให้มี BDC(Backup Domain Controller)ขึ้นมา เนื่องจากเครื่องคอมพิวเตอร์ลูกข่ายที่ต้องการเข้าใช้ทรัพยากรในโดเมนจะต้อง Logon เข้ามายัง PDC เสียก่อน ซึ่งถ้า PDC เกิดเสียขึ้นมา เครื่องที่เป็น BDC จะได้ทำหน้าที่แทนได้ ทำไห้การทำงานไม่หยุดชงัก

ในจอภาพ Logon ของเครื่องคอมพิวเตอร์ที่สมัครเป็นสมาชิกของโดเมนแล้วจะมี ช่องที่ระบุว่า Logon เข้าโดเมน/เครื่องใด (ตรงจุด "Domain") ผู้ใช้จะสามารถระบุได้ว่าจะ Logon เข้าสู่โดเมนหรือ Logon แบบ Local ที่เครื่องนั้น ดังรูป

ในกรณีที่เป็นสมาชิกของ Workgroup ซึ่งจะไม่มีช่อง "Domain" แสดงขี้นมา
NT Workstation จะไม่สามารถ Logon เข้าสู่โดเมน(ไม่มีชื่อโดเมนในช่อง Domain นอกจากชื่อเครื่องตัวเอง) ถ้าผู้ดูแลระบบไม่ได้นำ NT Workstation เข้าไปเป็นสมาชิกของโดเมน(Join to domain)เสียก่อน

เครื่องลูกข่ายอื่นๆ Windows 3.11, Windows 95, MS-DOS ไม่จำเป็นต้อง Join ก่อนก็สามารถเข้าไปใช้ข้อมูลในโดเมนได้

การเข้าเป็นสมาชิกของโดเมน ทำได้ 2 วิธีดังนี้
1. ที่เครื่อง Domain Server

ใช้โปรแกรม Server Manager ในกลุ่ม Administrator Tools จะปรากฎจอภาพดังรูป

ใช้เมนู Computer/Add to Domain... เพื่อระบุชื่อเครื่องและประเภทเครื่องที่ต้องการให้นำมาเป็นสมาชิกในโดเมน จะปรากฎจอภาพดังรูป

ระบุชื่อเครื่องและประเภทของเครื่องแล้วกดปุ่ม Add

โปรแกรม Server Manager สามารถใช้จัดการเครื่องเซอร์ฟเวอร์ในโดเมนอื่นได้ด้วยโดยใช้เมนู Computer/Select Domain...

2. ที่เครื่อง Workstation หรือ Server ธรรมดา

เปิดไอคอน Network ในคอนโทรลพาเนลจะปรากฎจอภาพดังรูป

กดปุ่ม Change เพื่อเปลี่ยนชื่อ Workgroup หรือโดเมน ซึ่งจะปรากฎจอภาพดังรูป

กำหนดให้เป็นสมาชิกในโดเมนโดย เลือก Domain ในช่อง "Member of"

ระบุชื่อและรหัสผ่านของผู้บริหารโดเมนเพื่อให้สร้างข้อมูลเก็บไว้ในการทำงานที่เครื่อง Workstation นี้ โดยการ Check "Create a Computer Account in the Domain" แล้วป้อนข้อมูลรหัสผู้ใช้และรหัสผ่าน

การตรวจสอบรหัสผู้ใช้ในเครือข่ายแบบ Workgroup Model

วินโดวส์เอ็นทีสามารถ Logon เข้าใช้งานใน Workgroup ตนเองหรือ Workgroup อื่นที่ตนเองไม่ได้เป็นสมาชิกอยู่ได้ โดยผ่าน Network Logon วิธีการทำงานเป็นดังนี้ วินโดวส์เอ็นทีจะส่งรหัสบัญชีผู้ใช้และรหัสผ่านไปยังเครื่องที่ต้องการเข้าไปใช้ ถ้ารหัสผู้ใช้และรหัสผ่านตรงกับในเครื่องที่ต้องการเข้าไปใช้อยู่แล้ว ก็สามารถเข้าใช้ทรัพยากรเครื่องนั้นได้ทันที ส่วนในกรณีที่ไม่มีชื่อผู้ใช้นั้นอยู่ในเครื่อง เอ็นทีจะพยายาย Logon ด้วยชื่อผู้ใช้พิเศษที่ถูกสร้างขึ้นมาขณะติดตั้งเอ็นที ชื่อนั้นคือ Guest โดยที่ถ้าหากผู้ดูแลระบบไม่ได้กำหนดรหัสผ่านให้กับ Guest และไม่ได้ปิดบัญชีไว้(Account Disable) ก็จะทำให้เครื่องลูกข่ายสามารถเข้าไปใช้บริการด้วยรหัสผู้ใช้ Guest ได้ แต่ถ้าผู้ดูแลระบบได้ใส่รหัสผ่านของ Guest หรือ Disable ไว้ก็จะทำให้เข้าไปใช้ไม่ได้

ในกรณีที่ผู้ใช้งาน Windows 95,Windows for Workgroup 3.11 ทำการ Logon ผ่าน Microsoft Network ที่จอภาพ Logon (โดยใช้รหัสผู้ใช้และรหัสผ่านอะไรก็ได้) เมื่อเข้าไปใช้ทรัพยากรที่เครื่องเซอร์ฟเวอร์ การทำงานจะเป็นดังที่ได้กล่าวมาข้างต้น ซึ่งถ้าเปิด Guest ไว้ เครื่องลูกข่ายเหล่านี้ก็จะสามารถเข้าไปใช้ข้อมูลในเซอร์ฟเวอร์ได้ เห็นได้ว่าการใช้เครื่องลูกข่ายประเภทนี้มีความปลอดภัยน้อยกว่าการใช้เครื่องลูกข่ายแบบ NT Workstation

รูปต่อไปนี้แสดง Network Logon ด้วย Guest Account

การตรวจสอบรหัสผู้ใช้ในระบบ Domain Model
การ Logon เข้าสู่โดเมน (Domain Logon) สามารถทำได้โดยกำหนดรหัสบัญชีผู้ใช้แบบโดเมน(Domain User) ไว้ที่ PDC โดยที่เครื่องลูกข่ายเมื่อได้ข้อมูลรหัสผู้ใช้และรหัสผ่านจากผู้ใช้เครื่องที่เครื่องลูกข่ายนั้นจะส่งข้อมูลไปยัง PDC เพื่อตรวจสอบความถูกต้องที่ฐานข้อมูลของเครือง PDC เมื่อผ่านการตรวจสอบแล้วก็สามารถใช้ทรัพยากรต่างๆตามที่กำหนดไว้ได้
(กรณี Logon เข้าที่เครื่องลูกข่ายนั้น หรือ Local Logon การตรวจสอบจะใช้ฐานข้อมูลที่เครื่องลูกข่ายนั้นและไม่ส่งเข้าไปยัง PDC)

การ Logon ข้ามโดเมนไม่สามารถทำได้ แต่สามารถให้โดเมนทั้งสองช่วยส่งผ่านการ Logon ซึ่งกันและกันได้ โดยระบุความสัมพันธ์ระหว่างโดเมนทั้งสองที่เรียกว่า Trust Relationship เพื่อให้เครื่องลูกข่ายในโดเมนหนึ่งข้ามไปใช้ทรัพยากรในอีกโดเมนหนึ่งได้ดังรูป

การออกแบบโดเมน

Domain Controller เป็นคอมพิวเตอร์ที่เก็บข้อมูลบัญชีผู้ใช้และการเข้าถึงทรัพยากรของผู้ใช้ทั้งหมดไว้ ประเภทของโดเมนคอนโทรลเลอร์มี 2 ประเภทคือ Primary Domain Controller และ Backup Domain Controller โดยที่ PDC จะเป็นผู้ที่คอยรับการ Logon เข้าสู่โดเมน ส่วน BDC จะเป็นตัวสำรองไว้ในกรณีที่ PDC เสียหายหรือหยุดทำงาน ผู้บริหารระบบสามารถเลื่อนระดับ(Promote)ให้ BDC ทำหน้าที่เป็น PDC แทน(ในโดเมนหนึ่งๆขณะใดขณะหนึ่งจะมี PDC ได้เพียงตัวเดียว แต่อาจมี BDC ได้หลายๆตัว)

PDC และ BDC จะมีการติดต่อสื่อสารกันในการที่จะปรับปรุงฐานข้อมูลบัญชีผู้ใช้ เป็นช่วงๆตลอดเวลาเพื่อรับประกันความเป็นปัจจุบันของฐานข้อมูลใน BDC ให้ตรงกับ PDC

Domain Client เป็นเครื่องลูกข่ายที่ต้องการ Logon เข้าใช้ทรัพยากรของ PDC เครื่องลูกข่ายที่นำมาใช้ได้มีหลายประเภทดังนี้

NT Workstation
Windows 3.11
Windows for Workgroup 3.11
Windows 95
OS/2 Workstation
MS-DOS Client

(เครื่องที่เป็น PDC ได้จะต้องเป็นวินโดว์เอ็นทีเซอร์ฟเวอร์เท่านั้น NT Workstation ไม่สามารถทำเป็น PDC ได้)

Trust Relationship ปกติ NT Workstation หรือ NT Server แบบ Stand-Alone สามารถเป็นสมาชิกของโดเมนใดได้เพียงโดเมนเดียวในขณะใดขณะหนึ่งเท่านั้น ในกรณีที่ต้องการเข้าไปใช้ทรัพยากรต่างโดเมน จะต้องใช้ผ่านกลไกของ Trust Relationship ระหว่างโดเมนได้ ประเภทของ Trust Relationship ระหว่างโดเมนมี 2 ประเภทคือ

One-way Trust Relationship
Two-way Trust Relationship

One-way Trust Relationship
มีลักษณะที่โดเมนหนึ่งยอมให้สมาชิกภายในโดเมนอีกโดเมนหนึ่งเข้าไปใช้ทรัพยากรของโดเมนของมันได้ฝ่ายเดียว ลักษณะของ One-way Trust Relationship เป็นดังรูป

Two-way Trust Relationship
ต่างฝ่ายต่างยอมให้สมาชิกอีกโดเมนหนึ่งเข้าไปใช้ทรัพยากรได้ ลักษณะของ Two-way Trust Relationship เป็นดังรูป

Trust Relationship ของโดเมนไม่ส่งผ่านกัน(Transitive) หมายถึง ถ้า โดเมน A "trust" โดเมน B และ โดเมน B "trust" โดเมน C แล้ว โดเมน A จะไม่ "trust" โดเมน C โดยอัตโนมัติ ดังรูป

Pass-Through Validation
เมื่อได้กำหนด Trust Relationship ระหว่างโดเมนไว้แล้ว ในกรณีที่ผู้ใช้ในโดเมน A ทำการ Logon ไปที่โดเมน B โดยที่โดเมน B ไม่มีรหัสบัญชีผู้ใช้รายนั้นอยู่ แทนที่โดเมนที่ B จะแจ้งข้อความผิดพลาดให้กับผู้ใช้ทันที โดเมน B จะส่งรหัสผู้ใช้และรหัสผ่านเข้าสู่โดเมน A ถ้ามันพบว่า โดเมนของมัน "trust" โดเมน A อยู่ เมื่อตรวจสอบได้ว่าผ่านการ Logon ก็จะยอมให้เข้าใช้ทรัพยากรในโดเมน B ได้ การ Logon แบบนี้เรียกว่า Pass-Trhough Validation ลักษณะการทำงานเป็นดังรูป

ประเภทของโดเมน
รูปแบบของโดเมนแบ่งออกได้ 4 แบบดังนี้

Single Domain Model
Master Domain Model
Multiple Master Domain Model
Complete Trust Domain Model

Single Domain Model
มีลักษณะเป็นโดเมนเดียว โดย PDC จะทำงานในลักษณะที่เป็น Account Domain และ Resource Domain หมายถึง PDC จะดูแลบัญชีผู้ใช้และระบบการเข้าใช้ทรัพยากร ๆ เหล่านี้ได้แก่ ข้อมูลในจานแม่เหล็ก, เครื่องพิมพ์ ฯลฯ ลักษณะโดเมนประเภทนี้จะเป็นหน่วยงานขนาดเล็กที่มีจำนวนผู้ใช้ไม่มากนัก

ลักษณะของโดเมนแบบนี้เป็นดังรูป

Master Domain Model
มีลักษณะที่โดเมนหลายโดเมนมาทำงานร่วมกัน โดยมีโดเมนหนึ่งเป็น Account Domain และโดเมนอื่นๆเป็น Resource Domain โดเมนที่เป็น Resource Domain จะกำหนด Trust Relationship ไปยัง Account Domain ดังรูป

ข้อดีของ Master Domain Model

การจัดการบัญชีผู้ใช้เป็นแบบรวมศูนย์
แต่ละ Resource Domain สามารถมีผู้ดูแลระบบต่างหากเพื่อจัดการทรัพยากรของแต่ละ Resource Domain เพื่อกำหนดการอนุญาตให้ใช้ทรัพยากรของแต่ละแผนก (Resource Domain จะเป็นทรัพยากรของแต่ละแผนก)
ใช้จัดการได้ดีในกรณีที่มีผู้ใช้ไม่เกิน 10,000 คน

ข้อเสียของ Master Domain Model

ทำงานได้ช้า ถ้ามีจำนวนผู้ใช้เพิ่มขึ้นเรื่อยๆ

Multiple Master Domain Model
ใช้ในกรณีที่หน่วยงานมีหลายฝ่ายแต่ละฝ่ายมีแผนกหลายแผนก แต่ละแผนกมีทรัพยากรซึ่งจะใช้ร่วมกันในฝ่าย ซึ่งอาจมีการใช้งานข้ามฝ่ายไม่มากนัก ลักษณะโครงสร้างเป็นดังรูป

ข้อดีของ Multiple Master Domain Model

ใช้ในกรณีที่เป็นหน่วยงานใหญ่ ที่มีจำนวนผู้ใช้มากกว่า 15,000 คน
สามารถขยายตัวออกไปได้ง่ายในกรณีที่มีการเพิ่มโดเมน
แต่ละฝ่ายสามารถมีผู้ดูแลระบบของตนเอง เพื่อบริหารรหัสบัญชีและทรัพยากรภายในฝ่าย

ข้อเสียของ Multiple Master Domain Model

มีรหัสบัญชีผู้ใช้หลายๆแห่งตามจำนวน Master Domain
ต้องกำหนด Trust Relationship มากขึ้น

ลักษณะของโดเมนแบบนี้เป็นดังรูป

Complete Trust Domain Model
ลักษณะของโมเดลนี้เป็นลักษณะที่แต่ละฝ่ายไม่สามารถจัดการและบริหารโดยรวมได้ ทำให้ทุกโดเมนเป็น Master Domain ทั้งหมด แล้วสร้าง Trust Relationship ซึ่งกันและกันจนครบทุก Master Domain ดังรูป

ข้อดีของ Complete Trust Domain Model

เหมาะสำหรับองค์กรที่แต่ละฝ่ายไม่สามารถจัดการและบริหารโดยรวม
สามารถขยายตัวออกไปได้ไม่จำกัด
ต่างฝ่ายต่างบริหารบัญชีผู้ใช้และทรัพยากรเอง

ข้อเสียของ Complete Trust Domain Model

ไม่มีข้อมูลรหัสบัญชีผู้ใช้รวม
จัดการ Trust Relationship ได้ยาก

BACK Chapter 1/ Chapter 2 / Chapter 3 / Chapter 4 / Chapter 5 / Chapter 6 / Chapter 7 / Chapter 8 / Chapter 9 NEXT
Chapter 10 / Chapter 11 / Reference