WIN-02 · ประสบการณ์
ผมสร้าง จัดระเบียบ และดูแล Windows Server กับ Active Directory
ผมทำงานในส่วนที่ทุกอย่างอื่นต้องพึ่งพา ไม่ว่าจะเป็นโดเมนคอนโทรลเลอร์ Group Policy, DNS, DHCP และบริการไฟล์กับการพิมพ์ที่ผู้คนใช้งานจริงทุกวัน ผมออกแบบ Active Directory ที่สมเหตุสมผล จัดระเบียบความเปลี่ยนแปลงที่สะสมอยู่ภายในมานานหลายปี และดูแลเซิร์ฟเวอร์ตลอดเส้นทางตั้งแต่การสร้างไปจนถึงการปลดระวาง ทุกการเปลี่ยนแปลงบนระบบจริงจะมีแผนที่เป็นลายลักษณ์อักษรและ rollback เตรียมไว้ก่อนที่ผมจะลงมือแตะอะไร
01 · สิ่งที่ผมทำ
งานจริง
- ออกแบบและจัดโครงสร้าง Active Directory ใหม่ ทั้งผัง OU, sites and services, การ replication, trusts และโมเดลการแบ่งชั้น (tiering) ที่ใช้งานได้จริง
- จัดระเบียบความเปลี่ยนแปลงที่สะสมใน AD ทั้งบัญชีที่ถูกทิ้งร้าง อ็อบเจ็กต์ที่ไร้เจ้าของ กลุ่มซ้อนกันที่บานปลาย และความขัดแย้งของ GPO ที่ไม่มีใครจำได้ว่าสร้างไว้
- สร้างและจัดการ Group Policy เขียน ทดสอบ กำหนดขอบเขต และจัดทำเอกสาร GPO เพื่อให้การตั้งค่าไปลงในที่ที่คุณคาดหวังเท่านั้น ไม่ไปที่อื่น
- ติดตั้งและดูแล DNS และ DHCP ทั้ง zones, scopes, conditional forwarders, การจองที่อยู่ และเรคคอร์ดที่ค่อย ๆ ทำให้ระบบพังเงียบ ๆ เมื่อมันเก่าและผิดเพี้ยน
- ดูแลบริการไฟล์และการพิมพ์ ทั้ง shares, สิทธิ์ NTFS, DFS namespaces, โควต้า และคิวงานพิมพ์ โดยไม่มีอะไรคลุมเครือ
- ดูแลวงจรชีวิตของเซิร์ฟเวอร์ทั้งหมด ทั้งการสร้าง แพตช์ การ harden การมอนิเตอร์ และการปลดระวาง โดยให้ PowerShell จัดการงานที่ต้องทำซ้ำ ๆ
- จัดทำเอกสารสิ่งที่มีอยู่ เพื่อให้คนที่มารับช่วงต่อและการตรวจสอบครั้งหน้าไม่ต้องมานั่งเดา
02 · สิ่งที่คุณจะได้รับ
สิ่งที่เหลืออยู่กับคุณ
- Active Directory ที่คุณอธิบายได้ มีโครงสร้าง OU และกลุ่มที่ชัดเจน ไม่มีของไร้เจ้าของรกอยู่ และมีเอกสารบันทึกไว้
- Group Policy ที่ทำงานตรงตามที่ระบุไว้เป๊ะ ความขัดแย้งถูกแก้ไข และขอบเขตการบังคับใช้มีเอกสารกำกับ
- DNS และ DHCP ที่ถูกต้องและเป็นปัจจุบัน เพื่อให้การแปลงชื่อและการจ่ายที่อยู่ไม่เป็นเกมเดาสุ่มอีกต่อไป
- เซิร์ฟเวอร์ที่ถูกสร้าง harden หรือปลดระวางตามกำหนดเวลา โดยไม่มีเหตุระบบล่มแบบไม่ทันตั้งตัว
- การส่งมอบงานที่เรียบร้อย ทั้งเอกสาร สคริปต์ที่ผมใช้ และบันทึกว่าอะไรเปลี่ยนไปและเพราะเหตุใด
03 · เครื่องมือและความรู้
สิ่งที่ผมใช้ทำงานในด้านนี้
04 · วิธีที่ผมทำงาน
วางแผน กำหนดขอบเขต และรับผิดชอบจนจบ
ก่อนที่ผมจะแตะระบบจริง เราจะมีสายโทรศัพท์กำหนดขอบเขตงาน 30 นาที และผมจะส่งผลประเมินความเหมาะสมเป็นลายลักษณ์อักษรกลับไปในวันเดียวกัน เพื่อให้เราทั้งคู่รู้ชัดว่ากำลังรับมือกับอะไร จากนั้นผมจะเขียนแผนการเปลี่ยนแปลงที่มีเอกสารกำกับพร้อม rollback และผมจะไม่ลงมือเปลี่ยนจนกว่าจะตกลงเรื่องแผนนั้นและ rollback กันเรียบร้อย การสลับระบบจะเกิดขึ้นภายในช่วงเวลาที่กำหนด ตรวจสอบเทียบกับเกณฑ์ที่เราตั้งไว้ล่วงหน้า และถ้าเกณฑ์ใดไม่ผ่าน ผมเป็นคนรับผิดชอบการ rollback เอง สำหรับงาน AD และ GPO นั่นหมายความว่าผมทดสอบกับภาพจริงของสิ่งที่ติดตั้งใช้งานอยู่ ไม่ใช่การคาดเดา เพราะโดเมนคือสิ่งที่ทุกอย่างอื่นพึ่งพาอยู่
05 · คำถาม
คำถามที่ดี คำตอบที่ตรงไปตรงมา
คุณจัดระเบียบ Active Directory ได้โดยไม่ทำให้ส่วนที่ทำงานอยู่พังไหม
ได้ครับ ผมประเมินสถานะปัจจุบันก่อน แล้วจึงค่อย ๆ เปลี่ยนเป็นขั้น ๆ โดยมี rollback สำหรับทุกขั้นตอน อ็อบเจ็กต์ที่ถูกทิ้งร้างและการซ้อนกลุ่มที่ไม่ถูกต้องจะถูกนำออกอย่างระมัดระวัง ไม่ใช่กวาดล้างทีเดียวแบบเสี่ยง ๆ และไม่มีอะไรขึ้นระบบจริงโดยปราศจากแผนที่เป็นลายลักษณ์อักษร
คุณรับงานแบบไฮบริดหรือการตั้งค่า Entra ID ด้วยไหม
ความเชี่ยวชาญหลักของผมคือ Windows Server แบบ on-prem และ AD DS ผมดูแลการซิงค์แบบไฮบริดและการเชื่อมต่อกับ Entra ID เมื่อมันเป็นส่วนหนึ่งของภาพรวม แต่ถ้าคุณต้องการงานสร้างระบบระบุตัวตนเชิงลึกที่เน้นคลาวด์เป็นหลัก ผมจะบอกคุณตรง ๆ ตั้งแต่แรก แทนที่จะแกล้งทำเป็นว่าทำได้
คุณรับงานย้ายโดเมนคอนโทรลเลอร์หรือการปลดระวางอย่างเรียบร้อยได้ไหม
ได้ครับ ผมสร้าง DC ใหม่ ตรวจสอบการ replication และบทบาท FSMO ย้ายบริการอย่าง DNS และ DHCP อย่างรอบคอบ จากนั้นจึงลดบทบาทและปลดระวางเซิร์ฟเวอร์เดิมภายในช่วงเวลาที่กำหนด พร้อมเกณฑ์ตรวจสอบ
06 · ประสบการณ์ที่เกี่ยวข้อง
งานในด้านใกล้เคียงที่ผมทำ
ต้องการให้จัดการเรื่องนี้ไหม
บอกผมว่าคุณกำลังพยายามย้ายอะไรและติดขัดตรงไหน แค่ไม่กี่ประโยคก็เริ่มได้แล้ว และมันจะส่งตรงถึงกล่องข้อความของผม