Configure server roles and features part 1

Configure file and share access
ในหัวข้อนี้เราจะมาเรียนรู้เกี่ยวกับเรื่องการแชร์น่ะครับ ไม่ว่าแชร์ไฟล์หรือเครื่องพิมพ์

ก่อนที่เราจะแชร์ไม่ว่าจะไฟล์หรือเครื่องพิมพ์เราควรจะนึกถึง

• จะแชร์โฟลเดอร์ไหน? 
• จะตั้งชื่อว่าอะไร? 
• จะให้สิทธิใครบ้างในการเข้าถึง?
• จะต้องมีการติดตั้ง Offline Files ไว้ด้วยไหม

Create and configure shares
ในการแชร์ไฟลนั้นเราสามารถทำได้ 2 วิธี คือ

1. แบบใช้ File Sharing
   
2. แบบใช้ Advanced Sharing
   

ใน Windows Server 2012 สามารถแชร์โฟลเดอร์ได้ 2 แบบ

1. Server Message Blocks (SMB) คือการแชร์ที่เราใช้กันมาในทุกเวอร์ชันของ Windows
2. Network File System (NFS) คือ การแชร์ที่เป็นมารตฐานของ Unix กับ Linux

เมื่อคุณติดตั้ง Windows Serer 2012 ตัว File and Storage Services role จะติดตั้งมาโอยอัตโนมัติ แต่ว่าถ้าเราต้องการแชร์แบบ อย่างไรก็ตามหากเราต้องการแชร์แบบ SMB เราต้องติดตั้ง File Server role และถ้าเราต้องการแชร์แบบ NFS เราต้องติดตั้ง Server for NFS role ตามรูปด้านล่างนี้

เมื่อเราติดตั้งเรียบร้อยแล้ว เราก็พร้อมที่จะสร้างแชร์โฟลเดอร์

     เปิดหน้าต่าง Server Manager ขึ้นมา

     เลือกที่ File and Storage Service จากนั้นเลือก Shares

     เลือกที่ Tasks -> New Share เพื่อสร้าง แชร์ ใหม่

     จะมีหน้าต่าง New Share Wizard ขึ้นมา หร้อมกับตัวเลือกของ File Share Profile: 

• SMB Share–Quick แชร์แบบ Basic SMB Sharing มาพร้อมกับ NTFS Permissions
• SMB Share–Advanced แชร์แบบ NTFS Permissions และการเข้าถึงการใช้งานผ่าน  File Server Resource Manager
• SMB Share–Applications แชร์พร้อมกับการตั้งค่าสำหรับ Hyper-V และ applications ต่างๆ
• NFS Share–Quick แชร์แบบ NFS พร้อมกับ authentication และ permissions
• NFS Share–Advanced เหมือนกับแบบ NFS Share–Quick แต่เพิ่ม การเข้าถึงการใช้งานผ่าน File Server Resource Manager

     จากตัวอย่างนี้ผมเลือกแบบ SMB Share–Quick จากนั้นกด Next

     จากนั้นให้เราเลือก ตัว Server และ Volume ทีเราต้องการจะแชร์ จากนั้นกด Next

     ให้เราตั้งชื่อของ แชร์ นี้และ คำอธิบาย 

     จากตัวอย่างผมใส่ Share name เป็น SF01 และ description เป็น Share Folder 01จากนั้นกด Next

     ที่หน้าต่างนี้เราจะต้องเลือกค่า Share Setting

• Enable Access-Based Enumeration เลือกตัวนี้จะกันไม่ให้ Uer เห็น ไฟล์ที่ User ไม่มีสิทธิ
• Allow Caching Of Share ตัวเลือกนี้จะเปิดการใช้งาน Offline mode ให้กับ User
• Enable BranchCache On The File Share ตัวเลือกนี้จะเปิดการใช้งาน BranchCache servers เพื่อที่จะ cache ที่จะเข้าถึงแชร์นี้
• Encrypt Data Access ตัวเลือกนี้จะ Encrypt ข้อมูลของการเข้าถึงแชร์แบบ Remote 

     หน้าต่างแสดง Permission ของ User และ Group ของแชร์ที่เราจะสร้าง โดยเราสามารถที่จะแก้ไขได้โดยกดที่ปุ่ม Customize permissions

     หลังจากที่คลิก Customize permissions ก็จะมีหน้าต่างนี้แสดงขึ้นมาเพื่อให้เราปรับปรุงสิทธิของ User ถ้าเสร็จแล้วก็กด OK และกด Next เพื่อไปยังขั้นต่อไป

     หน้าต่างนี้จะเป็นบทสรุปทุกอย่างที่เราตั้งค่าไป ถ้าทุกอย่างถูกต้องกด Create ได้เลยครับ

     ทุกอย่างเสร็จสิ้นไม่มี Error ใด้ๆ กด Close ครับ

     เราจะสังเกตุได้ว่าที่หน้าต่าง SHARES จะมี Share name SP01 เพิ่มเข้ามา

     ถ้าเราเปิด Explorer ขึ้นมา เราก็จะเห็น SP01 อยู่ที่ C:/Shares/ ตามที่เราตั้งค่าไว้

     กลับไปที่หน้าต่างของ Server Manger ถ้าเราต้องการที่จะแก้ไขสิทธิเข้าใช้งานของแชร์นี้ เราสารารถที่จะคลิกขวาแล้วเลือก Properties เพื่อแก้ไขสิทธิ

     คลิกที่ Permissions เพื่อแก้ไขสิทธิ

ก่อนที่จะไปต่อลองมาทำความรู้จักกับโครงสร้างของ Windows Permission สักนิดนึง (บางทีมันออกสอบด้วยน่ะครับเรื่องนี้ ผมสรุปมาให้น่ะครับ เพราะอ่านแล้วงงมาก)

Access Control List (ACL) คือ list ของ user accounts และ group ที่อนุญาติให้มีสิทธิเข้าถึง resource, ในแต่ละ ACL จะมี Access Control Entry (ACE) ที่จะเป็นตัวกำหนดว่า user หรือ group ไหนที่จะสามารถเข้าถึง resource ได้จริงๆ

การกำหนดสิทธิจะมีสองทางได้แก่ (ดูรูปด้านล่าง)

• Deny Permissions จะเป็นตัวที่มีผลก่อนเสมอ หมายความว่าถ้า Deny Permissions ถูกเซ็ตเอาไว้ใน user หรือว่า group พวกเขาก็จะไม่มีทางเข้าถึงได้แม้ให้มี Allow Permissions อยู่ด้วยก็ตาม (Deny Permissions override Allow Permissions)
• Allow Permissions เป็นตัวที่อนุญาติให้เข้าใช้งาน

Configure Share Permissions

ใน Windows Server 2012 ที่แชร์โฟลเดอร์จะมี permission system ของตัวมันเองอยู่ด้วย แต่ปกติมันจะแชร์ให้ Everyone มีสิทธิ Allow Full Control อยู่แล้ว แต่ถ้าในกรณีต้องการป้องกันไม่ให้คนเข้ามาผ่านทาง Network ก็ให้ไป Remove ออกซะ

     ให้เราเปิด Server Manager

     เข้าไปที่ File and Storage Services แล้วเลือก Shares

     ให้เราคลิกขวาที่ Shares เราต้องการแก้ไข Permission แล้วคลิก Properties

     หน้าต่าง Properties ของแชร์จะแสดงขึ้นมา

     ให้เราเลือกที่ Customize permissions

     จะมีหน้าต่าง Advanced Security Setting สำหรับแชร์นี้โผล่มาให้เราแก้ไข

     สำหรับตอนนี้เราจะทำการแก้ไขแบบ Share Permission ให้เราคลิกที่ Tab Share จะปรากฏรายชื่อคนที่มีสิทธิอยู่ ณ ปัจจุบัน จะเห็นว่า Everyone มี Type เป็นแบบ Allow แถม Access แบบ Full Control ถ้าจะเอาออกก็ให้เลือกที่ Everyone แล้วคลิก Remove แต่ตัวอย่างนี้เราจะเพิ่มดังนั้นให้กด Add

     หน้าต่างนี้จะประกอบไปด้วย Principal, Type และ Permissions, หากสังเกตุดีๆจะเห็นว่าทุกช่องจะเป็นสีเทาหมด คือไม่สามารถเลือกได้ เพราะว่าเราต้องทำการเลอก Principal ก่อนเป็นอันดับแรก ดังนั้นให้เราคลิกที่ Select a principal

     จะมีหน้าต่างที่เราคุ้นเคยมาตั้งแต่ Windows Server 2000 ขึ้นมา (ผมไม่เคยได้จับ Windows NT เลยไม่รู้หน้าตาแบบนี้ป่าว) ให้เราพิมพ์ชื่อ User หรือว่า Group จากนั้นกด Check Names

     จากรูปนี้ผมต้องการ Add user account ที่ชื่อว่า ITsupport01 จากนั้นกด OK

     จะสังเกตุได้ว่าเราสามารถเลือก options ของ Type และ Permissions ได้แล้ว

• Type สามารถเลือก Allow หรือ Deny
• Permission จะเลือกได้แบบ Basic คือ Full Control, Change และ Read

     เลือกเสร็จแล้วกด OK เพื่อเพิ่มเข้าไปใน Share Permissions

     จะเห็นว่า User ชื่อ (Principal) ITsupport01 มีสิทธิ Read และ Allow

     จำได้ไหมว่าข้างบนผมพูดถึงเรื่อง Access Control List (ACL) และ Access Control Entry (ACE) สิ่งที่เราเพิ่งสร้างไปเมื่อกี้ตอนที่กด OK คือ ACE และหน้าต่างที่คุณเห็นอยู่นี้ คือ ACL พอจะเข้าใจหรือยังครับ ถ้ายังก็ Post ถามได้น่ะครับ

     หลังจากที่กด OK ก็จะย้อนกลับมาอยู่ที่หน้า Share Properties ให้เรากด OK เพื่อ เซฟและออกจากหน้านี้

Configure Offline Files

Offline File หรืออีกชื่อนึงคือ Client-Side Caching, จะทำให้คอมพิวเตอร์เครื่องลูก (Client) สำรองเน็ตเวิร์คไฟล์ไว้ที่เครื่องลูกสำหรับการใช้งานที่ไม่ได้ต่อเข้ากับเน็ตเวิร์ค

ในการที่จะ Set Offline Files คุณจะต้องเข้าไปทำที่ GPO ตามรูปด้านล่าง โดยจะต้องไปกำหนด ตัว Configure Slow-Link mode ที่อยู่ภายใต้  Computer Configuration --> Policies --> Administrative Templates --> Network --> Offline Files ให้ดับเบิ้ลคลิก Configure Slow-Link mode และเลือก Enable ที่หน้าต่าง Options กรอบซ้ายมือให้เลื่อนลงไปข้างล่าง เพื่อคลิก Show แล้วตั้งค่าตามรูป เพื่อเปิดใช้งาน

     ให้เราเปิด Group Policy Management ขึ้นมาจาก Server Manager จากนั้นให้ Create New GPO อย่างในรูปผมตั้งชื่อว่า Offline Mode จากนั้นให้คลิกขวาที่ GPO แล้วลือก Edit

     จากนั้นให้เราเข้าไปตามที่ข้างบนเขียนไว้เพื่อเปิด Configure Slow-Link mode

     ให้เราเลือกเป็น Enable และต้งค่าของ Latency ให้เท่ากับ 1

     จกนนั้นให่เรา Link GPO นี้ไปยัง User หรือ Group ที่เราต้องการ Set Offline File mode

Configure NTFS Permissions

NTFS Permissions คือการ Setting ที่เป็นที่นิยมมากในหมู่ Admin อย่างเราๆ เพราะมันมีมากกว่า Basic หน่อย แต่ไม่ได้ต้องไป Set ถึงขั้น Advance เลย ตามข้างล่างเลยครับ

     ให้เราเปิด Properties ของ Share ที่เราต้องการจะแก้ไข Permission ถ้าจำไม่ได้ว่าเปิดไง ขึ้นไปอ่านข้างบนๆเลยครับ

     ให้เราคลิก Add เพื่อเพิ่ม User หรือ Group ้เข้ามาใน NTFS Permissions

     ไม่ว่าจะเป็น NTFS Permission หรือ Share Permission ก็เหมือนกันครับ คือเราจะไม่สามารถเลือก Option อื่นๆได้ จนกว่าเราจะเลือก Principal ก่อนเป็นอันดับแรก ให้คลิกที่ Select a principal

     ให้เราเลือก User หรือ Group ที่เราจะเพิ่มเข้ามา จากนั้นกด Check Names

     ในตัวอย่างนี้ผมใส่ ITsupport02 น่ะครับ จากนั้นกด OK

     จากนั้นเราจะสามารถเลือก Options อื่นๆได้แล้ว

• Type เลือกว่าจะ Allow หรือ Deny
• Applies to เลือกว่าจะ Apply เฉพาะ 
• This folder only โฟลเดอร์นี้เท่านั้น
• This folder, subfolders and files โฟลเดอร์นี้และโฟลเดอร์ลูก รวมถึงไฟล์
• This folder and subfolders โฟลเดอร์นี้และโฟลเดอร์ลูก
• This folder and files โฟลเดอร์นี้และไฟล์
• Subfolders and files only โฟลเดอร์ลูก รวมถึงไฟล์ เท่านั้น
• Subfolders only โฟลเดอร์ลูก เท่านั้น
• Files only ไฟล์ เท่านั้น

     จะเห็นได้ว่ามี ACE ใหม่เพิ่มเข้ามาใน ACL ลองดูสิทธิของ ITsupport02 ตรง Inherited form (รับสืบทอดมาจาก) ของ จะเขียนว่า None เพราะว่าเราไม่ได้ Set ให้ Account ITsupport02 เพราะว่าเราไม่ต้องการให้สืบทอดสิทธินี้ลงไปยัง SubFolder ครับ (โฟลเดอร์ลูก) กด OK เพื่อปิดหน้าต่างนี้

     ถ้าสังเกตุดีๆจะมี Account ของ ITsupport02 เพิ่มเข้ามาในส่วนของ Folder Permission ด้วยน่ะครับ :)

Configure Access-Based Enumeration (ABE)
ABE ถูกนำมาใช้ครั้งแรกใน Windows Server 2003 R2 เป็นหนึ่งใน Feature ของ DFS โดยทำหน้าที่แสดงเฉพาะ Files และ Folder ที่ User มีสิทธิในการเข้าถึง, ถ้า user ไม่มีสิทธิเข้าถึง Files และ Folder ตัว Windows จะซ่อน Files และ Folder จากมุมองของ DFS, จะถูก Set ไว้ให้ Disable โดยดีฟอลต์,

ในการตั้งค่าเปิดใช้งาน

     เข้าที่ Server Manager --> File and Storage Services --> Shares จากนั้นคลิกขวาที่ Shares ที่ต้องการตั้งค่าแล้วเลือก Properties

     เลือกที่ Tab ที่ Setting จากนั้น Check box ที่ช่อง Enable access-based enumeration จากนั้นให้กด OK เพื่อออกจากหน้านี้ หลังจากนั้นเราก็ได้จะได้ Share Folder พร้อมกับ ABE setting.

Configure Volume Shadow Copy Service (VSS)
VSS เป็น Feature ของ Windows Server 2012 ที่จะทำให้คุณสามารถกอบกู้ไฟล์ของเดิมที่อยู่ใน Server ได้, ในกรณีที่ User เผลอลบหรือว่าเขียนทับไฟล์เก่าไป User ยังจะสามารถเข้าถึงไฟล์สำเนาได้ ข้อแม้เพียงอย่างเดียวของ VSS คือ ต้องติดตั้งลงไปทั้ง Volume ไม่สามารถที่จะระบุลงไปเฉพาะ Files หรือ Folder ได้

     เปิด Windows Explorer ขึ้นมา จากนั้นให้ คลิกขวา ที่ Volume ที่เราต้องการจะทำ Volume Shadow Copy Service (VSS) แล้วเลือก Configure Shadow Copies

     หน้าต่างของ Shadow Copies จะแสดงขึ้นมา โดยปกติถ้าไม่มีการแก้ไข Setting

• ระบบจะทำการเก็บไฟล์ Shadows Copies ไว้ที่ Volume เดียวกัน
• ระบบจะจองเนื้อที่ไว้อย่างน้อย 300Mb สำหรับ Shadows Copies
• ระบบจะทำการสำรองข้อมูลในเวลา 7 โมงเช้าถึง เที่ยงคืน ในวันทำงาน (จ-ศ)

     แต่ถ้าเราอยากแก้ไขเราสามารถทำได้โดยการคลิก Setting แล้วจะพบกับหน้าต่างที่ข้างบนนี้เพื่อทำการแก้ไขให้สอดคล้องกับสิ่งที่เราต้องการ

     จากนั้นเลือก Volume แล้วกด Enable, Pupup ที่แสดงอยู่บนนี้คือการบอกว่าเราไม่ได้ ปรับแต่ง Schedule แต่ว่าเราสามารถกลับมาแก้ไขทีหลังได้ตอบ Yes ไป

     หน้าตาจะเปลี่ยนไปหลังจากที่เรา Enable Shadows Copies แล้ว โดยจากภาพด้านบนจะเห็นว่า ใช้เนื้อที่ไป 320Mb 

Configure NTFS Quotas

การจำกัดเนื้อที่การใช้งานของ User เป็นสิ่งที่ Admin เกือบทุกคนต้องเคยเจอมาก่อนเพื่อไม่ให้ User เก็บ MP3 ไว้ที่ Share Drive อันนี้คือสิ่งที่เจอประจำ

NTFS Quotas คือสิ่งที่ Windows Server 2012 ติดมาให้เพื่อควบคุมตรงนี้แถมยังมี Feature ส่ง Email เตือนเมื่อ User ใช้ Quotas เกือบจะถึงลิมิต หรือว่า เลยลิมิตไปแล้ว, สามารถสร้างรายงาน และ ยังเข้าไปดูใน Events Log ได้อีกด้วย

     ในการเปิดใช้งาน NTFS Quotas ให้เราเปิด Windows Explorer ขึ้นมา จากนั้นเลือกที่ Volume ที่เราจะทำโดยคลิกขวาแล้วเลือก Properties

     ที่ Volume Properties ให้เราเลือก Tab Quota โดยจะมีหน้าตาตามรูปด้านบน

     โดย Check box ที่ Enable quota management จะเป็นการเปิดใข้งาน และเราจะต้อง Setting อะไรนิดหน่อย เช่น

• Deny disk space to users exceeding quota limit จะเป็นการไม่ยอมให้ User ใช้งานเกินลิมิต
• Limit disk space to ให้ใส่ขนาดเนื้อที่ ที่เราจะจำกัด ในภาพผมใส่ 1GB
• Set warning level to ให้ใส่ขนาดเมื่อ User ใช้ถึงจะมีการเตือนว่าใกล้จะเต็ม
• Log event when a user exceeds their quota limit ให้สร้าง Log เมื่อ User ใช้เกินลิมิต
• Log event when a user exceeds their warning limit ให้สร้าง Log เมื่อ User ใช้เกินขนาดที่ตั้งค่า Warning ไว้ 

     จากนั้นกด OK

     จะมี Popup แจ้งเตือนว่า จะต้องมีการ Rescan เพื่ออัพเดทการใช้เนื้อที่ที่มีอยู่ ตอบ OK ก็เสร็จแล้วครับ

เป็นไงบ้างครับสำหรับหัวข้อ Configure server roles and features อันนี้เพิ่ง Part 1 น่ะครับ T_T เยอะจริงๆ เลย แต่ถ้ามีอะไรก็สอบถามมาได้น่ะครับ Post เอาไว้แล้วจะมาตอบ

ภัทร์