วิธีทำ LDAP Server บน Windows Server 2025 แบบละเอียด

LDAP คือหนึ่งในระบบสำคัญที่สุดของ Active Directory เพราะเป็น Protocol ที่ใช้ให้โปรแกรมและอุปกรณ์ต่างๆ เชื่อมต่อกับระบบ User ขององค์กร เช่น:

• NAS
• VPN
• Wi-Fi Controller
• Firewall
• Linux Server
• Web Application

เมื่อองค์กรเริ่มมี User จำนวนมาก การสร้าง User แยกในทุกระบบจะจัดการยากมาก ดังนั้น LDAP ช่วยให้ทุกระบบใช้ User กลางร่วมกันได้ผ่าน Windows Server 2025

องค์กรส่วนใหญ่รวมถึงแนวทางที่ทีม comsiam ใช้ มักให้ Active Directory ทำหน้าที่เป็น LDAP Server กลางขององค์กรทั้งหมด

บทความนี้จะสอนการทำ LDAP Server แบบละเอียด พร้อมแนวทางใช้งานจริง

---

① LDAP คืออะไร

LDAP ย่อมาจาก:

Lightweight Directory Access Protocol

คือ Protocol สำหรับ:

• ค้นหา User
• Login
• ตรวจสอบสิทธิ์

ผ่านระบบ Directory

---

② LDAP ใช้ทำอะไรได้บ้าง

ตัวอย่าง:

• Login NAS
• Login VPN
• Wi-Fi Authentication
• Firewall Login
• Web Application Login

---

③ Active Directory คือ LDAP Server หรือไม่

ใช่

Active Directory รองรับ LDAP อยู่แล้ว

ไม่ต้องติดตั้ง LDAP แยกเพิ่ม

---

④ LDAP ทำงานอย่างไร

ขั้นตอน:

1. Device ส่ง Username/Password
2. LDAP ตรวจสอบกับ AD
3. ส่งผลว่า Login ผ่านหรือไม่

---

⑤ Port ของ LDAP

LDAP ปกติ:

389

LDAPS (เข้ารหัส):

636

---

⑥ LDAP กับ LDAPS ต่างกันยังไง

LDAP

ไม่เข้ารหัส

---

LDAPS

เข้ารหัส SSL/TLS

ปัจจุบัน:
แนะนำ LDAPS

---

⑦ สิ่งที่ต้องมี ก่อนใช้ LDAP

ต้องมี:

• ติดตั้ง Active Directory แล้ว
• DNS ทำงานปกติ
• User อยู่ใน Domain

---

⑧ วิธีตรวจสอบว่า LDAP ทำงานหรือไม่

เปิด CMD:

netstat -an | find "389"

หากมี:
แปลว่า LDAP ทำงาน

---

⑨ วิธีทดสอบ LDAP ด้วย ldp.exe

เปิด:

ldp.exe

---

⑩ วิธี Connect LDAP Server

ใน ldp.exe

เลือก:

Connection
> Connect

ใส่:

Server: dc01.company.local
Port: 389

---

⑪ วิธี Bind User

เลือก:

Connection
> Bind

ใส่:

• Username
• Password

หากสำเร็จ:
จะขึ้น:

Authenticated

---

⑫ Distinguished Name (DN) คืออะไร

DN คือ Path ของ Object ใน LDAP

ตัวอย่าง:

CN=somchai,OU=IT,DC=company,DC=local

---

⑬ Base DN คืออะไร

Base DN คือจุดเริ่มค้นหา

ตัวอย่าง:

DC=company,DC=local

---

⑭ วิธีค้นหา User ผ่าน LDAP

ใช้ Query เช่น:

(sAMAccountName=somchai)

---

⑮ Attribute สำคัญใน LDAP

ตัวอย่าง:

sAMAccountName
mail
memberOf
displayName

---

⑯ วิธีใช้ LDAP กับ NAS

เช่น:

• Synology
• QNAP

ใส่:

• LDAP Server
• Base DN
• Bind User

NAS จะใช้ User AD ได้ทันที

---

⑰ วิธีใช้ LDAP กับ Firewall

เช่น:

• Fortinet
• Sophos
• pfSense

ช่วย Login ด้วย AD ได้

---

⑱ วิธีใช้ LDAP กับ Wi-Fi

ใช้ร่วมกับ:

• RADIUS
• NPS
• 802.1X

ช่วยให้:
ใช้ User AD Login Wi-Fi ได้

---

⑲ วิธีเปิด LDAPS

ต้องมี:
Certificate จาก Active Directory Certificate Services

จากนั้น AD จะเปิด Port 636 อัตโนมัติ

---

⑳ วิธีตรวจสอบ LDAPS

ใช้:

netstat -an | find "636"

---

㉑ วิธีทดสอบ LDAPS

ใน ldp.exe

Connect:

Port 636
SSL Enabled

---

㉒ ปัญหาที่พบบ่อย

LDAP Login ไม่ได้

สาเหตุ:

• DNS ผิด
• Firewall Block
• Bind User ผิด

---

LDAPS ใช้ไม่ได้

สาเหตุ:
ไม่มี Certificate

---

Query ไม่เจอ User

สาเหตุ:
Base DN ผิด

---

㉓ วิธีตรวจสอบ Firewall

เปิด Port:

• 389
• 636

ระหว่าง:

• Client
• Domain Controller

---

㉔ แนวทาง LDAP ที่ดีสำหรับองค์กร

แนะนำ:

• ใช้ LDAPS
• ใช้ Service Account แยก
• จำกัด Permission
• Monitor Login

หลายองค์กรยังใช้ LDAP แบบไม่เข้ารหัส ซึ่งทีม comsiam มักแนะนำให้เปลี่ยนเป็น LDAPS เสมอ

---

㉕ สิ่งที่ไม่ควรทำ

ไม่ควร:

• ใช้ Domain Admin เป็น Bind User
• เปิด LDAP Internet ตรงๆ
• ใช้ LDAP แบบไม่เข้ารหัส
• ใช้ Anonymous Bind

---

㉖ LDAP กับ Kerberos ต่างกันยังไง

LDAP

ค้นหาและตรวจสอบข้อมูล User

---

Kerberos

ใช้ Authentication

ทั้งสองทำงานร่วมกันใน AD

---

㉗ LDAP กับ Microsoft Entra ต่างกันยังไง

LDAP

On-Premise

---

Microsoft Entra

Cloud Identity

หลายองค์กรใช้ Hybrid ทั้งคู่

---

㉘ สรุป

LDAP บน Windows Server 2025 และ Active Directory คือหัวใจสำคัญของระบบ Authentication ภายในองค์กร

ข้อดี:

• ใช้ User กลาง
• ลดการสร้าง User ซ้ำ
• เชื่อมต่อ NAS/VPN/Wi-Fi ได้
• จัดการง่ายจากศูนย์กลาง

โดยเฉพาะองค์กรที่มีหลายระบบ LDAP ถือเป็นพื้นฐานสำคัญของระบบ Enterprise IT สมัยใหม่