Làmviệcvới Domain MemberVirtual
Machines và Snapshots
Một trong những lợi ích khi sử dụng phần mềm ảo là nó
cho phép b
ạn tạo một snapshot. Snapshot cho phép người
dùng lưu lại cấu h
ình và trạng thái của một máy ảo tại bất
kì thời điểm nào, và hỗ trợ khả năng tải mọi Snapshot
hiện có rất nhanh chóng.
Tuy nhiên, sử dụng snapshot cũng xảy ra vấn đề. Một trong
những vấn đề sẽ xảy ra khi bạn có một hoặc nhiều máy ảo là
thành viên c
ủa Active Directory. Khi tạo một snapshot của
máy và lưu lại, bạn sẽ gặp vấn đề khi không thể đăng nhập
vào máy ảo hoặc không thể truy cập file cũng như chia sẻ file
qua mạng. Bạn cũng có thể gặp lỗi sau:
“Windows không thể kết nối tới miền do lỗi của domain
controller bị lỗi hoặc do tài khoản của bạn không tìm thấy.
Hãy thử lại sau. Nếu tin nhắn này vẫn xuất hiện, hãy liên
h
ệ với nhà quản lý hệ thống của bạn để được trợ giúp.”
Nếu bạn đăng nhập cục bộ (không sử dụng tài khoản miền)
vào máy tính (trong ví dụ này là Windows XP Pro), bạn sẽ
thấy những sự kiện sau ở Event Viewer.
NETLOGON 3210
Máy tính không thể xác nhận \\WIN2003-
SRV1.petrilabs.local
, một domain controller của domain
PETRILABS trong Windows. Từ đó, máy tính sẽ từ chối yêu
c
ầu đăng nhập. Sự xác nhận sai này xảy ra bởi một máy tính
khác trong cùng mạng cục bộ có trùng tài khoản hoặc mật
khẩu với máy không được nhận. Nếu thông báo này vẫn xuất
hiện, bạn sẽ phải liên hệ với nhà quản lý hệ thống của mình.
LSASRV 40961
Hệ thống bảo mật không thể thiết lập kết nối bảo mật với
server cifs/WIN2003-SRV1.petrilabs.local. Không giao thức
xác nhận nào được tìm thấy.
W32Time 18
NtpClient không thể thiết lập mối liên hệ giữa máy tính của
bạn với miền petrilabs.local để thiết lập thời gian. NtpClient
sẽ thử lại trong vòng 15 phút.
Cùng với một số lỗi khác có thể xảy ra.
Tuy nhiên, nếu bạn nhớ trước đây Ghost là cách duy nhất
để
image lại một máy tính thì bạn cũng phải nhớ rằng không
nên ghost một máy tính là thành viên của miền. Nếu bạn vẫn
thực hiện ghost máy tính của một miền, máy tính của bạn sẽ
không thể đăng nhập vào miền đó.
Lý do xảy ra việc này là do mật khẩu tài khoản của máy
không hợp lệ. Máy ảo cho rằng mật khẩu tài khoản miền của
mình là X, trong khi Domain controller lại cho rằng đó là Y.
Vì v
ậy, máy ảo không thể xác nhận tới domain controller.
Cũng giống như mật khẩu tài khoản người sử dụng, mật khẩu
tài khoản máy tính là một “bí mật” được thiết lập bởi tài
kho
ản máy tính, được dùng khi thành viên miền xác nhận
chính nó tới domain controller nhằm thiết lập một kênh bảo
mật.
Khi máy tính khởi động, Netlogon sử dụng mật khẩu tài
kho
ản của máy tính và cố gắng thiết lập một kết nối bảo mật
với domain controller. Quá trình CTRL+ALT+DEL Winlogon
s
ẽ dựa vào kênh kết nối bảo mật đã được xác nhận để gửi tài
kho
ản máy tới domain controller để được xác nhận và đăng
nhập vào máy tính. Những chương trình khác hoạt động trên
máy v
ới LocalSystem NetworkService cũng yêu cầu xác nhận
kênh bảo mật để truy cập các nguồn của miền.
Vì vậy, nếu không có mật khẩu này, sẽ không có kênh bảo
mật, dẫn tới một loạt các vấn đề xảy ra.
Mật khẩu sẽ được tạo ra khi máy tính đăng nhập vào miền. Nó
được chia sẻ bởi domain controller v
à máy tính.
V
ậy, điều gì xảy ra khi hệ điều hành hoạt động? Để giải thích
điều n
ày, chúng ta cần xét tới 3 tình huống:
1. Hệ điều hành thông thường, máy tính thành viên hoạt
động b
ình thường mà không bị offline trong một khoảng thời
gian. Mỗi máy tính lưu trữ một lịch sử mật khẩu tài khoản
gồm những mật khẩu trước đây và hiện giờ đang sử dụng. Cứ
30 ngày, máy tính mặc định thay đổi mật khẩu tài khoản bởi
Netlogon trên các máy tính thành viên. Kể từ Windows 2000,
tất cả những phiên bản của Windows có giá trị giống nhau.
Sau khi thay đổi, cả domain controller v
à máy tính sử dụng
mật khẩu mới để xác nhận.
Khi một thành viên quyết định thay đổi mật khẩu tài khoản
của máy tính, máy sẽ cố gắng kết nối tới domain controller
của miền mà nó là thành viên để thay đổi mật khẩu trên
domain controller.
2. Đối với những máy tính offline trong một khoảng thời gian
30, 60, 90 ngày hoặc hơn thế, máy tính vẫn có thể bị lỗi. Nếu
máy tính offline trong khoảng 30 ngày, sẽ không có vấn đề gì
x
ảy ra. Khi máy tính khởi động, nó sẽ được thông báo là mật
khẩu của máy đã cũ hơn 30 ngày và Netlogon trên máy thành
viên sẽ tự thay đổi mật khẩu. Điều này chỉ áp dụng được đối
với những máy tính ngoại tuyến trong khoảng thời gian này.
3. Snapshot, được chụp bởi ghost hay bởi chế độ snapshot của
máy ảo, máy tính sẽ lưu lại hệ điều hành của máy tại thời
điểm đó. Sau đó, snapshot này được d
ùng trở lại sau một thời
gian dài. Khi sử dụng snapshot này, người sử dụng sẽ mất mật
khẩu trước đó. Vì vậy, máy tính sẽ không được xác nhận.
Bạn sẽ làm gì để khắc phục điều này? Trước tiên, nếu bạn biết
rõ thời điểm khi lỗi xảy ra và bạn không thể đăng nhập, bạn
nên đọc b
ài “Khắc phục lỗi Windows không thể kết nối tới
miền”.
Tuy nhiên, n
ếu bạn muốn ngăn chặn điều này khi sử dụng
phần mềm ảo hoặc snapshot, bạn nên: Tăng thời gian sử dụng
mật khẩu tài khoản hoặc hủy bỏ chế độ thay đổi mật khẩu. Cả
2 cách này đều có thể giảm thiểu khả năng xảy ra những vấn
đề tr
ên, cũng như độ bảo mật của miền cũng bị giảm.
Bạn có thể thay đổi cài đặt theo hướng dẫn:
HKLM\SYSTEM\CurrentControlSet\Services\NetLogon\
Parameters
DisablePasswordChange
: (tắt mặc định) nhằm ngăn chặn
máy tính cá nhân thay đổi mật khẩu t
ài khoản. Để tắt mặc
định, cho giá trị l
à 1.
MaximumPasswordAge: (mặc định 30 ngày) xác định thời
gian mật khẩu máy tính cần được thay đổi. Bạn có thể thay
đổi mức ngày mà bạn muốn. ví dụ, nếu bạn sử dụng snapshot
không quá 100 ngày, hãy đặt giá trị 100.
Cài đặt cũng có thể được cấu h
ình bằng Group Policy:
Computer Configuration\windows Settings\Security
settings\Local Policies\Security Options
Domain member
: Tắt thay đổi mật khẩu tài khoản.
Domain member: Tối đa ngày sử dụng mật khẩu tài khoản
của máy.
Sau khi thực hiện những thay đổi, bạn cần khởi động lại máy
và tạo snapshot nếu cần
. Làm việc với Domain Member Virtual
Machines và Snapshots
Một trong những lợi ích khi sử dụng phần mềm.
settingsLocal PoliciesSecurity Options
Domain member
: Tắt thay đổi mật khẩu tài khoản.
Domain member: Tối đa ngày sử dụng mật khẩu tài khoản
của máy.
Sau khi thực