4. Quản trị máy điều khiển miền Domain Controller
4.2. Xử lý một số sự cố thường gặp
Tổng quát
Trên các Domain Controller sử dụng hệ điều hành Windows Server SP1 khi mở
chức năng Windows Firewall thường gặp các lỗi trong hoạt động như sau: - Các chức năng Domain Controller không thể thực hiện
- Một số Active Directory (AD) Object không thể Replication Hiện tượng thường gặp
Chúng ta có thể nhận thấy các lỗi như sau :
1- Client Computer không thể thiết lập các Secure connection (giao dich bảo mật)
với Domain controller
2- Không thể thực hiện logon với Domain User Account
3- User không thể truy cập các tài nguyên trên Domain cung cấp bởi các Member Servers
4- Các Additional Domain Controller không hoạt động sau khi nâng cấp
5- Xuất hiện các thông báo lỗi trong File Replication Service Event Log như
Event ID 13508 "The File Replication Service is having trouble enabling replication from …" nhưng không đi kèm với các thông báo lỗi như: Event ID 13509 "The File Replication Service has enabled replication from …" - hoặc -Event ID 13516 "The File Replication Service is no longer preventing the computer … from becoming a domain controller."
6- Trên các Additional Domain controller sau khi xây dựng, không thấy các share folders SYSVOL và NETLOGON
7- Trên các Additional Domain controller sau khi xây dựng, folders chứa các GPOs%systemroot%\SYSVOL\domain\Policies
Không nhận được thông tin replication tù các Domain Controller khác Nguyên nhân Việc mở chức năng Firewall trên các Domain Controller đã ngăn
cản máy Client Computer truy cập Active Directory hoặc ngăn chận thực hiện công tác AD-Replication
Giải pháp xử lý
Để xử lý lỗi nói trên, chúng ta thực hiện các công việc bao gồm : Cấu hình Active Directory File Repication Service (AD-FRS) sử dụng TCP/IP Port xác định không
bị tranh chấp và cấu hình Firewall cho phép các Incomming Connections đối với các chương trình và ports yêu cầu
1) Cấu hình AD-FRS sử dụng TCP/IP Port xác định
a- Chọn 2 Ports cụ thể không bị sử dụng trên bất kỳ Domain controller nào. Chúng ta có thể chọn các Ports có gía trị trong khoảng từ 49152 dến 65535 (Ví dụ : 53211 và 53212 )
b- Tạo thêm các biến Registry trên các Domain controller như sau:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters \ TCP/IP Port tạo biến DWORD chứa giá trị Port VD: 53211-cfdb(hex) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\ RPC TCP/IP Port Assignment tạo biến DWORD chứa fía trị Port VD: 53212 - cfdc (hex)
2) Cấu hình Firewall Service
Thiết lập GPO để cấu hình Firewall Service và áp dụng lên các Domain Controllers (có thể áp dụng GPO trên OU=Domain Controllers có sẵn trong các Domain) như sau :
a. Windows Firewall: Protect all network connections – Enabled b. Windows Firewall: Allow remote administration exception - Enabled (enables port 135 và 445)
c. Windows Firewall: Allow file and printer sharing exception: - Enabled d. Windows Firewall: Define port exceptions:
-Enabled (trong bảng Exception, giá trị * có ý nghĩa cho phép incoming requests từ bất
kỳ địa chỉ nào) 123:udp:*:enabled:NTP 3268:tcp:*:enabled:Global Catalog LDAP 389:tcp:*:enabled:LDAP
389:udp:*:enabled:LDAP 53:tcp:*:enabledNS 53:udp:*:enabledNS
53211:tcp:*:enabled:AD Replication (Lưu ý: sử dụng Port đã chọn ở phần 1) 53212:tcp:*:enabled:File Replication Service (Lưu ý: sử dụng Port đã chọn ở phần1) 88:tcp:*:enabled:Kerberos
CÂU HỎI VÀ BÀI TẬP
1. AD (Active Directory là gì? 2. Nêu chức năng của AD? 3. Các thành phần của AD.
4- Tạo sao cần thực thi Active Directory 5- Những đơn vị cơ bản của Active Directory 6- Infrastructure Master và Global Catalog 7- Active Directory và LDAP
Bài 4: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM Mã bài: MĐSCMT21.04.
Giới thiệu:
Quản lý tài nguyên người dùng và nhóm cung cấp cho người học những kiến thức về tài khoản người dùng và nhóm, các thuộc tính của tài khoản người dùng , các nhóm tạo sẵn. Bài này được trình bày thành các mục chính được sắp xếp như sau:
- Định nghĩa tài khoản người dùng và tài khoản nhóm.
- Các tài khoản tạo sẵn.
- Quản lý tài khoản người dùng và nhóm cục bộ.
Mục tiêu
- Hiểu được tài khoản người dùng, tài khoản nhóm
- Tạo và quản trị được tài khoản người dùng, tài khoản nhóm.
- Tính chính xác, đúng đắn khi ra những quyết định quản trị.
NỘI DUNG CHÍNH 1. Giới thiệu
Mục tiêu.
- Biết đăng nhập vào hệ thống
- Tạo được tài khoản người dùng cục bộ và tài khoản người dùng miền.