Tải bản đầy đủ (.pdf) (4 trang)

Tài liệu Làm việc với tiện ích chuẩn đoán Domain Controller – Phần 3 ppt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (166.27 KB, 4 trang )

Làm việc với tiện ích chuẩn đoán Domain Controller – Phần 3
Ngu
ồn : quantrimang.com.vn
 
Brien M. Pose
y
Quản trị mạng – Trong phần 3 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn
về cách làm việc với tiện ích chuẩn đoán Domain Controller bằng cách khảo sát
một số bài test.
Cho đến đây các bạn đã biết được rằng Domain Controller Diagnostic Utility có
rất nhiều vấn đề mà bạn có thể sử dụng để cấu hình tiện ích chạy theo cách
thích hợp nhất cho mỗi tình huống riêng của mình. Chúng tôi đã giới thiệ
u cho
các bạn về các tiếp lệnh, còn bây giờ sẽ quay trở về các test riêng biệt mà tiện
ích có khả năng thực hiện.
Advertising – quảng bá dịch vụ
Bài test đầu tiên mà bạn có thể thực hiện là advertising. Test này thực hiện một
hành động kiểm tra để tìm ra xem Directory System Agent hiện có advertising
bản thân nó hay không. Nếu Directory System Agent hiện đang advertising bản
thân nó thì test sẽ bảo đảm rằng sự quảng bá sẽ liệt kê domain controller với
những khả nă
ng của Directory System Agent.
Trong trường hợp bạn không quen với khái niệm Directory System Agent, thì cần
phải hiểu rằng, Directory System Agent (thường được viết tắt là DSA), là một bộ
sưu tập các dịch vụ và các quá trình chạy trên domain controller. Công việc của
nó là cung cấp sự truy cập vào cơ sở dữ liệu Active Directory. DSA là một thành
phần con trong Local System Authority (LSA). Lý do tại sao nó lại liên quan đến
các quá trình và dịch vụ như vậy là vì khả năng cung cấp nhiều cơ chế để máy
khách có kh
ả năng truy cập.
Có thể được biết đến nhiều nhất trong các cơ chế này chính là Light Weight


Directory Access Protocol, hay còn được viết tắt là LDAP. LDAP là một giao thức
mà thông qua đó, hầu hết các hệ điều hành Windows gần đây đều sử dụng để
truy vấn Active Directory. Các máy khách cũ hơn vẫn yêu cầu sự truy cập DSA,
tuy nhiên điển hình vẫn được thực hiện thông qua Security Account Manager
(SAM). Điều này là do không có cơ chế nào để truy cập DSA. Cho ví d
ụ,
Microsoft exchange truyền thông với DSA bằng các cuộc gọi MAPI. Các DSA
cũng truyền thông với một DSA khác bằng cách sử dụng các cuộc gọi thủ tục từ
xa.
CheckSDRefDom
Test này sẽ thẩm định rằng tất cả các partition chứa thư mục ứng dụng có bộ chỉ
thị bảo mật cho các miền tham chiếu thích hợp. Bài test này sẽ vô nghĩa với
những người không thành thạo về Active Directory. Chính vì vậy chúng tôi sẽ
dành một chút thời gian để giới thiệu về bài test này là gì.
Có thể các bạn đã biết điều này, mỗi đối tượng trong Active Directory gồm có
một bộ chỉ
thị bảo mật. Công việc của bộ chỉ thị bảo mật là duy trì một danh sách
các thông tin điều khiển truy cập. Thông thường, bộ chỉ thị bảo mật đi kèm
thường làm việc tốt cho việc duy trì bản ghi về những ai đã truy cập và các thành
phần mà họ truy cập là thành phần nào. Tuy nhiên vấn đề có thể xuất hiện ở đây
nếu một tổ chức sử dụng các partition th
ư mục ứng dụng (trước đây được biết
đến với tên Active Directory Application Mode hoặc ADAM). Lý do cho điều đó là
rằng các partition thư mục ứng dụng là miền độc lập. Trong thực tế, có thể tạo
một partition thư mục ứng dụng và sau đó tạo bản sao cho các bộ điều khiển
miền khác trong nhiều miền. Do có thể thực hiện được điều đó nên Windows
gán m
ột bộ chỉ thị bảo mật có tham chiếu miền co mỗi một partition thư mục ứng
dụng khi được tạo.
Miền tham chiếu này sẽ thông báo cho bạn về partition thư mục ứng dụng mà

tên miền nào sử dụng khi một giá trị miền cần phải nhập vào bên trong một bộ
chỉ thị bảo mật. Windows có rất nhiều rule để phân biệt tên miền nào được sử
dụng.
Đơn giản hóa, nếu bạn tạo một partition miền ứng dụng mới không phải là
con của bất cứ partition nào và miền tham chiếu của bộ chỉ thị bảo mật sử dụng
miền forest root như tên miền để sử dụng bên trong các bộ chỉ thị bảo mật khác
nhau. Nếu partition thư mục ứng dụng là con của một đối tượng nào đó thì nó sẽ
đảm nhận miền tham chi
ếu bộ chỉ thị bảo mật của đối tượng cha của nó.
CheckSecurityError
Test tiếp theo mà chúng tôi muốn giới thiệu cho các bạn là Check Security Error.
Không giống như test trước mà chúng tôi đã giới thiệu cho các bạn. Check
Security Error không hoạt động mặc định. Nếu muốn chạy test này, bạn phải tự
chỉ định nó bên trong lệnh DCDIAG.
Khi chạy test này, DCDIAG sẽ tìm ra các lỗi liên quan đến vấn đề bảo mật, cũng
như các lỗi có thể
liên quan, sau đó cố gắng chuẩn đoán vấn đề. Có một tham
số tùy chọn mà bạn có thể sử dụng với tiếp lệnh này. Tiếp lệnh /ReplSource cho
phép bạn chỉ định bộ điều khiển miền cụ thể để chạy test. Bạn có thể sử dụng
bất cứ bộ điều khiển miền nào mong muốn, không cần quan tâm đến trạng thái
lỗi của nó ho
ặc nó có phải là đối tác hiện hành hay không. Đơn giản chỉ cần
nhập vào tên của test (CheckSecurityError), và gắn thêm vào đó tiếp lệnh
/ReplSource, dấu hai chấm và tên của domain controller mà bạn muốn test.
Connectivity
Connectivity là một trong những test hữu dụng nhất mà bạn có thể thực hiện với
nó. Trong thực tế, test này rất quan trọng đến nỗi thậm chí DCDIAG không cho
phép bạn bỏ qua. Nếu bạn chạy một instance mặc định của DCDIAG thì
Connectivity sẽ chạy hoàn toàn tự động.
Connectivity sẽ kiểm tra xem các bộ điều khiển miền đã được đăng ký trong

DNS chưa. Nó c
ũng kiểm tra xem liệu nó có thể ping mỗi domain controller và có
thể thiết lập được kết nối LDAP và RDP hay không.
CrossRefValidation
Đây là một test mà bạn sẽ không thể thấy nhiều tài liệu nó về nó. Những gì mà
chúng tôi có thể giới thiệu cho các bạn về nó cũng giống như các tham chiếu
không chính thức. Nếu các bạn bắt gặp một lỗi hợp lệ hóa tham chiếu thì vấn đề
có thể được giải quyết bằng cách sử
dụng ADSI edit để remove đối tượng gây
lỗi đó.
Chúng tôi cũng muốn chỉ ra rằng nếu sử dụng ADSI edit sai, bạn có thể phá hủy
Active Directory của mình. Chính vì vậy, hãy thực hiện một backup toàn bộ trạng
thái hệ thống cho các bộ điều khiển miền từ trước khi thực hiện bất cứ sự thay
đổi nào.
CutOffServers
Test cuối cùng của chúng tôi là về Cut off Servers. Ý tưởng cơ bản nằm trong
test này là trong hầu h
ết các trường hợp, các bộ điều khiển miền đều có một
hoặc nhiều đối tác bản sao. Nếu đối tác sao chép của domain controller gặp vấn
đề thì domain controller có thể sẽ không được cập nhật các nâng cấp của Active
Directory và DCDIAG sẽ báo cáo lỗi Cut off Servers.
Một mánh có thể giải quyết được vấn đề này là bạn phải chỉ ra những đối tác
bản sao là domain controller là gì. Phương pháp thực tế có nhiều thay đổi phụ
thuộc vào các phiên bản Windows, tuy nhiên trong Windows Server 2003, bạn có
thể tra cứu các đối tác bản sao thông qua Active Directory Site and Services
console.
Khi mở giao diện hình cây, bạn hãy mở mục Site để hiển thị danh sách các site
trong Active Directory của mình. Tiếp đến, kích đúp vào site chứa domain
controller mà bạn muốn kiểm tra. Tiếp đến, mở phần thư mục Servers, sau đó là
thư mục tương ứng với tên của domain controller mà bạn quan tâm đến. Cuối

cùng là kích đúp vào mục NTDSSettings, khi đó Windows sẽ hiển thị danh sách
các đối tượng kết nối. Danh sách này sẽ hiển thị các đối tác bản sao trong cột
From Server.
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn về một số bài test chạy với
tiện ích DCDIAG. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ tiếp tục giới
thi
ệu cho các bạn về một số bài test khác.
 

×