Làm việc với Domain Member Virtual Machines và Snapshots

le ngoc lam

Quản Trị Mạng - Một trong những lợi ích khi sử dụng phần mềm ảo là nó cho phép bạn tạo một snapshot. Snapshot cho phép người dùng lưu lại cấu hình và trạng thái của một máy ảo tại bất kì thời điểm nào, và hỗ trợ khả năng tải mọi Snapshot hiện có rất nhanh chóng.

Tuy nhiên, sử dụng snapshot cũng xảy ra vấn đề. Một trong những vấn đề sẽ xảy ra khi bạn có một hoặc nhiều máy ảo là thành viên của Active Directory. Khi tạo một snapshot của máy và lưu lại, bạn sẽ gặp vấn đề khi không thể đăng nhập vào máy ảo hoặc không thể truy cập file cũng như chia sẻ file qua mạng. Bạn cũng có thể gặp lỗi sau:

“Windows không thể kết nối tới miền do lỗi của domain controller bị lỗi hoặc do tài khoản của bạn không tìm thấy. Hãy thử lại sau. Nếu tin nhắn này vẫn xuất hiện, hãy liên hệ với nhà quản lý hệ thống của bạn để được trợ giúp.”

Nếu bạn đăng nhập cục bộ (không sử dụng tài khoản miền) vào máy tính (trong ví dụ này là Windows XP Pro), bạn sẽ thấy những sự kiện sau ở Event Viewer.

NETLOGON 3210

Máy tính không thể xác nhận \\WIN2003-SRV1.petrilabs.local, một domain controller của domain PETRILABS trong Windows. Từ đó, máy tính sẽ từ chối yêu cầu đăng nhập. Sự xác nhận sai này xảy ra bởi một máy tính khác trong cùng mạng cục bộ có trùng tài khoản hoặc mật khẩu với máy không được nhận. Nếu thông báo này vẫn xuất hiện, bạn sẽ phải liên hệ với nhà quản lý hệ thống của mình.

LSASRV 40961

Hệ thống bảo mật không thể thiết lập kết nối bảo mật với server cifs/WIN2003-SRV1.petrilabs.local. Không giao thức xác nhận nào được tìm thấy.

W32Time 18

NtpClient không thể thiết lập mối liên hệ giữa máy tính của bạn với miền petrilabs.local để thiết lập thời gian. NtpClient sẽ thử lại trong vòng 15 phút.

Cùng với một số lỗi khác có thể xảy ra.

Tuy nhiên, nếu bạn nhớ trước đây Ghost là cách duy nhất để image lại một máy tính thì bạn cũng phải nhớ rằng không nên ghost một máy tính là thành viên của miền. Nếu bạn vẫn thực hiện ghost máy tính của một miền, máy tính của bạn sẽ không thể đăng nhập vào miền đó.

Lý do xảy ra việc này là do mật khẩu tài khoản của máy không hợp lệ. Máy ảo cho rằng mật khẩu tài khoản miền của mình là X, trong khi Domain controller lại cho rằng đó là Y. Vì vậy, máy ảo không thể xác nhận tới domain controller.

Cũng giống như mật khẩu tài khoản người sử dụng, mật khẩu tài khoản máy tính là một “bí mật” được thiết lập bởi tài khoản máy tính, được dùng khi thành viên miền xác nhận chính nó tới domain controller nhằm thiết lập một kênh bảo mật.

Khi máy tính khởi động, Netlogon sử dụng mật khẩu tài khoản của máy tính và cố gắng thiết lập một kết nối bảo mật với domain controller. Quá trình CTRL+ALT+DEL Winlogon sẽ dựa vào kênh kết nối bảo mật đã được xác nhận để gửi tài khoản máy tới domain controller để được xác nhận và đăng nhập vào máy tính. Những chương trình khác hoạt động trên máy với LocalSystem NetworkService cũng yêu cầu xác nhận kênh bảo mật để truy cập các nguồn của miền.

Vì vậy, nếu không có mật khẩu này, sẽ không có kênh bảo mật, dẫn tới một loạt các vấn đề xảy ra.

Mật khẩu sẽ được tạo ra khi máy tính đăng nhập vào miền. Nó được chia sẻ bởi domain controller và máy tính.

Vậy, điều gì xảy ra khi hệ điều hành hoạt động? Để giải thích điều này, chúng ta cần xét tới 3 tình huống:

1. Hệ điều hành thông thường, máy tính thành viên hoạt động bình thường mà không bị offline trong một khoảng thời gian. Mỗi máy tính lưu trữ một lịch sử mật khẩu tài khoản gồm những mật khẩu trước đây và hiện giờ đang sử dụng. Cứ 30 ngày, máy tính mặc định thay đổi mật khẩu tài khoản bởi Netlogon trên các máy tính thành viên. Kể từ Windows 2000, tất cả những phiên bản của Windows có giá trị giống nhau. Sau khi thay đổi, cả domain controller và máy tính sử dụng mật khẩu mới để xác nhận.

Khi một thành viên quyết định thay đổi mật khẩu tài khoản của máy tính, máy sẽ cố gắng kết nối tới domain controller của miền mà nó là thành viên để thay đổi mật khẩu trên domain controller.

2. Đối với những máy tính offline trong một khoảng thời gian 30, 60, 90 ngày hoặc hơn thế, máy tính vẫn có thể bị lỗi. Nếu máy tính offline trong khoảng 30 ngày, sẽ không có vấn đề gì xảy ra. Khi máy tính khởi động, nó sẽ được thông báo là mật khẩu của máy đã cũ hơn 30 ngày và Netlogon trên máy thành viên sẽ tự thay đổi mật khẩu. Điều này chỉ áp dụng được đối với những máy tính ngoại tuyến trong khoảng thời gian này.

3. Snapshot, được chụp bởi ghost hay bởi chế độ snapshot của máy ảo, máy tính sẽ lưu lại hệ điều hành của máy tại thời điểm đó. Sau đó, snapshot này được dùng trở lại sau một thời gian dài. Khi sử dụng snapshot này, người sử dụng sẽ mất mật khẩu trước đó. Vì vậy, máy tính sẽ không được xác nhận.

Bạn sẽ làm gì để khắc phục điều này? Trước tiên, nếu bạn biết rõ thời điểm khi lỗi xảy ra và bạn không thể đăng nhập, bạn nên đọc bài “Khắc phục lỗi Windows không thể kết nối tới miền”.

Tuy nhiên, nếu bạn muốn ngăn chặn điều này khi sử dụng phần mềm ảo hoặc snapshot, bạn nên: Tăng thời gian sử dụng mật khẩu tài khoản hoặc hủy bỏ chế độ thay đổi mật khẩu. Cả 2 cách này đều có thể giảm thiểu khả năng xảy ra những vấn đề trên, cũng như độ bảo mật của miền cũng bị giảm.

Bạn có thể thay đổi cài đặt theo hướng dẫn:

HKLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

DisablePasswordChange: (tắt mặc định) nhằm ngăn chặn máy tính cá nhân thay đổi mật khẩu tài khoản. Để tắt mặc định, cho giá trị là 1.

MaximumPasswordAge: (mặc định 30 ngày) xác định thời gian mật khẩu máy tính cần được thay đổi. Bạn có thể thay đổi mức ngày mà bạn muốn. ví dụ, nếu bạn sử dụng snapshot không quá 100 ngày, hãy đặt giá trị 100.

Cài đặt cũng có thể được cấu hình bằng Group Policy: