Khi tạo một snapshot của máy và lưu lại, bạn sẽ gặp vấn đề khi không thể đăng nhập vào máy ảo hoặc không thể truy cập file cũng như chia sẻ file qua mạng.. Sự xác nhận sai này xảy ra bởi
Trang 1Làm việc với Domain Member Virtual
Machines và Snapshots
Một trong những lợi ích khi sử dụng phần mềm ảo là nó cho phép bạn tạo một snapshot Snapshot cho phép người dùng lưu lại cấu hình và trạng thái của một máy ảo tại bất
kì thời điểm nào, và hỗ trợ khả năng tải mọi Snapshot hiện có rất nhanh chóng.
Tuy nhiên, sử dụng snapshot cũng xảy ra vấn đề Một trong những vấn đề sẽ xảy ra khi bạn có một hoặc nhiều máy ảo là thành viên của Active Directory Khi tạo một snapshot của máy và lưu lại, bạn sẽ gặp vấn đề khi không thể đăng nhập vào máy ảo hoặc không thể truy cập file cũng như chia sẻ file qua mạng Bạn cũng có thể gặp lỗi sau:
“Windows không thể kết nối tới miền do lỗi của domain
controller bị lỗi hoặc do tài khoản của bạn không tìm thấy Hãy thử lại sau Nếu tin nhắn này vẫn xuất hiện, hãy liên
hệ với nhà quản lý hệ thống của bạn để được trợ giúp.”
Trang 2vào máy tính (trong ví dụ này là Windows XP Pro), bạn sẽ thấy những sự kiện sau ở Event Viewer
NETLOGON 3210
Máy tính không thể xác nhận
\\WIN2003-SRV1.petrilabs.local, một domain controller của domain
PETRILABS trong Windows Từ đó, máy tính sẽ từ chối yêu cầu đăng nhập Sự xác nhận sai này xảy ra bởi một máy tính khác trong cùng mạng cục bộ có trùng tài khoản hoặc mật khẩu với máy không được nhận Nếu thông báo này vẫn xuất hiện, bạn sẽ phải liên hệ với nhà quản lý hệ thống của mình
Trang 3LSASRV 40961
Hệ thống bảo mật không thể thiết lập kết nối bảo mật với
server cifs/WIN2003-SRV1.petrilabs.local Không giao thức
xác nhận nào được tìm thấy
W32Time 18
Trang 4bạn với miền petrilabs.local để thiết lập thời gian NtpClient
sẽ thử lại trong vòng 15 phút
Cùng với một số lỗi khác có thể xảy ra
Tuy nhiên, nếu bạn nhớ trước đây Ghost là cách duy nhất
để image lại một máy tính thì bạn cũng phải nhớ rằng không nên ghost một máy tính là thành viên của miền Nếu bạn vẫn thực hiện ghost máy tính của một miền, máy tính của bạn sẽ không thể đăng nhập vào miền đó
Lý do xảy ra việc này là do mật khẩu tài khoản của máy
không hợp lệ Máy ảo cho rằng mật khẩu tài khoản miền của mình là X, trong khi Domain controller lại cho rằng đó là Y
Vì vậy, máy ảo không thể xác nhận tới domain controller Cũng giống như mật khẩu tài khoản người sử dụng, mật khẩu tài khoản máy tính là một “bí mật” được thiết lập bởi tài
khoản máy tính, được dùng khi thành viên miền xác nhận chính nó tới domain controller nhằm thiết lập một kênh bảo mật
Trang 5Khi máy tính khởi động, Netlogon sử dụng mật khẩu tài
khoản của máy tính và cố gắng thiết lập một kết nối bảo mật với domain controller Quá trình CTRL+ALT+DEL Winlogon
sẽ dựa vào kênh kết nối bảo mật đã được xác nhận để gửi tài khoản máy tới domain controller để được xác nhận và đăng nhập vào máy tính Những chương trình khác hoạt động trên máy với LocalSystem NetworkService cũng yêu cầu xác nhận kênh bảo mật để truy cập các nguồn của miền
Vì vậy, nếu không có mật khẩu này, sẽ không có kênh bảo mật, dẫn tới một loạt các vấn đề xảy ra
Mật khẩu sẽ được tạo ra khi máy tính đăng nhập vào miền Nó được chia sẻ bởi domain controller và máy tính
Vậy, điều gì xảy ra khi hệ điều hành hoạt động? Để giải thích điều này, chúng ta cần xét tới 3 tình huống:
1 Hệ điều hành thông thường, máy tính thành viên hoạt
động bình thường mà không bị offline trong một khoảng thời gian Mỗi máy tính lưu trữ một lịch sử mật khẩu tài khoản gồm những mật khẩu trước đây và hiện giờ đang sử dụng Cứ
30 ngày, máy tính mặc định thay đổi mật khẩu tài khoản bởi Netlogon trên các máy tính thành viên Kể từ Windows 2000, tất cả những phiên bản của Windows có giá trị giống nhau Sau khi thay đổi, cả domain controller và máy tính sử dụng mật khẩu mới để xác nhận
Khi một thành viên quyết định thay đổi mật khẩu tài khoản của máy tính, máy sẽ cố gắng kết nối tới domain controller của miền mà nó là thành viên để thay đổi mật khẩu trên
domain controller
2 Đối với những máy tính offline trong một khoảng thời gian
30, 60, 90 ngày hoặc hơn thế, máy tính vẫn có thể bị lỗi Nếu
Trang 6xảy ra Khi máy tính khởi động, nó sẽ được thông báo là mật khẩu của máy đã cũ hơn 30 ngày và Netlogon trên máy thành viên sẽ tự thay đổi mật khẩu Điều này chỉ áp dụng được đối với những máy tính ngoại tuyến trong khoảng thời gian này
3 Snapshot, được chụp bởi ghost hay bởi chế độ snapshot của
máy ảo, máy tính sẽ lưu lại hệ điều hành của máy tại thời
điểm đó Sau đó, snapshot này được dùng trở lại sau một thời gian dài Khi sử dụng snapshot này, người sử dụng sẽ mất mật khẩu trước đó Vì vậy, máy tính sẽ không được xác nhận
Bạn sẽ làm gì để khắc phục điều này? Trước tiên, nếu bạn biết
rõ thời điểm khi lỗi xảy ra và bạn không thể đăng nhập, bạn nên đọc bài “Khắc phục lỗi Windows không thể kết nối tới miền”
Tuy nhiên, nếu bạn muốn ngăn chặn điều này khi sử dụng phần mềm ảo hoặc snapshot, bạn nên: Tăng thời gian sử dụng mật khẩu tài khoản hoặc hủy bỏ chế độ thay đổi mật khẩu Cả
2 cách này đều có thể giảm thiểu khả năng xảy ra những vấn
đề trên, cũng như độ bảo mật của miền cũng bị giảm
Bạn có thể thay đổi cài đặt theo hướng dẫn:
HKLM\SYSTEM\CurrentControlSet\Services\NetLogon\ Parameters
DisablePasswordChange: (tắt mặc định) nhằm ngăn chặn
máy tính cá nhân thay đổi mật khẩu tài khoản Để tắt mặc định, cho giá trị là 1
MaximumPasswordAge: (mặc định 30 ngày) xác định thời
gian mật khẩu máy tính cần được thay đổi Bạn có thể thay
Trang 7đổi mức ngày mà bạn muốn ví dụ, nếu bạn sử dụng snapshot không quá 100 ngày, hãy đặt giá trị 100
Cài đặt cũng có thể được cấu hình bằng Group Policy:
Computer Configuration\windows Settings\Security
settings\Local Policies\Security Options
Domain member: Tắt thay đổi mật khẩu tài khoản.
Domain member: Tối đa ngày sử dụng mật khẩu tài khoản
của máy
Sau khi thực hiện những thay đổi, bạn cần khởi động lại máy
và tạo snapshot nếu cần