Thay đổi “vòng đời” các đối tượng tombstone trong Active Directory cVề mặt kỹ thuật thì khoảng thời gian lifetime này phải được thiết lập lâu hơn so với độ trễ cố định giữa các Domain C
Trang 1Thay đổi “vòng đời” các đối tượng tombstone
trong Active Directory cVề mặt kỹ thuật thì khoảng thời gian lifetime này phải được thiết lập lâu hơn so với độ trễ cố định giữa các Domain Controller Khoảng thời gian chu kỳ giữa các lần xóa tombstone phải tối thiểu bằng độ trễ tối đa khi quá trình này lan rộng qua tầng
forest Bởi vì khoảng thời gian “hiệu lực” của vòng đời tombstone dựa trên thời điểm đối
tượng bị xóa thực sự, chứ không phải thời gian server nhận được tín hiệu cụ thể của
tombstone qua quá trình nhân rộng, và toàn bộ tombstone của 1 đối tượng được thu thập
trên nhiều server tại cùng 1 thời điểm Còn nếu tombstone chưa được nhân rộng trên 1
Domain Controller cụ thể, thì DC đó sẽ không ghi nhận quá trình xóa dữ liệu tương ứng Và đây cũng là lý do chính tại sao chúng ta không thể khôi phục được Domain Controller từ bản sao lưu nào đó cũ lâu hơn so với khoảng thời gian lifetime của
tombstone
Ở chế độ mặc định, thời gian lifetime tombstone của Active Directory là 60 ngày, và
người sử dụng hoàn toàn có thể thay đổi tùy theo nhu cầu sử dụng Cụ thể, thuộc tính
tombstoneLifetime của đối tượng CN=Directory Service trong khâu cấu hình phải được
thay đổi, và đối tượng này được cố định tại:
cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=
Lưu ý rằng khoảng thời gian lifetime này càng lâu thì tỉ lệ các đối tượng đã bị xóa còn lại trong thư mục hệ thống khi ngắt kết nối DC sẽ nhiều hơn so với việc xóa hoàn toàn khỏi
DC theo cách trực tuyến Bên cạnh đó, khoảng thời gian lifetime của tombstone sẽ không
tự động thay đổi khi người dùng cập nhật Windows Server 2003 lên SP1, nhưng lại có thể thực hiện được bằng cách thủ công sau đó Các tầng forest mới đi kèm với Windows Server 2003 SP1 sẽ có thông số lifetime mặc định là 180 ngày
Các bạn có thể kiểm tra thuộc tính lifetime mặc định bằng câu lệnh:
Trang 2dsquery * " cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc="
-scope base -attr tombstonelifetime
Trên thực tế, có nhiều cách để thay đổi thông số này, và cách đơn giản nhất là sử dụng
ADSIEdit
Cách 1: sử dụng ADSIEdit:
Đây là 1 phần của bộ công cụ Windows 2003 Support Tools, và nếu muốn dùng
ADSIEdit thì các bạn phải cài trực tiếp Support tools trên máy tính hoặc Domain Controller Bên cạnh đó, để hoàn tất được các bước dưới đây thì tài khoản đang sử dụng phải là thành viên của group Enterprise Admins
Để xem hoặc thay đổi phần giá trị thuộc tính bằng ADSIEdit, các bạn gõ lệnh
ADSIEdit.msc trong mục Run và gõ Enter Sau đó chuyển tới:
cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=
với ForestRootDN là Distinguished Name của domain Active Directory Forest Root
Ví dụ, nếu tên domain của bạn là kuku.co.il thì phần DN sẽ là:
DC=kuku,DC=co,DC=il
Nhấn chuột phải và chọn Properties:
Trang 3Tại cửa sổ Properties hiển thị, các bạn kéo chuột xuống phía dưới sách tới phần
tombstoneLifetime, nhấn Edit:
Trang 4Thay đổi thông số Tombstone Lifetime Period theo yêu cầu sau đó nhấn OK:
Trang 5Nhấn OK và đóng ADSIEdit lại Khi chúng ta xem thuộc tính trên phần cn=Directory
Service, cn=Windows NT, cn=Services, cn=Configuration, nếu không có giá trị được
thiết lập thì có nghĩa là phần value mặc định có hiệu lực Và bất kỳ giá trị nào người dùng
nhập vào ô Edit Attribute sẽ thay thế thông số mặc định khi nhấn nút Set
Cách 2: dùng file LDIF:
Trước tiên, các bạn mở Notepad và tạo 1 file text với nội dung:
dn: cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,
changetype: modify
replace: tombstoneLifetime
Trang 6tombstoneLifetime:
-
Lưu ý rằng các bạn không được quên dấu – ở dòng cuối cùng Với Distinguished Name
là domain của Active Directory Forest Root Ví dụ, nếu tên domain là kuku.co.il thì
phần DN sẽ là:
DC=kuku,DC=co,DC=il
Sau đó, lưu file này thành tombstoneLifetime.ldf Mở Command Prompt và gõ lệnh:
Ldifde –I –f {đường dẫn tới file tombstoneLifetime.ldf}
Khá đơn giản và dễ dàng, chúc các bạn thành công!