Giới thiệu

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn một số kiểu test để các bạn có thể thực hiện bằng cách sử dụng Domain Controller Diagnostic Utility. Mặc dù cho đến đây, chúng tôi đã giới thiệu khá nhiều kiểu test nhưng vẫn có đó nhiều kiểu mà các bạn có thể thực hiện. Và trong phần này, chúng tôi sẽ chọn ra một trong số những kiểu tiêu biểu đó và giới thiệu để các bạn có thể thực hiện với Domain Controller Diagnostic Utility.

Locator Check

Locator Check là một trong những kiểu test quan trọng mà bạn có thể thực hiện bằng DCDIAG. Vấn đề chắc hẳn các bạn đã biết, Active Directory gán các role Flexible Single Master Operations (FSMO) khác nhau cho các bộ điều khiển miền nào đó bên trong forest. Các role FSMO toàn cục ban đầu được gán cho bộ điều khiển miền đầu tiên trong forest. Tuy nhiên cũng có một số role FSMO mức miền được gán mặc định cho bộ điều khiển miền đầu tiên trong mỗi miền.

Locator Check sẽ thực hiện quá trình test để bảo đảm rằng các máy chủ đang nắm giữ các role FSMO toàn cục được biết đến và có thể được định vị. Quan trọng hơn nữa, nó kiểm tra để bảo đảm rằng các máy chủ giữ các role FSMO toàn cục đang đáp trả cho các yêu cầu.

Việc thực hiện test này tương đối đơn giản. Tất cả những gì bạn cần thực hiện là nhập vào lệnh sau:

DCDIAG /TEST:LocatorCheck

Rõ ràng, đây là một ví dụ đơn giản nhất về cách bạn sẽ chạy test locator check. Ngoài ra bạn vẫn có các tùy chọn khác như chỉ định bộ điều khiển miền nào đó và thiết lập các tiêu chuẩn thẩm định như bạn vẫn thực hiện với các test khác.

Intersite Test

Việc phụ thuộc vào topo của Active Directory, Intersite cũng là một test quan trọng. Khi bạn chạy test này, Domain Controller Diagnostic Utility sẽ thực hiện một loạt các hành động test để xem có bất cứ vấn đề gì với các đầu cầu mà có thể làm cho các thông tin Active Directory bị tạo bản sao qua các biên giới của site hay không.

Cú pháp được sử dụng để chạy test này gần giống như cú pháp được sử dụng cho locator check. Nếu bạn muốn thực hiện, chỉ cần nhập vào lệnh sau:

DCDIAG /Test:Intersite

KCCEvent

Một test có liên quan đến việc sao chép khác đó là KCCEvent. Test này được sử dụng để bảo đảm rằng Knowledge Consistency Checker (KCC) đang làm việc, và rằng liệu nó có đang thực hiện nhiệm vụ mà không gây ra bất cứ lỗi nào. Bạn có thể chạy KCCEvent bằng cách nhập vào lệnh sau:

DCDIAG /Test:KCCEvent

KnowsofRoleHolders

Knows of Role Holders là kiểu test để kiểm tra xem Directory Service Agent có biết máy chủ nào đang giữ các role Flexible Single Operations Master. Nếu chỉ muốn chạy một cách đơn giản thì bạn có thể thực hiện bằng cách nhập vào lệnh sau:

DCDIAG /Test:KnowsOfRoleHolders

Mặc dù test này sẽ thường thực hiện khá tốt công việc của nó, song đôi khi bạn có thể muốn kiểm tra xem bộ điều khiển miền nào mà Directory Service Agent nghĩ rằng đang nắm giữ các role. Nếu bạn muốn nhận định các máy chủ riêng biệt, cần phải chạy test này trong chế độ chi tiết. Để thực hiện điều đó, hãy nhập vào lệnh sau:

DCDIAG /Test:KnowsofRoleHolders /v

Machine Account

Trong môi trường Active Directory, các máy chủ và máy trạm được gia nhập vào một miền. Quá trình gia nhập một máy vào một miền này cần phải tạo cho mỗi máy một tài khoản. Giống như tài khoản người dùng, tài khoản máy cũng có một mật khẩu tương ứng và một số các thuộc tính khác được thiết kế để phân biệt các máy với nhau. Nếu tài khoản máy bị lỗi hoặc mất đồng bộ với Active Directory thì máy tương ứng với tài khoản đó sẽ không thể kết nối vào miền. Tuy nhiên, có một test giúp bạn có có thể kiểm tra được sự toàn vẹn của tài khoản máy. Bạn có thể thực hiện test này bằng cách nhập vào lệnh dưới đây:

DCDIAG /Test:MachineAccount

Trong quá trình làm việc với Active Directory, rất có thể xuất hiện một số tình huống mà nguyên nhân ở đó là mật khẩu của tài khoản không được đồng bộ với mật khẩu của tài khoản máy được lưu trong cơ sở dữ liệu Active Directory.

Nếu tài khoản của máy gặp phải vấn đề như vậy, có một số tiếp lệnh có thể giúp bạn sửa vấn đề đó. Một trong những tiếp lệnh như vậy là /FixMachineAccount, tiếp lệnh này sẽ thiết lập lại cờ cho các tài khoản. Nếu không khắc phục được vấn đề trên thì bạn có thể cần phải tạo lại tài khoản máy bằng cách sử dụng tiếp lệnh /RecreateMachineAccount.

Naming Context Security Descriptors

Một trong những test khó hiểu phải kể đến ở đây là kiểm tra xem các bộ nhận diện bảo mật trên các bối cảnh tên (naming context) có hoạt động đúng không. Nếu các bộ nhận diện bảo mật không hợp lệ thì sự tái tạo có thể sẽ thất bại. Bạn có thể chạy test này bằng cách nhập vào lệnh dưới đây:

DCDIAG /Test:NCSecDesc

NetLogons

Một test tương tự có liên quan đến bản sao đó là NetLogons. Test này sẽ kiểm tra xem bản sao có bị thất bại vì thiếu đặc quyền đăng nhập hay không. Bạn có thể chạy test này bằng cách nhập vào lệnh dưới đây:

DCDIAG /Test:NetLogons

Objects Replicated

Một test quan trọng nữa có liên quan đến quá trình tạo bản sao là Objects Replicated. Test này được sử dụng chính để xác nhận rằng các tài khoản máy tính đã sao chép trên tất cả các bộ điều khiển miền của bạn, nhưng nó cũng được sử dụng để kiểm tra xem các kiểu đối tượng khác cũng có được sao chép chưa.

Để sử dụng test này, bạn sẽ phải biết tên riêng (DN) của đối tượng muốn test. Nếu đối tượng mà bạn muốn kiểm tra không phải là tài khoản máy thì bạn cần phải biết được naming context của đối tượng. Cú pháp cho test này như sau:

DCDiag /Test:ObjectsReplicated /ObjectDN:<object’s distinguished name> /N:<object’s naming context>

Outbound Secure Channels

Khi các máy lưu các mật khẩu của người dùng và các thiết lập bảo mật khác, thì Domain Controller là một trong những máy chủ nhậy cảm nhất trên mạng. Chính vì vậy, Microsoft đã cấu hình các Domain Controller để truyền thông với nhau trên một kênh an toàn bất cứ khi nào có thể. Điều này giúp ngăn chặn được vấn đề người khác sử dụng tấn công sniff để đánh cắp các thông tin Active Directory khi nó tạo bản sao từ một Domain Controller này sang Domain Controller khác.

Theo định nghĩa, một kênh an toàn là một kết nối RPC (remote procedure call) được thẩm định giữa hai máy trong một miền với bối cảnh bảo mật được thiết lập để sử dụng cho việc ký và mã hóa các gói RPC.

Chính vì vậy không hề ngạc nhiên khi Domain Controller Diagnostic Utility cung cấp một kiểu test để kiểm tra các kênh an toàn gửi đi. Đây là một trong những kiểu test không được chạy mặc định, chính vì vậy bạn cần phải tự chạy nó nếu muốn sử dụng. Cú pháp của lệnh như sau:

DCDIAG /Test:OutboundSecureChannels /TestDomain:<yourdomain>

Thông thường, test này chỉ kiểm tra các Domain Controller bên trong site hiện hành. Tuy nhiên bạn cũng có thể test các site bên ngoài bằng cách thêm vào tiếp lệnh /NoRestriction.

Kết luận

Trong phần này, chúng tôi đã giới thiệu cho các bạn thêm một số kiểu test có thể thực hiện với bộ điều khiển miền của mình bằng cách sử dụng tiện ích chuẩn đoán Domain Controller Diagnostic Utility. Tin tưởng nó hay không, các bạn hãy thực hiện để biết đích xác về kết quả của nó. Do vẫn còn một số kiểu test nữa nên trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu tiếp cho các bạn về các test còn lại.