Khắc phục sự cố chính sách nhóm

Khắc phục sự cố Active Directory

Là một quản trị viên hệ thống hoặc chuyên viên hỗ trợ IT, bạn có thể được yêu cầu khắc phục sự cố liên quan đến Active Directory. Hãy cùng xem qua một số tác vụ khắc phục sự cố phổ biến nhất mà bạn có thể gặp phải. Bài học này sẽ giới thiệu cho bạn các công cụ hỗ trợ xử lý các tình huống này.

Lưu ý: Đây chỉ là các ví dụ. Vì chúng ta đang làm việc với các hệ thống phức tạp, có rất nhiều nguyên nhân dẫn đến sự cố. Công cụ tốt nhất của bạn là tìm hiểu về các hệ thống này và hiểu cách chúng hoạt động. Khắc phục sự cố một cách có suy nghĩ và nghiên cứu kỹ lưỡng là chìa khóa thành công.

Một trong những sự cố phổ biến nhất mà bạn có thể gặp phải là khi người dùng không thể đăng nhập vào máy tính hoặc không thể xác thực vào miền Active Directory. Có nhiều lý do khiến điều này xảy ra. Họ có thể đã gõ mật khẩu khi nút Caps Lock đang bật, có thể đã tự khóa mình khỏi máy tính, vô tình thay đổi cài đặt hệ thống hoặc có thể là do lỗi phần mềm.

Điều quan trọng là phải suy nghĩ về các bước khắc phục sự cố và nhớ đặt câu hỏi về những gì đã xảy ra. Hãy chắc chắn xem xét các điều kiện chính xác khi xảy ra lỗi và bất kỳ thông báo lỗi nào đi kèm với lỗi đó. Thông tin này sẽ đủ để bạn bắt đầu đi đúng hướng khắc phục sự cố.

Các loại lỗi xác thực tài khoản người dùng phổ biến:

• Khóa tài khoản: Nếu người dùng nhập sai mật khẩu nhiều lần liên tiếp, tài khoản của họ có thể bị khóa.

• Quên mật khẩu: Đôi khi mọi người chỉ đơn giản là quên mật khẩu và cần sự trợ giúp của quản trị viên để giải quyết vấn đề.

• Không tìm thấy bộ điều khiển miền (Domain Controller): Nếu máy tính miền không thể định vị bộ điều khiển miền mà nó có thể sử dụng để xác thực, thì mọi thứ dựa trên xác thực Active Directory sẽ không hoạt động.

Bắt đầu với giải pháp đơn giản nhất:

Bất cứ khi nào bạn khắc phục sự cố, hãy bắt đầu với giải pháp đơn giản nhất trước. Đây có thể là sự cố kết nối mạng và không liên quan gì đến Active Directory. Nếu máy tính không được kết nối với mạng có thể định tuyến thông tin liên lạc đến bộ điều khiển miền, thì điều này phải được khắc phục. Bất kỳ sự cố mạng nào ngăn máy tính liên hệ với bộ điều khiển miền hoặc máy chủ DNS được cấu hình của nó (được sử dụng để tìm bộ điều khiển miền) đều có thể là nguyên nhân.

Vai trò của DNS:

Để máy tính liên hệ với bộ điều khiển miền, trước tiên nó cần phải tìm thấy một bộ điều khiển miền. Điều này được thực hiện bằng cách sử dụng bản ghi DNS. Máy tính miền sẽ đưa ra yêu cầu DNS cho các bản ghi SRV khớp với miền đã được liên kết. Nếu máy tính không thể liên hệ với máy chủ DNS của mình hoặc nếu các máy chủ DNS đó không có bản ghi SRV mà máy tính đang tìm kiếm, thì nó sẽ không thể tìm thấy bộ điều khiển miền.

Bản ghi SRV mà chúng ta quan tâm là _ldap._tcp.dc._msdcs.TÊN_MIỀN, trong đó TÊN_MIỀN là tên DNS của miền của chúng ta.

Ví dụ trong PowerShell:

PowerShell

Resolve-DNSName -Type SRV -Name _ldap._tcp.dc._msdcs.example.com

Lệnh này sẽ hiển thị bản ghi SRV cho mỗi bộ điều khiển miền. Nếu không thể phân giải các bản ghi SRV cho bộ điều khiển miền, thì máy chủ DNS của bạn có thể bị cấu hình sai.

Cấu hình sai DNS:

Máy tính miền của bạn cần sử dụng máy chủ DNS lưu trữ bản ghi miền Active Directory của bạn. Thông thường đây sẽ là một hoặc nhiều bộ điều khiển miền của bạn, nhưng nó có thể là một máy chủ miền khác. Dù bằng cách nào, các máy chủ DNS thích hợp để sử dụng cho máy tính miền của bạn nên được biết và ghi lại. So sánh cấu hình của máy với cấu hình tốt đã biết và xem liệu có cần điều chỉnh hay không.

Mặt khác, nếu bạn đang phân giải một số bản ghi SRV, nhưng chúng dường như không đầy đủ hoặc không chính xác, thì có thể cần phải khắc phục sự cố chuyên sâu.

Xác thực cục bộ:

Tùy thuộc vào cấu hình miền và máy tính của bạn, xác thực cục bộ sẽ tiếp tục hoạt động (ít nhất là trong một thời gian ngắn). Khi ai đó đăng nhập vào máy tính miền, thông tin cần thiết để xác thực người dùng đó sẽ được sao chép vào máy cục bộ. Điều này có nghĩa là sau lần đăng nhập đầu tiên, bạn sẽ có thể đăng nhập vào máy tính ngay cả khi mạng bị ngắt kết nối. Tuy nhiên, bạn sẽ không được xác thực vào miền hoặc được ủy quyền để truy cập bất kỳ tài nguyên miền nào như thư mục dùng chung. Việc ai đó có thể đăng nhập không có nghĩa là họ có thể tìm thấy bộ điều khiển miền.

Sự cố đồng bộ hóa thời gian:

Một sự cố khác có thể ngăn người dùng xác thực liên quan đến đồng hồ. Kerberos là giao thức xác thực mà AD sử dụng và nhạy cảm với sự chênh lệch thời gian. Ở đây không nói về múi giờ địa phương mà là thời gian UTC tương đối. Nếu bộ điều khiển miền và máy tính không thống nhất về thời gian UTC (thường trong vòng năm phút), thì quá trình xác thực sẽ thất bại.

Máy tính miền thường đồng bộ hóa thời gian của chúng với bộ điều khiển miền bằng dịch vụ thời gian Windows. Nhưng đôi khi điều này có thể thất bại. Nếu máy tính bị ngắt kết nối khỏi mạng miền quá lâu hoặc nếu thời gian bị thay đổi bởi phần mềm hoặc quản trị viên cục bộ quá lệch, thì máy tính có thể không tự động đồng bộ lại với bộ điều khiển miền.

Bạn có thể buộc máy tính miền đồng bộ hóa lại theo cách thủ công bằng cách sử dụng lệnh w32tm /resync.

Một số vấn đề thường gặp

Bây giờ, chúng ta hãy cùng tìm hiểu về cách xử lý sự cố trong Group Policy. Một vấn đề thường gặp mà bạn có thể phải giải quyết là khi một chính sách hoặc tùy chọn được xác định bởi GPO không được áp dụng cho máy tính. Bạn có thể nhận biết sự cố này theo nhiều cách, chẳng hạn như khi một người trong tổ chức báo cáo rằng có gì đó trên máy tính của họ bị thiếu hoặc không hoạt động. Nếu bạn đang sử dụng GPO để quản lý cấu hình trên các máy tính, thì có thể có một phần mềm nào đó lẽ ra phải có mặt, hoặc một ổ đĩa mạng được ánh xạ bị thiếu, hoặc một số vấn đề khác. Điểm chung ở đây là một số thứ mà bạn đã tạo GPO để cấu hình lại không được cấu hình trên một hoặc nhiều máy tính.

Chúng ta hãy xem xét ba nguyên nhân phổ biến nhất có thể gây ra điều này. Nguyên nhân đầu tiên và có thể là phổ biến nhất liên quan đến cách thức áp dụng chính sách nhóm. Tùy thuộc vào cách cấu hình miền của bạn, Group Policy Engine (Bộ máy chính sách nhóm) áp dụng cài đặt chính sách cho máy cục bộ có thể tạm thời trì hoãn việc áp dụng một số loại chính sách để giúp quá trình đăng nhập nhanh hơn. Điều này được gọi là tối ưu hóa đăng nhập nhanh. Nó có thể khiến một số thay đổi GPO mất nhiều thời gian hơn để được áp dụng tự động so với dự kiến. Ngoài ra, Group Policy Engine thường cố gắng tăng tốc độ áp dụng GPO bằng cách chỉ áp dụng các thay đổi cho một GPO thay vì toàn bộ GPO. Trong cả hai trường hợp này, bạn có thể buộc tất cả các GPO được áp dụng hoàn toàn và ngay lập tức bằng lệnh gpupdate /force.

Để triệt để hơn, bạn có thể chạy gpupdate /force /sync. Việc thêm tham số /sync sẽ khiến bạn phải đăng xuất và khởi động lại máy tính. Một số loại chính sách nhóm chỉ có thể chạy khi máy tính được khởi động lần đầu hoặc khi người dùng đăng nhập lần đầu. Đăng xuất và khởi động lại là cách duy nhất để đảm bảo GPO được cập nhật cưỡng bức có cơ hội áp dụng tất cả các cài đặt.

Lỗi sao chép là một nguyên nhân khác khiến GPO có thể không được áp dụng như mong đợi. Hãy nhớ rằng khi thay đổi được thực hiện đối với Active Directory, những thay đổi đó thường diễn ra trên một bộ điều khiển miền duy nhất. Sau đó, những thay đổi này phải được sao chép sang các bộ điều khiển miền khác. Nếu sao chép thất bại, các máy tính khác nhau trên mạng của bạn có thể có những thông tin khác nhau về trạng thái của các đối tượng thư mục, chẳng hạn như đối tượng chính sách nhóm.

Biến môi trường logon server sẽ chứa tên của bộ điều khiển miền mà máy tính đã sử dụng để đăng nhập. Bạn có thể xem nội dung của biến này bằng lệnh này trong PowerShell: $env:logonserver, và nó sẽ hiển thị cho tôi DC1. Bạn cũng có thể nhận được kết quả tương tự bằng cách sử dụng command prompt với lệnh %logonserver%. Biết được bạn đang kết nối với bộ điều khiển miền nào là thông tin hữu ích nếu bạn nghi ngờ có sự cố sao chép.

Từ Group Policy Management Console, chúng ta có thể kiểm tra tình trạng tổng thể của cơ sở hạ tầng chính sách nhóm. Tôi sẽ chọn miền của mình và xem tab Status. Tab này sẽ tóm tắt trạng thái sao chép Active Directory và SYSVOL cho miền. Nó có thể hiển thị kết quả từ một bài kiểm tra gần đây, vì vậy tôi sẽ buộc nó chạy phân tích mới bằng cách nhấp vào "Detect Now."

Điều chúng ta muốn thấy là tất cả các bộ điều khiển miền của chúng ta được liệt kê trong "Domain controllers with replication in sync". Nếu đúng như vậy, chúng ta có thể chắc chắn rằng không có sự cố sao chép nào ảnh hưởng đến các đối tượng chính sách nhóm của chúng ta. Nếu chúng ta thấy bất kỳ bộ điều khiển miền nào trong danh sách "Domain controllers with replication in progress", thì chúng ta có thể gặp sự cố sao chép.

Tùy thuộc vào quy mô và độ phức tạp của cơ sở hạ tầng Active Directory của bạn, cũng như độ tin cậy và thông lượng của các liên kết mạng giữa các site AD của bạn, việc sao chép có thể mất vài phút để hoàn thành. Nếu sao chép không hoàn thành trong một khoảng thời gian hợp lý, bạn có thể cần phải khắc phục sự cố sao chép Active Directory.

Nếu bạn đang cố gắng tìm hiểu lý do tại sao một GPO cụ thể không được áp dụng cho máy tính, điều đầu tiên cần làm là chạy Resultant Set of Policy (RSoP). Bạn có thể sử dụng Group Policy Management Console hoặc chạy lệnh trực tiếp trên máy tính để tạo báo cáo. Lệnh gpresult sẽ giúp chúng ta thực hiện việc này.

Nếu tôi chạy gpresult /r, bạn có thể thấy tôi nhận được báo cáo tóm tắt trong terminal của mình. Để tôi cho bạn xem. gpresult /r. Báo cáo đang được tạo và tôi nhận được báo cáo này. Nếu tôi muốn có báo cáo đầy đủ, giống như tôi nhận được từ GPMC, tôi có thể chạy gpresult /h ten_tep.html. Tôi muốn chạy gpresult /h và sau đó là test.html.

Điều này sẽ cung cấp cho tôi một báo cáo dưới dạng trang web HTML mà tôi có thể mở trong trình duyệt của mình. Để tôi lấy nó. Với báo cáo này, tôi muốn tìm kiếm một số điều. GPO mà tôi muốn áp dụng có được liệt kê không? Nó có được liên kết với OU chứa máy tính mà tôi đang khắc phục sự cố không? GPO mà tôi quan tâm có được liệt kê trong "Applied GPOs" hay "Denied GPOs" không? Nếu nó bị từ chối, lý do bị từ chối là gì? Có GPO nào khác được ưu tiên hơn cho chính sách hoặc tùy chọn mà tôi đang cố gắng cấu hình không?

Mỗi GPO có thể được cấu hình với một ACL được gọi là bộ lọc bảo mật. Bộ lọc bảo mật có được đặt thành thứ gì đó ngoài "Authenticated Users" không? Nếu có, điều đó có nghĩa là bạn phải ở trong một nhóm cụ thể để đọc hoặc áp dụng GPO.

Mỗi GPO cũng có thể được cấu hình với bộ lọc WMI. Bộ lọc WMI cho phép bạn áp dụng GPO dựa trên cấu hình của máy tính. Bộ lọc WMI rất mạnh mẽ nhưng tốn kém và dễ cấu hình sai. Điều này là do chúng xem xét các giá trị Windows Management Instrumentation để quyết định xem có nên áp dụng chính sách hay không. Ví dụ: bạn có thể tạo GPO cài đặt một phần mềm, nhưng chỉ khi WMI báo cáo rằng một phần cứng cụ thể nào đó hiện diện. Các bộ lọc này tốn kém vì chúng yêu cầu Group Policy Engine thực hiện một số truy vấn hoặc tính toán trên mọi máy tính được liên kết với chính sách, nhưng sau đó chỉ áp dụng GPO cho các máy tính khớp với bộ lọc.

Nhiều chính sách và tùy chọn có thể được cấu hình để áp dụng cho máy tính hoặc cho người dùng khi họ đăng nhập. Có phải bạn định cấu hình cài đặt máy tính nhưng vô tình cấu hình cài đặt người dùng hoặc ngược lại không?

Chúng ta đã đề cập đến rất nhiều điều ở đây. Nếu bạn chưa rõ về bất kỳ khái niệm nào mà chúng ta đã đề cập, đừng lo lắng, chỉ cần đảm bảo xem lại bài học. Tuy nhiên, hãy nhớ rằng bạn càng làm việc nhiều với Active Directory và Group Policy, bạn càng trở nên quen thuộc với chúng. Nếu bạn sử dụng những gì bạn đã học về các hệ thống này kết hợp với kỹ năng nghiên cứu của mình, bạn có thể khắc phục sự cố hầu hết mọi thứ.

**Đọc thêm về khắc phục sự cố Group Policy**

**Khắc phục sự cố Group Policy**

Bài đọc này mở rộng chủ đề trước về các phương pháp khắc phục sự cố thường gặp liên quan đến Group Policy.

**Thuật ngữ**

Các thuật ngữ quan trọng được sử dụng với Microsoft Windows Server Group Policies:

- **Group Policy Object (GPO)**: Một tập hợp các cấu hình Group Policy của Active Directory (AD) kiểm soát giao diện và hành vi cho các nhóm hệ thống máy tính và/hoặc người dùng.

- **Group Policy Management Console (GPMC)**: Công cụ dùng để tạo, quản lý, chỉnh sửa và liên kết các GPO. GPMC cung cấp hàng nghìn tùy chọn cho các thiết lập máy tính và người dùng như các mục Control Panel, cài đặt Registry, và biến môi trường. Chính sách sẽ được làm mới sau mỗi 90 phút, do đó các thay đổi không được áp dụng ngay lập tức. GPMC có thể được sử dụng để tạo các GPO kiểm soát chính sách dựa trên registry và cài đặt phần mềm, cũng như các tùy chọn cho:

  - bảo mật

  - bảo trì

  - kịch bản

  - chuyển hướng thư mục

- **Active Directory (AD) containers**: Các container trong AD có thể được liên kết với GPO. Các container trong AD bao gồm:

  - **Sites**: Các site vật lý hoặc các yếu tố của mạng, được liên kết với các AD Domain. Có thể được sử dụng để nhóm và kết nối các địa điểm phân tán về mặt địa lý vào cùng một domain.

  - **Domain**: Một tập hợp các đối tượng trong mạng AD như máy tính, người dùng và nhóm. Có thể chứa nhiều site AD và được liên kết với nhiều GPO.

  - **Organizational Unit (OU)**: Nhóm người dùng cuối, máy tính, nhóm và/hoặc các OU khác. OU có thể phản ánh cấu trúc và các phòng ban của tổ chức. Ví dụ, một tổ chức có thể có các OU riêng cho ban giám đốc, hành chính, kế toán, IT, bán hàng, marketing, nhà cung cấp, v.v.

- **Thứ tự xử lý GPO**: Windows sẽ áp dụng các GPO theo thứ tự sau:

  1) GPO cục bộ

  2) GPO liên kết với Sites

  3) GPO liên kết với Domains

  4) GPO liên kết với OUs

- **Resultant Set of Policies (RSoP)**: Báo cáo về các cài đặt Group Policy AD cho biết cách tất cả các cài đặt GPO được kế thừa theo thứ bậc bởi người dùng và máy tính. Các báo cáo RSoP có thể được thu thập để đánh giá bằng cách sử dụng logging RSoP.

- **Windows Management Infrastructure (MI) và Windows Management Instrumentation (WMI)**: MI là thế hệ kế tiếp của WMI. Tuy nhiên, cả MI và WMI đều được Microsoft hỗ trợ hoàn toàn và MI tương thích ngược với WMI. MI/WMI cung cấp hạ tầng vận hành và dữ liệu quản lý trong Windows, đồng thời được sử dụng để viết kịch bản cho các nhiệm vụ quản trị chạy trên các hệ thống từ xa.

**Công cụ khắc phục sự cố Group Policy**

Các công cụ dòng lệnh sau có thể được sử dụng để khắc phục sự cố Group Policy:

- **gpresult**: Hiển thị báo cáo RSoP hoặc các giá trị cho máy tính và tài khoản người dùng. Thông tin này giúp xác định các cài đặt cấu hình đã được áp dụng và những cài đặt nào đã bị ghi đè. Một số lệnh có sẵn với gpresult bao gồm:

  - **/s host** - Hiển thị các giá trị RSoP của một máy tính từ xa.

  - **/u user-account** - Hiển thị các giá trị RSoP của một người dùng cuối.

  - **/p password** - Hiển thị các giá trị chính sách mật khẩu của người dùng cuối.

  - **/r** - Hiển thị tóm tắt RSoP của các GPO đã áp dụng.

  - **/z** - Bật chế độ chi tiết để hiển thị chi tiết các cài đặt RSoP được áp dụng.

- **gpedit**: Trình chỉnh sửa Group Policy, là công cụ mạnh mẽ để thay đổi các cài đặt Registry liên quan đến Control Panel, Settings, hồ sơ người dùng, cấu hình hệ thống, phần mềm của bên thứ ba, và nhiều hơn nữa.

- **gpupdate**: Lệnh có thể được sử dụng để áp dụng ngay một GPO mới hoặc đã chỉnh sửa bằng cách sử dụng lệnh **/force**. Nếu cài đặt chính sách yêu cầu người dùng đăng xuất hoặc khởi động lại, các lệnh **/logoff** hoặc **/boot** có thể được thêm vào lệnh.

- **Nhật ký sự kiện hệ thống** cũng là công cụ quan trọng cho hầu hết các sự cố Windows:

  - **Event Viewer và Windows Logs**: Windows Event Viewer là công cụ quý giá để xem các nhật ký sự kiện Windows. Các công cụ này giúp các chuyên gia IT theo dõi các vấn đề hệ thống và sự kiện liên quan đến ứng dụng, đăng nhập người dùng, bảo mật và hệ thống. Để mở Event Viewer, bấm vào menu Start và gõ "Event Viewer". Bất kỳ lỗi hoặc mã lỗi nào trong nhật ký đều có thể được kiểm tra thông qua Microsoft Knowledge Base (support.microsoft.com) hoặc tìm kiếm trên internet. Các nhật ký Windows chính bao gồm:

    - **System log**: Ghi lại các sự kiện của hệ điều hành Windows như xung đột phần cứng, lỗi tải driver, lỗi tải dịch vụ, sự cố mạng, và nhiều hơn nữa.

    - **Application log**: Ghi lại các sự kiện/quá trình ứng dụng và tiện ích.

    - **Security log**: Ghi lại thông tin kiểm tra bảo mật hệ thống.

    - **Setup log**: Ghi lại các sự kiện và lỗi cài đặt.

**Nguồn tài liệu tham khảo**

- Tài liệu khắc phục sự cố Group Policy cho Windows Server - Hướng dẫn khắc phục sự cố Group Policy mở rộng. Các chủ đề có thể truy cập từ menu bên trái.

- Xử lý và ưu tiên Group Policy - Thông tin bổ sung về thứ tự xử lý GPO và các ngoại lệ.

- Tài liệu Active Directory - Hướng dẫn khắc phục sự cố AD mở rộng. Các chủ đề có thể truy cập từ menu bên trái.

- Sử dụng logging Resultant Set of Policy để thu thập thông tin chính sách máy tính - Bài viết của Microsoft cung cấp thông tin về cách sử dụng tiện ích RSoP (Rsop.msc) để thu thập thông tin chính sách cụ thể cho máy tính.

- Các hotfix được đề xuất cho vấn đề liên quan đến WMI trên nền tảng Windows - Thông tin về triệu chứng và cách giải quyết cho các vấn đề WMI.

- Cách dịch vụ Windows Time hoạt động - Bài viết của Microsoft bao gồm thông tin về cách buộc một máy tính domain đồng bộ lại thời gian một cách thủ công.

W32tm - Cú pháp cho lệnh w32tm /resync, được sử dụng để chẩn đoán các vấn đề liên quan đến dịch vụ thời gian Windows.

6.3.2.3 SRV Records - Thông tin từ Microsoft về SRV DNS Resource Record.