Tip Quản trị Active Directory nhiều Domain Controller

Một bài thực chiến cho các Helpdesk về công việc quản tri Active Directory (AD). Với các bạn Helpdesk chỉ quản trị 1 đến 2 Domain Controller (DC) thì việc quản trị đồng bộ giữa các DCs với nhau không quá khó khăn và phức tạp nhưng trên thực tế đôi khi bạn sẽ phải quản trị hơn 100 DCs ở hơn 100 chi nhánh khác nhau.

Lúc này, việc đồng bộ SYSVOL giữa các DC là một mối bận tâm rất lớn với các Helpdesk. Chúng ta sẽ đi vào thực tế luôn. Có bao giờ bạn tự hỏi vì sao một GPO được tạo ra ở trung tâm (HQ) nhưng lại không có hiệu lực ở chi nhánh dù bạn đảm bảo rằng GPO đó hoàn toàn được cấu hình chính xác.

Ở một tình huống khác, rất nhiều đơn vị sử dụng logon script để thực hiện các tác vụ khi máy tính khởi động và chứng thực với DCs nhưng không biết vì sao người dùng cuối ở chi nhánh lại không có những kết quả mà đáng lý ra tác vụ logon script phải thực hiện. Kiểm tra EvenID, các bạn thấy ID 13568 chú thích “..The File Replication Service has detected that the replica set “DOMAIN SYSTEM VOLUME (SYSVOL SHARE)” is in JRNL_WRAP_ERROR”.

Kiểm tra SYSVOL của PDC và các DCs khác thấy không đồng bộ, thiếu nhiều GUID của GPO. Nếu các bạn lâm vào hoàn cảnh này thì các bạn không đơn độc vì việc này xảy ra khá thường xuyên.

Microsoft có 2 phương thức đồng bộ cho SYSVOL. Một là FRS (File Replication Service) tồn tại ở Windows Server 2003. Hai là DFS-R (Distributed File System Replication) hỗ trợ ở Windows Server 2008 trở lên.

Dĩ nhiên là DFS-R có ưu điểm nhiều hơn so với người tiền nhiệm FRS. Ổn định hơn, các bạn có thể thấy được nhiều thông tin hơn từ DFS report, đồng bộ nhanh hơn. Nhiều bạn chắc chắn muốn chuyển đổi từ FRS lên DFS nhưng đó sẽ là một bài viết khác.

Trong bài viết này Viễn sẽ nói về cách xử lý SYSVOL và Scripts cũng như policies trong SYSVOL không đồng bộ với nhau. Giả sử AD của các bạn đang sử dụng FRS.

Muốn biết SYSVOL đang sử dụng phương thức nào để đồng bộ, các bạn dùng lệnh này trên bất kỳ DC nào.

DfsrMig /GetMigrationState
DfsrMig /GetGlobalState

Nếu kết quả cho ra rằng: “DFSR migration has not yet initialized” thì có nghĩa các bạn đang sử dụng FRS. Trái với kết quả đó thì có nghĩa bạn đang sử dụng DFS, nếu giá trị là 0 (started), 1 (prepared), 2(redirected), 3(eliminated).

iệc xác định phương thức rất quan trọng quyết định phương pháp xử lý vấn đề. Trong hướng dẫn dưới đây, Viễn ví dụ các bạn đang sử dụng FRS.

Để đồng bộ SYSVOL, GPO và Script giữa các DC, các bạn hãy chọn ra 1 DC tốt nhất hoặc DC mà các bạn sử dụng nhiều nhất. Tốt nhất nên chọn PDC. Tạm gọi là DC tốt. Có 2 trường hợp ở đây khi nhắc đến DC bị lỗi đồng bộ SYSVOL.

1. Một DC ở chi nhánh không đồng bộ, các DCs ở chi nhánh khác vẫn ổn. (non-authorized restore)

Các bạn phải tiến hành kiểm tra Replication Topology trước.

Kiểm tra Repadmin /showrepl <== kiểm tra xem có Inbound nào bị lỗi hay không

Kiểm tra Repadmin /replsummary <== kiểm tra việc đồng bộ với các DCs khác có bị lỗi hay không.

Nếu có lỗi thì các bạn phải xử lý lỗi của phần Repadmin trước.

Bước tiếp theo dùng CMD gõ net stop ntfrs

Giải pháp tốt nhất cho tình huống này là các bạn set giá trị Hex cho Burflags bằng D2. D2 sẽ nói cho FRS biết rằng hãy lưu 1 bản sao của SYSVOL và khởi động quá trình đồng với với upper member trong Replicata Set. Burflags nằm ở:

HKLMSystemCurrentControlSetServiceNtfrsParametersBackup/RestoreProcess at Startup

Nếu không có thuộc tính này thì các bạn tạo nó REG_DWORD 32bit rồi gán giá trị D2 quay lại CMD gõ net start ntfrs

Mở Event Viewer mục File Replicate Service kiểm tra ID 13565 (khởi động tiến trình đồng bộ) và 13516 (kết thúc tiến trình)

Lúc này DC xấu sẽ khởi tạo lại SYSVOL và đồng bộ với các DC trong Replica set.

2. Nếu quá nhiều DCs bị lỗi mất đồng bộ thì chúng ta sẽ dùng phương pháp authorized restore

Tương tự như non-authorized, chúng ta phải chọn ra 1 DC tốt nhất. Các DC còn lại được xem như là xấu và cần khởi động quá trình đồng bộ.

Điều đầu tiên hết là các bạn phải TẮT dịch vụ FRS. Việc tắt dịch vụ cho hơn 100 DCs cũng không phức tạp. Các bạn dùng PS command sau đây

Invoke-command -Computer danh sách DCs -Scriptblock {net stop ntfrs}

Ví dụ: Invoke-Command -Computer DC1,DC2,DC3,DC4 -Scriptblock {net stop ntfrs}

Mở Registry của DC tốt ra, lần đến Burflags và gán giá trị Hex D4

Ở các DCs xấu, mở Registry ra và gắn giá trị Hex D2 cho Burflags

Bước kế tiếp, ở DC tốt dùng CMD gõ net start ntfrs

Ở TỪNG DC xấu (không nên làm một lượt) hoặc các bạn chỉ nên làm 15 DCs một lượt, dùng CMD gõ net start ntfrs

Ở TỪNG DC xấu, mở Event Viewer ra kiểm tra ID 13565 (khởi động) đến khi các bạn thấy ID 13561 thì quá trình đồng bộ kết thúc.

Tiếp tục thực hiện ở các DC còn lại hoặc nhóm DC còn lại.

Dù là non-authorized hay authorized đi chăng nữa thì 2 phương pháp này không thể xử lý các vấn đề liên quan đến lỗi Repadmin, DNS, hạ tầng mạng cơ sở.

Nếu các lỗi không liên quan đên SYSVOL không được xử lý thì ở lần Replication tiếp theo, các bạn sẽ lại gặp lỗi SYSVOL không đồng bộ.
Ở một bài viết khác, Viễn sẽ hướng dẫn các Helpdesk cách khởi động tiến trình đồng bộ của SYSVOL dùng DFS.

Và cũng sẽ ở một bài viết khác, nếu các bạn thích chuyển qua DFS từ FRS thì Viễn có thể viết 1 hướng dẫn ngắn gọn vì quá trình này khá đơn giản.

Tác giả: Viễn Huỳnh