Khắc phục sự cố các entry bản ghi sự kiện

Khắc phục sự cố các entry bản ghi sự kiện.Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn một số mẹo, khái niệm, công cụ cũng như các phương pháp để xác định nguyên nhân gốc của các sự kiện. Chúng ta đã biết, xem lại bản ghi là công việc quan trọng đối với các quản trị viên mạng, giúp họ có thể xác định những gì đang diễn ra trên máy chủ của mình. Tuy nhiên các sự kiện trong bản ghi lại tỏ ra khá lộn xộn, thậm chí trong hệ điều hành máy...
Nội dung trích xuất từ tài liệu:
Khắc phục sự cố các entry bản ghi sự kiệnKhắc phục sự cố các entry bản ghi sự kiệnTrong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn một số mẹo,khái niệm, công cụ cũng như các phương pháp để xác định nguyên nhângốc của các sự kiện.Chúng ta đã biết, xem lại bản ghi là công việc quan trọng đối với các quản trịviên mạng, giúp họ có thể xác định những gì đang diễn ra trên máy chủ củamình. Tuy nhiên các sự kiện trong bản ghi lại tỏ ra khá lộn xộn, thậm chítrong hệ điều hành máy chủ mới như Windows Server 2008/2008 R2 với sựtrợ giúp của giao diện mới cũng như nhiều hỗ trợ khác. Trong bài này chúngtôi sẽ giới thiệu một số mẹo, khái niệm, công cụ và các phương pháp giúpbạn có thể thực hiện việc xác định nguyên nhân gốc của một số sự kiện trongbản ghi.Bản ghi sự kiện và Event Viewer trong Windows Server 2003 vàWindows Server 2008/2008 R2Có một số thay đổi cơ bản trong Windows Server 2008 và Event Viewer. Cócâu hỏi đặt ra rằng, liệu Event Viewer của Windows 2000/2003 có vấn đề gì.Quả thực Event Viewer của Windows 2000/2003 có một số hạn chế như: Nhiều thông báo khó hiểu không chỉ thị được vấn đề gốc  Di chuyển khó khăn giữa các sự kiện  Thiếu file trợ giúp chuyên sâu  Hạn chế sự kiểm soát đối với các bộ lọc và phân loại bản ghi  Không có khả năng ghi chép tập trung  Không có bẫy sự kiện để gửi email hay thông báo. Windows 2008/2008 R2 Event Viewer mới đã khắc phục được một số hạnchế trên, ngoài ra nó còn bổ sung thêm một số tính năng mới, đây là nhữngtính năng giúp khắc phục sự cố bản ghi và sự kiện. Các tính năng trong2008/2008 R2 gồm có: Các thông báo được hiển thị theo khung nhìn chuẩn, chi tiết và XML  Dễ dàng di chuyển bản ghi qua bản ghi và sự kiện qua sự kiện  Có các liên kết trợ giúp hữu dụng kết nối Internet  Cho phép lọc để hiển thị thông tin trong các khung nhìn.  Cho phép ghi chép tập trung (có khả năng tương thích với Windows XP  và 2003) Các bẫy sự kiện cho phép gửi email, hiển thị thư hoặc chạy ứng dụng  (hình 1). Hình 1: Các sự kiện liên quan với event ID và bản ghiCác vấn đề đối với sự kiện nói chungMột lỗi ứng dụng có thể xuất hiện bởi không thể xác thực tài khoản dịch vụ.Một vấn đề bộ nhớ xuất hiện có thể là do quá trình nào đó đang lỗi vì khôngthể truyền thông với DNS,.... Có thể nói có rất nhiều vấn đề có thể xuất hiệnvà việc biết được những vấn đề hay xảy ra là một vấn đề quan trọng. Đây làmột số vấn đề chung có thể gây ra những sự kiện ngẫu nhiên trên máy chủ: Không thể truyền thông được với DNS vì vậy Kerberos không được sử  dụng Không thể truyền thông được với DNS vì vậy Group Policy đang áp  dụng không đúng cách Các chứng chỉ được cache hiện đang bị sử dụng  Bị mất session an toàn cho domain controller  Sự truyền thông với domain controller bị gián đoạn và gây ra lỗi  Cập nhật thiết lập Group Policy cũng có thể gây ra các vấn đề  Các nâng cấp Group Policy đã thay đổi thiết lập cục bộ như quyền  người dùng và thành viên nhóm, thiết lập IE,… Không thể xác thực tài khoản dịch vụ (bị khóa chặn, mật khẩu hết hạn,  giao thức xác thực sai, nâng cấp hệ thống gây ra thay đổi đối với việc xác thực,…) DLL được nâng cấp bởi nâng cấp hoặc cài đặt sản phẩm khác  Thay đổi sự cho phép đối với file, có thể gây ra từ chối truy cập dữ liệu Với các domain controller, một số vấn đề khác có thể phát sinh: Vấn đề tạo bản sao do thay đổi tên, vấn đề địa chỉ IP, nâng cấp,..  Ủy nhiệm sai bên trong Active Directory  Ủy nhiệm sai bên trong Group Policy Management  Thiết lập Group Policy sai đối với quyền người dùng, thành viên  nhóm,… Sự cho phép sai gây ra lỗi trong ghi chép, đồng bộ và truy cập Active  Directory, các file đăng nhập,…Sử dụng Event Viewer mới để trợ giúp khắc phục sự cố các sự kiệnNhư những gì bạn thấy, có nhiều lý do gây ra một sự kiện nào đó. Việc biếtcách đọc sự kiện, kết hợp với bản ghi khác và sự kiện đó trong một danh sáchcó thể rất hữu dụng. Chìa khóa ở đây là sử dụng sự kết hợp của các tính năngmới, sự kết hợp này sẽ cho phép bạn có được một cái nhìn rõ ràng nhất vềnhững gì đang diễn ra theo luồng sự kiện.Đầu tiên, cần thiết lập chuyển tiếp bản ghi sự kiện. Cách thức này cho phépnhận các sự kiện từ các máy tính khác trong một bản ghi. Cần bảo đảm chỉchuyển tiếp event ID mà bạn cần trong bản ghi của mình. Việc lấy toàn bộcác bản ghi bảo mật và hệ thống từ mọi máy tính là điều khó khăn. Tuy nhiênviệc lấy các sự kiện có liên quan đến xác thực, thay đổi nhóm,… sẽ dễ dànghơn và chúng cung cấp nhiều thông tin hữu dụng.Thứ hai, cần kết hợp các sự kiện từ nhiều bản ghi, gồm có bản ghi đượcchuyển tiếp từ ...