Thay đổi 'vòng đời' các đối tượng tombstone trong Active Directory

Về mặt kỹ thuật thì khoảng thời gian lifetime này phải được thiết lập lâu hơn so với độ trễ cố định giữa các Domain Controller. Khoảng thời gian chu kỳ giữa các lần xóa tombstone phải tối thiểu bằng độ trễ tối đa khi quá trình này lan rộng qua tầng forest. Bởi vì khoảng thời gian “hiệu lực” của vòng đời tombstone dựa trên thời điểm đối tượng bị xóa thực sự, chứ không phải thời gian server nhận được tín hiệu cụ thể của tombstone qua quá trình nhân rộng, và toàn bộ tombstone của 1 đối...
Nội dung trích xuất từ tài liệu:
Thay đổi “vòng đời” các đối tượng tombstone trong Active DirectoryThay đổi “vòng đời” các đối tượng tombstone trong Active DirectorycVề mặt kỹ thuật thì khoảng thời gian lifetime này phải được thiết lập lâu hơn sovới độ trễ cố định giữa các Domain Controller. Khoảng thời gian chu kỳ giữa các lầnxóa tombstone phải tối thiểu bằng độ trễ tối đa khi quá trình này lan rộng qua tầngforest. Bởi vì khoảng thời gian “hiệu lực” của vòng đời tombstone dựa trên thời điểm đốitượng bị xóa thực sự, chứ không phải thời gian server nhận được tín hiệu cụ thể củatombstone qua quá trình nhân rộng, và toàn bộ tombstone của 1 đối tượng được thu thậptrên nhiều server tại cùng 1 thời điểm. Còn nếu tombstone chưa được nhân rộng trên 1Domain Controller cụ thể, thì DC đó sẽ không ghi nhận quá trình xóa dữ liệu tươngứng. Và đây cũng là lý do chính tại sao chúng ta không thể khôi phục được DomainController từ bản sao lưu nào đó cũ lâu hơn so với khoảng thời gian lifetime củatombstone.Ở chế độ mặc định, thời gian lifetime tombstone của Active Directory là 60 ngày, vàngười sử dụng hoàn toàn có thể thay đổi tùy theo nhu cầu sử dụng. Cụ thể, thuộc tínhtombstoneLifetime của đối tượng CN=Directory Service trong khâu cấu hình phải đượcthay đổi, và đối tượng này được cố định tại: cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=Lưu ý rằng khoảng thời gian lifetime này càng lâu thì tỉ lệ các đối tượng đã bị xóa còn lạitrong thư mục hệ thống khi ngắt kết nối DC sẽ nhiều hơn so với việc xóa hoàn toàn khỏiDC theo cách trực tuyến. Bên cạnh đó, khoảng thời gian lifetime của tombstone sẽ khôngtự động thay đổi khi người dùng cập nhật Windows Server 2003 lên SP1, nhưng lại cóthể thực hiện được bằng cách thủ công sau đó. Các tầng forest mới đi kèm với WindowsServer 2003 SP1 sẽ có thông số lifetime mặc định là 180 ngày.Các bạn có thể kiểm tra thuộc tính lifetime mặc định bằng câu lệnh:dsquery * cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc= -scope base -attr tombstonelifetimeTrên thực tế, có nhiều cách để thay đổi thông số này, và cách đơn giản nhất là sử dụngADSIEdit.Cách 1: sử dụng ADSIEdit:Đây là 1 phần của bộ công cụ Windows 2003 Support Tools, và nếu muốn dùngADSIEdit thì các bạn phải cài trực tiếp Support tools trên máy tính hoặc DomainController. Bên cạnh đó, để hoàn tất được các bước dưới đây thì tài khoản đang sử dụngphải là thành viên của group Enterprise Admins.Để xem hoặc thay đổi phần giá trị thuộc tính bằng ADSIEdit, các bạn gõ lệnhADSIEdit.msc trong mục Run và gõ Enter. Sau đó chuyển tới: cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=với ForestRootDN là Distinguished Name của domain Active Directory Forest Root.Ví dụ, nếu tên domain của bạn là kuku.co.il thì phần DN sẽ là:DC=kuku,DC=co,DC=ilNhấn chuột phải và chọn Properties:Tại cửa sổ Properties hiển thị, các bạn kéo chuột xuống phía dưới sách tới phầntombstoneLifetime, nhấn Edit:Thay đổi thông số Tombstone Lifetime Period theo yêu cầu sau đó nhấn OK:Nhấn OK và đóng ADSIEdit lại. Khi chúng ta xem thuộc tính trên phần cn=DirectoryService, cn=Windows NT, cn=Services, cn=Configuration, nếu không có giá trị đượcthiết lập thì có nghĩa là phần value mặc định có hiệu lực. Và bất kỳ giá trị nào người dùngnhập vào ô Edit Attribute sẽ thay thế thông số mặc định khi nhấn nút Set.Cách 2: dùng file LDIF:Trước tiên, các bạn mở Notepad và tạo 1 file text với nội dung:dn: cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,changetype: modifyreplace: tombstoneLifetimetombstoneLifetime:-Lưu ý rằng các bạn không được quên dấu – ở dòng cuối cùng. Với Distinguished Namelà domain của Active Directory Forest Root. Ví dụ, nếu tên domain là kuku.co.il thìphần DN sẽ là:DC=kuku,DC=co,DC=ilSau đó, lưu file này thành tombstoneLifetime.ldf. Mở Command Prompt và gõ lệnh: Ldifde –I –f {đường dẫn tới file tombstoneLifetime.ldf}Khá đơn giản và dễ dàng, chúc các bạn thành công! ...