Chuyển tới nội dung chính

Khắc Phục Lỗi Active Directory Phổ Biến

Giới Thiệu

Active Directory (AD) là trái tim của hầu hết các môi trường Windows Server, quản lý người dùng, máy tính, tài nguyên và chính sách bảo mật. Khi AD gặp sự cố, toàn bộ hệ thống mạng có thể bị ảnh hưởng nghiêm trọng, từ việc đăng nhập chậm chạp đến ngừng hoạt động hoàn toàn. Bài viết này sẽ hướng dẫn bạn cách nhận diện và khắc phục các lỗi Active Directory phổ biến nhất, giúp duy trì sự ổn định và hiệu suất của hạ tầng IT.

📋 Thời gian: 45 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện các bước khắc phục sự cố này, bạn cần có:

  • Quyền quản trị viên Domain Admin trên Domain Controller (DC) bị ảnh hưởng.
  • Kiến thức cơ bản về Active Directory, DNS và mạng.
  • Truy cập vào các công cụ dòng lệnh như dcdiag, repadmin, nslookup, w32tm.
  • Đảm bảo kết nối mạng giữa các Domain Controller hoạt động bình thường.

Các Bước Thực Hiện

Bước 1: Kiểm Tra và Khắc Phục Lỗi Phân Giải DNS

Lỗi DNS là nguyên nhân hàng đầu gây ra các vấn đề Active Directory, từ việc không thể tham gia miền cho đến lỗi sao chép.

Triệu chứng:

  • Người dùng không thể đăng nhập hoặc đăng nhập chậm.
  • Máy tính không thể tham gia miền.
  • dcdiag báo cáo lỗi DNS hoặc lỗi kiểm tra NetLogon.
  • Lỗi sự kiện liên quan đến DNS trong Event Viewer.

Nguyên nhân:

  • Cấu hình DNS không chính xác trên Domain Controller hoặc máy khách.
  • Các bản ghi SRV hoặc Host (A/AAAA) của AD bị thiếu hoặc sai.
  • Dịch vụ DNS Server không chạy.

Cách khắc phục:

  1. Kiểm tra cấu hình DNS trên DC: Mỗi Domain Controller phải trỏ DNS chính của nó về chính nó (127.0.0.1) hoặc một DC khác trong cùng miền, và DNS phụ về một DC khác (hoặc chính nó nếu là DC duy nhất). 
    ipconfig /all # Kiểm tra cấu hình DNS trên DC
  2. Kiểm tra các bản ghi DNS quan trọng: Sử dụng nslookup để kiểm tra bản ghi SRV cho AD. 
    nslookup
    set type=srv
    _ldap._tcp.dc._msdcs.<ten_mien_cua_ban> # Ví dụ: _ldap._tcp.dc._msdcs.yourdomain.com
    # Kết quả phải hiển thị các DC của bạn
  3. Chạy dcdiag để kiểm tra DNS: 
    dcdiag /test:DNS /s:<Ten_DC> # Chạy kiểm tra DNS trên một DC cụ thể
    # Ví dụ: dcdiag /test:DNS /s:DC01
    Nếu có lỗi, hãy kiểm tra Event Viewer và đảm bảo dịch vụ DNS Server đang chạy. ✅ Nếu dcdiag báo cáo lỗi DNS, hãy khắc phục các bản ghi bị thiếu hoặc sai trong DNS Manager.

Bước 2: Khắc Phục Lỗi Sao Chép Active Directory

Sao chép (replication) là quá trình các thay đổi trên một DC được đồng bộ hóa với các DC khác. Lỗi sao chép có thể dẫn đến dữ liệu không nhất quán và các vấn đề về xác thực.

Triệu chứng:

  • Thay đổi trên một DC không xuất hiện trên các DC khác.
  • dcdiag báo cáo lỗi sao chép (replication failures).
  • repadmin /showrepl hiển thị lỗi hoặc trạng thái "Last Attempt @ X failed...".

Nguyên nhân:

  • Sự cố mạng hoặc tường lửa chặn cổng sao chép (RPC, LDAP).
  • Lỗi phân giải DNS.
  • Thời gian giữa các DC không đồng bộ (Kerberos yêu cầu đồng bộ thời gian).
  • Đối tượng DC bị hỏng hoặc "tombstoned".

Cách khắc phục:

  1. Kiểm tra trạng thái sao chép: 
    repadmin /showrepl # Hiển thị trạng thái sao chép cho tất cả các đối tác
    repadmin /replsummary # Tóm tắt trạng thái sao chép
    ⚠️ Chú ý các lỗi hiển thị và thời gian của lần sao chép thành công cuối cùng.
  2. Chạy dcdiag để kiểm tra sao chép: 
    dcdiag /test:Replications /s:<Ten_DC> # Kiểm tra sao chép trên DC cụ thể
  3. Buộc sao chép: Nếu lỗi là tạm thời, bạn có thể thử buộc sao chép. 
    repadmin /syncall /APedg # Buộc tất cả các DC sao chép
    💡 Nếu lỗi vẫn tiếp diễn, hãy kiểm tra tường lửa, kết nối mạng giữa các DC và đảm bảo DNS hoạt động chính xác (quay lại Bước 1).

Bước 3: Giải Quyết Vấn Đề Đồng Bộ Thời Gian

Kerberos, giao thức xác thực chính của Active Directory, yêu cầu đồng bộ hóa thời gian chặt chẽ giữa các máy tính và Domain Controller. Chênh lệch thời gian quá lớn (thường là hơn 5 phút) có thể gây ra lỗi xác thực.

Triệu chứng:

  • Lỗi đăng nhập Kerberos (Event ID 5, 7, 10, 11).
  • Lỗi xác thực hoặc truy cập tài nguyên.
  • Các lỗi sao chép Active Directory.

Nguyên nhân:

  • PDC Emulator (Domain Controller giữ vai trò FSMO PDC) không đồng bộ thời gian với nguồn đáng tin cậy bên ngoài.
  • Các DC khác không đồng bộ với PDC Emulator.
  • Máy ảo không được cấu hình để đồng bộ thời gian với máy chủ vật lý, dẫn đến trôi thời gian.

Cách khắc phục:

  1. Kiểm tra nguồn thời gian của PDC Emulator: Chạy lệnh này trên PDC Emulator DC để xác định nguồn thời gian của nó. 
    w32tm /query /source # Kiểm tra nguồn thời gian hiện tại
  2. Cấu hình PDC Emulator đồng bộ với nguồn thời gian bên ngoài: 
    w32tm /config /manualpeerlist:"pool.ntp.org,0x1" /syncfromflags:MANUAL /reliable:YES /update
    net stop w32time && net start w32time
    w32tm /resync /force # Buộc đồng bộ lại thời gian
    Thay pool.ntp.org bằng máy chủ NTP đáng tin cậy bạn chọn.
  3. Kiểm tra đồng bộ thời gian trên các DC khác: Các DC khác trong miền nên đồng bộ với PDC Emulator. 
    w32tm /query /source # Kiểm tra nguồn thời gian trên các DC khác
    Nguồn phải là PDC Emulator của bạn. Nếu không, hãy cấu hình lại: 
    w32tm /config /syncfromflags:DOMHIER /update
    net stop w32time && net start w32time
    w32tm /resync /force
    ✅ Sau khi đồng bộ, kiểm tra lại các lỗi Kerberos trong Event Viewer.

Troubleshooting

  • Luôn kiểm tra Event Viewer: Đây là nguồn thông tin quý giá nhất. Tập trung vào các log System, Directory Service, DNS Server và Security.
  • Kiểm tra kết nối mạng và tường lửa: Đảm bảo các cổng cần thiết cho AD (LDAP 389, Kerberos 88, DNS 53, RPC Dynamic) được mở giữa các DC và giữa DC với máy khách.
  • Sử dụng dcdiag thường xuyên: Nó là công cụ chẩn đoán tổng thể từt nhất cho sức khỏe Active Directory.
  • nltest /dsgetdc:<domain_name>: Kiểm tra xem máy khách có thể tìm thấy DC và xác thực không.
  • Backup Active Directory: ⚠️ Luôn có bản sao lưu AD định kỳ và kiểm tra khả năng khôi phục.
  • Khởi động lại dịch vụ: Đôi khi, khởi động lại dịch vụ NetLogon, DNS Server hoặc Active Directory Domain Services có thể khắc phục các trục trặc nhỏ.

Kết Luận

Active Directory là một thành phần phức tạp và quan trọng. Hiểu rõ các lỗi phổ biến và biết cách khắc phục chúng là kỹ năng thiết yếu đối với bất kỳ quản trị viên hệ thống nào. Việc chủ động giám sát, kiểm tra định kỳ bằng các công cụ như dcdiagrepadmin, cùng với việc duy trì cấu hình DNS và đồng bộ thời gian chính xác, sẽ giúp bạn duy trì một môi trường Active Directory ổn định và an toàn. ✅ Thực hiện theo các bước trên một cách có hệ thống sẽ giúp bạn nhanh chóng xác định và giải quyết hầu hết các sự cố AD, đảm bảo hoạt động liên tục cho doanh nghiệp.

Xem thêm: