Trong bài viết trước chúng tôi đã giới thiệu với các bạn cách phục hồi những thành phần đã bị xóa trong Active Directory, trong đó có liên quan tới thuộc tính vòng đời của đối tượng tombstone. Về mặt kỹ thuật thì khoảng thời gian lifetime này phải được thiết lập lâu hơn so với độ trễ cố định giữa các Domain Controller. Khoảng thời gian chu kỳ giữa các lần xóa tombstone phải tối thiểu bằng độ trễ tối đa khi quá trình này lan rộng qua tầng forest. Bởi vì khoảng thời gian “hiệu lực” của vòng đời tombstone dựa trên thời điểm đối tượng bị xóa thực sự, chứ không phải thời gian server nhận được tín hiệu cụ thể của tombstone qua quá trình nhân rộng, và toàn bộ tombstone của 1 đối tượng được thu thập trên nhiều server tại cùng 1 thời điểm. Còn nếu tombstone chưa được nhân rộng trên 1 Domain Controller cụ thể, thì DC đó sẽ không ghi nhận quá trình xóa dữ liệu tương ứng. Và đây cũng là lý do chính tại sao chúng ta không thể khôi phục được Domain Controller từ bản sao lưu nào đó cũ lâu hơn so với khoảng thời gian lifetime của tombstone.

Ở chế độ mặc định, thời gian lifetime tombstone của Active Directory là 60 ngày, và người sử dụng hoàn toàn có thể thay đổi tùy theo nhu cầu sử dụng. Cụ thể, thuộc tính tombstoneLifetime của đối tượng CN=Directory Service trong khâu cấu hình phải được thay đổi, và đối tượng này được cố định tại:

cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=

Lưu ý rằng khoảng thời gian lifetime này càng lâu thì tỉ lệ các đối tượng đã bị xóa còn lại trong thư mục hệ thống khi ngắt kết nối DC sẽ nhiều hơn so với việc xóa hoàn toàn khỏi DC theo cách trực tuyến. Bên cạnh đó, khoảng thời gian lifetime của tombstone sẽ không tự động thay đổi khi người dùng cập nhật Windows Server 2003 lên SP1, nhưng lại có thể thực hiện được bằng cách thủ công sau đó. Các tầng forest mới đi kèm với Windows Server 2003 SP1 sẽ có thông số lifetime mặc định là 180 ngày.

Các bạn có thể kiểm tra thuộc tính lifetime mặc định bằng câu lệnh:

dsquery * " cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=" -scope base -attr tombstonelifetime
 

Trên thực tế, có nhiều cách để thay đổi thông số này, và cách đơn giản nhất là sử dụng ADSIEdit.

Cách 1: sử dụng ADSIEdit:

Đây là 1 phần của bộ công cụ Windows 2003 Support Tools, và nếu muốn dùng ADSIEdit thì các bạn phải cài trực tiếp Support tools trên máy tính hoặc Domain Controller. Bên cạnh đó, để hoàn tất được các bước dưới đây thì tài khoản đang sử dụng phải là thành viên của group Enterprise Admins.

Để xem hoặc thay đổi phần giá trị thuộc tính bằng ADSIEdit, các bạn gõ lệnh ADSIEdit.msc trong mục Run và gõ Enter. Sau đó chuyển tới:

cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,dc=

với ForestRootDN là Distinguished Name của domain Active Directory Forest Root. Ví dụ, nếu tên domain của bạn là kuku.co.il thì phần DN sẽ là:

DC=kuku,DC=co,DC=il

Nhấn chuột phải và chọn Properties:

Tại cửa sổ Properties hiển thị, các bạn kéo chuột xuống phía dưới sách tới phần tombstoneLifetime, nhấn Edit:

Thay đổi thông số Tombstone Lifetime Period theo yêu cầu sau đó nhấn OK:

Nhấn OK và đóng ADSIEdit lại. Khi chúng ta xem thuộc tính trên phần cn=Directory Service, cn=Windows NT, cn=Services, cn=Configuration, nếu không có giá trị được thiết lập thì có nghĩa là phần value mặc định có hiệu lực. Và bất kỳ giá trị nào người dùng nhập vào ô Edit Attribute sẽ thay thế thông số mặc định khi nhấn nút Set.

Cách 2: dùng file LDIF:

Trước tiên, các bạn mở Notepad và tạo 1 file text với nội dung:

dn: cn=Directory Service,cn=Windows NT,cn=Services,cn=Configuration,
changetype: modify
replace: tombstoneLifetime
tombstoneLifetime:
-

Lưu ý rằng các bạn không được quên dấu – ở dòng cuối cùng. Với Distinguished Name là domain của Active Directory Forest Root. Ví dụ, nếu tên domain là kuku.co.il thì phần DN sẽ là:

DC=kuku,DC=co,DC=il

Sau đó, lưu file này thành tombstoneLifetime.ldf. Mở Command Prompt và gõ lệnh:

Ldifde –I –f {đường dẫn tới file tombstoneLifetime.ldf}