Chế độ khôi phục dịch vụ thư mục (DSRM):Khởi động an toàn cho bộ điều khiển miền máy chủ Windows

Bởi

• Rahul Awati

Đã xuất bản:ngày 14 tháng 8 năm 2023

Chế độ khôi phục dịch vụ thư mục (DSRM) là tùy chọn khởi động Chế độ an toàn cho bộ điều khiển miền Windows Server. DSRM cho phép quản trị viên sửa chữa, khôi phục hoặc khôi phục cơ sở dữ liệu Active Directory (AD). Việc khởi động lại bộ điều khiển miền trong DSRM sẽ khiến nó ngoại tuyến nên nó chỉ hoạt động như một máy chủ thông thường.

DSRM tương tự như Chế độ an toàn trong hệ điều hành Windows. Tuy nhiên, nó chỉ khả dụng trong bộ điều khiển miền Windows Server. Chế độ DSRM có sẵn trong các phiên bản Windows Server sau:

• Windows Server 2022.
• Máy chủ Windows 2019.
• Máy chủ Windows 2016.
• Windows Server 2012 R2.
• Windows Server 2008 R2.
• Windows Server 2008.
• Windows Server 2003.

Mục đích chính của DSRM là giúp quản trị viên hệ thống đăng nhập vào hệ thống để khôi phục hoặc sửa chữa cơ sở dữ liệu AD. Để sử dụng DSRM, quản trị viên phải tạo tài khoản quản trị viên cục bộ DSRM bằng mật khẩu. Họ phải sử dụng tài khoản đó khi cần đăng nhập vào bộ điều khiển miền bằng DSRM -- trong quá trình khởi động máy chủ -- và để khôi phục bản sao lưu AD sau khi xảy ra lỗi hoặc lỗi hệ thống. Mật khẩu tài khoản quản trị viên hiếm khi thay đổi trong quá trình triển khai bộ điều khiển miền. Tuy nhiên, nó có thể được đặt lại cho bất kỳ máy chủ nào trong miền mà không cần khởi động lại máy chủ bằng công cụ Ntdsutil.

DSRM so với Chế độ an toàn

Đối với bộ điều khiển miền Windows Server, DSRM không giống với Chế độ An toàn. DSRM được sử dụng khi bộ điều khiển cố gắng khởi động ở Chế độ an toàn nhưng không thể khởi động được. Nói chung, DSRM chỉ được yêu cầu khi AD bị hỏng và không cho phép quản trị viên đăng nhập bằng thông tin xác thực AD thông thường của họ. Trong những tình huống như vậy, AD không khởi động bình thường nên cần có DSRM, đặc biệt khi thực hiện khôi phục toàn miền hoặc toàn nhóm AD.

Quy trình đăng nhập tài khoản DSRM dành cho quản trị viên

Để khởi động lại bộ điều khiển miền trong DSRM, quản trị viên phải đăng nhập vào tài khoản quản trị DSRM. Quá trình này bao gồm các bước sau:

1. Khởi động DSRM và nhấp vào Chuyển người dùng> Người dùng khác.
2. Đối với tên tài khoản đăng nhập, hãy nhập .\Administrator.
3. Đặt lại mật khẩu DSRM cho tài khoản .\Administrator bằng công cụ dòng lệnh Ntdsutil.
4. Nếu máy chủ AD không hoạt động, hãy đặt lại mật khẩu DSRM bằng công cụ khôi phục mật khẩu bị mất.

Khi đăng nhập vào tài khoản DSRM, lời nhắc đăng nhập ban đầu có thể hiển thị tên tài khoản là MyDomain\Administrator. Tuy nhiên, cách đó không có tác dụng nên trước tiên người dùng quản trị viên phải nhấp vào Chuyển đổi người dùng và nhập tên .\Administrator theo cách thủ công.

Cũng có thể khởi động thủ công trong DSRM bằng cách nhấn phím F8 liên tục sau màn hình tự kiểm tra bật nguồn BIOS và trước khi logo Windows xuất hiện. Thực hiện việc này sẽ mở ra một menu văn bản với các tùy chọn khởi động nâng cao, như Chế độ khôi phục dịch vụ thư mục hoặc Chế độ khôi phục DS. Quản trị viên có thể chọn tùy chọn này và nhấn phím Enter để nhập DSRM.

Quy trình đặt lại mật khẩu quản trị DSRM trong Windows Server

Khi AD được cài đặt trên Windows Server và trong quá trình quảng bá bộ điều khiển miền, trình hướng dẫn cài đặt sẽ nhắc quản trị viên chọn mật khẩu DSRM. Mật khẩu này cung cấp cho quản trị viên một cửa hậu dẫn vào cơ sở dữ liệu trong trường hợp có sự cố xảy ra sau này. Mật khẩu cũng rất cần thiết để thực hiện các tác vụ bảo trì và phục hồi trong DSRM; tuy nhiên, nó không cung cấp quyền truy cập vào miền hoặc bất kỳ dịch vụ nào.

Nếu quản trị viên quên hoặc mất mật khẩu DSRM, họ có thể thay đổi mật khẩu đó bằng cách sử dụng công cụ dòng lệnh Ntdsutil. Công cụ này được tích hợp với tiện ích Setpwd đã là một phần của Microsoft Windows kể từ Windows 2000. Quy trình đặt lại mật khẩu quản trị viên DSRM trong Windows Server như sau:

1. Nhấp vào Bắt đầu> Chạy, nhập Ntdsutil rồi nhấp vào OK.
2. Tại dấu nhắc lệnh Ntdsutil, gõ đặt mật khẩu dsrm.
3. Tại dấu nhắc lệnh DSRM, nhập đặt lại mật khẩu trên máy chủ null để đặt lại mật khẩu trên máy chủ hiện tại hoặc đặt lại mật khẩu trên tên máy chủ của máy chủ để đặt lại mật khẩu trên máy chủ khác.
4. Nhập mật khẩu mới.
5. Tại dấu nhắc lệnh DSRM, gõ q.
6. Tại dấu nhắc lệnh Ntdsutil, gõ lại q để thoát.

Mật khẩu DSRM có thể được đặt lại cho máy chủ mà quản trị viên hiện đang làm việc hoặc cho bộ điều khiển miền khác trong miền. Mỗi khi mật khẩu được thay đổi, ID sự kiện Windows (4794) sẽ được tạo để các quản trị viên được ủy quyền khác có thể nhìn thấy những lần thử này và xác định xem có bất kỳ nỗ lực nào được thực hiện bởi người dùng không phải quản trị viên hoặc người dùng độc hại hay không.

Rủi ro bảo mật của DSRM

Mật khẩu của tài khoản quản trị DSRM có thể bị những kẻ xâm nhập độc hại khai thác, tạo ra rủi ro bảo mật rất lớn cho các tổ chức. Ví dụ:kẻ đe dọa có thể sử dụng mật khẩu để tạo cửa sau vĩnh viễn vào bộ điều khiển miền. Cửa hậu này cho phép họ duy trì sự ổn định trong mạng doanh nghiệp và truy cập AD bất cứ lúc nào để giành quyền truy cập vào các tài nguyên và dữ liệu nhạy cảm. Họ cũng có thể đánh cắp thông tin đăng nhập từ AD, thao túng các tài khoản dịch vụ đặc quyền và chặn các gói lưu lượng truy cập bằng cách sử dụng chức năng Phân giải tên Multicast vòng lặp cục bộ trong Windows.

Trong một số trường hợp, tin tặc cũng có thể đánh cắp mã băm của tài khoản đặc quyền hoặc nâng cao đặc quyền của chúng bằng cách khai thác các lỗ hổng mở hoặc thông qua kỹ thuật xã hội. Mật khẩu tài khoản quản trị viên DSRM bị quên, bị mất hoặc mặc định cũng làm tăng nguy cơ bị phần mềm độc hại tấn công, trinh sát Giao thức truy cập thư mục nhẹ và thậm chí thống trị miền. Quyền truy cập không hạn chế vào AD cũng có thể cho phép kẻ tấn công xâm phạm quy trình sao lưu của tổ chức và trích xuất tất cả dữ liệu AD từ tệp ntds.dit.

Để tránh những rủi ro này, người dùng quản trị phải thường xuyên cập nhật mật khẩu tài khoản DSRM của mình. Ngoài ra, họ không được sử dụng mật khẩu mặc định. Điều quan trọng nữa là đặt mật khẩu tài khoản duy nhất cho mỗi bộ điều khiển miền.

Các phương pháp bảo mật tốt khác để giữ an toàn cho mật khẩu tài khoản quản trị viên DSRM bao gồm:

• Trong Sổ đăng ký, đặt giá trị của khóa đăng ký HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior thành 1.
• Trong Sổ đăng ký, đảm bảo rằng giá trị của khóa đăng ký HKLM\System\CurrentControlSet\Control\Lsa\DsrmAdminLogonBehavior không được đặt thành 2.
• Theo dõi ID sự kiện Windows 4794 và đặt cảnh báo để thông báo cho quản trị viên nếu chúng xảy ra.

Tìm hiểu những kỹ thuật nào có thể được sử dụng để khắc phục sự cố thường gặp trong AD và mẹo khắc phục sự cố sao chép.

Tiếp tục đọc Giới thiệu về Chế độ khôi phục dịch vụ thư mục (DSRM)

• Chế độ An toàn của Windows 11 hoạt động như thế nào và khi nào nên sử dụng nó

• Khắc phục trở lại bằng các phương pháp khôi phục Active Directory

• Tìm hiểu cách thực hiện sao lưu và khôi phục DNS

• Khắc phục sự cố máy chủ DNS cho Linux và Windows

• Cách thực hiện sao lưu và khôi phục thành viên nhóm AD

Tìm hiểu sâu hơn về quản lý quyền truy cập và nhận dạng của Microsoft

• 

  Cách triển khai Windows LAPS để bảo mật chặt chẽ hơn

  

  Bởi:Brien Posey

• 

  Bộ điều khiển miền là gì?

  

  Bởi:Gavin Wright

• 

  Triển khai bộ điều khiển miền chỉ đọc để bảo mật, tốc độ

  

  Bởi:Damon Garn

• 

  Các tính năng Active Directory mới sắp có trong Windows Server 2025

  

  Bởi:Brien Posey