• Thứ Hai, 27/11/2006 16:10 (GMT+7)

    Administrator không thể quản trị từ xa máy tính chạy Windows XP SP2

    Khi kết nối từ xa để quản lý một máy tính chạy Windows XP Service Pack 2 (SP2), có thể bạn sẽ nhận được thông báo lỗi như “Access denied” (truy cập bị từ chối) hay “The network path was not found” (đường dẫn không tìm thấy).

    Khi dùng chương trình Computer Management để quản lý từ xa (tại Run, đánh lệnh Compmgmt.msc), vào Action chọn Connect to another computer, điền Computer name của máy tính cần quản lý từ xa, thì thấy xuất hiện thông báo lỗi như sau:

    Computer \\COMPUTERNAME.EXAMPLE.COM cannot be managed. The network path was not found.

    The error was: Access is denied.

    Unable to access the computer ComputerName.
    ...

    Lỗi này cũng thường xảy ra khi dùng công cụ Net.exe.
    Nguyên nhân là do cấu hình mặc định của chương trình tường lửa (Windows Personal Firewall) trên Windows XP SP2 đã ngăn chặn ngõ vào cổng 445 TCP của máy tính ở xa. Các công cụ quản trị thường truy cập vào cổng này để quản lý máy tính ở xa.

    Cách giải quyết

    Để giải quyết vấn đề này, có thể dùng một trong các cách thức sau: Cách 1 và 2 thực hiện thủ công trên từng máy tính ở xa, còn cách 3 dùng Group Policy của Active Directory Domain để giải quyết cho hàng loạt máy tính trong domain.

    Cách 1: Dùng lệnh Netsh

    Tại máy ở xa (đang chạyWindows XP SP2), thực hiện lệnh netsh để Windows Firewall cho phép lưu thông qua cổng 445 TCP.

    Tại Run, điền cmd và nhấn OK. Đánh lệnh sau:

    netsh firewall set portopening tcp 445 smb enable

    Bạn sẽ nhận được thông báo sau: Ok.

    Sau đó dùng lệnh Exit để thoát khỏi Command Prompt.

    Cách 2: Dùng giao diện Windows Firewall

    Tại máy ở xa, chỉnh sửa thiết lập Windows Firewall để cho phép lưu thông qua cổng 445 TCP.

    Vào Control Panel, chọn Security Center > Windows Firewall. Nhấn vào thẻ Exceptions, chọn mục File and Printer Sharing và nhấn Edit.

    Đánh dấu chọn TCP 445, nhấn Change scope và thực hiện một trong các hành động sau:

    • Nhấn chọn My network (subnet) only: chỉ chấp nhận kết nối đầu vào từ các máy trong mạng nội bộ

    • Nhấn chọn Custom list, điền vào cụ thể địa chỉ IP của những máy được phép quản lý máy tính này từ xa.

    Trong ví dụ này chúng ta chọn My network (subnet) only. Nhấn OK để kết thúc.

    Chú ý: không nên chọn Any Computer (Including those on the Internet) - cho phép mọi máy tính. Lựa chọn này nguy hiểm khi máy tính kết nối Internet.

    Cách 3: Dùng Group Policy

    Các bước hướng dẫn sau cho rằng tất cả các máy tính mà chúng ta muốn quản lý thông qua chính sách này đều thuộc cùng OU (Organization Unit, quản lý tập trung Users, Groups, Computers) và Windows Firewall được cấu hình để dùng domain profile.

    Để cấu hình Group Policy cho phép quản trị từ xa các máy tính trong mạng, nên tiến hành các bước sau. Tất cả các bước này đều được tiến hành trên máy chủ Domain Controller (máy chủ điều khiển hoạt động của Active Directory Domain).

    1. Tạo một Group Policy Object (GPO) cho OU hiện đang chứa các máy tính Windows XP SP2 mà chúng ta muốn áp đặt chính sách:

    Minh họa sơ đồ tổ chức các OU trong một Domain

    - Đăng nhập Domain Controller (dĩ nhiên là với quyền Administrator của Domain hoặc Admin của OU này).

    - Nhấn Start, Run, điền vào dsa.msc, rồi nhấn OK.

    Giao diện quản trị Active Directory Domain, thông qua đây để tạo các GPO

    - Mở Domain và nhấn chuột phải vào OU đang cần tạo Group Policy, sau đó nhấn Properties.

    - Nhấn tab Group Policy và nhấn New.

    - Điền vào tên của Group Policy Object (ví dụ: Allow Remote Management), sau đó ENTER.

    - Nhấn Close.

    2. Đăng nhập vào bất kỳ máy tính nào đang chạy Windows XP SP2 (hiện đang là thành viên của domain) với một tài khoản người dùng thuộc một trong số các nhóm sau:

    • Domain Admins (nhóm các Administrator của domain hiện tại)

    • Enterprise Admins (nhóm các Administrator cấp cao nhất, toàn quyền kiểm soát tất cả domain trong hệ thống)

    • Group Policy Creator Owners (nhóm có quyền tạo ra các GPO)

    3. Nhấn Start, Run, điền vào mmc, sau đó nhấn OK.

    4. Tại menu File, nhấn Add/Remove Snap-in.

    5. Trên tab Standalone, nhấn Add.

    6. Trong hộp thoại Add Standalone Snap-in, nhấn Group Policy, sau đó nhấn Add.

    7. Trong hộp Select Group Policy Object, nhấn Browse.

    8. Nhấn GPO mà chúng ta muốn cập nhật với thiết lập mới cho Windows Firewall. Trong ví dụ này chúng ta chọn GPO có tên Allow Remote Management đã tạo ở bước 1, nhấn OK và sau đó nhấn GPO trên.

    9. Nhấn OK, rồi Finish.

    10. Nhấn Close và OK.

    11. Bên dưới Console Root, mở GPO có tên Allow Remote Management đã chọn ở bước 8, mở Computer Configuration, mở Administrative Templates, mở Network, mở Network Connections, mở Windows Firewall, và nhấn Domain Profile.

    12. Ở bên khung phải, nhấn đúp Windows Firewall: Allow remote administration exception.

    13. Nhấn Enabled, và sau đó xác định phạm vi (địa chỉ IP) được phép quản trị trong hộp Allow unsolicited incoming messages from.

    Chúng ta sẽ điền địa chỉ IP cho cả một subnet, ví dụ 192.168.1.0/24, vùng địa chỉ này xác định tất cả các máy tính có IP từ 192.168.1.1 đến 192.168.1.254 được quản trị từ xa máy tính này.

    14. Nhấn OK, sau đó nhấn Exit trên menu File.

    Để hiểu thêm về Group Policy, có thể tham khảo tại website của Microsoft: http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx

    Tài liệu tham khảo Microsoft Technet.

    Hồ Việt Hà
    Network Information Security Vietnam
    Email:
    VietHa.Ho@Nis.com.vn

    ID: A0611_127