Khắc phục lỗi không load được Profile, bị tạo Profile Temp khi đăng nhập vào windows

Khi 1 máy trạm trở thành 1 domain member thì khi user làm việc họ sẽ có 1 tài khoản và được load về máy tính của họ để làm việc. Khi user login vào máy tính thông qua domain họ sẽ load về Profile bao gồm Desktop, Mydocment, Favorites,….

Tuy nhiên trong 1 số trường hợp nhất định bạn gặp tình huống dở khóc dở cười như sau:  Dữ liệu lưu ở desktop, mydocument và thông tin profile sau khi khởi động lại máy tính bị mất hoàn toàn. Mặc dù bạn vào C:Users (Đối với windows 7 trở đi)  C:Documents And Setting (đối với Windows XP) vẫn thấy profile của bạn, nếu may mắn bạn restart lại máy tính lần nữa, mọi chuyện sẽ trở lại bình thường. Tuy nhiên cũng có trường hợp là restart lại cũng không ăn thua, Profile cứ mỗi lần làm xong restart lại máy là mất.

Cách nhận biết :

Đầu tiên sau khi login vào máy tính bạn sẽ gặp câu thông báo dễ thương như sau : You have been logged on with a temporary profile… Hoặc  “The User Profile Service failed the logon. User profile cannot be loaded”  Tuy nhiên có 1 số trường hợp bạn không hề gặp bất kỳ câu thông báo nào.

Như vậy để biết chính xác, bạn vào C:Users(Đối với Win 7 trở đi ) C:Documents And Setting (đối với Windows XP) và bạn sẽ thấy 1 folder profile TEMP.TÊN- DOMAIN-CỦA-BẠN

Nguyên nhân

Lỗi này xảy ra khi một profile của người dùng bị xóa không đúng cách. Một ví dụ điển hình là khi người dùng thêm bớt ổ cứng, các phân vùng (partitions) dẫn đến thay đổi tên ổ đĩa lưu profile của người dùng. Khi một user profile được xóa không đúng cách, thông tin Security Identifier (SID) sẽ không được xóa bỏ trong danh sách profile ở registry.

Cảnh báo: Microsoft khuyến cáo KHÔNG sử dụng các biện pháp khác ngoài cách tiêu chuẩn để xóa một user profile khỏi máy tính. Cách tiêu chuẩn là sử dụng chức năng Advanced System Settings trong System properties, chọn thẻ “User Profiles” settings. Đối với các ứng dụng, sử dụng “DeleteProfile” API.

Nếu thông tin SID vẫn còn trong registry, Windows sẽ cố gắng nạp profile sử dụng đường dẫn khai báo trong ProfileImagePath và dẫn đến việc không thể nạp được profile do đã bị xóa.

Giải pháp

Trước khi thử các phương pháp dưới đây, hãy thử khởi động lại máy tính và thử logon với tài khoản người dùng đang bị lỗi. Nếu khởi động lại vẫn không xử lý được lỗi, khi đó mới thử các cách bên dưới. Bạn phải logon bằng một tài khoản thuộc nhóm Administrators hoặc khởi động máy ở chế độ Safe Mode và logon bằng tài khoản Administrator để thực hiện các phương pháp sửa lỗi này

Phương pháp 1: Sửa lỗi User Account Profile

Chú ý: backup registry trước khi tiến hành sửa lỗi

1. Click Start  

1. Trong Start Search (Windows Vista) hoặc vùng Search programs and files (Windows 7), gõ regedit, rồi ấn Enter.
2. Nếu được hỏi UAC, click Continue (Windows Vista) hoặc Yes (Windows 7).
3. Trong Registry Editor, tìm: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
4. Trong khung bên trái, tìm thư mục bắt đầu bằng S-1-5 (SID key) và theo sau là một dãy số dài. Sau đó chọn từng thư mục và xác định mục ProfileImagePath ở trong khung bên phải, nhắp đôi chuột (double click) để kiểm tra đường dẫn xem có phải là user account profile bị lỗi hay không (xem hình dưới).
   • Nếu bạn có 2 thư mục đều bắt đầu bằng S-1-5 theo sau là một dãy số dài nhưng một thư mục kết thúc với .bak. Chúng ta cần đổi thư mục .bak folder về trạng thái hoạt động. Để làm được việc này, thực hiện như sau:
   • Ấn chuột phải vào thư mục không có .bak và chọn Rename. Thêm .ba at vào phần cuối của thư mục.
     
   • Ấn chuột phải vào thư mục có .bak và chọn Rename. Xóa .bak ở phần cuối của thư mục.
     
   • Ấn chuột phải vào thư mục có .ba và chọn Rename. Đổi .ba ở phần cuối của thư mục thành .bak
     
   • Nếu chỉ có một thư mục bắt đầu bằng S-1-5 theo sau là một dãy số dài và kết thúc với .bak. Ấn chuột phải vào thư mục có .bak và chọn Rename. Xóa .bak ở phần cuối của thư mục.
5. Chọn thư mục không có .bak, ở khung bên phải, nhắp đôi vào mục RefCount gõ 0 and rồi click OK.
   
6. Chọn thư mục không có .bak, ở khung bên phải, nhắp đôi vào mục State gõ 0 and rồi click OK.
   
7. Đóng Registry Editor.
8. Khởi động lại máy tính.
9. Thử logon lại với tài khoản đó.

Phương pháp 2: Logon vào Windows rồi copy dữ liệu sang tài khoản mới

Tạo một tài khoản mới và copy dữ liệu từ account cũ sang account mới. Cách này chỉ nên thực hiện khi các phương pháp khác thất bại.

Phương pháp 3: Xóa SID lỗi và tạo profile mới

Bạn có thể dùng công cụ tự động do Microsoft cung cấp để làm việc này (Microsoft Fix it 50446) hoặc tự thực hiện theo hướng dẫn mô tả bên dưới. Lưu ý: cách này sẽ xóa toàn bộ dữ liệu của bạn trong profile cũ.

1. Xóa profile bằng cách sử dụng hộp thoại Computer Properties. Thực hiện như sau:
   • Click Start, click phải chuột vào Computer, rồi click Properties.
   • Click Change settings.
   • Trong hộp thoại System Properties, click Advanced tab.
   • Trong mục User Profiles, click Settings.
   • Trong hộp thoại User Profiles, chọn profile mà bạn muốn xóa, click Delete, rồi click OK.
2. Click Start , gõ regedit trong hộp Start search, rồi ấn ENTER.
3. Tìm khóa phụ: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionProfileList
4. Ấn nút phải chuột vào SID mà bạn muốn xóa, rồi click Delete.
5. Logon vào máy tính và tạo profile mới.

 Tư liệu : Lấy từ  itc.vn và edit thêm.

Cách đóng cổng/Port 445 trên Windows 2000/XP/2003 đến Windows 10 để ngăn ransomware WannaCry

Trong số các port mới được sử dụng trên các hệ thống Windows 2000, Windows XP và Windows Server 2003, thì port 445 TCP dùng cho dịch vụ SMB truyền qua TCP.

Lưu ý: Bên cạnh việc đóng cổng 445 thì cập nhật bản vá lỗi của Windows cũng vô cùng cần thiết để ngăn chặn hacker "tuồn" Ransomware WannaCryvào máy tính.

Giao thức SMB (Server Message Block) được sử dụng cho các mục đích chia sẻ File trên các hệ thống Windows NT/2000/XP/2003. Trên các hệ thống Windows NT cũ nó vận hành ở lớp cao của giao thức NetBT (viết tắt: NetBIOS over TCP/IP), sử dụng các port thông dụng như port: 137, 138 (UDP) và 139 (TCP). 

Trên các hệ thống sau này: Windows 2000/XP/2003, Microsoft hỗ trợ khả năng vận hành trực tiếp SMB qua TCP/IP, không cần phải thông qua các lớp hỗ trợ của NetBT. Vì điều này chúng ta có được kết quả giao dịch chia sẽ File thực hiện qua TCP port 445.

Chia sẻ File qua Mạng qua giao thức NetBIOS là một nhu cầu rất cơ bản , tuy nhiên đó lại là những mối nguy hiểm tiềm tàng khi hệ thống của bạn kết nối vào LAN, WAN hay Internet. Tất cả những thông tin về Domain, Workgroup và cả tên Computer của bạn có thể được nhận dạng dễ dàng qua NetBIOS và Port này cũng là trung tâm nơi tần số tấn công xuất hiện cao nhất (theo báo cáo của SANS.Org, thông tin chi tiết: http://isc.sans.org/port_details.php?port=445).

Điều quan tâm thực sự của các Network Admin ở đây là chỉ nên cho phép các giao dịch chia sẽ File được thực hiện trong phạm vi Mạng nội bộ -LAN.

Nếu bạn đang sử dụng một Router làm Internet gateway, cần đảm bảo rằng không cho phép các truy cập từ trong Mạng ra ngoài - outbound traffic và các truy cập từ Ngoài vào trong Mạng nội bộ - inbound traffic, qua các TCP ports từ 135-139.

Nếu bạn đang sử dụng một Firewall, dúng chức năng port block, tiến hành chặn các truy cập qua qua cùng TCP ports từ 135-139.

Nếu bạn đang sử dụng Computer gắn nhiều NIC card -multi-homed machine (ví dụ Computer gắn trên 1 Network card), hãy tiến hành disable hoạt động của NetBIOS trên mỗi Network card, hoặc modem quay số kết nối Internet -Dial-Up Connection Tiến hành disable bằng cách can thiệp vào TCP/IP properties của những Network card nào không thuộc Mạng nội bộ -LAN.

Tiến hành disable NetBIOS qua TCP/IP như thế nào?  

Trên Windows 2000/XP/2003 tiến hành disable NetBIOS over TCP/IP như sau

Right-click vào biểu tượng My Network Places tại Desktop sau đó chọn Properties. Tiếp tục Right-click vào biểu tượng Network Card mà bạn quan tâm (Local Area Connection), chọn Properties.

Kế tiếp, click vào Internet Protocol (TCP/IP) và Properties.

Bây giờ click vào Advanced, và chọn WINS tab.

Tại đây bạn có thể enable hoặc disable NetBIOS over TCP/IP.

Những thay đổi có hiệu lực ngay, không cần phải khởi động lại hệ thống.

Lúc này nhật ký ghi nhận các sự kiện trên Computer của bạn (events log) sẽ ghi nhận một event (nên nhớ rằng không nên disable dịch vụ có tên là: TCP/IP NetBIOS Helper Service , vì nếu tắt đi events log sẽ không ghi nhận được sự kiện này. Có thể kiểm tra dịch vụ này có đang chạy hay không, bằng cách nhập lệnh Services.msc tại Run để mở bảng quản lý các dịch vụ trên hệ thống, nếu thanh trạng thái status thông báo Started là dịch vụ đã vận hành). Xem hình để xác định dịch vụ đang chạy trên hệ thống.

Chú ý: Các Computer đang chạy các hệ điều hành cũ trước Windows 2000 sẽ không thể định vị, tìm kiếm hoặc thiết lập các kết nối chia sẽ File và in ấn đến các hệ thống Computer Windows 2000/XP/2003 khi NetBIOS đã bị disable.

Làm thế nào để disable port 445?  

Bạn có thể dễ dàng disable port 445 trên Computer của mình. Thực hiện theo các hướng dẫn sau:

1.      Mở chương trình biên tập Registry -Registry Editor

2.      Tại Run dùng lệnh Regedit.exe.

3.      Tìm đến khóa sau trong Registry:

HKLMSystemCurrentControlSetServicesNetBTParameters

 3.      Tại cửa sổ Window bên phải chọn một tùy chọn có tên là TransportBindName.

4.      Double click vào tùy chọn, sau đó xóa giá trị mặc định -default value, và do vậy khung chứa giá trị được để trống -blank value.

5.      Đóng Registry editor.

6.      Khởi động lại Computer.

Sau khi khởi động và log-on vào Computer, tại Run, điền lệnh cmd và đưa vào lệnh sau:

netstat -an

Nhận thấy rằng Computer không còn lắng nghe ở port 445.

So với trước khi tiến hành Disable port 445, hình bên dưới

Cách sử dụng port trên Client/Server  

Khi nào Windows 2000/XP/2003 sử dụng port 445, và khi nào nó dùng 139?

Để giải thích đơn giản tôi dùng hai thuật ngữ "client" để chỉ Computer truy xuất các nguồn tài nguyên mạng như ổ đĩa và các file đượ chia sẽ, kế đến là "server" Computer với nguồn tài nguyên có sẵn chia sẽ cho Client. Và để đơn giản cho việc hình dung, các bạn ghi nhớ cụm từ NetBIOS over TCP/IP , đơn giản chỉ là NetBT.

Nếu client có NetBT được enable, nó sẽ luôn thử kết nối đến server tại cả hai  port 139 và 445 đồng thời. Nếu nhận được phản hồi từ port 445, nó sẽ gửi một phản hồi RST đến port 139, và tiếp tục phiên giao tiếp SMB chỉ với port 445. Nếu như không nhận được phản hồi từ port 445, nó sẽ tiếp tục giao tiếp SMB chỉ với port 139, nếu nhận được thông tin phản hồi từ port này. Nếu không nhận được bất cứ phản hồi nào từ hai port trên, kết nối dự định khởi tạo sẽ kết thúc (failed).

Nếu client có NetBT bị disable, nó sẽ luôn kết nối đến server tại port 445. Nếu  server trả lời trên port 445, kết nối sẽ được thiết lập và duy trì trên port này. Nếu không nhận được trả lời kết nối kết thúc. Đây chính là trường hợp mà chúng ta đã đề cập khi server chạy các hệ điều hành cũ như Windows NT 4.0 về trước chẳng hạn.

Nếu server có NetBT được enable, nó sẽ lắng nghe trên UDP ports 137, 138, và trên TCP ports 139, 445. Nếu NetBT bị disable, server chỉ lắng nghe trên TCP port 445.

Microsoft phát hành bản vá khẩn cấp để ngăn ngừa ransomware tấn công

Người dùng Windows XP, Windows 8 và Windows Server 2003 giờ có thể tải bản vá từ Microsoft Update Catalog và được khuyến khích nên cập nhật hệ thống sớm nhất có thể, bởi số lượng bị tấn công đang ngày càng tăng.

• Một vụ tấn công mạng cực lớn sử dụng các lỗ hổng NSA bị rò rỉ, đã ảnh hưởng đến 99 quốc gia và vẫn đang lan rộng

Vụ lây nhiễm từ WannaCry được phát hiện đầu tiên hôm qua tại châu u ở các tổ chức ở nhiều quốc gia, bao gồm cả Anh và Tây Ban Nha. Cơ quan y tế quốc gia Anh NHS bị ảnh hưởng nghiêm trọng. Vào cuối ngày thứ Sáu, nó cũng bắt đầu lan tới Mỹ.

Việc lây nhiễm dựa trên lỗ hổng trên Windows vốn thuộc quyền sở hữu của NSA và bị rò rỉ vào năm nay bởi nhóm hacker Shadow Brokers. Microsoft giải thích rằng các phiên bản Windows vẫn được hỗ trợ, bao gồm Windows 7, 8.1 và 10, bằng những cập nhật mới nhất của phần mềm diệt virus Windows Defender đều an toàn tuyệt đối.

Bạn có thể tải về bản vá khẩn cấp cho những Windows không được hỗ trợ tại đây: Windows Server 2003 SP2 x64, Windows Server 2003 SP2 x86, Windows XP SP2 x64, Windows XP SP3 x86, Windows XP Embedded SP3 x86, Windows 8 x86, Windows 8 x64.

Tải bản cập nhật Windows cho tất cả các phiên bản: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Ngoài việc cập nhật bản vá từ Microsoft, bạn cũng cần đóng cổng 445 trên Windows để đảm bảo an toàn trước WannaCry và WannaCry 2.0 - một biến thể nguy hiểm hơn WannaCry rất nhiều.

Tránh mở email từ những nguồn không đáng tin

Mặt khác, Windows XP, Windows Server 2008 và Windows 8 không còn được hỗ trợ. Vì không còn nhận được các bản cập nhật Windows mới nhất nên Microsoft quyết định phát hành bản vá khẩn cấp.

Windows XP không còn nhận được cập nhật từ tháng 4/2014

Microsoft cũng cho biết vụ tấn công có sử dụng kỹ thuật lừa đảo (phising) có đính kèm các tập tin nhiễm độc nên người dùng nên tránh mở các tập tin từ những nguồn không đáng tin cậy.

Sao lưu và phục hồi Windows Registry thật đơn giản

Trong hệ điều hành Windows, việc sử dụng Registry để chỉnh sửa hệ thống luôn là một trong những cách được lựa chọn hàng đầu. Ở bài viết này chúng tôi sẽ hướng dẫn bạn cách đơn giản để sao lưu và lưu lại những thiết lập Registry trong Windows 7, Vista, và XP.

1. Trên màn hình bạn kích vào nút Start, nhập từ khóa “regedit” vào ô Search và ấn Enter.

2. Khi cửa sổ Registry Editor mở ra, bạn kích vào menu File và chọn Export.

3. Tiếp theo bạn chọn vị trí để lưu lại file này, bạn có thể chọn bất cứ nơi nào theo ý muốn. Ở đây chúng tôi tạo một thư mục mới trong My Documents với tên Registry Backups. Tại mục “File name:” bạn nhập tên file, mục “Save as type:” bạn chọn “Registration Files (*.reg)”, phần Export range bạn chọn All nếu muốn lưu lại toàn bộ những thiết lập mặc định trong windows (nếu chỉ muốn lưu lại một phần trong Registry bạn hãy chọn phần đó trong cửa sổ Registry Editor sau đó tại Export range chọn Selected branch.) cuối cùng chọn Save.

4. Quá trình sao lưu này này có thể mất vài phút, sau đó bạn có thể mở thư mục chứa file này và xem kết quả. Để đảm bảo an toàn và tránh mất mát dữ liệu bạn nên lưu chúng ra các thiết bị lưu trữ gắn ngoài hoặc sử dụng dịch vụ lưu trữ trực tuyến.

5. Từ nay về sau mỗi khi hệ thống của bạn không ổn định hoặc trong quá trình chỉnh sửa Registry gây ra lỗi nào đó thì chỉ cần kích đúp vào tập tin này để khôi phục lại.

6. Tuy Registry được sao lưu trong điều kiện hệ thống chạy bình thường nhưng có thể khi phục hồi bạn sẽ nhận được thông báo lỗi rằng tất cả dữ liệu không hẳn được khôi phục lại hoàn toàn. Một số phím đang được mở sẽ không được phục hồi lại. Theo thử nghiệm của chúng tôi trong bài viết này thì tuy nhận được thông báo lỗi nhưng mọi thứ vẫn được khôi phục thành công.

7. Vì vậy, để cẩn thận hơn bạn nên thực hiện quá trình sao lưu và phục hồi này trong chế độ Safe Mode.

Đăng nhập vào chế độ Safe Mode bằng cách ấn phím F8 ngay khi máy tính bắt đầu khởi động (nếu màn hình Boot quá nhanh có thể bạn sẽ phải làm thao tác này nhiều lần). Sau đó bạn sẽ thấy các tùy chọn “Advanced Boot Options” trên màn hình, trong trường hợp này bạn chọn Safe Mode và ấn Enter.

8. Màn hình Loading Windows Files hiện ra, bạn chỉ cần chờ trong vài phút

9. Sau đó máy tính sẽ đăng nhập vào chế độ Safe Mode và trên màn hình hiển thị một thông báo từ Windows Help and Support, bạn có thể đọc qua hoặc đóng cửa sổ đó lại.

10. Tiếp theo bạn tiến hành công việc sao lưu như các bước trên, tuy nhiên có sự khác biệt về hiển thị bởi trong chế độ Safe Mode, card màn hình sẽ không được load.

11. Việc phục hồi Registry trong chế độ Safe Mode vẫn sẽ có thông báo lỗi như bình thường, nhưng bạn không cần lo lắng vì Registry sẽ được khôi phục hoàn toàn mà không có vấn đề nào cả.

12. Quá trình sao lưu Registry đối với Windows XP và Vista cũng tiến hành tương tự theo cách trên.

13. Bạn cũng có thể sử dụng phần mềm dọn dẹp Registry như CCleaner để cải thiện hiệu năng của hệ thống và những vấn đề khác cho công việc của mình bởi nó cung cấp nhiều tùy chọn sao lưu Registry trước khi xóa các giá trị trong đó.

Registry là một phần rất quan trọng của hệ thống, trước khi chỉnh sửa bất kỳ thông số nào trong đó bạn hãy xác định thật rõ ràng những việc mình sẽ làm. Nếu bạn chỉ mới sử dụng máy tính và muốn khám phá thêm thì bài viết trên sẽ rất hữu ích đối với bạn. Chúc các bạn thành công!

10 biện pháp bảo mật DNS

Quản trị mạng - Hệ thống tên miền (DNS) được sử dụng để xác định từ tên máy chủ đến những địa chỉ IP trên Internet và trên mạng cá nhân nền tảng TCP/IP. Máy chủ DNS thường là mục tiêu mà tin tặc khai thác và tấn công, tuy nhiên bạn cũng có thể bảo mật cho những máy chủ này bằng một số phương pháp sau:

1. Sử dụng DNS Forwarder

DNS Forwarder (Trình chuyển tiếp) là một máy chủ DNS thực hiện truy vấn DNS thay cho nhiều máy chủ DNS khác. DNS Forwarder được sử dụng để gỡ bỏ những tác vụ đang xử lý khỏi những máy chủ DNS đang thực hiện chuyển tiếp những truy vấn này sang Forwarder, và tăng lưu lượng bộ nhớ đệm DNS trên DNS Forwarder.

Một chức năng khác của DNS Forwarder đó là ngăn cản máy chủ DNS chuyển tiếp yêu cầu trong khi tương tác với những máy chủ DNS trên Internet. Đây là chức năng đặc biệt quan trọng vì khi đó máy chủ DNS chứa tài nguyên bên trong miền DNS. Thay vì cho phép những máy chủ DNS nội bộ tự thực hiện gọi lại lệnh và liên lạc với những máy chủ DNS khác, nó cấu hình cho máy chủ DNS nội bộ sử dụng một Forwader cho tất cả các miền không được phân quyền.

2. Sử dụng máy chủ DNS lưu trữ
Máy chủ DNS lưu trữ là một máy chủ DNS không thể phân quyền cho bất kì miền DNS nào. Nó được cấu hình thực hiện gọi lại lệnh hay sử dụng một Forwarder. Khi máy chủ này nhận một phản hồi, nó sẽ lưu kết quả và chuyển câu trả lời đến hệ thống gửi truy vấn DNS tới máy chủ DNS lưu trữ. Sau đó, máy chủ này có thể tập hợp nhiều phản hồi DNS giúp giảm đáng kể thời gian phản hồi cho những máy trạm DNS của máy chủ DNS lưu trữ.

Những máy chủ DNS lưu trữ có thể cải thiện bảo mật cho công ty khi được sử dụng như một Forwarder trong nhóm công cụ quản trị của bạn. Những máy chủ DNS nội bộ có thể được cài đặt để sử dụng máy chủ DNS lưu trữ như trình chuyển đổi của chúng, và máy chủ DNS lưu trữ thực hiện gọi lại lệnh thay cho những máy chủ DNS nội bộ. Việc sử dụng những máy chủ DNS lưu trữ như những Forwarder có thể cải thiện bảo mật bởi vì bạn không phải phụ thuộc vào những máy chủ DNS của nhà cung cấp được sử dụng như Forwarder khi bạn không tin tưởng vào cài đặt bảo mật trên máy chủ DNS của họ.

3. Sử dụng DNS Advertiser

DNS Advertiser (Trình quảng cáo) là một máy chủ DNS thực hiện truy vấn cho những miền mà DNS Advertiser được phân quyền. Ví dụ, nếu bạn lưu trữ tài nguyên cho domain.com và corp.com, máy chủ DNS công cộng sẽ được cấu hình với vùng file DNS cho miền domain.com và corp.com.

Sự khác biệt giữa DNS Advertiser với máy chủ DNS chứa vùng file DNS đó là DNS Advertiser trả lời những truy vấn từ tên miền mà nó phân quyền. Máy chủ DNS sẽ không gọi lại truy vấn được gửi tới những máy chủ khác. Điều này ngăn cản người dùng sử dụng máy chủ DNS công để xử lý nhiều tên miền khác nhau, và làm tăng khả năng bảo mật bằng cách giảm bớt những nguy cơ khi chạy DNS Resolver công cộng (gây tổn hại bộ nhớ đệm).

4. Sử dụng DNS Resolver

DNS Resolver (trình xử lý) là một máy chủ DNS có thể gọi lại lệnh để xử lý tên cho những miền không được máy chủ DNS phân quyền. Ví dụ, bạn có thể sử dụng một máy chủ DNS được phân quyền trong mạng nội bộ cho miền mạng nội bộ internalcorp.com. Khi một máy trạm trong mạng sử dụng máy chủ DNS này để đặt tên quantrimang.com, máy chủ DNS đó sẽ gọi lại lệnh bằng cách truy lục kết quả trên những máy chủ DNS khác.

Sự khác biệt giữa máy chủ DNS này và DNS resolver đó là DNS Resolver được dùng để đặt tên cho máy chủ Internet. Resolver có thể là một máy chủ DNS lưu trữ không được phân quyền cho bất kì miền DNS nào. Admin có thể chỉ cho phép người dùng nội bộ sử dụng DNS Resolver, hay chỉ cho phép người dùng ngoài sử dụng để cung cấp bảo mật khi sử dụng một máy chủ DNS bên ngoài ngoài tầm kiểm soát của admin, và có thể cho phép cá người dùng nội bộ và người dùng ngoài truy cập vào DNS Resolver.

5. Bảo vệ bộ nhớ đệm DNS
“Ô nhiễm” bộ nhớ đệm DNS là một vấn đề phát sinh chung. Hầu hết máy chủ DNS có thể lưu trữ kết quả truy vấn DNS trước khi chuyển tiếp phản hồi tới máy chủ gửi truy vấn. Bộ nhớ đệm DNS có thể cải thiện đáng kể khả năng thực hiện truy vấn DNS. Nếu bộ nhớ đệm máy chủ DNS bị “ô nhiễm” với nhiều mục nhập DNS ảo, người dùng có thể bị chuyển tiếp tới những website độc hại thay vì những website dự định truy cập.

Hầu hết máy chủ DNS có thể được cấu hình chống “ô nhiễm” bộ nhớ đệm. Ví dụ. máy chủ DNS Windows Server 2003 được cấu hình mặc định chống “ô nhiễm bộ” nhớ đệm. Nếu đang sử dụng máy chủ DNS Windows 2000, bạn có thể cài đặt chống ô nhiễm bằng cách mở hộp thoại Properties trong máy chủ DNS, chọn tab Advanced, sau đó đánh dấu hộp chọn Prevent Cache Pollution và khởi động lại máy chủ DNS.

6. Bảo mật kết nối bằng DDNS

Nhiều máy chủ DNS cho phép cập nhật động. Tính năng cập nhật động giúp những máy chủ DNS này đăng ký tên máy chủ DNS và địa chỉ IP cho những máy chủ DHCP chứa địa chỉ IP. DDNS có thể là một công cụ hỗ trợ quản trị hiệu quả trong khi cấu hình thủ công những mẫu tài nguyên DNS cho những máy chủ này.

Tuy nhiên, việc không kiểm tra những bản cập nhật DDNS có thể gây ra một vấn đề về bảo mật. Người dùng xấu có thể cấu hình máy chủ cập nhật động những tài nguyên trên máy chủ DNS (như máy chủ dữ liệu, máy chủ web hay máy chủ cơ sở dữ liệu) và định hướng kết nối tới máy chủ đích sang PC của họ. 

Bạn có thể giảm nguy cơ gặp phải những bản cập nhập DNS độc hai bằng cách yêu cầu bảo mật kết nối tới máy chủ DNS để cập nhật động. Điều này có thể dễ dàng thực hiện bằng cách cài đặt máy chủ DNS sử dụng những vùng tương hợp Active Directory và yêu cầu bảo mật cập nhật động. Tất cả miền thành viên có thể cập nhật động thông tin DNS một cách bảo mật sau khi thực hiện cài đặt.

7. Ngừng chạy Zone Transfer

Zone Transfer (vùng chuyển đổi) nằm giữa máy chủ DNS chính và máy chủ DNS phụ. Những máy chủ DNS chính được phân quyền cho những miền cụ thể chứa vùng file DNS có thể ghi và cập nhật khi cần thiết. Máy chủ DNS phụ nhận một bản sao chỉ đọc của những vùng file này từ máy chủ DNS chính. Máy chủ DNS phụ được sử dụng để tăng khă năng thực thi truy vấn DNS trong một tổ chức hay trên Internet.

Tuy nhiên, Zone Transfer không giới hạn máy chủ DNS phụ. Bất cứ ai cũng có thể chạy một truy vấn DNS cấu hình máy chủ DNS để cho phép Zone Transfer kết xuất toàn bộ vùng file cơ sở dữ liệu. Người dùng xấu có thể sử dụng thông tin này để thăm dò giản đồ tên trong công ty và tấn công dịch vụ cấu trúc hạ tầng chủ chốt. Bạn có thể ngăn chặn điều này bằng cách cấu hình máy chủ DNS từ chối Zone Transfer thực hiên yêu cầu, hay cấu hình máy chủ DNS cho phép Zone Transfer chỉ từ chối yêu cầu của một số máy chủ nhất định. 

8. Sử dụng Firewall kiểm soát truy cập DNS

Firewall có thể được sử dụng để chiếm quyền kiểm soát đối với những người dùng kết nối máy chủ DNS. Với những máy chủ DNS chỉ sử dụng cho những truy vấn từ máy trạm nội bộ, admin cần phải cấu hình firewall để chặn kết nối từ những máy chủ ngoài vào những máy chủ DNS này. Với những máy chủ DNS được sử dụng như Forwarder lưu trữ, firewall cần được cấu hình chỉ cho phép nhận những truy vấn DNS từ máy chủ DNS được sử dụng như Forwarder lưu trữ. Một cài đặt firewall policy rất quan trọng đó là chặn những người dùng nội bộ sử dụng giao tiếp DNS kết nối vào những máy chủ DNS ngoài.

9. Cài đặt kiểm soát truy cập vào Registry của DNS

Trên những máy chủ DNS nền tảng Windows, kiểm soát truy cập cần được cấu hình trong những cài đặt Registry liên quan tới máy chủ DNS để cho phép những tài khoản được yêu cầu truy cập đọc và thay đổi cài đặt của Registry.

Key DNS trong HKLM\CurrentControlSet\Services cần được cấu hình chỉ cho phép Admin và tài khoản hệ thống truy cập, ngoài ra những tài khoản này cần được cấp quyền Full Control.

10. Cài đặt kiểm soát truy cập vào file hệ thống DNS

Trên những máy chủ DNS nền tảng Windows, bạn nên cấu hình kiểm soát truy cập trên file hệ thống liên quan tới máy chủ DNS vì vậy chỉ những tài khoản yêu cầu truy cập vào chúng được cho phép đọc hay thay đổi những file này.

Thư mục %system_directory%\DNS và những thư mục con cần được cài đặt chỉ cho phép tài khoản hệ thống truy cập vào, và tài khoản hệ thống cần được cấp quyền Full Control.