Thursday, November 23rd, 2017

Понимание репликации групповой политики

Published on Февраль 18, 2009 by   ·   Комментариев нет

По мере того, как групповые политики становятся все более важными для управления рабочими станциями и серверами в Active Directory, становится ясно, что подробности, которые окружают групповые политики (Group Policy), необходимо понимать более полно. Есть много элементов групповой политики, включая расширения на стороне клиента, файлы ADM/ADMX, GPC, GPT и многое другое. Если в объекте групповой политики (Group Policy object или GPO) возникает изменение, то это изменение возникает на одном контроллере домена (domain controller). Поэтому, изменение GPO должно быть реплицировано на все другие контроллеры домена. Эта репликация затрагивает множество механизмов репликации, и в случае неправильного завершения может привести к нежелательным результатам. В этой статье мы обсудим репликацию групповой политики (Group Policy), а также, что вы можете сделать, чтобы убедиться, что репликация прошла правильно.

Инициирование репликации

Репликация инициируется, если изменились параметры в GPO. Это может быть любой параметр в GPO, которых в Windows Server 2008 свыше 5000. Изменение может возникнуть либо на стороне Computer Configuration (конфигурации компьютера), либо на стороне User Configuration (конфигурация пользователя) GPO. Любое из них инициирует возникновение репликации.

Система отслеживает это инициирование для изменений компьютера или пользователя в GPO. Если вы посмотрите на GPO в консоли управления групповыми политиками (Group Policy Management Console или GPMC), то вы увидите, что существует список версий компьютеров и пользователей, как видно из рисунка 1.

Репликация gpo

Рисунок 1: В GPMC отображается версия разделов Computer и User GPO.

Когда происходит изменении в любом из разделов GPO, номер версии для этого раздела изменяется, как видно из рисунка 2.

Не реплицируется групповая политика 2003

Рисунок 2: Изменение параметров GPO приводит к увеличению номера версии.

Если GPO редактируется в редакторе Group Policy Management Editor (GPME), то по умолчанию используется контроллер домена, на котором запущена роль эмулятора (PDC Emulator). Поэтому вся репликация будет происходить с этого контроллера домена. Если выбран другой контроллер домена, что можно сделать в консоли GPMC (смотри рисунок 3), то репликация начнется с этого контроллера домена.

Репликация шаблона групповой политики (Group Policy Template)

Раздел GPO, который хранит настройки в одном или нескольких файлах, называется шаблоном политики группы (Group Policy Template или GPT). Этот раздел GPO, а связанные файлы хранятся на контроллерах домена в папке Sysvol. По умолчанию, путь к этим файлам следующий: c:\Windows\Sysvol\Sysvol\<domainname>\Policies, что показано на рисунке 3.

Репликация гпо

Рисунок 3: Все параметры GPO хранятся в файлах в папке Sysvol на контроллерах домена.

Sysvol на контроллерах домена используется для доставки параметров групповой политики (Group Policy) и сценариев клиентам при входе. Т.к. Sysvol используется для аутентификации пользователей и компьютеров, то она должна обновляться на всех контроллерах домена. Если меняется какая-нибудь информация в Sysvol на одном контроллере домена, то инициируется репликация Sysvol для всех других контроллеров домена.

Sysvol реплицируется с помощью системы репликации файлов (File Replication System или FRS). FRS не имеет расписания. Вместо этого FRS использует репликацию, основанную на состоянии. Это означает, что как только возникли изменения в любом из файлов в структуре папки Sysvol, инициируется репликация. Это создает очень эффективную и быструю модель репликации для GPT.

Примечание: Windows Server 2008 может использовать FRS или DFS-R для репликации содержимого папки Sysvol.

Репликация контейнера групповой политики (Group Policy Container)

Раздел GPO под названием контейнер групповой политики (Group Policy Container или GPC) хранится в Active Directory. В GPC не хранятся никакие настройки, точнее все параметры, которые вы настраиваете для GPO, хранятся в GPT. GPC содержит всю ссылочную информацию для GPO. Она включает в себя путь к GPT, включая GUID GPO, а также всю информацию о пути к Active Directory для GPC.

Вы можете увидеть GPC и его свойства с помощью консоли Active Directory Users and Computers (ADUC). Когда вы откроете ADUC, то вам, скорее всего, придется сделать небольшие изменения в конфигурации, чтобы увидеть данные GPC. Для этого выберите пункт View (Вид) на панели инструментов, затем выберите параметр меню Advanced Features (расширенные возможности), как видно на рисунке 4. В результате этого в ADUC можно будет увидеть множество дополнительной информации.

Как правильно делать репликация доменов?

Рисунок 4: Рисунок 4: Расширенные возможности позволят увидеть GPC в ADUC.

Теперь, когда вы настроили ADUC на просмотр GPC, раскройте следующие узлы, чтобы их увидеть: <domainname>\System\Policies, как показано на рисунке 5.

Sysvol dfsr

Рисунок 5: Список GPC можно увидеть в узле System\Policies.

Здесь вы можете увидеть полный список GUID, которые соответствуют GPC для каждого GPO в домене.

Репликация GPC также инициируется при изменении любого параметра в GPO, точно также, как и GPT. Однако, репликация GPC не основывается на состоянии и не происходит с помощью FRS. Вместо этого, как и все объекты Active Directory, GPC реплицируется посредством Active Directory.

По умолчанию репликация Active Directory имеет два различных расписания репликации. Существует репликация между контроллерами домена, которые в одном узле сети, и репликация между контроллерами домена, которые расположены в различных узлах сети.

Первая репликация происходит каждые 15 секунд для контроллеров домена, которые расположены в одном узле сети. Этот интервал не должен меняться и контролируется с помощью Knowledge Consistency Checker (KCC).

Вторая репликация по умолчанию происходит каждые 3 часа и контролируется с помощью Intersite Topology Generator (ISTG). Этот интервал изменяется, и в большинстве случаев его необходимо уменьшить, чтобы оптимизировать изменения на контроллерах домена. Чтобы изменить этот интервал, вы должны модифицировать ссылку и настроить расписание. Это можно сделать с помощью инструмента под названием Active Directory Sites and Services, что показано на рисунке 6.

Group policy время репликации

Рисунок 6: Репликацией между узлами сети можно управлять, и уменьшить интервал обновления, который по умолчанию составляет 3 часа.

Проверка репликации GPO

Самый простой инструмент для проверки репликации GPC и GPT называется GPOTool. Этот инструмент абсолютно бесплатен и очень прост в использовании. Он входит в состав операционной системы, и его можно запустить из командной строки. Просто наберите gpotool <dcname> /verbose в командной строке/

В результате выполнения этой команды, мы получим номера версий GPT и GPC для каждого GPO на контроллере домена.

Если часть GPO не реплицирована на контроллере домена, на котором вы аутентифицируетесь, то есть шанс, что новые параметры для GPO не применятся. Поэтому, если вы знаете, что GPO изменился, а новые параметры еще не были доставлены, то не плохо было бы проверить, что GPO был реплицирован на том контроллере домена, на котором вы аутентифицируетесь.

Резюме

Репликация групповой политики контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Для того, чтобы содержимое GPO постоянно обновлялось на всех контроллерах домена, репликация должна быть объединена для обеих частей GPO, GPT и GPC, чтобы обеспечить правильную работу групповой политики. Благодаря использованию таких инструментов, как GPOTool, вы можете убедиться, что все параметры GPO были реплицированы для всех контроллеров домена.

www.windowsnetworking.com


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]