Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2008 Администрирование Понимание репликации групповой политики RSS

Понимание репликации групповой политики

Текущий рейтинг: 3.25 (проголосовало 8)
 Посетителей: 5308 | Просмотров: 9385 (сегодня 0)  Шрифт: - +

По мере того, как групповые политики становятся все более важными для управления рабочими станциями и серверами в Active Directory, становится ясно, что подробности, которые окружают групповые политики (Group Policy), необходимо понимать более полно. Есть много элементов групповой политики, включая расширения на стороне клиента, файлы ADM/ADMX, GPC, GPT и многое другое. Если в объекте групповой политики (Group Policy object или GPO) возникает изменение, то это изменение возникает на одном контроллере домена (domain controller). Поэтому, изменение GPO должно быть реплицировано на все другие контроллеры домена. Эта репликация затрагивает множество механизмов репликации, и в случае неправильного завершения может привести к нежелательным результатам. В этой статье мы обсудим репликацию групповой политики (Group Policy), а также, что вы можете сделать, чтобы убедиться, что репликация прошла правильно.

Инициирование репликации

Репликация инициируется, если изменились параметры в GPO. Это может быть любой параметр в GPO, которых в Windows Server 2008 свыше 5000. Изменение может возникнуть либо на стороне Computer Configuration (конфигурации компьютера), либо на стороне User Configuration (конфигурация пользователя) GPO. Любое из них инициирует возникновение репликации.

Система отслеживает это инициирование для изменений компьютера или пользователя в GPO. Если вы посмотрите на GPO в консоли управления групповыми политиками (Group Policy Management Console или GPMC), то вы увидите, что существует список версий компьютеров и пользователей, как видно из рисунка 1.

Рисунок 1: В GPMC отображается версия разделов Computer и User GPO.

Рисунок 1: В GPMC отображается версия разделов Computer и User GPO.

Когда происходит изменении в любом из разделов GPO, номер версии для этого раздела изменяется, как видно из рисунка 2.

Рисунок 2: Изменение параметров GPO приводит к увеличению номера версии.

Рисунок 2: Изменение параметров GPO приводит к увеличению номера версии.

Если GPO редактируется в редакторе Group Policy Management Editor (GPME), то по умолчанию используется контроллер домена, на котором запущена роль эмулятора (PDC Emulator). Поэтому вся репликация будет происходить с этого контроллера домена. Если выбран другой контроллер домена, что можно сделать в консоли GPMC (смотри рисунок 3), то репликация начнется с этого контроллера домена.

Репликация шаблона групповой политики (Group Policy Template)

Раздел GPO, который хранит настройки в одном или нескольких файлах, называется шаблоном политики группы (Group Policy Template или GPT). Этот раздел GPO, а связанные файлы хранятся на контроллерах домена в папке Sysvol. По умолчанию, путь к этим файлам следующий: c:\Windows\Sysvol\Sysvol\<domainname>\Policies, что показано на рисунке 3.

Рисунок 3: Все параметры GPO хранятся в файлах в папке Sysvol на контроллерах домена.

Рисунок 3: Все параметры GPO хранятся в файлах в папке Sysvol на контроллерах домена.

Sysvol на контроллерах домена используется для доставки параметров групповой политики (Group Policy) и сценариев клиентам при входе. Т.к. Sysvol используется для аутентификации пользователей и компьютеров, то она должна обновляться на всех контроллерах домена. Если меняется какая-нибудь информация в Sysvol на одном контроллере домена, то инициируется репликация Sysvol для всех других контроллеров домена.

Sysvol реплицируется с помощью системы репликации файлов (File Replication System или FRS). FRS не имеет расписания. Вместо этого FRS использует репликацию, основанную на состоянии. Это означает, что как только возникли изменения в любом из файлов в структуре папки Sysvol, инициируется репликация. Это создает очень эффективную и быструю модель репликации для GPT.

Примечание: Windows Server 2008 может использовать FRS или DFS-R для репликации содержимого папки Sysvol.

Репликация контейнера групповой политики (Group Policy Container)

Раздел GPO под названием контейнер групповой политики (Group Policy Container или GPC) хранится в Active Directory. В GPC не хранятся никакие настройки, точнее все параметры, которые вы настраиваете для GPO, хранятся в GPT. GPC содержит всю ссылочную информацию для GPO. Она включает в себя путь к GPT, включая GUID GPO, а также всю информацию о пути к Active Directory для GPC.

Вы можете увидеть GPC и его свойства с помощью консоли Active Directory Users and Computers (ADUC). Когда вы откроете ADUC, то вам, скорее всего, придется сделать небольшие изменения в конфигурации, чтобы увидеть данные GPC. Для этого выберите пункт View (Вид) на панели инструментов, затем выберите параметр меню Advanced Features (расширенные возможности), как видно на рисунке 4. В результате этого в ADUC можно будет увидеть множество дополнительной информации.

Рисунок 4: Расширенные возможности позволят увидеть GPC в ADUC.

Рисунок 4: Рисунок 4: Расширенные возможности позволят увидеть GPC в ADUC.

Теперь, когда вы настроили ADUC на просмотр GPC, раскройте следующие узлы, чтобы их увидеть: <domainname>\System\Policies, как показано на рисунке 5.

Рисунок 5: Список GPC  можно увидеть в узле System\Policies.

Рисунок 5: Список GPC можно увидеть в узле System\Policies.

Здесь вы можете увидеть полный список GUID, которые соответствуют GPC для каждого GPO в домене.

Репликация GPC также инициируется при изменении любого параметра в GPO, точно также, как и GPT. Однако, репликация GPC не основывается на состоянии и не происходит с помощью FRS. Вместо этого, как и все объекты Active Directory, GPC реплицируется посредством Active Directory.

По умолчанию репликация Active Directory имеет два различных расписания репликации. Существует репликация между контроллерами домена, которые в одном узле сети, и репликация между контроллерами домена, которые расположены в различных узлах сети.

Первая репликация происходит каждые 15 секунд для контроллеров домена, которые расположены в одном узле сети. Этот интервал не должен меняться и контролируется с помощью Knowledge Consistency Checker (KCC).

Вторая репликация по умолчанию происходит каждые 3 часа и контролируется с помощью Intersite Topology Generator (ISTG). Этот интервал изменяется, и в большинстве случаев его необходимо уменьшить, чтобы оптимизировать изменения на контроллерах домена. Чтобы изменить этот интервал, вы должны модифицировать ссылку и настроить расписание. Это можно сделать с помощью инструмента под названием Active Directory Sites and Services, что показано на рисунке 6.

Рисунок 6: Репликацией между узлами сети можно управлять, и уменьшить интервал обновления, который по умолчанию составляет 3 часа.

Рисунок 6: Репликацией между узлами сети можно управлять, и уменьшить интервал обновления, который по умолчанию составляет 3 часа.

Проверка репликации GPO

Самый простой инструмент для проверки репликации GPC и GPT называется GPOTool. Этот инструмент абсолютно бесплатен и очень прост в использовании. Он входит в состав операционной системы, и его можно запустить из командной строки. Просто наберите gpotool <dcname> /verbose в командной строке, что можно увидеть на рисунке 7.

Рисунок 7: GPOTool предоставляет информацию о репликации GPO.

Рисунок 7: GPOTool предоставляет информацию о репликации GPO.

В результате выполнения этой команды, мы получим номера версий GPT и GPC для каждого GPO на контроллере домена.

Если часть GPO не реплицирована на контроллере домена, на котором вы аутентифицируетесь, то есть шанс, что новые параметры для GPO не применятся. Поэтому, если вы знаете, что GPO изменился, а новые параметры еще не были доставлены, то не плохо было бы проверить, что GPO был реплицирован на том контроллере домена, на котором вы аутентифицируетесь.

Резюме

Репликация групповой политики контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Для того, чтобы содержимое GPO постоянно обновлялось на всех контроллерах домена, репликация должна быть объединена для обеих частей GPO, GPT и GPC, чтобы обеспечить правильную работу групповой политики. Благодаря использованию таких инструментов, как GPOTool, вы можете убедиться, что все параметры GPO были реплицированы для всех контроллеров домена.

Автор: Дерек Мелбер  •  Иcточник: Netdocs.ru  •  Опубликована: 05.09.2008
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.