Replikacja zasad grupy

Replikacja zasad grupy w Active Directory jest kontrolowana przez dwa różne mechanizmy replikacji: FRS i Active Directory. Spróbujmy porozmawiać o tych technologiach bardziej szczegółowo..

Zasady grupy stały się ważnym i wygodnym narzędziem do zarządzania flotą komputerów i serwerów w usłudze Active Directory, dlatego też administrator systemu musi zrozumieć zawiłości pracy zasad grupy (zobacz artykuł na temat typowych problemów podczas korzystania z obiektów zasad grupy). Technologia zasad grupy obejmuje różne składniki, w tym rozszerzenia klienta, takie jak pliki ADM / ADMX, GPC, GPT i wiele innych. Przy każdej zmianie zasad grupy zmiana ta występuje tylko na jednym kontrolerze domeny, dlatego informacje o tej zmianie w obiekcie zasad grupy należy skopiować na wszystkie pozostałe kontrolery domeny. Taki mechanizm replikacji obejmuje kilka różnych technologii replikacji, a jeśli nie zostanie poprawnie ukończony, może powodować poważne problemy. W tym artykule omówimy proces replikacji zasad grupy, a także kroki zapewniające prawidłowe wykonanie replikacji..

Wyzwalanie replikacji GP

Taki wyzwalacz replikacji jest wyzwalany po zmianie ustawień obiektu GPO. Może to być zmiana dowolnego z ponad 5000 ustawień zasad grupy w systemie Windows Server 2008. Zmiana może nastąpić zarówno w sekcji konfiguracji komputera, jak i sekcji konfiguracji użytkownika, każda taka zmiana spowoduje replikację grupa polisa!

System osobno monitoruje takie uruchomienie przy zmianie ustawień w polityce komputerów i użytkowników. Jeśli spojrzysz na szczegóły obiektu zasad grupy w Konsoli zarządzania zasadami grupy (GPMC), zobaczysz, że istnieje lista ustawień wersji dla komputerów i użytkowników.

Gdy zmiana występuje w dowolnej części obiektu zasad grupy, zmienia się numer wersji (zwiększa się) odpowiedniej części zasad grupy.

Jeśli edytowanie obiektu zasad grupy odbywa się za pomocą edytora zarządzania zasadami grupy (GPME), domyślnie jest używany kontroler domeny, który działa jak emulator kontrolera PDC. Zatem wszystkie replikacje będą płynęły z tego kontrolera domeny. Jeśli zostanie wybrany inny kontroler domeny (możesz go wybrać w konsoli zarządzania zasadami grupy), w takim przypadku replikacja rozpocznie się od tego kontrolera domeny.

Replikacja szablonu zasad grupy

Szablon zasad grupy (GPT) jest częścią zasad grupy, których ustawienia są przechowywane w co najmniej jednym pliku. Ta część obiektu zasad grupy i powiązane z nią pliki są przechowywane na kontrolerach domeny w katalogu Sysvol. Domyślnie znajdują się w: c: \ Windows\ Sysvol\ Sysvol\> \ Zasady


Folder Sysvol na kontrolerach domeny służy do udostępniania ustawień zasad grupy i skryptów logowania / logowania klientom. A ponieważ Sysvol służy do uwierzytelniania użytkowników i komputerów, zawarte w nim dane muszą być odpowiednie na wszystkich kontrolerach domeny. Gdy dowolne informacje ulegną zmianie w Sysvol na jednym kontrolerze domeny, powoduje to replikację procesu Sysvol na innych kontrolerach domeny.

Sysvol jest replikowany przy użyciu systemu replikacji plików (FRS). FRS nie korzysta z zaplanowanej replikacji, zamiast tego korzysta z replikacji opartej na stanie. Oznacza to, że jak tylko nastąpi zmiana w dowolnej strukturze pliku lub folderu Sysvol, uruchamia się mechanizm replikacji. To rozwiązanie zapewnia bardzo wydajny i szybki model replikacji dla GPT..

Na marginesie warto zauważyć, że replikacja FRS nie pasuje do granic witryny. Tak więc taka replikacja wpłynie na wszystkie kontrolery domeny w ciągu zaledwie kilku minut, bez względu na to, w której witrynie (nawet zdalnej) znajdują się te kontrolery domeny.

Uwaga: W systemie Windows Server 2008 Sysvol może używać zarówno FRS, jak i DFS-R do replikacji treści. Nawiasem mówiąc, przeczytaj artykuł o tym, jak włączyć replikację FRS na osobnym porcie..

Replikacja kontenera zasad grupy

Kontenery zasad grupy (GPC) są przechowywane w usłudze Active Directory. Zasadniczo GPC nie zawiera żadnych ustawień, ponieważ wszystkie ustawienia zasad grupy są przechowywane w GPT. Kontener zasad grupy zawiera wszystkie informacje referencyjne dotyczące GPO, a mianowicie ścieżkę do GPT, w tym GPO GPO, a także wszystkie informacje GPC w Active Directory.

Możesz wyświetlić wszystkie GPC i ich właściwości za pomocą przystawki Użytkownicy i komputery usługi Active Directory (ADUC). W konsoli ADUC należy przede wszystkim włączyć wyświetlanie funkcji zaawansowanych (Funkcje zaawansowane).
Następnie przejdź do sekcji nazwa domeny> \ System\ Policies.

Tutaj zobaczysz pełną listę identyfikatorów GUID, które odpowiadają GPC dla każdego obiektu GPO w domenie.

Replikacja GPC jest również wywoływana przez wszelkie zmiany w ustawieniach zasad grupy, podobnie jak w przypadku GPT. Jednak replikacja GPC nie jest oparta na sprawdzaniu stanu obiektu ani FRS. Replikacja kontenera zasad grupy, a także replikacja innych obiektów usługi Active Directory, odbywa się przy użyciu mechanizmu replikacji usługi Active Directory.

Replikacja usługi Active Directory domyślnie korzysta z dwóch rodzajów harmonogramów. Istnieje replikacja między kontrolerami domeny znajdującymi się w tej samej lokacji i replikacją między lokacjami.

W przypadku kontrolerów domeny w jednej lokacji replikacja zachodzi co 15 sekund. Przedziału tego nie można zmienić i jest on kontrolowany przez narzędzie sprawdzania spójności wiedzy (KCC)..

Drugi typ replikacji domyślnie występuje co 3 godziny i jest monitorowany przez usługę topologii krzyżowej generatora międzylokacyjnego (ISTG). Przedział ten można zmienić, aw większości przypadków należy go zmniejszyć, aby zoptymalizować propagację zmian między kontrolerami domeny. Zmian tych można dokonać za pomocą konsoli Lokacje i usługi Active Directory. Aby to zrobić, musimy wybrać wymagane połączenie między stronami i ustawić harmonogram.


Sprawdź replikację obiektu zasad grupy

Najprostszym narzędziem diagnostycznym do replikacji GPC i GPT jest GPOTool. To narzędzie jest bezpłatne i bardzo łatwe w użyciu. Pochodzi z systemem operacyjnym i można go uruchomić z wiersza polecenia. Wystarczy wpisać w wierszu polecenia gpotool > / verbose .


Wynikiem tego polecenia będzie wyświetlanie numerów wersji GPT i GPC dla każdego obiektu zasad grupy na wszystkich wymienionych kontrolerach domeny.

Dlatego jeśli wiesz, że obiekt GPO został zmieniony, ale ustawienia nie zostały zastosowane, dobrze byłoby upewnić się, że obiekty GPO zostały zreplikowane na kontrolerze domeny, na którym zostałeś uwierzytelniony.

Podsumowanie

Replikacja zasad grupy jest kontrolowana przez dwa różne mechanizmy replikacji: replikację FRS i Active Directory. Aby zawartość obiektu zasad grupy była istotna na wszystkich kontrolerach domeny, replikacja obu części zasad grupy - GPT i GPC - musi zostać przeprowadzona, tylko jeśli ten warunek zostanie spełniony, obiekt GPO będzie działał poprawnie. Za pomocą narzędzia GPOTool możesz zawsze upewnić się, że wszystkie dane GPO zostały zreplikowane na kontrolerze domeny.