Реплікація групових політик

Реплікація групової політики в Active Directory контролюється двома різними механізмами реплікації: FRS і репликацией Active Directory. Спробуємо поговорити про ці технології детальніше.

Групові політики стали важливим і зручним інструментом управління парком ПК і серверів в Active Directory, в зв'язку з чим системний адміністратор повинен розбиратися в тонкощах роботи групових політик (Дивись статтю про типові проблеми при застосуванні GPO). До складу технології групових політик входять різні складові, в тому числі такі клієнтські розширення, як файли ADM / ADMX файли, GPC, GPT та багато іншого. При будь-якому зміні групової політики, це зміна відбувається тільки на одному контролері домену, а отже, інформація про цю зміну в об'єкті групової політики повинні бути скопійована на все решту контролери домену. Такий механізм реплікації задіє кілька різних технологій реплікації, і в разі некоректного завершення, може викликати суттєві проблеми. У цій статті ми обговоримо процес реплікації групових політик, і так само дії, що дозволяють упевнитися в коректності виконання реплікації.

Запуск реплікації GP по триггеру

Такий тригер реплікації спрацьовує в разі зміни налаштувань об'єкту GPO. Це може бути зміна будь-якого з більш ніж 5000 параметрів групових політик в Windows Server 2008. Зміна може статися як у секції конфігурації комп'ютера так і в секції конфігурації користувача, будь-яка така зміна викличе реплікацію group policy!

Система окремо відстежує такий запуск при зміні налаштувань в політиці комп'ютерів і користувачів. Якщо ви подивіться на деталі GPO в консолі управління груповими політиками (GPMC), ви побачите, що існує список версій налаштувань комп'ютерів і користувачів.

Коли відбувається зміна в будь-якій частині GPO, змінюється номер версії (він збільшується) відповідної частини групової політики.

У тому випадку, якщо редагування GPO ведеться за допомогою Group Policy Management Editor (GPME), тоді за замовчуванням використовується контролер домену, що виконує роль емулятора PDC. Таким чином, всі реплікації будуть витікати з цього контролера домену. Якщо вибрано інший контролер домену (його можна вибрати в консолі керування груповою політикою), в цьому випадку реплікація почнеться з цього контролера домену.

Реплікація шаблонів Group Policy

Шаблон групової політики (GPT) - це частина групової політики, настройки якої зберігаються в одному або декількох файлах. Ця частина об'єкта групової політики і пов'язані з нею файли зберігаються на контролерах домену в каталозі Sysvol. За умовчанням вони лежать за адресою: c: \ Windows\ Sysvol\ Sysvol\> \ Policies


Папка Sysvol на контролерах домену використовується для надання клієнтам параметрів групової політики і сценаріїв входу / виходу в систему. І так як Sysvol використовується для аутентифікації користувачів і комп'ютерів, дані в ній повинні бути актуальними на всіх контролерах домену. Коли в Sysvol на одному контролері домену відбувається зміна будь-яка інформація, то це викликає процес реплікації Sysvol на інші контролери домену.

Sysvol реплицируется з використанням служби реплікації файлів File Replication System (FRS). Служба FRS не використовує реплікацію за графіком, замість цього вона використовує механізм реплікації станом. Це означає, що як тільки відбувається зміна в будь-якому файлі або структурі папок Sysvol, то запускається механізм реплікації. Таке рішення забезпечує дуже ефективну і швидку модель реплікації для GPT.

В якості примітки, варто відзначити, що реплікація FRS не співвідноситься з межами сайту. Таким чином, така реплікація торкнеться всіх контролери домену протягом всього лише декількох хвилин, не залежно в якому сайті (нехай навіть віддаленому) знаходяться ці DC.

Примітка: У Windows Server 2008 для реплікації вмісту Sysvol може використовувати як FRS так і DFS-R. До речі, прочитайте статтю про те, як можна задіяти реплікацію FRS на окремому порту.

Реплікація контейнера групової політики

Контейнери групових політик (Group Policy Container -GPC) зберігаються в Active Directory. В принципі GPC не містить ніяких налаштувань, тому що вся параметри групової політики зберігаються в GPT. Контейнер Group Policy містить всю довідкову інформацію для GPO, а саме шлях до GPT, в тому числі GUID об'єкта групової політики, а також всю інформацію про GPC в Active Directory.

Ви можете переглянути всі GPC і їх властивості за допомогою оснастки Active Directory Users and Computers (ADUC). В консолі ADUC, перш за все необхідно включити відображення додаткових функцій (Advanced Features).
Після чого, перейдіть в розділ domainname> \ System\ Policies.

Тут ви побачите повний список GUID, які відповідають GPC для кожного об'єкта групової політики в домені.

Реплікація GPC також викликається будь-якими змінами в настройках групової політики, точно так само як у випадку з GPT. Однак, реплікація GPC не базується на перевірці стану об'єкта або на FRS. Реплікація Group Policy Container, так само як і реплікація інших об'єктів Active Directory здійснюється за допомогою механізму реплікації Active Directory.

Реплікації Active Directory за замовчуванням використовує два типи розкладів. Існує реплікація між контролерами домену, які перебувають в одному сайті, і міжсайтовий реплікація.

Для контролерів домену в одному сайті реплікація відбувається кожні 15 секунд. Цей інтервал не може бути змінений і контролюється механізмом перевірки узгодженості (Knowledge Consistency Checker - KCC).

Другий тип реплікації за замовчуванням відбувається кожні 3 години, і контролюється службою межсайтовой топології - Intersite Topology Generator (ISTG). Цей інтервал можна змінити, і в більшості його потрібно зменшити для оптимізації поширення змін між контролерами доменів. Ці зміни можна зробити за допомогою консолі Active Directory Sites and Services. Для цього нам потрібно в ній вибрати необхідну зв'язок між сайтами і налаштувати розклад.


Перевірка реплікації GPO

Найпростіший інструмент діагностики реплікації GPC і GPT є GPOTool. Цей інструмент є безкоштовним і дуже простим у використанні. Він поставляється разом з операційною системою і може бути запущений з командного рядка. Просто наберіть в командному рядку gpotool > / Verbose .


Результатом виконання цієї команди буде відображення номерів версії GPT і GPC для кожного об'єкта групової політики на всіх перерахованих контролерах домену.

Таким чином, якщо ви знаєте, що GPO був змінений, але настройки не застосовуються, було б добре переконатися, що GPO були реплікуються на контролер домену, на якому ви були автентифіковано.

резюме

Реплікація групових політик контролюється двома різними механізмами реплікації: FRS і репликацией Active Directory. Для того, щоб вміст GPO було актуальним на всіх контролерах домену, повинна бути здійснена реплікація обох частин групової політики - GPT і GPC, тільки при виконанні цієї умови GPO будуть функціонувати коректно. За допомогою утиліти GPOTool, ви завжди можете переконатися, що всі дані об'єктів групової політики були реплікуються на ваш контролер домену.