Replikácia skupinovej politiky

Replikácia skupinovej politiky v službe Active Directory je riadená dvoma rôznymi mechanizmami replikácie: replikáciou FRS a Active Directory. Pokúsme sa o týchto technológiách hovoriť podrobnejšie..

Skupinové politiky sa stali dôležitým a pohodlným nástrojom na správu flotily počítačov a serverov v službe Active Directory, a preto musí správca systému porozumieť zložitosti skupinových politík (pozri článok o typických problémoch pri používaní GPO). Technológia skupinovej politiky obsahuje rôzne komponenty vrátane klientskych rozšírení, ako sú súbory ADM / ADMX, GPC, GPT a mnoho ďalších. Pri akejkoľvek zmene zásad skupiny sa táto zmena vyskytuje iba na jednom radiči domény, a preto sa informácie o tejto zmene v GPO musia skopírovať do všetkých zostávajúcich radičov domény. Taký replikačný mechanizmus zahŕňa niekoľko rôznych replikačných technológií a ak nie je správne dokončený, môže spôsobiť značné problémy. V tomto článku sa budeme venovať procesu replikácie skupinových politík, ako aj kroky na zabezpečenie správneho vykonania replikácie..

Spustenie replikácie GP

Takýto spúšťač replikácie sa spustí pri zmene nastavení objektu GPO. Môže to byť zmena ktoréhokoľvek z viac ako 5 000 nastavení skupinovej politiky v systéme Windows Server 2008. K zmene môže dôjsť v sekcii konfigurácie počítača aj v sekcii konfigurácie používateľa., každá takáto zmena spôsobí replikáciu skupina politika!

Systém takéto spustenie monitoruje osobitne pri zmene nastavení v politike počítačov a používateľov. Ak sa pozriete na podrobnosti GPO v konzole Group Policy Management Console (GPMC), uvidíte, že existuje zoznam nastavení verzií pre počítače a používateľov..

Ak dôjde k zmene v ktorejkoľvek časti GPO, zmení sa číslo verzie (zvyšuje) zodpovedajúcej časti skupinovej politiky.

Ak sa úprava objektu GPO vykonáva pomocou editora správy politiky skupiny (GPME), predvoleným nastavením je použitie radiča domény, ktorý funguje ako emulátor PDC. Z tohto radiča domény teda budú plynúť všetky replikácie. Ak je vybratý iný radič domény (môžete ho vybrať v GPMC), v tomto prípade sa replikácia začne z tohto radiča domény..

Replikácia šablóny skupinovej politiky

Šablóna skupinovej politiky (GPT) je súčasťou skupinovej politiky, ktorej nastavenia sú uložené v jednom alebo viacerých súboroch. Táto časť objektu GPO a súvisiace súbory sú uložené v radičoch domény v adresári Sysvol. V predvolenom nastavení sú umiestnené na adrese: C: \ Windows\ Sysvol\ Sysvol\> \ Policies


Zložka Sysvol na radičoch domény sa používa na poskytovanie nastavení skupinovej politiky a prihlasovacích / prihlasovacích skriptov klientom. A keďže sa Sysvol používa na autentifikáciu používateľov a počítačov, údaje v ňom musia byť relevantné pre všetky radiče domény. Keď sa akékoľvek informácie v systéme Sysvol zmenia na jednom radiči domény, proces Sysvol sa replikuje na ďalšie radiče domény.

Sysvol sa replikuje pomocou systému replikácie súborov (FRS). FRS nepoužíva naplánovanú replikáciu, ale namiesto toho používa stavovú replikáciu. To znamená, že akonáhle nastane zmena v akejkoľvek štruktúre súborov alebo priečinkov Sysvol, spustí sa replikačný mechanizmus. Toto riešenie poskytuje veľmi efektívny a rýchly replikačný model pre GPT..

Ako vedľajšiu poznámku stojí za zmienku, že replikácia FRS sa nezhoduje s hranicami lokality. Takáto replikácia teda ovplyvní všetky radiče domény za pár minút, bez ohľadu na to, na ktorom mieste (aj vzdialenom) sú tieto domény DC.

Poznámka: V systéme Windows Server 2008 môže spoločnosť Sysvol na replikáciu obsahu používať FRS aj DFS-R. Mimochodom, prečítajte si článok o tom, ako povoliť replikáciu FRS na samostatnom porte..

Replikácia kontajnera skupinovej politiky

Kontajnery skupinových politík (GPC) sú uložené v službe Active Directory. GPC v zásade neobsahuje žiadne nastavenia, pretože všetky nastavenia skupinovej politiky sú uložené v GPT. Kontajner skupinovej politiky obsahuje všetky referenčné informácie o GPO, konkrétne cestu k GPT vrátane GPO GPO, ako aj všetky informácie o GPC v službe Active Directory.

Pomocou modulu snap-in ADUC (Active Directory Users and Computers) môžete zobraziť všetky GPC a ich vlastnosti. Najprv musíte v konzole ADUC povoliť zobrazenie pokročilých funkcií (rozšírené funkcie)..
Potom prejdite do časti domainname> \ System\ Zásady.

Tu uvidíte kompletný zoznam GUID, ktoré zodpovedajú GPC pre každý GPO v doméne.

Replikácia GPC sa spúšťa aj všetkými zmenami v nastaveniach skupinovej politiky, rovnako ako v prípade GPT. Replikácia GPC však nie je založená na kontrole stavu objektu alebo FRS. Skupinová politika Replikácia kontajnera, ako aj replikácia iných objektov služby Active Directory, sa vykonáva pomocou mechanizmu replikácie služby Active Directory.

Replikácia služby Active Directory štandardne používa dva typy plánov. Medzi radičmi domény, ktoré sa nachádzajú na rovnakom mieste, a medzi nimi sa vyskytuje replikácia.

V prípade radičov domény na jednom webe dochádza k replikácii každých 15 sekúnd. Tento interval sa nedá zmeniť a je riadený programom Kontrola zhody vedomostí (KCC)..

Druhý typ replikácie sa predvolene vyskytuje každé 3 hodiny a monitoruje ho služba topológií medzisieťového generátora (ISTG). Tento interval sa dá zmeniť a vo väčšine prípadov je potrebné ho skrátiť, aby sa optimalizovalo šírenie zmien medzi radičmi domény. Tieto zmeny je možné vykonať pomocou konzoly Lokality a služby Active Directory. Aby sme to dosiahli, musíme vybrať požadované spojenie medzi webmi v ňom a nastaviť plán.


Skontrolujte replikáciu GPO

Najjednoduchším diagnostickým nástrojom na replikáciu GPC a GPT je GPOTool. Tento nástroj je bezplatný a veľmi ľahko použiteľný. Dodáva sa s operačným systémom a dá sa spustiť z príkazového riadku. Stačí zadať príkazový riadok gpotool > / verbose .


Výsledkom tohto príkazu bude zobrazenie čísel verzií GPT a GPC pre každý GPO na všetkých uvedených radičoch domény..

Ak teda viete, že objekt GPO bol zmenený, ale nastavenia sa neuplatňujú, bolo by dobré uistiť sa, že sa objekty GPO replikovali do radiča domény, na ktorom ste boli autentifikovaní..

zhrnutie

Replikácia skupinovej politiky je riadená dvoma rôznymi mechanizmami replikácie: replikáciou FRS a Active Directory. Aby bol obsah GPO relevantný pre všetky radiče domény, musí sa vykonať replikácia oboch častí skupinovej politiky, GPT a GPC, iba ak je splnená táto podmienka, bude GPO fungovať správne. Pomocou pomocného programu GPOTool sa vždy môžete uistiť, že všetky údaje GPO boli replikované do vášho radiča domény.