Репликация на групова политика

Репликацията на груповата политика в Active Directory се контролира от два различни механизма на репликация: FRS и репликация на Active Directory. Нека се опитаме да поговорим за тези технологии по-подробно..

Груповите политики са се превърнали във важен и удобен инструмент за управление на флота от персонални компютри и сървъри в Active Directory и следователно системният администратор трябва да разбере тънкостите на работата на груповите политики (Вижте статията за типичните проблеми при използване на GPO). Технологията за групова политика включва различни компоненти, включително разширения на клиенти като ADM / ADMX файлове, GPC, GPT и много други. С всяка промяна в груповата политика тази промяна се извършва само на един контролер на домейни и следователно информацията за тази промяна в GPO трябва да се копира на всички останали контролери на домейни. Такъв механизъм за репликация включва няколко различни технологии за репликация и ако не бъде завършен правилно, може да причини значителни проблеми. В тази статия ще обсъдим процеса на репликиране на групови политики, както и стъпките за гарантиране на правилното изпълнение на репликацията..

Задействане на GP репликация

Такъв тригер за репликация се задейства при промяна на настройките на GPO обекта. Това може да бъде промяна на която и да е от над 5000 настройки на групови правила в Windows Server 2008. Промяна може да възникне както в секцията за конфигурация на компютъра, така и в секцията за конфигурация на потребителя., всяка такава промяна ще предизвика репликация група политика!

Системата отделно следи подобно стартиране при промяна на настройките в политиката на компютрите и потребителите. Ако погледнете подробностите за GPO в конзолата за групово управление на политики (GPMC), ще видите, че има списък с настройки за версиите за компютри и потребители.

Когато настъпи промяна в която и да е част от GPO, номерът на версията (тя се увеличава) на съответната част от груповата политика се променя.

Ако редактирането на GPO се извършва с помощта на редактора за управление на групови политики (GPME), тогава по подразбиране е да използвате контролер на домейн, който действа като PDC емулатор. По този начин всички репликации ще се движат от този контролер на домейни. Ако е избран друг контролер на домейн (можете да го изберете в GPMC), в този случай репликацията ще започне от този контролер на домейн.

Репликация на шаблони на групови правила

Шаблон за групови правила (GPT) е част от груповата политика, чиито настройки се съхраняват в един или повече файлове. Тази част от GPO и свързаните с нея файлове се съхраняват на контролери на домейни в директорията Sysvol. По подразбиране те се намират на адрес: в: \ Windows\ Sysvol\ Sysvol\> \ Политики


Папката Sysvol на контролерите на домейни се използва за предоставяне на настройки на груповата политика и скриптове за влизане / влизане на клиентите. И тъй като Sysvol се използва за удостоверяване на потребители и компютри, данните в него трябва да са от значение за всички контролери на домейни. Когато някаква информация се промени в Sysvol на един контролер на домейни, това причинява процеса на Sysvol да се репликира към други контролери на домейни.

Sysvol се репликира с помощта на системата за репликация на файлове (FRS). FRS не използва планирана репликация, вместо това използва репликация, базирана на състоянието. Това означава, че веднага щом настъпи промяна в структурата на всеки файл или папка на Sysvol, механизмът за репликация се стартира. Това решение осигурява много ефективен и бърз модел на репликация за GPT..

Като странична бележка, заслужава да се отбележи, че репликацията на FRS не съответства на границите на сайта. По този начин, подобна репликация ще засегне всички контролери на домейни само за няколко минути, без значение на кой сайт (дори отдалечен) са тези DCs.

Забележка: В Windows Server 2008 Sysvol може да използва както FRS, така и DFS-R, за да копира съдържание. Между другото, прочетете статията как да активирате репликацията на FRS на отделен порт..

Репликация на контейнер за групова политика

Контейнерите за групови политики (GPC) се съхраняват в Active Directory. По принцип GPC не съдържа никакви настройки, защото всички настройки на груповата политика се съхраняват в GPT. Контейнерът за групови правила съдържа цялата референтна информация за GPO, а именно пътя към GPT, включително GPO на GPO, както и цялата информация за GPC в Active Directory.

Можете да видите всички GPC и техните свойства, като използвате приспособлението Active Directory потребители и компютри (ADUC). В конзолата ADUC на първо място трябва да активирате показването на разширени функции (Разширени функции).
След това отидете на секцията DOMAINNAME> \ Система\ Политики.

Тук ще видите пълен списък с GUID, които съответстват на GPC за всеки GPO в домейна.

Репликацията на GPC също се задейства от всякакви промени в настройките на груповата политика, както в случая с GPT. GPC репликацията обаче не се основава на проверка на състоянието на обекта или FRS. Репликацията на контейнер за групова политика, както и репликацията на други обекти на Active Directory, се извършва с помощта на механизма за репликация на Active Directory.

Репликацията на Active Directory използва по подразбиране два типа графици. Има репликация между контролерите на домейни, които са в един и същи сайт, и репликация между сайтове.

За контролери на домейни в един сайт репликацията се извършва на всеки 15 секунди. Този интервал не може да бъде променен и се контролира от Проверка за консистенция на знанието (KCC)..

Вторият тип репликация по подразбиране се случва на всеки 3 часа и се следи от междупосочната топология на генератора (ISTG) междупосочна топология. Този интервал може да бъде променен и в повечето случаи трябва да се намали, за да се оптимизира разпространението на промените между контролерите на домейни. Тези промени могат да бъдат направени с помощта на конзолата Active Directory Sites and Services. За да направите това, трябва да изберете необходимата връзка между сайтовете в него и да зададете графика.


Проверете GPO Replication

Най-простият диагностичен инструмент за репликиране на GPC и GPT е GPOTool. Този инструмент е безплатен и много лесен за използване. Той идва с операционната система и може да бъде стартиран от командния ред. Просто въведете командния ред gpotool > / многословен .


Резултатът от тази команда ще бъде показването на номера на версиите GPT и GPC за всеки GPO на всички изброени контролери на домейни.

По този начин, ако знаете, че GPO е променен, но настройките не са приложени, би било добре да се уверите, че те са били репликирани към контролера на домейна, на който сте били удостоверени.

резюме

Репликацията на груповата политика се контролира от два различни механизма на репликация: FRS и репликация в Active Directory. За да може съдържанието на GPO да е от значение за всички контролери на домейни, трябва да се извърши репликация на двете части на груповата политика - GPT и GPC, само ако това условие е изпълнено, GPO ще функционира правилно. Използвайки помощната програма GPOTool, винаги можете да се уверите, че всички GPO данни са били репликирани във вашия домейн контролер.