По мере того, как групповые политики
становятся все более важными для управления рабочими станциями и
серверами в Active Directory, становится ясно, что подробности, которые
окружают групповые политики (Group Policy), необходимо понимать более
полно. Есть много элементов групповой политики, включая расширения на
стороне клиента, файлы ADM/ADMX, GPC, GPT и многое другое. Если в
объекте групповой политики (Group Policy object или GPO) возникает
изменение, то это изменение возникает на одном контроллере домена
(domain controller). Поэтому, изменение GPO должно быть реплицировано
на все другие контроллеры домена. Эта репликация затрагивает множество
механизмов репликации, и в случае неправильного завершения может
привести к нежелательным результатам. В этой статье мы обсудим
репликацию групповой политики (Group Policy), а также, что вы можете
сделать, чтобы убедиться, что репликация прошла правильно.
Инициирование репликации
Репликация инициируется, если изменились параметры в GPO. Это может
быть любой параметр в GPO, которых в Windows Server 2008 свыше 5000.
Изменение может возникнуть либо на стороне Computer Configuration
(конфигурации компьютера), либо на стороне User Configuration
(конфигурация пользователя) GPO. Любое из них инициирует возникновение
репликации.
Система отслеживает это инициирование для изменений компьютера или
пользователя в GPO. Если вы посмотрите на GPO в консоли управления
групповыми политиками (Group Policy Management Console или GPMC), то вы
увидите, что существует список версий компьютеров и пользователей, как
видно из рисунка 1.
Рисунок 1: В GPMC отображается версия разделов Computer и User GPO.
Когда происходит изменении в любом из разделов GPO, номер версии для этого раздела изменяется, как видно из рисунка 2.
Рисунок 2: Изменение параметров GPO приводит к увеличению номера версии.
Если GPO редактируется в редакторе Group Policy Management Editor
(GPME), то по умолчанию используется контроллер домена, на котором
запущена роль эмулятора (PDC Emulator). Поэтому вся репликация будет
происходить с этого контроллера домена. Если выбран другой контроллер
домена, что можно сделать в консоли GPMC (смотри рисунок 3), то
репликация начнется с этого контроллера домена.
Репликация шаблона групповой политики (Group Policy Template)
Раздел GPO, который хранит настройки в одном или нескольких файлах,
называется шаблоном политики группы (Group Policy Template или GPT).
Этот раздел GPO, а связанные файлы хранятся на контроллерах домена в
папке Sysvol. По умолчанию, путь к этим файлам следующий: c:\Windows\Sysvol\Sysvol\<domainname>\Policies, что показано на рисунке 3.
Рисунок 3: Все параметры GPO хранятся в файлах в папке Sysvol на контроллерах домена.
Sysvol на контроллерах домена используется для доставки параметров
групповой политики (Group Policy) и сценариев клиентам при входе. Т.к.
Sysvol используется для аутентификации пользователей и компьютеров, то
она должна обновляться на всех контроллерах домена. Если меняется
какая-нибудь информация в Sysvol на одном контроллере домена, то
инициируется репликация Sysvol для всех других контроллеров домена.
Sysvol реплицируется с помощью системы репликации файлов (File
Replication System или FRS). FRS не имеет расписания. Вместо этого FRS
использует репликацию, основанную на состоянии. Это означает, что как
только возникли изменения в любом из файлов в структуре папки Sysvol,
инициируется репликация. Это создает очень эффективную и быструю модель
репликации для GPT.
Примечание: Windows Server 2008 может использовать FRS или DFS-R для репликации содержимого папки Sysvol.
Репликация контейнера групповой политики (Group Policy Container)
Раздел GPO под названием контейнер групповой политики (Group Policy
Container или GPC) хранится в Active Directory. В GPC не хранятся
никакие настройки, точнее все параметры, которые вы настраиваете для
GPO, хранятся в GPT. GPC содержит всю ссылочную информацию для GPO. Она
включает в себя путь к GPT, включая GUID GPO, а также всю информацию о
пути к Active Directory для GPC.
Вы можете увидеть GPC и его свойства с помощью консоли Active
Directory Users and Computers (ADUC). Когда вы откроете ADUC, то вам,
скорее всего, придется сделать небольшие изменения в конфигурации,
чтобы увидеть данные GPC. Для этого выберите пункт View (Вид) на панели
инструментов, затем выберите параметр меню Advanced Features
(расширенные возможности), как видно на рисунке 4. В результате этого в
ADUC можно будет увидеть множество дополнительной информации.
Рисунок 4: Рисунок 4: Расширенные возможности позволят увидеть GPC в ADUC.
Теперь, когда вы настроили ADUC на просмотр GPC, раскройте следующие узлы, чтобы их увидеть: <domainname>\System\Policies, как показано на рисунке 5.
Рисунок 5: Список GPC можно увидеть в узле System\Policies.
Здесь вы можете увидеть полный список GUID, которые соответствуют GPC для каждого GPO в домене.
Репликация GPC также инициируется при изменении любого параметра в
GPO, точно также, как и GPT. Однако, репликация GPC не основывается на
состоянии и не происходит с помощью FRS. Вместо этого, как и все
объекты Active Directory, GPC реплицируется посредством Active
Directory.
По умолчанию репликация Active Directory имеет два различных
расписания репликации. Существует репликация между контроллерами
домена, которые в одном узле сети, и репликация между контроллерами
домена, которые расположены в различных узлах сети.
Первая репликация происходит каждые 15 секунд для контроллеров
домена, которые расположены в одном узле сети. Этот интервал не должен
меняться и контролируется с помощью Knowledge Consistency Checker (KCC).
Вторая репликация по умолчанию происходит каждые 3 часа и
контролируется с помощью Intersite Topology Generator (ISTG). Этот
интервал изменяется, и в большинстве случаев его необходимо уменьшить,
чтобы оптимизировать изменения на контроллерах домена. Чтобы изменить
этот интервал, вы должны модифицировать ссылку и настроить расписание.
Это можно сделать с помощью инструмента под названием Active Directory
Sites and Services, что показано на рисунке 6.
Рисунок 6: Репликацией между узлами сети можно управлять, и уменьшить интервал обновления, который по умолчанию составляет 3 часа.
Проверка репликации GPO
Самый простой инструмент для проверки репликации GPC и GPT
называется GPOTool. Этот инструмент абсолютно бесплатен и очень прост в
использовании. Он входит в состав операционной системы, и его можно
запустить из командной строки. Просто наберите gpotool <dcname> /verbose в командной строке, что можно увидеть на рисунке 7.
Рисунок 7: GPOTool предоставляет информацию о репликации GPO.
В результате выполнения этой команды, мы получим номера версий GPT и GPC для каждого GPO на контроллере домена.
Если часть GPO не реплицирована на контроллере домена, на котором вы
аутентифицируетесь, то есть шанс, что новые параметры для GPO не
применятся. Поэтому, если вы знаете, что GPO изменился, а новые
параметры еще не были доставлены, то не плохо было бы проверить, что
GPO был реплицирован на том контроллере домена, на котором вы
аутентифицируетесь.
Резюме
Репликация групповой политики контролируется двумя различными
механизмами репликации: FRS и репликацией Active Directory. Для того,
чтобы содержимое GPO постоянно обновлялось на всех контроллерах домена,
репликация должна быть объединена для обеих частей GPO, GPT и GPC,
чтобы обеспечить правильную работу групповой политики. Благодаря
использованию таких инструментов, как GPOTool, вы можете убедиться, что
все параметры GPO были реплицированы для всех контроллеров домена.