Replikace zásad skupiny

Replikace zásad skupiny ve službě Active Directory je řízena dvěma různými mechanismy replikace: replikace FRS a Active Directory. Zkusme o těchto technologiích mluvit podrobněji..

Zásady skupiny se staly důležitým a pohodlným nástrojem pro správu flotily počítačů a serverů ve službě Active Directory, a proto musí správce systému porozumět složitosti zásad skupiny (viz článek o typických problémech při používání zásad GPO). Technologie Group Policy zahrnuje různé komponenty, včetně klientských rozšíření, jako jsou soubory ADM / ADMX, GPC, GPT a mnoho dalších. Při jakékoli změně zásad skupiny dojde k této změně pouze na jednom řadiči domény, a proto musí být informace o této změně v objektu zásad skupiny zkopírovány do všech zbývajících řadičů domény. Takový replikační mechanismus zahrnuje několik různých replikačních technologií a pokud není správně dokončen, může způsobit značné problémy. V tomto článku budeme diskutovat proces replikace skupinových zásad a kroky k zajištění správného provádění replikace..

Spuštění replikace GP

Takový spouštěč replikace se spustí, když se změní nastavení objektu GPO. Může to být změna jakéhokoli z více než 5 000 nastavení zásad skupiny v systému Windows Server 2008. Ke změně může dojít jak v sekci konfigurace počítače, tak v sekci konfigurace uživatele., každá taková změna způsobí replikaci skupina politika!

Systém samostatně sleduje takové spuštění při změně nastavení v politice počítačů a uživatelů. Pokud se podíváte na podrobnosti GPO v konzole pro správu zásad skupiny (GPMC), uvidíte, že existuje seznam nastavení verzí pro počítače a uživatele..

Dojde-li ke změně v kterékoli části GPO, změní se číslo verze (zvyšuje) odpovídající části skupinových zásad.

Pokud je úprava objektu GPO prováděna pomocí editoru správy zásad skupiny (GPME), pak je ve výchozím nastavení použit řadič domény, který funguje jako emulátor PDC. Všechny replikace tedy budou plynout z tohoto řadiče domény. Pokud je vybrán jiný řadič domény (můžete ho vybrat v GPMC), v tomto případě bude replikace spuštěna z tohoto řadiče domény.

Replikace šablony zásad skupiny

Šablona zásad skupiny (GPT) je součástí zásad skupiny, jejichž nastavení jsou uložena v jednom nebo více souborech. Tato část objektu GPO a přidružené soubory jsou uloženy na řadičích domény v adresáři Sysvol. Standardně jsou umístěny na: c: \ Windows\ Sysvol\ Sysvol\> \ Zásady


Složka Sysvol na řadičích domény se používá k poskytování nastavení zásad skupiny a přihlašovacích / přihlašovacích skriptů klientům. A protože se Sysvol používá k ověřování uživatelů a počítačů, musí být data v něm relevantní pro všechny řadiče domény. Při jakékoli změně informací v Sysvol na jednom řadiči domény to způsobí replikaci procesu Sysvol na jiné řadiče domény.

Sysvol je replikován pomocí systému replikace souborů (FRS). FRS nepoužívá naplánovanou replikaci, ale používá replikaci založenou na stavu. To znamená, že jakmile dojde ke změně v jakékoli struktuře souborů nebo složek Sysvol, spustí se mechanismus replikace. Toto řešení poskytuje velmi efektivní a rychlý model replikace pro GPT..

Jako vedlejší poznámku stojí za zmínku, že replikace FRS neodpovídá hranicím webu. Taková replikace tedy ovlivní všechny řadiče domény během několika minut, bez ohledu na to, na kterém webu (i vzdáleném) jsou tyto řadiče domény.

Poznámka: V systému Windows Server 2008 může společnost Sysvol použít k replikaci obsahu FRS i DFS-R. Mimochodem si přečtěte článek o tom, jak povolit replikaci FRS na samostatném portu..

Replikace kontejneru zásad skupiny

Kontejnery zásad skupiny (GPC) jsou uloženy ve službě Active Directory. GPC v zásadě neobsahuje žádná nastavení, protože všechna nastavení zásad skupiny jsou uložena v GPT. Kontejner Zásady skupiny obsahuje všechny referenční informace pro GPO, konkrétně cestu k GPT, včetně GPO GPO, stejně jako všechny informace GPC ve službě Active Directory.

Všechny moduly GPC a jejich vlastnosti můžete zobrazit pomocí modulu snap-in Uživatelé a počítače služby Active Directory (ADUC). V konzole ADUC musíte nejprve povolit zobrazení pokročilých funkcí (Pokročilé funkce).
Poté přejděte do sekce doménové jméno> \ System\ Zásady.

Zde uvidíte kompletní seznam identifikátorů GUID, které odpovídají GPC pro každý GPO v doméně.

Replikace GPC je také vyvolána všemi změnami nastavení zásad skupiny, stejně jako v případě GPT. Replikace GPC však není založena na kontrole stavu objektu nebo FRS. Replikace kontejneru zásad skupiny a replikace dalších objektů služby Active Directory se provádí pomocí mechanismu replikace služby Active Directory.

Replikace služby Active Directory ve výchozím nastavení používá dva typy plánů. Mezi řadiči domény, které jsou na stejném webu a křížovou replikací, dochází k replikaci.

U řadičů domény na jednom webu dochází k replikaci každých 15 sekund. Tento interval nelze změnit a je řízen kontrolou znalostí konzistence znalostí (KCC)..

Druhý typ replikace ve výchozím nastavení dochází každé 3 hodiny a je sledován službou topologie mezi weby topologie generátoru (ISTG). Tento interval lze změnit a ve většině případů je třeba jej zmenšit, aby se optimalizovalo šíření změn mezi řadiči domény. Tyto změny lze provést pomocí konzoly Weby a služby Active Directory. Chcete-li to provést, musíme vybrat požadované spojení mezi weby v něm a nastavit plán.


Zkontrolujte replikaci GPO

Nejjednodušší diagnostický nástroj pro replikaci GPC a GPT je GPOTool. Tento nástroj je zdarma a velmi snadno použitelný. Je dodáván s operačním systémem a lze jej spustit z příkazového řádku. Stačí napsat na příkazový řádek gpotool > / podrobně .


Výsledkem tohoto příkazu bude zobrazení čísel verzí GPT a GPC pro každý GPO na všech uvedených řadičích domény..

Pokud tedy víte, že GPO byl změněn, ale nastavení nejsou použita, bylo by dobré se ujistit, že GPO byly replikovány do řadiče domény, na kterém jste byli ověřeni..

Shrnutí

Replikace zásad skupiny je řízena dvěma různými mechanismy replikace: replikace FRS a Active Directory. Aby byl obsah GPO relevantní pro všechny řadiče domény, musí být provedena replikace obou částí skupinových zásad, GPT a GPC, pouze pokud je tato podmínka splněna, bude GPO fungovat správně. Pomocí nástroje GPOTool se můžete vždy ujistit, že všechna data GPO byla replikována do vašeho řadiče domény.