Репликация групповой политики в Active Directory контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Попробуем поговорить об этих технологии поподробнее.
Групповые политики стали важным и удобным инструментом управления парком ПК и серверов в Active Directory, в связи с чем системный администратор должен разбираться в тонкостях работы групповых политик ( Смотри статью о типовых проблемах при применении GPO). В состав технологии групповых политик входят различные составляющие, в том числе такие клиентские расширения, как файлы ADM/ADMX файлы, GPC, GPT и многие другое. При каком-либо изменении групповой политики, это изменение происходит только на одном контроллере домена, а следовательно, информация об этом изменении в объекте групповой политики должны быть скопирована на все оставшиеся контроллеры домена. Такой механизм репликации задействует несколько различных технологий репликации, и в случае некорректного завершения, может вызвать существенные проблемы. В этой статье мы обсудим процесс репликации групповых политик, и так же действия, позволяющие удостовериться в корректности выполнения репликации.
Запуск репликации GP по триггеру
Такой триггер репликации срабатывает в случае изменения настроек объекта GPO. Это может быть изменение любого из более чем 5000 параметров групповых политик в Windows Server 2008. Изменение может произойти как в секции конфигурации компьютера так и в секции конфигурации пользователя, любое такое изменение вызовет репликацию group policy!
Система раздельно отслеживает такой запуск при изменении настроек в политике компьютеров и пользователей. Если вы посмотрите на детали GPO в консоли управления групповыми политиками (GPMC), вы увидите, что существует список версий настроек компьютеров и пользователей.
Когда происходит изменение в любой части GPO, изменяется номер версии (он увеличивается) соответственной части групповой политики.
В том случае, если редактирование GPO ведется с помощью Group Policy Management Editor (GPME), тогда по умолчанию используется контроллер домена, выполняющий роль эмулятора PDC. Таким образом, все репликации будут вытекать из этого контроллера домена. Если выбран другой контроллер домена (его можно выбрать в консоли управления групповой политикой), в этом случае репликация начнется с этого контроллера домена.
Репликация шаблонов Group Policy
Шаблон групповой политики (GPT) – это часть групповой политики, настройки которой хранятся в одном или нескольких файлах. Эта часть объекта групповой политики и связанные с ней файлы хранятся на контроллерах домена в каталоге Sysvol. По умолчанию они лежат по адресу: c:\Windows\Sysvol\Sysvol\<domainname>\Policies
Папка Sysvol на контроллерах домена используется для предоставления клиентам параметров групповой политики и сценариев входа/выхода в систему. И так как Sysvol используется для аутентификации пользователей и компьютеров, данные в ней должны быть актуальными на всех контроллерах домена. Когда в Sysvol на одном контроллере домена происходит изменение какой-либо информация, то это вызывает процесс репликации Sysvol на остальные контроллеры домена.
Sysvol реплицируется с использованием службы репликации файлов File Replication System (FRS). Служба FRS не использует репликацию по графику, вместо этого она использует механизм репликации по состоянию. Это означает, что как только происходит изменение в любом файле или структуре папок Sysvol, то запускается механизм репликации. Такое решение обеспечивает очень эффективную и быструю модель репликации для GPT.
В качестве примечания, стоит отметить, что репликация FRS не соотносится с границами сайта. Таким образом, такая репликация затронет все контроллеры домена в течение всего лишь нескольких минут, не зависимо в каком сайте (пусть даже удаленном) находятся эти DC.
Примечание: В Windows Server 2008 для репликации содержимого Sysvol может использовать как FRS так и DFS-R. Кстати, прочитайте статью о том, как можно задействовать репликацию FRS на отдельном порту.
Репликация контейнера групповой политики
Контейнеры групповых политик (Group Policy Container -GPC) хранятся в Active Directory. В принципе GPC не содержит никаких настроек, т.к. вся параметры групповой политики хранятся в GPT. Контейнер Group Policy содержит всю ссылочную информацию для GPO, а именно путь к GPT, в том числе GUID объекта групповой политики, а также всю информацию о GPC в Active Directory.
Вы можете просмотреть все GPC и их свойства с помощью оснастки Active Directory Users and Computers (ADUC). В консоли ADUC, прежде всего необходимо включить отображение дополнительных функций (Advanced Features).
После чего, перейдите в раздел domainname>\System\Policies.
Здесь вы увидите полный список GUID, которые соответствуют GPC для каждого объекта групповой политики в домене.
Репликация GPC также вызывается любыми изменениями в настройках групповой политики, точно так же как в случае с GPT. Однако, репликация GPC не основана на проверке состояния объекта или на FRS. Репликация Group Policy Container, так же как и репликация других объектов Active Directory осуществляется при помощи механизма репликации Active Directory.
Репликации Active Directory по умолчанию использует два типа расписаний. Существует репликация между контроллерами домена, которые находятся в одном сайте, и межсайтовая репликация.
Для контроллеров домена в одном сайте репликация происходит каждые 15 секунд. Этот интервал не может быть изменен и контролируется механизмом проверки согласованности (Knowledge Consistency Checker — KCC).
Второй тип репликации по умолчанию происходит каждые 3 часа, и контролируется службой межсайтовой топологии — Intersite Topology Generator (ISTG). Этот интервал можно изменить, и в большинстве его нужно уменьшить для оптимизации распространения изменений между контроллерами доменов. Эти изменения можно произвести с помощью консоли Active Directory Sites and Services. Для этого нам нужно в ней выбрать требуемую связь между сайтами и настроить расписание.
Проверка репликации GPO
Самый простой инструмент диагностики репликации GPC и GPT является GPOTool. Этот инструмент является бесплатным и очень простым в использовании. Он поставляется вместе с операционной системой и может быть запущен из командной строки. Просто наберите в командной строке gpotool <dcname> /verbose .
Результатом выполнения этой команды будет отображение номеров версии GPT и GPC для каждого объекта групповой политики на всех перечисленных контроллерах домена.
Таким образом, если вы знаете, что GPO был изменен, но настройки не применяются, было бы хорошо убедиться, что GPO были реплицированы на контроллер домена, на котором вы были аутентифицированы.
Резюме
Репликация групповых политик контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Для того, чтобы содержимое GPO было актуальным на всех контроллерах домена, должна быть осуществлена репликация обоих частей групповой политики — GPT и GPC, только при выполнении этого условия GPO будут функционировать корректно. С помощью утилиты GPOTool, вы всегда можете убедиться, что все данные объектов групповой политики были реплицированы на ваш контроллер домена.