Общие сведения о репликации групповой политики

По мере того, как групповая политика становится все более важной для управления рабочими столами и серверами в Active Directory, логично, что детали, связанные с групповой политикой, необходимо понимать более подробно. В групповой политике есть много движущихся частей, включая клиентские расширения, файлы ADM/ADMX, GPC, GPT и многое другое. Когда происходит изменение объекта групповой политики (GPO), это изменение происходит только на одном контроллере домена. Таким образом, изменение объекта групповой политики должно быть реплицировано на все остальные контроллеры домена. Эта репликация влияет на несколько механизмов репликации и может вызвать странные эффекты, если она не завершена должным образом. В этой статье мы обсудим репликацию групповой политики и то, что вы можете сделать, чтобы убедиться, что все репликации выполнены.

Запуск репликации

Репликация запускается при изменении параметра в объекте групповой политики. Это может быть любой параметр в объекте групповой политики, а поскольку в Windows Server 2008 их более 5000, сейчас существует множество возможностей для внесения изменений. Изменение может произойти либо на стороне конфигурации компьютера, либо на стороне конфигурации пользователя объекта групповой политики. Любой из них вызовет репликацию.

Система отслеживает это срабатывание как для компьютера, так и для пользователя, изменяя объект групповой политики. Если вы посмотрите на детали объекта групповой политики в консоли управления групповыми политиками (GPMC), вы увидите, что есть список версий компьютера и пользователя, как показано на рисунке 1.

Рис. 1. Сведения о GPO в консоли управления групповыми политиками показывают версию объекта GPO как для компьютера, так и для пользователя.

Когда происходит изменение какой-либо части объекта групповой политики, номер версии для этой части обновляется, как показано на рисунке 2.


Рисунок 2: Изменения в настройках объекта групповой политики увеличивают номер версии.

Когда объект групповой политики редактируется в редакторе управления групповыми политиками (GPME), по умолчанию используется контроллер домена с ролью эмулятора PDC. Поэтому вся репликация будет исходить от этого контроллера домена. Если выбран другой контроллер домена, что можно сделать из консоли управления групповыми политиками (см. рис. 3), репликация будет выполняться с этого контроллера домена.

Репликация шаблона групповой политики

Часть объекта групповой политики, в которой параметры хранятся в одном или нескольких файлах, называется шаблоном групповой политики (GPT). Эта часть объекта групповой политики и связанные файлы хранятся на контроллерах домена под именем Sysvol. Путь по умолчанию для этих файлов — , как показано на рисунке 3.

Рисунок 3: Все настройки GPO хранятся в файлах под Sysvol на контроллерах домена.

Sysvol на контроллерах домена используется для доставки параметров групповой политики и сценариев входа клиентам при входе в систему. Поскольку Sysvol используется для аутентификации пользователей и компьютеров, он должен быть обновлен на всех контроллерах домена. Когда какая-либо информация изменяется в Sysvol на одном контроллере домена, это запускает репликацию Sysvol на все остальные контроллеры домена.

Sysvol реплицируется с помощью системы репликации файлов (FRS). У ФРС нет расписания, связанного с ним. Вместо этого FRS использует репликацию на основе состояния. Это означает, что при изменении любого файла в структуре папок Sysvol запускается репликация. Это создает очень эффективную и быструю модель репликации для GPT.

В качестве примечания: репликация FRS не привязана ни к каким границам сайта. Таким образом, репликация будет сходиться ко всем контроллерам домена всего за несколько минут, даже к тем контроллерам домена, которые находятся в удаленных местах.

Примечание. Windows Server 2008 может использовать FRS или DFS-R для репликации содержимого файла Sysvol.

Репликация контейнера групповой политики

Контейнер групповой политики (GPC) объекта групповой политики хранится в Active Directory. Я называю GPC связующим звеном GPO. В GPC не хранятся настройки, а все настройки, которые вы делаете в GPO, хранятся в GPT. GPC содержит всю справочную информацию для GPO. Это включает в себя путь к GPT, включая GUID объекта групповой политики, а также всю информацию о пути Active Directory для GPC.

Вы можете просмотреть GPC и его свойства, обратившись к пользователям и компьютерам Active Directory (ADUC). Когда вы откроете ADUC, вам, скорее всего, потребуется быстро изменить конфигурацию, чтобы увидеть данные GPC. Для этого нажмите «Вид» на панели инструментов, затем выберите пункт меню «Дополнительные функции», как показано на рис. 4. Это отобразит множество различных деталей в ADUC.

Рисунок 4: Опция Advanced Features отобразит GPC в ADUC.

Теперь, когда вы настроили ADUC для отображения GPC, разверните следующие узлы, чтобы увидеть их: , как показано на рисунке 5.

Рисунок 5: Список GPC можно увидеть в узле SystemPolicies.

Здесь вы увидите полный список идентификаторов GUID, соответствующих GPC каждого объекта групповой политики в домене.

Репликация GPC также запускается изменением любого параметра в GPO, как и GPT. Однако репликация GPC не зависит от состояния и не основана на FRS. Вместо этого, как и все другие объекты Active Directory, все GPC управляются репликацией Active Directory.

Репликация Active Directory по умолчанию имеет два разных расписания репликации. Существует репликация между контроллерами домена, которые находятся на одном сайте, и репликация между контроллерами домена, которые находятся на разных сайтах.

Первое расписание репликации выполняется каждые 15 секунд для контроллеров домена на одном сайте. Этот интервал не следует изменять, и он контролируется средством проверки согласованности знаний (KCC).

Второе расписание репликации выполняется каждые 3 часа по умолчанию и контролируется генератором межсайтовой топологии (ISTG). Это изменение интервала, и в большинстве случаев, должно быть сокращено, чтобы соответствовать расписанию, которое оптимизирует изменения в контроллерах домена. Чтобы изменить этот интервал, вам нужно будет изменить ссылку на сайт и настроить расписание. Это делается в инструменте сайтов и служб Active Directory, как показано на рисунке 6.

Рис. 6. Можно управлять межсайтовой репликацией и сократить ее по умолчанию до 3 часов.

Проверка репликации объекта групповой политики

Самый простой инструмент для проверки того, что и GPC, и GPT были реплицированы, — это GPOTool. Этот инструмент бесплатный и очень простой в использовании. Он поставляется с операционной системой и может быть запущен из командной строки. Просто введите в командной строке, как показано на рисунке 7.

Рисунок 7: GPOTool предоставляет информацию о конвергенции обеих частей объекта групповой политики.

В результате выполнения этой команды отобразятся номера версий GPT и GPC для каждого объекта групповой политики на указанном контроллере домена.

Если часть объекта групповой политики не реплицирована на контроллер домена, на котором вы выполняете аутентификацию, есть вероятность, что новые параметры в объекте групповой политики не будут применяться. Таким образом, если вы знаете, что объект групповой политики был изменен, но настройки не доставляются, рекомендуется убедиться, что объект групповой политики реплицирован на контроллер домена, который вы также аутентифицируете.

Резюме

Репликация групповой политики управляется двумя разными механизмами репликации: репликацией FRS и репликацией Active Directory. Чтобы содержимое объекта групповой политики было актуальным на всех контроллерах домена, репликация должна сходиться для обеих частей объекта групповой политики, GPT и GPC, чтобы групповая политика функционировала должным образом. С помощью такого инструмента, как GPOTool, вы можете убедиться, что все данные GPO реплицированы на каждый контроллер домена.