Репликация групповых политик
Репликация групповой политики в Active Directory контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Попробуем поговорить об этих технологии поподробнее.
Групповые политики стали важным и удобным инструментом управления парком ПК и серверов в Active Directory, в связи с чем системный администратор должен разбираться в тонкостях работы групповых политик ( Смотри статью о типовых проблемах при применении GPO). В состав технологии групповых политик входят различные составляющие, в том числе такие клиентские расширения, как файлы ADM/ADMX файлы, GPC, GPT и многие другое. При каком-либо изменении групповой политики, это изменение происходит только на одном контроллере домена, а следовательно, информация об этом изменении в объекте групповой политики должны быть скопирована на все оставшиеся контроллеры домена. Такой механизм репликации задействует несколько различных технологий репликации, и в случае некорректного завершения, может вызвать существенные проблемы. В этой статье мы обсудим процесс репликации групповых политик, и так же действия, позволяющие удостовериться в корректности выполнения репликации.
Запуск репликации GP по триггеру
Такой триггер репликации срабатывает в случае изменения настроек объекта GPO. Это может быть изменение любого из более чем 5000 параметров групповых политик в Windows Server 2008. Изменение может произойти как в секции конфигурации компьютера так и в секции конфигурации пользователя, любое такое изменение вызовет репликацию group policy!
Система раздельно отслеживает такой запуск при изменении настроек в политике компьютеров и пользователей. Если вы посмотрите на детали GPO в консоли управления групповыми политиками (GPMC), вы увидите, что существует список версий настроек компьютеров и пользователей.
Когда происходит изменение в любой части GPO, изменяется номер версии (он увеличивается) соответственной части групповой политики.
В том случае, если редактирование GPO ведется с помощью Group Policy Management Editor (GPME), тогда по умолчанию используется контроллер домена, выполняющий роль эмулятора PDC. Таким образом, все репликации будут вытекать из этого контроллера домена. Если выбран другой контроллер домена (его можно выбрать в консоли управления групповой политикой), в этом случае репликация начнется с этого контроллера домена.
Репликация шаблонов Group Policy
Шаблон групповой политики (GPT) – это часть групповой политики, настройки которой хранятся в одном или нескольких файлах. Эта часть объекта групповой политики и связанные с ней файлы хранятся на контроллерах домена в каталоге Sysvol. По умолчанию они лежат по адресу: c:\Windows\Sysvol\Sysvol\ \Policies
Папка Sysvol на контроллерах домена используется для предоставления клиентам параметров групповой политики и сценариев входа/выхода в систему. И так как Sysvol используется для аутентификации пользователей и компьютеров, данные в ней должны быть актуальными на всех контроллерах домена. Когда в Sysvol на одном контроллере домена происходит изменение какой-либо информация, то это вызывает процесс репликации Sysvol на остальные контроллеры домена.
Sysvol реплицируется с использованием службы репликации файлов File Replication System (FRS). Служба FRS не использует репликацию по графику, вместо этого она использует механизм репликации по состоянию. Это означает, что как только происходит изменение в любом файле или структуре папок Sysvol, то запускается механизм репликации. Такое решение обеспечивает очень эффективную и быструю модель репликации для GPT.
В качестве примечания, стоит отметить, что репликация FRS не соотносится с границами сайта. Таким образом, такая репликация затронет все контроллеры домена в течение всего лишь нескольких минут, не зависимо в каком сайте (пусть даже удаленном) находятся эти DC.
Примечание: В Windows Server 2008 для репликации содержимого Sysvol может использовать как FRS так и DFS-R. Кстати, прочитайте статью о том, как можно задействовать репликацию FRS на отдельном порту.
Репликация контейнера групповой политики
Контейнеры групповых политик (Group Policy Container -GPC) хранятся в Active Directory. В принципе GPC не содержит никаких настроек, т.к. вся параметры групповой политики хранятся в GPT. Контейнер Group Policy содержит всю ссылочную информацию для GPO, а именно путь к GPT, в том числе GUID объекта групповой политики, а также всю информацию о GPC в Active Directory.
Вы можете просмотреть все GPC и их свойства с помощью оснастки Active Directory Users and Computers (ADUC). В консоли ADUC, прежде всего необходимо включить отображение дополнительных функций (Advanced Features). 
После чего, перейдите в раздел domainname>\System\Policies.
Здесь вы увидите полный список GUID, которые соответствуют GPC для каждого объекта групповой политики в домене.
Репликация GPC также вызывается любыми изменениями в настройках групповой политики, точно так же как в случае с GPT. Однако, репликация GPC не основана на проверке состояния объекта или на FRS. Репликация Group Policy Container, так же как и репликация других объектов Active Directory осуществляется при помощи механизма репликации Active Directory.
Репликации Active Directory по умолчанию использует два типа расписаний. Существует репликация между контроллерами домена, которые находятся в одном сайте, и межсайтовая репликация.
Для контроллеров домена в одном сайте репликация происходит каждые 15 секунд. Этот интервал не может быть изменен и контролируется механизмом проверки согласованности (Knowledge Consistency Checker — KCC).
Второй тип репликации по умолчанию происходит каждые 3 часа, и контролируется службой межсайтовой топологии — Intersite Topology Generator (ISTG). Этот интервал можно изменить, и в большинстве его нужно уменьшить для оптимизации распространения изменений между контроллерами доменов. Эти изменения можно произвести с помощью консоли Active Directory Sites and Services. Для этого нам нужно в ней выбрать требуемую связь между сайтами и настроить расписание.
Проверка репликации GPO
Самый простой инструмент диагностики репликации GPC и GPT является GPOTool. Этот инструмент является бесплатным и очень простым в использовании. Он поставляется вместе с операционной системой и может быть запущен из командной строки. Просто наберите в командной строке gpotool /verbose .
Результатом выполнения этой команды будет отображение номеров версии GPT и GPC для каждого объекта групповой политики на всех перечисленных контроллерах домена.
Таким образом, если вы знаете, что GPO был изменен, но настройки не применяются, было бы хорошо убедиться, что GPO были реплицированы на контроллер домена, на котором вы были аутентифицированы.
Резюме
Репликация групповых политик контролируется двумя различными механизмами репликации: FRS и репликацией Active Directory. Для того, чтобы содержимое GPO было актуальным на всех контроллерах домена, должна быть осуществлена репликация обоих частей групповой политики — GPT и GPC, только при выполнении этого условия GPO будут функционировать корректно. С помощью утилиты GPOTool, вы всегда можете убедиться, что все данные объектов групповой политики были реплицированы на ваш контроллер домена.
AD Shot Gyan
Lots of Learning Active Directory Can Happen Over Coffee «Shot».
19 March, 2016
Group Policy Management Console in Windows 2012 Server
Its a conflicting statement which I usually give. At times I say I have been working since the days of Windows 2000 and then at time I would like to say that I am young and haven’t even seen Windows 2000. You know. Saying that you have been working since Windows 2000 days adds a lot of weight as a system admin.
Coming back to GPMC again. Earlier in Windows 2000 and Windows 2003, We use to have a tool known as GPOTOOL. You all must be knowing the fact that Group Policies are stored partially in AD and partially in SYSVOL. And to successfully apply them it is mandatory that the version of the GPO in AD should match with the version of same GPO in SYSVOL.
GPOTOOL was used to compare this version. However there were some issues with that tool and that`s why Microsoft introduced a Tab «Status»in GPMC.
«This page shows the status of Active Directory and SYSVOL (DFSR) replication for this domain as it relates to Group Policy»
You must be thinking why I wrote the above statement when it was mentioned in the snapshot given below. This is called search optimization. Getting my blog / post listed in the search results when someone looks for this string. This is not called ADShotGyan. This is ExtraGyan which I like to share periodically.
As stated earlier, this tool (As well as the earlier one «GPOTool») will «Compare» the version of a GPO in AD with that of in SYSVOL. For a comparison, there has to be a Baseline Server
So, here in this snap in, you will have a Baseline Server. Usually, the baseline server is the PDC, however this can be changed
Currently, The Data is Uncollected. So lets click on «Detect Now«
And here you gooooooo. Infrastructure Status was last gathered: 9/23/2012 6:04 AM
6:04 AM. Guys. 6:04 AM
See. How Hard Working I am. 🙂
So, It detected the domain controller and the replication was in sync
Now lets checks if this actually works. We will stop the Active Directory Domain Services on a Domain Controller and then will run the same test again
Ahhh. Active Directory Status «Inaccessible«
Click on this link.
Lets start the service again
Working again now.
Note that on left pane, we have selected the «Domain Name»
Now what if I select the linked Group Policy «Default Domain Policy»
I don`t get the «Status» Tab
But what if I click on a GPO listed in the Group Policy Objects
Yes, It shows the Status Tab. Point to note here is that this status tab when clicked on a GPO will show me the status for that GPO ONLY, However when the domain name was selected, it showed me the status of all the GPO`s
Group Policy Results.
Summary Tab
Details Tab
Policy Events Tab
— If a fast link or a slow link was detected
— Any special alerts
List all the group policy settings configured in this group policy object
This is further divided into:-
— General
— Component Status
— Settings
— Group Policy Objects
— WMI Filters
— Computer Name
— Domain
— Site
— OU
— Security Group Membership
— Group Policy Infrastructure
— Registry
— Security
This will list the status (Success/Failure), Time Taken (In Processing the CSE), Last Process Time and Event Log
Notice that the «Last Process Time» and the «Event Log» is a Link
Click on the link for «Last Process Time» and you will get the following dialog box
— Loopback Processing
— Loopback Mode
— Link Speed
— Slow Link Threshold
— Domain Controller Name
— Domain Controller IP
— Processing Trigger
All this information is remote as this information if of the client and not of the domain controller (In the example we have selected the domain controller as the machine, but if you choose a client machine then all this information will be of the client machine) as we are running RSOP remotely from the GPMC Snap-In
Click on the «Event Log» Link
This will list all the events which has appeared in the event log while the group policy was processing
The settings which have been defined in the Group Policy Object
Notice again that the Policy has a Link
Clicking on the link will display a dialog box which will explain the description of that setting
This is same which we use to get in the GPO Editor when we click on a setting
List all the GPO`s applied at this location
List all the Events related to Group Policy Processing of the particular machine
Group Policy Update (Remote)
Another cool feature of GPMC is to allow remote policy update
Right click on an OU and select the option «Group Policy Update»
Yes, that was done intentionally so that you can see that its not that you will only get success, you may get an error as well. At this time, the machine in that OU was turned off so we got this error
