Replikasi Kebijakan Grup

Replikasi Kebijakan Grup di Direktori Aktif dikendalikan oleh dua mekanisme replikasi yang berbeda: FRS dan replikasi Direktori Aktif. Mari kita coba membahas tentang teknologi ini secara lebih rinci..

Kebijakan grup telah menjadi alat yang penting dan nyaman untuk mengelola armada PC dan server di Direktori Aktif, dan oleh karena itu administrator sistem harus memahami seluk-beluk kebijakan grup (Lihat artikel tentang masalah umum saat menggunakan GPO). Teknologi Kebijakan Grup mencakup berbagai komponen, termasuk ekstensi klien seperti file ADM / ADMX, GPC, GPT, dan banyak lainnya. Dengan perubahan apa pun dalam Kebijakan Grup, perubahan ini hanya terjadi pada satu pengontrol domain, dan oleh karena itu, informasi tentang perubahan dalam GPO ini harus disalin ke semua pengontrol domain yang tersisa. Mekanisme replikasi semacam itu melibatkan beberapa teknologi replikasi yang berbeda, dan jika tidak diselesaikan dengan benar, dapat menyebabkan masalah yang signifikan. Dalam artikel ini, kita akan membahas proses mereplikasi kebijakan grup, serta langkah-langkah untuk memastikan replikasi dilakukan dengan benar..

Memicu Replikasi GP

Pemicu replikasi seperti itu dipicu ketika pengaturan objek GPO diubah. Ini bisa menjadi perubahan ke lebih dari 5.000 pengaturan Kebijakan Grup di Windows Server 2008. Perubahan dapat terjadi baik di bagian konfigurasi komputer dan di bagian konfigurasi pengguna, setiap perubahan seperti itu akan menyebabkan replikasi grup kebijakan!

Sistem secara terpisah memonitor peluncuran tersebut ketika mengubah pengaturan dalam kebijakan komputer dan pengguna. Jika Anda melihat detail GPO di Konsol Manajemen Kebijakan Grup (GPMC), Anda akan melihat bahwa ada daftar pengaturan versi untuk komputer dan pengguna.

Ketika perubahan terjadi di bagian mana pun dari GPO, nomor versi (meningkat) dari bagian yang sesuai dari perubahan kebijakan grup.

Jika mengedit GPO dilakukan menggunakan Editor Manajemen Kebijakan Grup (GPME), maka defaultnya adalah menggunakan pengontrol domain yang bertindak sebagai emulator PDC. Dengan demikian, semua replikasi akan mengalir dari pengontrol domain ini. Jika pengontrol domain lain dipilih (Anda dapat memilihnya di GPMC), dalam hal ini, replikasi akan dimulai dari pengontrol domain ini.

Replikasi Template Kebijakan Grup

Template Kebijakan Grup (GPT) adalah bagian dari Kebijakan Grup yang pengaturannya disimpan dalam satu atau lebih file. Bagian GPO ini dan file terkaitnya disimpan pada pengontrol domain di direktori Sysvol. Secara default, mereka berada di: c: \ Windows\ Sysvol\ Sysvol\> \ Kebijakan


Folder Sysvol pada pengontrol domain digunakan untuk menyediakan pengaturan Kebijakan Grup dan skrip logon / masuk ke klien. Dan karena Sysvol digunakan untuk mengotentikasi pengguna dan komputer, data di dalamnya harus relevan pada semua pengontrol domain. Ketika ada perubahan informasi di Sysvol pada satu kontroler domain, ini menyebabkan proses Sysvol untuk mereplikasi ke pengontrol domain lainnya.

Sysvol direplikasi menggunakan File Replication System (FRS). FRS tidak menggunakan replikasi terjadwal, melainkan menggunakan replikasi berbasis negara. Ini berarti bahwa segera setelah perubahan terjadi pada setiap file atau struktur folder Sysvol, mekanisme replikasi dimulai. Solusi ini memberikan model replikasi yang sangat efisien dan cepat untuk GPT..

Sebagai catatan tambahan, perlu dicatat bahwa replikasi FRS tidak cocok dengan batas-batas situs. Dengan demikian, replikasi tersebut akan mempengaruhi semua pengontrol domain hanya dalam beberapa menit, tidak peduli di mana situs (bahkan jauh) DC ini berada di.

Catatan: Di Windows Server 2008, Sysvol dapat menggunakan FRS dan DFS-R untuk mereplikasi konten. Omong-omong, baca artikel tentang cara mengaktifkan replikasi FRS pada port terpisah..

Replikasi Kontainer Kebijakan Grup

Wadah Kebijakan Grup (GPC) disimpan di Direktori Aktif. Pada prinsipnya, GPC tidak mengandung pengaturan apa pun, karena semua pengaturan Kebijakan Grup disimpan dalam GPT. Wadah Kebijakan Grup berisi semua informasi referensi untuk GPO, yaitu jalur ke GPT, termasuk GPO dari GPO, serta semua informasi GPC di Direktori Aktif.

Anda dapat melihat semua GPC dan propertinya menggunakan snap-in Direktori Aktif Pengguna dan Komputer (ADUC). Di konsol ADUC, pertama-tama, Anda harus mengaktifkan tampilan fitur lanjutan (Fitur Lanjutan).
Setelah itu, buka bagian nama domain> \ Sistem\ Kebijakan.

Di sini Anda akan melihat daftar GUID lengkap yang sesuai dengan GPC untuk setiap GPO di domain.

Replikasi GPC juga dipicu oleh perubahan pada pengaturan Kebijakan Grup, seperti dalam kasus GPT. Namun, replikasi GPC tidak didasarkan pada pemeriksaan keadaan objek atau FRS. Replikasi wadah kebijakan grup, serta replikasi objek direktori aktif lainnya, dilakukan dengan menggunakan mekanisme replikasi direktori aktif.

Replikasi direktori aktif menggunakan dua jenis jadwal secara default. Ada replikasi antara pengontrol domain yang berada di situs yang sama dan replikasi lintas-situs.

Untuk pengontrol domain di satu situs, replikasi terjadi setiap 15 detik. Interval ini tidak dapat diubah dan dikendalikan oleh Pemeriksa Konsistensi Pengetahuan (KCC)..

Jenis replikasi kedua secara default terjadi setiap 3 jam, dan dipantau oleh layanan topologi lintas-situs Intersite Topology Generator (ISTG). Interval ini dapat diubah, dan dalam banyak kasus perlu dikurangi untuk mengoptimalkan penyebaran perubahan antara pengontrol domain. Perubahan ini dapat dilakukan menggunakan konsol Situs dan Layanan Direktori Aktif. Untuk melakukan ini, kita perlu memilih koneksi yang diperlukan antara situs di dalamnya dan mengatur jadwal.


Periksa Replikasi GPO

Alat diagnostik paling sederhana untuk mereplikasi GPC dan GPT adalah GPOTool. Alat ini gratis dan sangat mudah digunakan. Muncul dengan sistem operasi dan dapat diluncurkan dari baris perintah. Cukup ketikkan pada baris perintah gpotool > / verbose .


Hasil dari perintah ini adalah tampilan nomor versi GPT dan GPC untuk setiap GPO di semua pengontrol domain yang terdaftar.

Jadi, jika Anda tahu bahwa GPO telah diubah, tetapi pengaturannya tidak diterapkan, alangkah baiknya untuk memastikan bahwa GPO telah direplikasi ke pengontrol domain tempat Anda diautentikasi.

Ringkasan

Replikasi Kebijakan Grup dikendalikan oleh dua mekanisme replikasi yang berbeda: FRS dan replikasi Direktori Aktif. Agar konten GPO relevan pada semua pengontrol domain, replikasi kedua bagian Kebijakan Grup, GPT dan GPC, harus dilakukan, hanya jika kondisi ini terpenuhi, GPO akan berfungsi dengan benar. Menggunakan utilitas GPOTool, Anda selalu dapat memastikan bahwa semua data GPO telah direplikasi ke pengontrol domain Anda.