Tìm hiểu về bản sao của Group Policy

Bản sao của Group Policy được điều khiển bởi hai cơ chế tái tạo khác nhau: FRS và tái tạo Active Directory. Chúng ta sẽ xem xét cả hai phương pháp trong bài này.

Khi Group Policy trở lên quan trọng trong việc quản lý các máy trạm và các máy chủ trong Active Directory thì bạn cần phải hiểu được các chi tiết về Active Directory một cách rõ ràng. Có nhiều phần của Group Policy, ví dụ như các mở rộng trình khách, ADM/ADMX files, GPC, GPT,… Khi một thay đổi nào đó xuất hiện đối với Group Policy object (GPO), thì thay đổi đó sẽ chỉ xuất hiện trong một domain controller. Như vậy, thay đổi đối với GPO phải được tạo bản sao cho tất cả các domain controller khác. Bản sao này sẽ ảnh hưởng đến các cơ chế tái tạo bản sao và có thể gây ra các hiệu ứng khác nếu không được thực hiện đúng cách. Bài này sẽ giới thiệu cho các bạn về sự tái tạo bản sao của Group Policy và những gì bạn có thể thực hiện để thẩm định rằng tất cả các bản sao đã xuất hiện.

Kích hoạt sự tái tạo

Sự tái tạo được kích hoạt khi một thiết lập trong GPO bị thay đổi. Điều này có thể là một thiết lập nào đó trong GPO, và với hơn 5000 thiết lập trong Windows Server 2008, sẽ có rất nhiều cơ hội để tạo các thay đổi này. Một thay đổi có thể xuất hiện trên phía Computer Configuration hoặc phía User Configuration của GPO. Dù thay đổi nào đi chăng nữa xuất hiện cũng đều kích hoạt sự tái tạo.

Hệ thống sẽ kiểm tra việc kích hoạt bởi những thay đổi của Computer và User đối với GPO. Nếu xem xét đến các thông tin chi tiết của GPO trong Group Policy Management Console (GPMC), thì bạn sẽ thấy một danh sách cả phiên bản Computer và User, như thể hiện trong hình 1.


Hình 1: Các thông tin chi tiết của GPO trong GPMC thể hiện phiên bản của cả hai phần Computer và User của GPO.

Khi một thay đổi xuất hiện đối với một phần nào đó của GPO thì số phiên bản cho phần đó sẽ được cập nhật như những gì được thể hiện trong hình 2 bên dưới.


Hình 2: Thay đổi các thiết lập trong GPO sẽ gia tăng trị số phiên bản.

Khi một GPO được chỉnh sửa trong Group Policy Management Editor (GPME), domain controller đang chạy PDC Emulator role sẽ được sử dụng mặc định. Chính vì vậy, tất cả các bản sao sẽ xuất phát từ domain controller này. Nếu một domain controller khác được chọn, như có thể được thực hiện từ GPMC (hình 3), thì bản sao sẽ xuất phát từ domain controller đó.

Bản sao của Group Policy Template

Phần GPO lưu các thiết lập vào một hoặc nhiều file chính là Group Policy Template (GPT). Phần này của GPO và các file có liên quan được lưu trên domain controller nằm trong Sysvol. Đường dẫn mặc định cho các file này là c:\Windows\Sysvol\Sysvol\<domainname>\Policies, xem thể hiện trong hình 3.


Hình 3: Tất cả GPO lưu các thiết lập trong file nằm trong Sysvol trên domain controller.

Sysvol trên các domain controller được sử dụng để cung cấp các thiết lập Group Policy và các kịch bản đăng nhập cho máy khách. Vì Sysvol được sử dụng cho việc thẩm định quyền của người dùng và máy tính (user và computer) nên nó phải cập nhật trên tất cả các domain controller. Khi bất kỳ một thông tin nào đó bị thay đổi trong Sysvol của domain controller thì nó sẽ kích hoạt tình trạng tạo bản sao của Sysvol đối với tất cả các domain controller khác.

Sysvol được tái tạo bằng cách sử dụng File Replication System (FRS). FRS không có một lịch trình liên quan với nó nên nó sử dụng một tái tạo dựa trên trạng thái. Điều này có nghĩa là ngay khi có sự thay đổi nào đó diễn ra với bất cứ file nào trong cấu trúc thư mục Sysvol thì sự tái tạo đều sẽ được kích hoạt. Cách thức này tạo một mô hình tái tạo nhanh và rất hiệu quả cho GPT.

Một chú ý nhỏ, sự tái tạo FRS không bám chặt với bất kỳ các đường biên của site nào. Như vậy, tình trạng bản sao sẽ hội tụ về tất cả các domain controller chỉ bên trong một vài phút, thậm chí đến các domain controller trong các địa điểm điều khiển xa.

Lưu ý: Windows Server 2008 có thể FRS hoặc DFS-R để tái tạo các nội dung của Sysvol.

Tái tạo Group Policy Container

Phần Group Policy Container (GPC) của GPO được lưu trong Active Directory. Không có thiết lập nào được lưu trong GPC, đúng hơn là tất cả các thiết lập mà bạn tạo trong GPO đều được lưu trong GPT. GPC gồm có tất cả các thông tin tham chiếu cho GPO. Các thông tin tham chiếu này gồm có đường dẫn đến GPT, ví dụ như GUID của GPO cũng như tất cả thông tin đường dẫn của Active Directory cho GPC.

Bạn có thể xem GPC và các thuộc tính của nó bằng cách truy cập vào Active Directory Users và Computers (ADUC). Khi mở ADUC, bạn sẽ thấy cần phải tạo một thay đổi cấu hình nhanh để xem dữ liệu GPC. Để thực hiện điều này, hãy kích vào View từ thanh công cụ, sau đó chọn Advanced Features, xem thể hiện trong hình 4. Thao tác vừa rồi sẽ hiển thị nhiều thông tin chi tiết khác nhau trong ADUC.


Hình 4: Tùy chọn Advanced Features sẽ hiển thị GPC trong ADUC

Lúc này bạn phải cấu hình ADUC để hiện GPC, hãy mở các nút dưới đây để xem chúng: <domainname>\System\Policies, xem thể hiện trong hình 5.


Hình 5: Danh sách các GPC có thể thấy bên trong nút System\Policies

Ở đây bạn sẽ thấy một danh sách hoàn chỉnh của GUID tương ứng với các GPC của mỗi GPO trong miền.

Bản sao của GPC cũng được kích hoạt bằng cách thay đổi bất kỳ thiết lập nào trong GPO, cũng như trong GPT. Mặc dù bản sao của GPC không được dựa trên FRS mà thay vì đó, giống như tất cả các đối tượng Active Directory khác, tất cả GPC đều được kiểm soát bởi bản sao Active Directory.

Bản sao Active Directory có hai lịch trình mặc định tái tạo bản sao khác nhau. Có một bản sao giữa các domain controller nằm trong cùng site và bản sao giữa các domain controller trong các site khác.

Lịch trình bản sao đầu tiên xuất hiện cứ 15s một lần cho các domain controller cùng site. Khoảng thời gian này sẽ không nên thay đổi và được điều khiển bằng Knowledge Consistency Checker (KCC).

Lịch trình bản sao thứ hai xuất hiện cứ 3 giờ một lần mặc định và được điều khiển bởi Intersite Topology Generator (ISTG). Khoảng thời gian này có thể thay đổi, trong hầu hết các trường hợp, bạn nên giảm khoảng thời gian này xuống để tối ưu hóa với thay đổi của các domain controller. Để thay đổi khoảng thời gian này, bạn cần thay đổi liên kết site và cấu hình lịch trình. Điều này được thực hiện trong các site của Active Directory và các công cụ dịch vụ, xem thể hiện trong hình 6.


Hình 6: Tái tạo liên site có thể được quản lý và giảm so với 3h mặc định.

Thẩm định sự táo tạo bản sao

Công cụ dễ nhất để sử dụng cho việc thẩm định rằng cả GPC và GPT đều đã được tái tạo là GPOTool. Đây là một công cụ miễn phí và rất dễ sử dụng. Công cụ này có thể chạy từ nhắc lệnh. Chỉ cần đánh gpotool <dcname> /verbose từ cửa sổ nhắc lệnh, giống như những gì bạn thấy trong hình 7.


Hình 7: Công cụ GPOTool cung cấp các thông tin về sự hội tụ của các phần trong GPO.

Kết quả của lệnh này sẽ hiển thị cho bạn số phiên bản của GPT và GPC cho mỗi GPO trên domain controller đã liệt kê.

Nếu một phần nào đó của GPO không tái tạo cho domain controller mà bạn đang thẩm định thì khả năng là các thiết lập mới trong GPO không áp dụng. Như vậy, bạn cũng cần phải xác nhận xem GPO đã tái tạo cho domain controller mà bạn đang thẩm định hay chưa.

Kết luận

Bản sao Group Policy được điều khiển bởi hai cơ chế tái tạo khác nhau: FRS và tái tạo Active Directory. Để nội dung của GPO được cập nhật trên tất cả các domain controller thì bản sao phải bao phủ cả hai phần của GPO đó là GPT và GPC. Bằng cách sử dụng công cụ GPOTool, bạn có thể thẩm định tất cả dữ liệu GPO đã tái tạo cho các domain controller hay chưa.

Thứ Hai, 14/07/2008 09:08
31 👨 4.250
0 Bình luận
Sắp xếp theo
    ❖ Tổng hợp