Tìm hiểu về bản sao của Group Policy

Bản sao của Group Policy được điều khiển bởi hai cơ

chế tái tạo khác nhau: FRS và tái tạo Active
Directory. Chúng ta sẽ xem xét cả hai phương pháp
trong bài này.
Khi Group Policy trở lên quan trọng trong việc quản lý các máy trạm và

các máy chủ trong Active Directory thì bạn cần phải hiểu được các chi
tiết về Active Directory một cách rõ ràng. Có nhiều phần của Group
Policy, ví dụ như các mở rộng trình khách, ADM/ADMX files, GPC,
GPT,… Khi một thay đổi nào đó xuất hiện đối với Group Policy object
(GPO), thì thay đổi đó sẽ chỉ xuất hiện trong một domain controller.
Như vậy, thay đổi đối với GPO phải được tạo bản sao cho tất cả các
domain controller khác. Bản sao này sẽ ảnh hưởng đến các cơ ch
ế tái
tạo bản sao và có thể gây ra các hiệu ứng khác nếu không được thực
hiện đúng cách. Bài này sẽ giới thiệu cho các bạn về sự tái tạo bản sao

của Group Policy và những gì bạn có thể thực hiện để thẩm định rằng
tất cả các bản sao đã xuất hiện.

Kích hoạt sự tái tạo

Sự tái tạo được kích hoạt khi một thiết lập trong GPO bị thay đổi. Điều
này có thể là một thiết lập nào đó trong GPO, và với hơn 5000 thiết lập

trong Windows Server 2008, sẽ có rất nhiều cơ hội để tạo các thay đổi
này. Một thay đổi có thể xuất hiện trên phía Computer Configuration
hoặc phía User Configuration của GPO. Dù thay đổi nào đi chăng nữa

xuất hiện cũng đều kích hoạt sự tái tạo.

Hệ thống sẽ kiểm tra việc kích hoạt bởi những thay đổi của Computer
và User đối với GPO. Nếu xem xét đến các thông tin chi tiết của GPO
trong Group Policy Management Console (GPMC), thì bạn sẽ thấy một
danh sách c
ả phiên bản Computer và User, như thể hiện trong hình 1.


Hình 1: Các thông tin chi tiết của GPO trong GPMC thể hiện phiên bản
của cả hai phần Computer và User của GPO.
Khi một thay đổi xuất hiện đối với một phần nào đó của GPO thì số
phiên bản cho phần đó sẽ được cập nhật như những gì được thể hiện
trong hình 2 bên dưới.

Hình 2: Thay đổi các thiết lập trong GPO sẽ gia tăng trị số phiên bản.

Khi một GPO được chỉnh sửa trong Group Policy Management Editor
(GPME), domain controller đang chạy PDC Emulator role sẽ được sử
dụng mặc định. Chính vì vậy, tất cả các bản sao sẽ xuất phát từ
domain controller này. Nếu một domain controller khác được chọn,
như có thể được thực hiện từ GPMC (hình 3), thì bản sao sẽ xuất phát
từ domain controller đó.

Bản sao của Group Policy Template

Phần GPO lưu các thiết lập vào một hoặc nhiều file chính là Group
Policy Template (GPT). Phần này củ
a GPO và các file có liên quan được
lưu trên domain controller nằm trong Sysvol. Đường dẫn mặc định cho

các file này là c:\Windows\Sysvol\Sysvol\\Policies, xem thể hiện trong
hình 3.

Hình 3: Tất cả GPO lưu các thiết lập trong file nằm trong Sysvol trên
domain controller.
Sysvol trên các domain controller được sử dụng để cung cấp các thiết
lập Group Policy và các kịch bản đăng nhập cho máy khách. Vì Sysvol
được sử dụng cho việc thẩm định quyền của người dùng và máy tính
(user và computer) nên nó phải cập nhật trên tất cả các domain
controller. Khi bất kỳ một thông tin nào đó bị thay đổi trong Sysvol
của domain controller thì nó sẽ kích hoạt tình trạng tạo bản sao của
Sysvol đối với t
ất cả các domain controller khác.

Sysvol được tái tạo bằng cách sử dụng File Replication System (FRS).
FRS không có một lịch trình liên quan với nó nên nó sử dụng một tái
tạo dựa trên trạng thái. Điều này có nghĩa là ngay khi có sự thay đổi
nào đó diễn ra với bất cứ file nào trong cấu trúc thư mục Sysvol thì sự
tái tạo đều sẽ được kích hoạt. Cách thức này tạo một mô hình tái tạo
nhanh và rất hiệu quả cho GPT.

Một chú ý nhỏ, sự tái tạo FRS không bám chặ
t với bất kỳ các đường
biên của site nào. Như vậy, tình trạng bản sao sẽ hội tụ về tất cả các
domain controller chỉ bên trong một vài phút, thậm chí đến các domain

controller trong các địa điểm điều khiển xa.

Lưu ý
: Windows Server 2008 có thể FRS hoặc DFS-R để tái tạo các nội

dung của Sysvol.

Tái tạo Group Policy Container

Phần Group Policy Container (GPC) của GPO được lưu trong Active
Directory. Không có thiết lập nào được lưu trong GPC, đúng hơn là tất
cả các thiết lập mà bạn tạo trong GPO đều được lưu trong GPT. GPC
gồm có tất cả các thông tin tham chiếu cho GPO. Các thông tin tham
chiếu này gồm có đường dẫn đến GPT, ví dụ như GUID của GPO cũng
như tất cả thông tin đường dẫn của Active Directory cho GPC.

Bạn có thể xem GPC và các thuộc tính của nó bằng cách truy cập vào
Active Directory Users và Computers (ADUC). Khi mở ADUC, bạn sẽ
thấy cần phải tạo một thay đổi cấu hình nhanh để xem dữ liệu GPC. Để

thực hiện điều này, hãy kích vào View từ thanh công cụ, sau đó chọn
Advanced Features, xem thể hiện trong hình 4. Thao tác vừa rồi sẽ
hiển thị nhiều thông tin chi tiết khác nhau trong ADUC.

Hình 4: Tùy chọn Advanced Features sẽ hiển thị GPC trong ADUC
Lúc này bạn phải cấu hình ADUC để hiện GPC, hãy mở các nút dưới
đây để xem chúng: \System\Policies, xem thể hiện trong hình 5.

Hình 5: Danh sách các GPC có thể thấy bên trong nút System\Policies

Ở đây bạn sẽ thấy một danh sách hoàn chỉnh của GUID tương ứng với
các GPC của mỗi GPO trong miền.

Bản sao của GPC cũng được kích hoạt bằng cách thay đổi bất kỳ thiết
lập nào trong GPO, cũng như trong GPT. Mặc dù bản sao của GPC

không được dựa trên FRS mà thay vì đó, giống như tất cả các đối
tượng Active Directory khác, tất cả GPC đều được kiểm soát bởi bản
sao Active Directory.

Bả
n sao Active Directory có hai lịch trình mặc định tái tạo bản sao khác

nhau. Có một bản sao giữa các domain controller nằm trong cùng site
và bản sao giữa các domain controller trong các site khác.

Lịch trình bản sao đầu tiên xuất hiện cứ 15s một lần cho các domain
controller cùng site. Khoảng thời gian này sẽ không nên thay đổi và
được điều khiển bằng Knowledge Consistency Checker (KCC).

Lịch trình bản sao thứ hai xuất hiện cứ 3 giờ một lần mặc định và được

điều khiển bởi Intersite Topology Generator (ISTG). Khoảng thời gian
này có thể thay đổi, trong hầu hết các trường hợp, bạn nên giảm
khoảng thời gian này xuống để tối ưu hóa với thay đổi của các domain
controller. Để thay đổi khoảng thời gian này, bạn cần thay đổi liên kết
site và cấu hình lịch trình. Điều này được thực hiện trong các site của
Active Directory và các công cụ dịch vụ, xem thể hiện trong hình 6.

Hình 6: Tái tạo liên site có thể đượ
c quản lý và giảm so với 3h mặc
định.
Thẩm định sự táo tạo bản sao

Công cụ dễ nhất để sử dụng cho việc thẩm định rằng cả GPC và GPT
đều đã được tái tạo là GPOTool. Đây là một công cụ miễn phí và rất dễ

sử dụng. Công cụ này có thể chạy từ nhắc lệnh. Chỉ cần đánh gpotool
/
verbose từ cửa sổ nhắc lệnh, giống như những gì bạn thấy trong hình
7.

Hình 7: Công cụ GPOTool cung cấp các thông tin về sự hội tụ của các
phần trong GPO.
Kết quả của lệnh này sẽ hiển thị cho bạn số phiên bản của GPT và GPC

cho mỗi GPO trên domain controller đã liệt kê.

Nếu một phần nào đó của GPO không tái tạo cho domain controller mà

bạn đang thẩm định thì khả năng là các thiết lập mới trong GPO không
áp dụng. Như vậy, bạn cũng cần phải xác nhận xem GPO đã tái tạo
cho domain controller mà bạn đang thẩm định hay chưa.

Kết luận

Bản sao Group Policy được điều khiển bởi hai cơ chế tái tạo khác nhau:

FRS và tái tạo Active Directory. Để nội dung của GPO được cập nhật
trên tất cả các domain controller thì bản sao phải bao phủ cả hai phần
của GPO đó là GPT và GPC. Bằng cách sử dụng công cụ GPOTool, bạn
có thể thẩm định tất cả dữ liệu GPO đã tái tạo cho các domain
controller hay chưa.
