Групповая политика От входа к главному (3) Взаимная репликация политик между сайтами и связанных настроек
http-equiv=»Content-Type» content=»text/html;charset=UTF-8″>style=»clear:both;»>
Между сайтами групповые политики реплицируют друг друга. Каков принцип? В этой главе дается введение и объясняются некоторые операции взаимной репликации.
Откройте файл c: \ Windows \ SYSVOL \ sysvol \ contoso.com \ Policies контроллера домена.
У меня здесь только один контроллер домена, поэтому я не могу показать разные точки зрения в виде картинок, подробнее объясню в качестве дополнения. В этом каталоге много папок. Это локальные объекты групповой политики. Если мы откроем эту локальную папку на разных контроллерах домена на нескольких сайтах, мы увидим, что содержимое одинаково. Другими словами, за счет регулярной репликации папка каждого контроллера домена поддерживается согласованной, и достигается репликация политик и единообразие политик.
Открытый сайт и управление услугами.
Мы можем создать здесь новый сайт, потому что у меня здесь только один DC и нет взаимной репликации. Если есть несколько DC, вы можете увидеть, с какого хоста сервер реплицирует групповую политику в правом окне. И мы можем щелкнуть правой кнопкой мыши этот хост и выбрать Копировать, чтобы скопировать групповую политику напрямую, не дожидаясь.
Откройте управление групповой политикой и отредактируйте групповую политику. В представлении выберите параметр DC.
Как видите, есть три варианта.
Как видите, когда мы редактируем групповую политику и связываем ее, мы записываем ее на этот хост и распространяем. По умолчанию используется PDC для имитации рабочего узла. Вы также можете выбрать контроллер домена, используемый блоком управления, и использовать любой доступный контроллер домена.
Перепечатано на: https://blog.51cto.com/luashin/748641
Интеллектуальная рекомендация
Тема переноса двери …
Система часов S5PV210 Как показано на следующей диаграмме структуры тактовой частоты, S5PV210 содержит три тактовых домена, а именно основной системный тактовой домен (называемый MSYS), отображая связ…
1. Установить рубин Этот кластер использует / SRC / Redis-trib.rb скрипт REDIS-4.0.0, и сценарий использует язык Ruby, поэтому установлен рубин первым. Пользовательская установка Root, установка без к…
Запрос лимит времени:1 секунда Ограничения пространства:32768K Индекс тепла:332560 Очки знаний по этому вопросу: Стек очереди Название Описание Используйте два стека, чтобы реализовать очередь для вып…
Вам также может понравиться
Первый, абстрактный класс: Класс, использующий абстрактный модификатор в декларации класса, называется абстрактным классом. Класс, содержащий один или несколько абстрактных элементов, должен быть опре…
Android-анализ Volley (2) принцип Предисловие Linus Benedict Torvalds : RTFSC – Read The Fucking Source Code Обобщить Эта статья анализирует исходный код Volley, чтобы пройти через процесс Volle…
Каталог статей Название Описание Очки знаний результат достичь Мыслить до кода Код Отражение почтового индекса Название Описание Очки знаний Построение бинарного дерева, обход бинарного дерева результ…
Программа загрузки команды файла 1 формат 2 Фактический бой 2.1 Новый файл TEST.CPP 2.2 Компиляция и запуска программы 2.3 Запустите GDB, затем загрузите тест исполняемого программы Совет Описание GDB…
Другой заключается в сжатии в соответствии с указанным объемом памяти, конкретный метод заключается в следующем:…
Будущее Active Directory
Поскольку Active Directory является центральным ИТ-инструментом для управления контролем доступа и безопасностью, то независимо от того, идет ли речь о ИТ-безопасности или нет, вы можете повысить свою эффективность, а в большинстве случаев, добиться и того и другого. Внедрение лучших практик Active Directory является неотъемлемой частью любой ИТ-стратегии. Начиная с платформ мониторинга и заканчивая программным обеспечением для удаленного доступа, существуют десятки инструментов, которые помогут вам в этом процессе. Выберите то, что вам нужно для оптимизации рабочего процесса, обеспечения безопасности и, в конечном итоге, улучшения как ИТ-операций, так и взаимодействия с пользователем.
Распространенные сценарии и рекомендации по вопросам администрирования с многоуровневым управлением
В некоторых средах параметры политики могут быть представлены пользовательскому интерфейсу на разных языках. Например, администратору в США может потребоваться просмотреть параметры политики для определенного GPO на английском языке, а администратору во Франции может потребоваться просмотреть тот же GPO, используя французский язык в качестве предпочтительного языка. Так как GPT может хранить только один набор ADM-файлов, вы не можете использовать GPT для хранения ADM-файлов для обоих языков.
В Windows 2000 г. использование локальных ADM-файлов редактором объектов групповой политики не поддерживается. Чтобы обойти это, используйте параметр политики «Отключите автоматические обновления файлов ADM». Поскольку этот параметр политики не влияет на создание новых GPO, локальные файлы ADM будут загружены в GPT в Windows 2000 г., а создание GPO в Windows 2000 г. фактически определяет «язык GPO». Если параметр политики «Отключение автоматических обновлений ADM-файлов» действует на всех рабочих станциях Windows 2000, язык ADM-файлов в GPT будет определяться языком компьютера, используемого для создания GPO.
Для администраторов, использующих Windows XP и Windows Server 2003, можно использовать параметр политики «Всегда используйте локальные файлы ADM для редактора групповой политики». Это позволяет французскому администратору просматривать параметры политики с помощью файлов ADM, установленных локально на рабочей станции (французский), независимо от файла ADM, хранимого в GPT. При использовании этого параметра политики предполагается, что параметр «Отключение автоматических обновлений ADM-файлов» позволяет избежать ненужных обновлений ADM-файлов в GPT.
Кроме того, рассмотрите стандартизацию последней операционной системы корпорации Майкрософт для административных рабочих станций в многоязычной административной среде. Затем настройте параметры политики «Всегда используйте локальные ADM-файлы для редактора групповой политики» и «Отключите автоматические обновления файлов ADM».
Если Windows используются 2000 рабочих станций, используйте параметр политики «Отключить автоматические обновления ADM-файлов» для администраторов и считайте файлы ADM в GPT эффективным языком для всех рабочих станций Windows 2000.
Примечание
Windows Рабочие станции XP по-прежнему могут использовать локальные языковые версии.
NПОПЫТКА
KCC — это встроенный процесс, который выполняется на всех контроллерах домена и создает топологию репликации для Active Directory леса. KCC создает отдельные топологии репликации в зависимости от того, выполняется ли репликация на сайте (внутрисайтовая) или между сайтами (межсайтовой). KCC также динамически корректирует топологию, чтобы она соответствовала добавлению новых контроллеров домена, удалению существующих контроллеров домена, перемещению контроллеров домена на сайты, изменяющимся затратам и расписаниям, а также к контроллерам домена, которые временно недоступны или находятся в состоянии ошибки.
В пределах сайта подключения между контроллерами домена с возможностью записи всегда упорядочиваются по двунаправленному кругу с дополнительными подключениями для уменьшения задержки на больших сайтах. С другой стороны, межсайтовая топология является слоем распределения деревьев. Это означает, что между двумя сайтами каждого раздела каталога существует одно межсайтическое соединение, которое обычно не содержит ярлыки. Дополнительные сведения о охвате деревьев и Active Directory топологии репликации см. в статье Технический справочник по топологии репликации Active Directory ( https://go.microsoft.com/fwlink/?LinkID=93578 ).
На каждом контроллере домена KCC создает маршруты репликации, создавая односторонние объекты входящих подключений, которые определяют подключения других контроллеров домена. Для контроллеров домена на одном сайте KCC автоматически создает объекты подключения без вмешательства администратора. При наличии нескольких сайтов вы настраиваете связи сайтов между сайтами, а единое средство проверки согласованности знаний на каждом сайте автоматически создает подключения между сайтами.
улучшения KCC для Windows Server 2008 rodc
существует ряд улучшений KCC для размещения нового доступного контроллера домена только для чтения (RODC) в Windows Server 2008. Типичным сценарием развертывания для RODC является филиал. Топология репликации Active Directory, наиболее часто развернутая в этом сценарии, основана на конструкции «звезда», где контроллеры домена ветви на нескольких сайтах реплицируются с небольшим количеством серверов-плацдармов на сайте концентратора.
Одним из преимуществ развертывания RODC в этом сценарии является однонаправленная репликация. Серверы-плацдармы не должны реплицироваться с RODC, что снижает нагрузку на администрирование и использование сети.
однако одна из задач администрирования, выделенная топологией hub в предыдущих версиях операционной системы Windows Server, заключается в том, что после добавления нового контроллера домена-плацдарма в концентратор не существует автоматического механизма повторного распределения подключений репликации между контроллерами домена ветви и контроллерами домена концентратора, чтобы воспользоваться преимуществами нового контроллера домена концентратора.
для Windows Server 2008 rodc нормальная работа KCC обеспечивает некоторую перераспределение. Новые функции включены по умолчанию. Его можно отключить, добавив следующий набор разделов реестра на RODC:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
«Random BH LoadBalancing Allowed»1 = Enabled (по умолчанию), 0 = отключено
Дополнительные сведения о том, как работают эти улучшения KCC, см. в разделе Планирование и развертывание служб домен Active Directory для филиалов ( https://go.microsoft.com/fwlink/?LinkId=107114 ).
Кэширование членства в универсальных группах
Кэширование членства в универсальных группах позволяет контроллеру домена кэшировать сведения о членстве в универсальных группах для пользователей. контроллеры домена, работающие под управлением Windows Server 2008, можно включить для кэширования членства в универсальных группах с помощью оснастки «сайты и службы Active Directory».
Включение кэширования членства в универсальных группах устраняет потребность в сервере глобального каталога на каждом сайте в домене, что сводит к минимуму использование полосы пропускания сети, поскольку контроллеру домена не требуется реплицировать все объекты, расположенные в лесу. Это также сокращает время входа в систему, так как контроллерам домена, выполняющим аутентификацию, не всегда требуется доступ к глобальному каталогу для получения сведений о членстве в универсальных группах. Дополнительные сведения об использовании кэширования членства в универсальных группах см. в разделе Планирование размещения сервера глобального каталога.
Очистка корня DFS
Если вы используете корень DFS а тем более если вы используете репликацию в DFS, то у вас после восстановления службы FRS может сохраниться событие 13508 в журнале, а DCDIAG в результатах может выдавать такую ошибку «Conflict Mangled Value». Это происходит из-за разных причин, но в основном из-за вручную удаленных объектов репликации.
Если ссылок в корне DFS не много, то самым быстрым способом будет пересоздать все ссылки, очистив дерево. При этом очистив дерево от ненужных объектов, а также очистив реестры всех контроллеров домена. Тогда при повторном создании корня DFS все объекты дерева и ветки реестра будут созданы заново.
Итак, что я удаляю в такой ситуации:
Сначала я запускаю оснастку «Distributed File System». У меня всего две корневых ссылки, в одной из них включена репликация.
Затем я удаляю целевые папки
Если вы удаляете последнюю целевую папку для корневой ссылки, то при этом удаляется и сама ссылка.
Удаляю оставшуюся корневую ссылку
Теперь удаляю корневые целевые папки, папку с текущего контроллера удаляю последней
Удаление последней целевой папки удаляю весь корень DFS.
Все, корень DFS удален, но в дереве все объекты остались, удаляем и их. Делаю это с помощью ADSIedit.
Первый объект, который я удаляю, это объектCN=DFS Volumes,CN=File Replication Service,CN=System,DC=test,DC=com. Удаляю его полностью со всем содержимым.
Второе место в котором я чищу ссылки это объект «CN=NTFRS Subscriptions» для каждого контроллера домена, который участвовал в репликации. В моем случае:
«CN=DFS Volumes\0ACNF:98627048-5ae0-492c-b929-911c72c54100,CN=NTFRS Subscriptions,CN=DC1,OU=Domain Controllers,DC=test,DC=com» — для контроллера DC1
«CN=DFS Volumes\0ACNF:2d3688fd-094c-4bdd-b017-8e2b29a51c5f,CN=NTFRS Subscriptions,CN=DC2,OU=Domain Controllers,DC=test,DC=com» — для контроллера DC2
Так как контроллер DC3 не учувствовал в репликации ссылок DFS, то у него и не создавались подобные объекты.
После очистки дерева необходимо почистить реестр каждого контроллера домена. Запускаю regedit и открываю ветку реестра «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets». В этой ветке должно быть несколько реплик, которые относятся к службе FRS. Нахожу реплики, которые относятся к DFS. У этих реплик значение параметра «Replica Set Type» будет равно «DFS»
Репликиудаляю в двух ветках реестра:
- «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Replica Sets»
- «HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets»
Все реплики удалены
Аналогично удаляю на всех контроллерах домена.
После создания корня DFS заново все выглядит вот так:
А в системных событиях появились записи о событиях 13553 и 13554 говорящие о успешном запуске репликации ссылок DFS.
Internals
Групповые политики кэшируются в файле /var/cache/gpupdate/registry.sqlite (можно просматривать его командой ).
Состав локальной политики
Для клиента также существует понятие локальной политики. Настройки локальной политики находятся в каталоге /usr/share/local-policy/. Данные настройки по умолчанию поставляются пакетом local-policy. Администраторы инфраструктур имеют возможность поставлять собственный пакет с локальной политикой и развёртывать её единообразно на всех клиентах. Формат шаблонов локальных политик представляет из себя архивный формат политик Samba с дополнительными модификациями. Локальную политику рекомендуется править только опытным администраторам. Состав локальной политики может меняться или адаптироваться системным администратором.
| Описание | Комментарий |
|---|---|
| Включение oddjobd.service | Необходимо для обеспечения возможности запуска для пользователя с правами администратора. |
| Включение gpupdate.service | Необходимо для регулярного обновления настроек машины. |
| Включение sshd.service | Необходимо для обеспечения возможности удалённого администрирования. |
| Включение аутентификации с помощью GSSAPI для sshd | Необходимо для аутентификации в домене при доступе через SSH. |
| Ограничение аутентификации для sshd по группам wheel и remote | Необходимо для ограничения доступа при доступе через SSH для всех пользователей домена (только при наличии соответствующей привилегии). |
| Открытие порта 22 | Необходимо для обеспечения возможности подключения SSH на машинах при старте Firewall applier. |
Симптомы
При этой проблеме возникает один или несколько следующих симптомов:
-
DCDIAG сообщает, что тест репликации Active Directory не справился с ошибкой и 2146893022: целевое основное имя некорректно.
-
Repadmin.exe сообщает о сбой попытки репликации и сообщает о состоянии -2146893022 (0x80090322).
Команды, которые обычно указывают состояние -2146893022 (0x80090322) включают, но не ограничиваются следующими:
Пример вывода, из которого указывается, что целевое основное имя является неправильной ошибкой, является следующим образом:
-
-
Команда репликации в Active Directory Sites and Services возвращает следующее сообщение об ошибке:Целевое основное имя неверно
Щелкнув правой кнопкой мыши по объекту подключения из источника DC, а затем выбрав репликацию, теперь не удается. Сообщение об ошибке на экране следующим образом:
-
Проверка согласованности знаний NTDS (KCC), NTDS General или события Microsoft-Windows-ActiveDirectory_DomainService с состоянием -2146893022 регистрируются в журнале событий службы каталогов.
События Active Directory, которые обычно ссылаются на состояние -2146893022, включают, но не ограничиваются следующими:
Источник событий Код события Строка события Репликация NTDS 1586 Контрольно-Windows NT 4.0 или более ранней репликации с мастером эмулятора PDC не удалось.Полная синхронизация базы данных диспетчера учетных записей безопасности (SAM) с контроллерами доменов, работающими Windows NT 4.0 и ранее, может произойти, если главную роль эмулятора PDC перед следующей успешной контрольной точкой передадут локальному контроллеру домена. NTDS KCC 1925 Попытка установить ссылку на репликацию для следующего раздела каталога writable не удалась. NTDS KCC 1308 Проверка согласованности знаний (KCC) обнаружила, что последовательные попытки репликации со следующим контроллером домена последовательно срывались. Microsoft-Windows-ActiveDirectory_DomainService 1926 Попытка установить ссылку репликации на раздел каталога только для чтения со следующими параметрами не удалась Обмен сообщениями между сайтами NTDS 1373 Служба обмена сообщениями intersite не может получать сообщения для следующей службы с помощью следующего транспорта. Сбой запроса для сообщений.
Репликация MS SQL Server
Очень удачно сделана возможность репликации в MS SQL Server. Настройка проста, как три копейки, потому что ее легко сделать с помощью двух мастеров, но есть подводные камни, о которых мастер не может рассказать, а мануалы просто умалчивают. Итак, давайте бегло пробежимся по процессу настройки репликации и сделаем упор на подводные булыжники, о которых все молчат как рыбы.
Для начала необходимо создать издателя и дистрибутора. Для этого на одном из серверов выбираем меню Tools | Replication | Create and Manage Publication. Я бы порекомендовал использовать для издателя машину помощнее. Первое, что у нас попросит мастер – выбрать базу данных. Выбираем, жмем Create Publication, и на следующем этапе сервер предложит создать дистрибутора. По умолчанию дистрибутором предлагается сделать ту же машину.
Мастер запрашивает создание дистрибутора репликации
Тут появляется первый подводный камень – если дистрибутор будет установлен на удаленно от издателя (на другой машине), то SQL Server Agent не может работать от имени системного аккаунта. Почему? Агент должен иметь возможность авторизоваться на машине дистрибутора и передать изменения, а для этого используется учетная запись, под которой работает агент. Под Local Account авторизоваться нигде не удастся, поэтому изменения никуда не пойдут.
Настройка учетной записи MS SQL Server Agent
После этого вам предложат сконфигурировать самого агента вручную или автоматически. Если выбрать ручной режим, то количество шагов мастера резко возрастает, но они просты и с минимальными знаниями английского ты разберешься в них. Если выбрать автомат, то остается только указать мастеру требуемый тип репликации – снимок (Snapshot publication), транзакции (Transaction publication) или смешение (Merge publication) и указать необходимые таблицы. Да, в репликации участвует не вся база, а указанные таблицы. Системные таблицы реплицировать незачем.
Выбор типа репликации
После создания издателя необходимо создать подписчика и настройку можно считать завершенной. Во время создания подписчика ты сможешь настроить план выполнения, указать дни, время или промежутки, через которые нужно выполнять репликацию.
Если ты настроил репликацию, и решил перенести базу данных на другой сервер, то можешь забыть про перенос через резервное копирование и восстановление. Дело в том, что в резервную копию не попадает информацию о репликации :(. Тут приходиться отключать базу Detach, копировать файлы на другой компьютер и подключать их заново Attach.