Tìm hiểu về bản sao của Group Policy

Bản sao của Group Policy được điều khiển bởi hai cơ

chế tái tạo khác nhau: FRS và tái tạo Active
Directory. Chúng ta sẽ xem xét cả hai phương pháp
trong bài này.
Khi Group Policy trở lên quan trọng trong việc quản lý các máy trạm và

các máy chủ trong Active Directory thì bạn cần phải hiểu được các chi
tiết về Active Directory một cách rõ ràng. Có nhiều phần của Group
Policy, ví dụ như các mở rộng trình khách, ADM/ADMX files, GPC,
GPT,… Khi một thay đổi nào đó xuất hiện đối với Group Policy object
(GPO), thì thay đổi đó sẽ chỉ xuất hiện trong một domain controller.
Như vậy, thay đổi đối với GPO phải được tạo bản sao cho tất cả các
domain controller khác. Bản sao này sẽ ảnh hưởng đến các cơ ch
ế tái
tạo bản sao và có thể gây ra các hiệu ứng khác nếu không được thực
hiện đúng cách. Bài này sẽ giới thiệu cho các bạn về sự tái tạo bản sao

của Group Policy và những gì bạn có thể thực hiện để thẩm định rằng
tất cả các bản sao đã xuất hiện.

Kích hoạt sự tái tạo

Sự tái tạo được kích hoạt khi một thiết lập trong GPO bị thay đổi. Điều
này có thể là một thiết lập nào đó trong GPO, và với hơn 5000 thiết lập

trong Windows Server 2008, sẽ có rất nhiều cơ hội để tạo các thay đổi
này. Một thay đổi có thể xuất hiện trên phía Computer Configuration
hoặc phía User Configuration của GPO. Dù thay đổi nào đi chăng nữa

các file này là c:\Windows\Sysvol\Sysvol\\Policies, xem thể hiện trong
hình 3.

Hình 3: Tất cả GPO lưu các thiết lập trong file nằm trong Sysvol trên
domain controller.
Sysvol trên các domain controller được sử dụng để cung cấp các thiết
lập Group Policy và các kịch bản đăng nhập cho máy khách. Vì Sysvol
được sử dụng cho việc thẩm định quyền của người dùng và máy tính
(user và computer) nên nó phải cập nhật trên tất cả các domain
controller. Khi bất kỳ một thông tin nào đó bị thay đổi trong Sysvol
của domain controller thì nó sẽ kích hoạt tình trạng tạo bản sao của
Sysvol đối với t
ất cả các domain controller khác.

Sysvol được tái tạo bằng cách sử dụng File Replication System (FRS).
FRS không có một lịch trình liên quan với nó nên nó sử dụng một tái
tạo dựa trên trạng thái. Điều này có nghĩa là ngay khi có sự thay đổi
nào đó diễn ra với bất cứ file nào trong cấu trúc thư mục Sysvol thì sự
tái tạo đều sẽ được kích hoạt. Cách thức này tạo một mô hình tái tạo
nhanh và rất hiệu quả cho GPT.

Một chú ý nhỏ, sự tái tạo FRS không bám chặ
t với bất kỳ các đường
biên của site nào. Như vậy, tình trạng bản sao sẽ hội tụ về tất cả các
domain controller chỉ bên trong một vài phút, thậm chí đến các domain

controller trong các địa điểm điều khiển xa.

Lưu ý
: Windows Server 2008 có thể FRS hoặc DFS-R để tái tạo các nội

không được dựa trên FRS mà thay vì đó, giống như tất cả các đối
tượng Active Directory khác, tất cả GPC đều được kiểm soát bởi bản
sao Active Directory.

Bả
n sao Active Directory có hai lịch trình mặc định tái tạo bản sao khác

nhau. Có một bản sao giữa các domain controller nằm trong cùng site
và bản sao giữa các domain controller trong các site khác.

Lịch trình bản sao đầu tiên xuất hiện cứ 15s một lần cho các domain
controller cùng site. Khoảng thời gian này sẽ không nên thay đổi và
được điều khiển bằng Knowledge Consistency Checker (KCC).

Lịch trình bản sao thứ hai xuất hiện cứ 3 giờ một lần mặc định và được

điều khiển bởi Intersite Topology Generator (ISTG). Khoảng thời gian
này có thể thay đổi, trong hầu hết các trường hợp, bạn nên giảm
khoảng thời gian này xuống để tối ưu hóa với thay đổi của các domain
controller. Để thay đổi khoảng thời gian này, bạn cần thay đổi liên kết
site và cấu hình lịch trình. Điều này được thực hiện trong các site của
Active Directory và các công cụ dịch vụ, xem thể hiện trong hình 6.

Hình 6: Tái tạo liên site có thể đượ
c quản lý và giảm so với 3h mặc
định.
Thẩm định sự táo tạo bản sao

Công cụ dễ nhất để sử dụng cho việc thẩm định rằng cả GPC và GPT
đều đã được tái tạo là GPOTool. Đây là một công cụ miễn phí và rất dễ