- Налаштування процесу обробки і оптимізація інфраструктури допомагають поліпшити продуктивність.
- Як підвищити швидкість обробки
- розширене управління
- інфраструктура
- Протоколювання групової політики
Налаштування процесу обробки і оптимізація інфраструктури допомагають поліпшити продуктивність.
Швидкість обробки GPO залежить від параметрів настройки та інфраструктури. Переваги використання Active Directory (AD) в середовищі Windows відомі. Серед них - наявність об'єктів групової політики (Group Policy Objects, GPO), потужних інструментів управління серверами Windows 2000 і робочими станціями Windows XP / 2000. Але нерідко надмірне захоплення передовою технологією призводить до зниження системної продуктивності. У процесі початкового завантаження комп'ютера або реєстрації користувача настройки системи і профіль користувача можуть впливати на десятки об'єктів GPO, пов'язаних з різними рівнями ієрархії AD. В результаті на обробку GPO при завантаженні і реєстрації витрачається занадто багато часу.
Керуючи процесом обробки GPO і оптимізуючи інфраструктуру, можна звести негативні наслідки до мінімуму. Але для цього необхідно знати, як Windows 2000 зберігає і застосовує настройки GPO, як адміністратор може змінити параметри і побудувати ефективну інфраструктуру групових політик (гадаю, що читачі вже мають уявлення про застосування GPO в середовищі AD).
Основи обробки GPO
Об'єкти GPO пов'язані з контейнерними об'єктами (сайтами, доменами і організаційними підрозділами - OU) всередині AD, і всі об'єкти computer і user в даному контейнері відчувають вплив GPO. Процес обробки GPO складний, так як до всіх об'єктів computer і user повинні бути застосовані будь-які GPO, пов'язані з доменом, батьківськими і дочірніми OU і сайтом, де знаходяться об'єкти. Можна пов'язати один GPO з декількома контейнерами, і кілька GPO - з одним контейнером. У першому випадку вплив на швидкість обробки об'єктів групової політики незначно, зате в другому можливі серйозні негативні наслідки. Чим більше GPO необхідно застосувати до даного об'єкта computer або user, тим більше часу піде на завантаження комп'ютера або реєстрацію користувача.
Параметри GPO зберігаються в двох компонентах Windows 2000: контейнері Group Policy Container (GPC) в AD і шаблоні Group Policy Template (GPT) в каталозі Sysvol на контролерах домену (DC). У процесі створення нового GPO в оснащенні Active Directory Users and Computers консолі управління Microsoft Management Console (MMC) або оснащенні Active Directory Sites and Services створюються GPC і GPT, а GPO зв'язується з обраним контейнерним об'єктом. Якщо змінити GPO за допомогою оснастки MMC Group Policy, то змінюються як GPC, так і GPT.
Обробка параметрів GPC і GPT покладається на групу бібліотек DLL, які називаються клієнтськими розширеннями. Клієнтські розширення перераховані в різних підрозділах HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsNTCurrentVersionWinlogon GPExtensions локальних реєстрів робочих станцій Windows XP / 2000. У кожному підрозділі з глобальним унікальним ідентифікатором GUID вказується ім'я DLL, категорія групової політики, для обробки якої використовується розширення (наприклад, Folder Redirection, Software Installation), і параметри, що визначають дії розширення. Так, параметри визначають, чи буде розширення обробляти GPO при підключенні комп'ютера до контролера домену через повільне з'єднання з мережею, має чи розширення періодично оновлювати параметри політики і чи слід застосовувати GPO, що не змінився після останнього сеансу зв'язку.
Клієнтські розширення - основні «робочі бджілки» GPO, але деякі мережеві операції необхідно виконати до їх запуску. Взаємодія з мережі зазвичай займає значну частину всього часу, що витрачається серверами і робочими станціями на обробку GPO. При завантаженні робочої станції Windows 2000 в домені AD діє таким чином.
- Робоча станція відправляє на DNS-сервер запит для пошуку DC на сайті робочої станції. Точніше, робоча станція запитує в DNS запис типу SRV _ldap._tcp.sitename._si-tes.dc._msdc.domain-name. У цьому записі міститься ім'я контролера DC (в імені сайту), який обробляє запити LDAP (Lightweight Direc-tory Access Protocol) для домену.
- Робоча станція встановлює захищене з'єднання з DC.
- Робоча станція відправляє на DC ехозапрос, щоб визначити швидкість підключення до мережі з DC (наприклад, коммутируемое, T1). За замовчуванням, повільної вважається лінія з скорос-ма передачі даних менше 500 кбіт / с. Детальніше про те, як Windows 2000 пізнає повільні лінії, можна прочитати в статті "How a Slow Link Is Detected for Processing User Profiles and Group Policy" за адресою: aspx?scid=kb;en-us;q227260> http://support.microsoft.com/ default.aspx? scid = kb; en-us; q227260 .
- Робоча станція встановлює прив'язку до AD через LDAP.
- Робоча станція відправляє через LDAP запит в AD і отримує список всіх GPO, пов'язаних з OU робочої станції або батьківським OU.
- Робоча станція відправляє через LDAP запит в AD і отримує список всіх GPO, пов'язаних з доменом робочої станції.
- За допомогою LDAP робоча станція запитує AD і отримує список всіх GPO, пов'язаних з сайтом робочої станції.
- Робоча станція через LDAP опитує GPC (в AD) і визначає шлях до шаблону GPT об'єкта GPO (в Sysvol).
- Робоча станція читає файл gpt.ini, розташований в GPT кожного GPO. У цьому файлі вказано номер поточної версії GPO.
- Клієнтські розширення робочої станції обробляють отримані GPO.
У цьому переліку показані тільки специфічні для комп'ютера GPO, які застосовуються при початковому завантаженні машини. Після реєстрації користувача Windows 2000 має опрацювати всі GPO для цього користувача. В ході процедури операційна система повторює кроки 4-10 (для мережевої середовища дії 1-3 вже виконані).
Як підвищити швидкість обробки
Крім великого числа GPO, з якими доводиться мати справу об'єкту computer або user, на тривалість процесу можуть вплинути численні дії по обробці GPO при початковому завантаженні комп'ютера, реєстрації користувача і оформленні доступу до «робочого столу». Ще один важливий фактор, що визначає час обробки GPO, - швидкість перетворення імен в DNS і пошуку DC на сайті робочої станції. Чим більше часу йде на виконання базових підготовчих дій, тим довше процес обробки GPO. Якщо машини Windows XP або 2000 не отримають коректних записів типу SRV, то обробка GPO, можливо, не буде виконано.
Навіть базові операції з об'єктами групової політики іноді вимагають багато часу. Однак цей процес можна прискорити за допомогою деяких параметрів і функцій Group Policy. Як показано на Екрані 1, адміністратор може отримати доступ до клієнтських розширень і функцій Group Policy через оснащення Group Policy. Необхідно відкрити консоль Group Policy і перейти в розділ Computer Configuration, Admi-nistrative Templates, System, Group Policy. Потім слід вибрати політику в правому вікні і відкрити діалогове вікно Poperties політики, щоб переглянути і змінити її параметри. Зокрема, велике значення мають політики, які керують визначенням повільної лінії, обробкою GPO незалежно від версії, синхронним і асинхронним режимами.
Визначення повільної лінії. За замовчуванням, клієнтські розширення, які керують перепризначенням папок (Folder Redirection), установкою програм (Software Installation), сценаріями (Scripts) і квотами диска (Disk Quota), не обробляють GPO, якщо робоча станція виявляє повільну лінію зв'язку. Якщо активізувати функцію виявлення повільної лінії, то менше клієнтських розширень буде зайнято обробкою GPO, і обробка піде швидше. Стандартну швидкість повільної лінії 500 кбіт / с можна змінити за допомогою політики Group Policy slow link detection (підвищення порогу для примусового виявлення повільної лінії - не найкращий метод прискорення обробки GPO).
Контроль версій GPO. У GPC і GPT кожного GPO вказано номер версії GPO. Windows 2000 збільшує цей номер на 1 при кожній зміні об'єкта групової політики. У розділах HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsNT CurrentVersionGroup PolicyHistory і HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsNTCurrentVersion Group PolicyHistory локальних реєстрів Windows XP і 2000 зберігається історія кожного циклу обробки GPO. За замовчуванням, клієнтські розширення не обробляють GPO, якщо номер версії об'єкта не змінився. Якщо номер версії GPO дорівнює 0 (в об'єкті групової політики не встановлено ніяких параметрів), то клієнтські розширення навіть не спробують застосувати даний GPO.
Примусова обробка кліентс-кими розширеннями всіх GPO незалежно від їх версії збільшує витрати часу. В папці Group Policy слід вибрати політику з правого вікна, відкрити діалогове вікно Properties політики і вибрати параметр активізації політики. При цьому необхідно переконатися, що прапорець Process even if the Group Policy objects have not changed скинутий.
Асинхронна обробка. За замовчуванням, операції обробки GPO в Windows 2000 виконуються синхронно: всі клієнтські розширення повинні завершити обробку всіх GPO, призначених для даної машини (при початковому завантаженні системи), перш ніж на екрані з'явиться діалогове вікно реєстрації. Коли користувач реєструється на комп'ютері з Windows 2000, клієнтські розширення, обробні GPO рівня user, повинні завершити роботу до того, як користувач отримає доступ до робочого столу і зможе приступити до роботи. Якщо обробка численних GPO істотно збільшує час завантаження системи або реєстрації користувача, то можна налаштувати Windows 2000 на асинхронну обробку GPO (через політики Apply Group Policy for computers asynchronously during startup і Apply Group Policy for users asynchronously during logon). Однак GPO, обробка якого на час реєстрації користувача не завершена, може не вступити в силу до наступного сеансу. Цей пропуск може викликати неполадки в таких категоріях групової політики, як Software Installation і Folder Redirection. В XP є функція Fast logon optimization (швидка оптимізація процедури реєстрації), тому GPO за замовчуванням обробляються асинхронно. Таким чином, клієнтські розширення комп'ютера з XP можуть і не завершити обробку всіх GPO до моменту виведення на екран вікна реєстрації надання доступу до робочого столу. Зазвичай політики Software Installation і Folder Redirection вступають в силу після двох процедур реєстрації.
У Windows 2000 також допускається асинхронна обробка для фонового поновлення групової політики. Після початкової обробки в процесі завантаження або реєстрації Windows 2000 періодично оновлює деякі об'єкти, зокрема, пов'язані з параметрами безпеки і адміністративними шаблонами. Наприклад, клієнтське розширення, яке відповідає за режим безпеки сервера або робочої станції Windows 2000, за замовчуванням оновлює всі параметри GPO через кожні 90 хв. На DC стандартний період оновлення - 5 хв. Періодичне оновлення зменшує шкоду, якої завдають користувачі, самовільно змінюють параметри безпеки між процедурами реєстрації та перезавантаження.
Не всі клієнтські розширення підтримують фонове оновлення параметрів. Наприклад, не оновлюється політика Software Installation (не можна видалити Microsoft Word, коли з ним працює інший користувач). Крім того, клієнтські розширення не оновлюють GPO, які не змінювалися. Щоб заборонити оновлення GPO, слід відкрити діалогове вікно Properties політики та встановити прапорець Do not apply during periodic background processing. Щоб змінити загальний режим фонової обробки для комп'ютера, потрібно активізувати і змінити політики Disable background refresh of Group Policy, Group Policy refresh interval for computers або Group Policy refresh interval for domain controllers.
Хоча фонова обробка не робить істотного впливу на продуктивність системи, знати про її існування адміністраторові необхідно. Можна активізувати протоколювання подій обробки GPO, щоб відстежувати фонові операції і діагностувати неполадки (подробиці - в урізанні «Протоколювання групової політики» ).
розширене управління
Методи підвищення швидкодії, такі, як визначення повільної лінії, контроль версій GPO і асинхронна обробка, реалізовані в Windows XP і 2000. Щоб ще більше скоротити час обробки GPO, можна явно задати кілька інших параметрів.
Відключення невикористовуваних параметрів. У кожному GPO можна вказати параметри, що застосовуються до користувачів і комп'ютерів. Але немає необхідності ставити обидва типи параметрів в одному GPO. Тому перша і найпростіша міра підвищення швидкодії - вимикайте параметри GPO рівнів computer і user. Припустимо, що в процесі завантаження робоча станція визначає, що їй належить обробити чотири GPO, лише двом з яких призначена політика рівня computer. Два інших об'єкта можна відзначити як не мають політики рівня computer. В результаті клієнтським розширенням робочої станції не доведеться відшукувати неіснуючі параметри рівня computer, і час обробки скоротиться.
Щоб скасувати параметри GPO рівнів computer і user, потрібно відкрити оснастку Active Directory Users and Computers або оснащення Active Directory Sites and Services, натиснути правою кнопкою миші на контейнері, з яким пов'язаний GPO, і вибрати пункт Properties з контекстного меню. Потім слід перейти до закладки Group Policy діалогового вікна Properties, вибрати GPO і клацнути на кнопці Properties, щоб відкрити діалогове вікно Policy Properties об'єкта. За допомогою прапорців в розділі Di-sabled можна відключити невживані параметри налаштування для користувачів і комп'ютерів. Можна вибрати обидва прапорця, але при цьому відключається фактично весь GPO.
Призначення максимального часу очікування. Ще один спосіб скоротити час обробки GPO - задати максимальний час виконання сценаріїв. Об'єкти GPO сумісні як зі сценаріями, виконуваними при завантаженні і завершення роботи комп'ютера, так і зі сценаріями відкриття і завершення сеансу користувача. Сценарії можуть бути представлені у вигляді будь-якого виконуваного файлу, командного файлу або сценарію Windows Script Host (WSH). Оскільки до цього користувача або комп'ютера можна застосувати кілька GPO, можливо послідовне виконання кількох сценаріїв. Але помилки і некоректні сценарії можуть призвести до зависання комп'ютера або нескінченним циклам. Наприклад, системам Windows XP і 2000 може знадобитися до 10 хв для синхронної обробки GPO, і адміністратору буде нелегко визначити причину затримки.
Щоб уникнути подібних проблем, можна задати максимальний час виконання всіх сценаріїв. У гіршому випадку завислий або зациклені сценарій буде працювати протягом певного часу. Однак слід пам'ятати, що час очікування відноситься до загального часу виконання всіх сценаріїв. Наприклад, якщо призначити сценарії реєстрації в кожному з десяти GPO домену AD і встановити час очікування 60 с, то всі сценарії повинні бути за 60 з виконані повністю. Щоб задати максимальний час виконання сценарію, слід відкрити оснастку Group Policy, пройти по Computer Configuration, Administrative Templates, System, Logon (або Administrative Templates, System, Scripts в XP) і відкрити діалогове вікно політики Maximum wait time for Group Policy scripts ( см. Екран 2). Активізувати політику і змінити час очікування можна на закладці Policy.
інфраструктура
Зменшити або запобігти втратам часу при обробці GPO можна не тільки шляхом зміни режимів, а й за допомогою добре спланованої інфраструктури групових політик. Зменшивши кількість створюваних GPO, груп безпеки та крос-доменних зв'язків між об'єктами, можна прискорити обробку.
Обмеження числа GPO. Сама прос-та міра - обмежити число GPO, оброблюваних при запуску комп'ютера або реєстрації користувача. Я пропоную для початку обмежити їх число десятьма, але попередньо необхідно провести випробування, так як кількість об'єктів залежить від функцій кожного з них. Слід також пам'ятати, що в перший раз обробка GPO комп'ютера або користувача забирає більше часу, так як клієнтські розширення повинні застосувати всі налаштування. Після завершення циклу обробки в перший раз, в подальшому при завантаженні системи або реєстрації користувача будуть оброблятися тільки змінилися GPO (якщо адміністратор не призначив інший режим).
Обмеження груп безпеки. На обробку GPO може вплинути використання груп безпеки (локальних, глобальних і універсальних груп AD, до складу яких входять комп'ютери і користувачі). За допомогою груп безпеки можна фільтрувати ефекти GPO - наприклад, для застосування GPO доменного рівня лише до декількох комп'ютерів або користувачам. Однак використання груп безпеки для цих цілей пов'язане з великими витратами часу. Чим більше елементів управління доступом (ACE) пов'язано з GPO, тим довше доводиться працювати клієнтського розширення, щоб визначити, чи належить даний комп'ютер або користувач до однієї з дозволених груп. Таким чином, скоротивши список управління доступом (ACL), можна поліпшити (або, принаймні, зберегти) продуктивність. Не слід без розбору застосовувати ACL для фільтрації GPO для всіх підряд комп'ютерів і користувачів. Краще ретельно вибрати рівень прив'язки GPO. Бажаного результату можна досягти, прив'язавши GPO до більш низьких рівнів ієрархії AD (наприклад, до рівня OU замість рівня домену).
Обмеження крос-доменних зв'язків. Ще один аспект інфраструктурі, Який впліває на продуктивність, - использование GPO, пов'язаних через кордони доменів. КОЖЕН GPO Належить одному домену AD, а GPC и GPT об'єкта розташовані на контролері цього домену. Пріпустімо, что існує багатодоменному ліс AD. Можна пов'язати GPO в одному домени (домен A) з іншім доменом лісу (домен B). Альо если комп'ютер або користувач в домени B обробляє GPO, розташованій в домени A, то клієнтське Розширення комп'ютера домену B має звернути до GPC и GPT об'єкта через довірчі зв'язки Всередині лісу. Це більш доладна операція, чем зв'язок з об'єктами GPO Всередині одного домену. Більш того, якщо комп'ютер з домену B не може знайти контролер домену в домені A на тому ж сайті AD, то, можливо, доведеться звернутися до DC і обробити GPO через канали WAN.
Зв'язків GPO через кордони доменів краще уникати. Замість цього слід скопіювати GPO з одного домену в інший. (В Windows XP і 2000 немає зручного способу копіювати об'єкти GPO між доменами, але ці функції реалізовані в інструментах незалежних постачальників.)
GPO: складні, але потужні. Об'єкти GPO - потужні інструменти системного адміністратора Windows, але конфігурувати і спостерігати за роботою GPO досить складно, це може уповільнити процеси завантаження системи і реєстрації користувача. Знаючи, як змінити поведінку і інфраструктуру GPO, можна звести до мінімуму пов'язані з ними втрати продуктивності і максимально використовувати переваги інфраструктури AD.
Даррен Мар-Еліа - редактор журналу Windows & NET Magazine. З нею можна зв'язатися за адресою: [email protected] .
Протоколювання групової політики
Адміністратор не має можливості з легкістю контролювати процес обробки об'єктів групової політики (GPO) в реальному часі. Але в Windows XP і 2000 є корисні функції протоколювання, за допомогою яких можна розібратися в робочому циклі системи.
За замовчуванням, клієнтські розширення заносять деякі високорівневі дії в журнал Application. Але, як правило, ці записи недостатньо докладні. Можна отримати додаткові дані, змінивши реєстр кожної досліджуваної машини. Для цього потрібно створити підрозділ в розділі HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsNTCurrentVersion і завести в ньому параметр RunDiagnosticLoggingGroupPloicy (тип REG_DWORD), присвоївши йому значення 0x1. Потім слід перезапустити комп'ютер.
Після того як зміни реєстру вступлять в силу, в журнал Application буде записуватися докладна інформація (див. Екран A). З її допомогою можна простежити весь цикл обробки GPO і виявити активні клієнтські розширення; GPO, оброблювані системою; об'єкти, які не обробляються через те, що їх версія не змінилася; визначити тривалість циклу обробки. За допомогою журналу зручно проводити діагностику. Докладний протокол покаже, що дане клієнтське розширення не може працювати з конкретним GPO, і в ряді випадків визначить, коли сталася помилка. Детальний протоколювання згодом переповнює журнал подій і створює додаткове навантаження на систему, але воно має місце тільки в процесі обробки об'єктів GPO, і мені поки не доводилося бачити, щоб в результаті збитків зазнавала продуктивність всієї системи.
назад
Aspx?