در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

نکات مهم در رفع اشکال Group Policy (آزمون مایکروسافت) قسمت 2

سلام خدمت دوستان عزیز وب سایت توسینسو. با ادامه معرفی مهم ترین نکات امتحانی Group Policy Troubleshooting درخدمت شما هستیم. در این مقاله با ساز و کار Group Policy و زیرساختش بیشتر آشنا میشویم. امیدواریم از خواندن این مقاله نیز لذت ببرید.

Synchronization و Replication

همانطور که در مقاله قبلی نیز اشاره کردیم ، GPO ها از دو قسمت GPC و GPT ساخته می شوند. این دو در کنار یکدیگر باعث می شود که Policy در Level مد نظر اعمال شود. با این حال حتما آگاه باشید که اگر GPO ها به درستی بین دامین کنترلر ها Replicate نشود با مشکلات زیادی مواجه می شوید. دلیل اصلی Sync نشدن GPT و GPC مشکل عدم Replicate شدن بین Domain Controller هاست. زمانی که یک GPO ایجاد می شود هر دوی GPT و GPC در دامین کنترلر اصلی یا Primary قرار میگیرند.

زمانی که چندین دامین کنترلر در شبکه داشته باشید GPC از Active Directory Replication استفاده می کند تا بین دامین کنترلر ها Replicate شود اما GPT از File Replication Services یا FRS برای Replicate کردن خود در سطح دامین استفاده می کند. اما هر دوی این ها از Replication Schedule های متفاوتی استفاده می کنند و این باعث می شود که این دو نتوانند با یکدیگر هماهنگ سازی شوند. به منظور برطرف سازی مشکلات ناشی از عدم GPO Replication میتوانید از ابزار GPRESULT گرافیکی کنسول GPMC برای چک کردن Version Number آنها استفاده کنید. Version Number های GPC و GPT زمانی که GPO تغییر داده شود افزایش یافته می شود.

و زمانی که Version Number ها در دامین کنترلر ها با یکدیگر برابر نباشند پس حتما مشکل از یکجایی آب میخورد. زمانی که یک کلاینت یک Query به سمت دامین کنترلر ارسال می کند تا اگر Policy ای وجود داشت که آنرا از سرور بگیرد و روی خود اعمال کند Version Number ارسالی از سمت دامین کنترلر مقایسه می شود تا مطمئن شود که GPO تغییر کرده است یا خیر ، اگر Version Number یکسان بود کلاینت GPO را Ignore یا از آن صرف نظر خواهد کرد و آن GPO اعمال نخواهد شد.

و زمانی که Version Number متفاوت بود کلاینت آن GPO را از دامین کنترلر Pull می کند و روی خود اعمال می کند. حالا در سناریویی که GPC و GPT با یکدیگر Sync نباشند Version Number در یک سمت برابر و در سمت دیگر متفاوت می باشد و این باعث می شود که GPO روی کلاینت اعمال نشود. و کلاینت ها از آخرین نسخه Version Number برای اعمال کردن Policy ها استفاده می کنند. ابزار مفیدی که برای چک کردن سلامت Active Directory Replication مورد استفاده قرار میگیرد ابزار خط فرمانی REPADMIN است. این ابزار ، ابزار خیلی مهمی است و حتما باید نحوه استفاده از آن را بلد باشید.

تنظیمات و امکانات دیگر در Group Policy

تعدادی تنظیمات و امکانات اضافی در Group Policy وجود دارد که میتوانید روی GPO Application هایتان اضافه کنید و آنها را به کلاینت ها اعمال کنید. البته این تنظیمات ممکن است موجب دردسر بیشتر در زمان GPO Troubleshooting شود. یکی از این تنظیمات به نام Slow Link Detection معروف است. Slow Link Detection برای تست سرعت بین کلاینت و سرور طراحی شده است. اگر سرعت بین کلاینت و سرور مناسب بود Policy اعمال خواهد شد در غیر این صورت اعمال نخواهد شد.

طبیعی است که برای جلوگیری از مصرف بیش از پهنای باند شبکه این مکانیزم توسط مایکروسافت طراحی شده است. به شما دوستان اکیدا توصیه می کنم که حتما از این مورد اطمینان حاصل کنید که کدام Policy هایتان تحت تاثیر Slow Link Detection هستند. این مورد بدون شک یکی از موارد امتحانی هست که در آزمون مایکروسافت از آن سئوال مطرح خواهد شد ، بدین صورت که یک دامین در سطح چند Site با سرعت WAN Link های مختلف تقسیم شده است و GPO در یکی از آن Site ها اعمال نمی شود.

قابلیت دیگری که در GPO وجود دارد این است که برای یک OU میتوانید مشخص کنید که از OU های بالاسری Policy ها را Inherit نکند ، شما این قابلیت را با فعال سازی Block Inheritance روی OU مربوطه میتوانید فعال کنید. همچنین GPO ی مربوطه را میتوانید Enforce کنید تا به Child OU ها Override نشود. استفاده از این دو قابلیت در GPO زیاد پیشنهاد نمی شود زیرا که میتواند باعث اعمال نشدن Policy ها از OU های بالاسری شود. یکی دیگر از ابزار های مهم Group Policy که من از آن خیلی خوشم می آید Loopback Processing است. Loopback Processing دو حالت اجرایی دارد که یکی از آن ها Merge mode و دیگری Replace mode است.

شما باید با توجه به نیازتان یکی از این دو حالت را انتخاب کنید. هدف از طراحی Loopback Processing این است که کامپیوتر Lock Down شده همچنان Lock Down باقی بماند ، بدون توجه به آنکه چه یوزری روی آن سیستم لاگین کرده است. این را همیشه بخاطر داشته باشید که Policy ابتدا به Computer و سپس به User اعمال می شود . زیرا هنگام Startup سیستم Policy مربوط به Computer Configuration اعمال می شود و سپس بعد از اینکه یوزر لاگین کرد تنظیمات یا پالسی های User Configuration به سیستم اعمال می شود. فرض کنید که یک یوزر پای کامپیوتری نشسته و به آن لاگین می کند اگر Loopback Processing را فعال کرده باشید و حالت Replace mode را انتخاب کرده باشید User Policy ها بر Computer Policy ها تقدم یا اولویت پیدا می کنند اما اگر حالت Merge mode را انتخاب کرده باشید Policy های Computer بر Policy های User اولویت پیدا می کنند.

ابزار ها و Log های دیگر در Group Policy

یکی از ابزار های اصلی برای عیب یابی Group Policy ابزار خط فرمانی GPresult است. این ابزار خروجی جامع و کاملی از تنظیمات GPO ها تهیه می کند و به ما نمایش می دهد. نسخه GUI یا گرافیکی این ابزار ، ابزار RSoP یا Resultant Setting of Policy است که خود بخشی از کنسول GPMC است. به شما پیشنهاد می کنم که با خروجی های این دو ابزار بخوبی آشنا شوید و خوب یادش بگیرید ، زیرا که در عیب یابی و رفع اشکال GPO ها بسیار بسیار کاربردی و موثر است.

همچنین برای تحلیل Log های GPO ها میتوانید از ابزار Event Viewer استفاده کنید. در سمت کلاینت Entry هایی با عنوان USERENV در Log های مربوط به Group Policy در بخش Application در کنسول Event Viewer وجود دارد که میتوانید از آن استفاده کنید و GPO ها را راحت تر عیب یابی کنید. در سمت سرور نیز میتوانید با تحلیل Log های File Replication هرگونه ارور های NTFRS را Troubleshoot کنید ، که میتواند بخش GPT از GPO تان را تحت تاثیر قرار دهد.

موارد دیگری که برای عیب یابی GPO باید در نظر بگیرید

یک اصل در شبکه حاکم است که برای Troubleshooting باید خارج از چهارچوب فکر کنید. همیشه قرار نیست که با استفاده از ابزار های خود Group Policy اقدام به عیب یابی و رفع اشکال GPO ها کنید. برای مثال مواردی که در فکر خود باید در نظر بگیرید این هست که آیا دامین سالم هست ؟ آیا DNS به درستی کار می کند ؟ تاریخ و زمان کلاینت با سرور یکسان است ؟ آیا سیستم ها در شبکه دامین به درستی نصب و پیکربندی شده اند ؟ این یک تصور غلط است که دامین کنترلر ها Policy ها را به کلاینت ها ارسال می کنند.

بلکه این کلاینت ها هستند که Policy ها را از دامین کنترلر ها Pull یا دریافت می کنند. پس اگر کلاینت Query بگیرد و دامین کنترلر جواب ندهد مقصر کلاینت نیست بلکه یک مشکلی برای دامین کنترلر اتفاق افتاده است. خب بهتر است که یک نگاهی هم به پیشینه Group Policy بیندازیم. در ویندوز سرور 2008 شما میتوانستید در سطح OU بیایید و Account Policies تنظیم کنید اما در ویندوز سرور 2003 تنها میتوانستید Account Policies را در سطح Domain راه اندازی کنید. نکته مهم بعدی در مورد GPO ها که باید به آن اشاره کنم این است که شما میتوانید Precedence مربوط به GPO ها را تغیر دهید و مشخص کنید کدام یکی از دیگری در اعمال شدن برتری یا تقدم داشته باشد.

ممکن است بنشینید و پیش خود بگویید که Group Policy یک دردسر بزرگ در شبکه است و ترجیح میدهم روی صد ها کلاینت بصورت دستی تک تک Policy را تنظیم کنم !!! واقعا دوست دارید این کار را انجام دهید ؟! من که به شخصه دوست ندارم ! به هر حال چه شما دوست داشته باشید چه دوست نداشته باشید Group Policy با تمامی ضعف ها و دردسر هایش یک نقطه قوت برای اکتیودایرکتوری محسوب می شود و یادگیری عیب یابی و رفع اشکال آن از یادگیری خود Group Policy بسیار بسیار بسیار مهم تر است زیرا که در حالت خیلی ساده احتمال اینکه یک GPO را ایجاد کنید و انتظار این را داشته باشید که آن GPO به سادگی و بدون دردسر به کلاینت اعمال می شود خیلی کم است .

البته نکات GPO Troubleshooting به همین موارد محدود نمی شود و شاید رفع اشکال GPO بسیار پیچیده تر از آن باشد که در این سری از مقالات به آنها اشاره کردیم. اما جای نگرانی نیست چون ما مهمترین و شایع ترین موارد را به شما جهت رفع اشکال Group Policy آموزش دادیم و از شما این انتظار میرود که آنها را بخوبی یاد بگیرید. امیدوارم از خواندن این سری مقالات لذت برده باشید.

نویسنده : امیرحسین کریم پور

منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی میباشد

#نکات_gpo_برای_قبولی_در_آزمون_مایکروسافت #دلایل_اعمال_نشدن_group_policy #برطرف_کردن_مشکلات_group_policy #مهم_ترین_نکات_group_policy_troubleshooting #رفع_مشکل_group_policy #group_policy_troubleshooting #اعمال_نشدن_group_policy #رفع_اشکال_Group_Policy
عنوان
1 نکات مهم در رفع اشکال Group Policy (آزمون مایکروسافت) قسمت 1 رایگان
2 نکات مهم در رفع اشکال Group Policy (آزمون مایکروسافت) قسمت 2 رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره پاییزه می تونی امروز ارزونتر از فردا خرید کنی ....