Групповая политика не всегда работает так, как мы ожидаем. Причин может быть много и одна из них - наличие медленного канала связи между клиентом и контроллером домена.
А что такое для Windows медленный канал? Как он влияет на групповую политику? Что мы можем настроить в системе? Ответы в статье.
Теория
Что такое CSE и как они связаны с полосой пропускания?
Обработка групповой политики – задача клиентской машины, точнее библиотек Client-Side Extensions, CSE. Каждый модуль CSE отвечает за свой собственный участок:
- Userenv.dll отвечает за применение Административных шаблонов (Administrative Templates);
- scecli.dll отвечает за применение настроек безопасности (Security Settings);
- gptext.dll отвечает за сценарии входа (Scripts);
- fdeploy.dll отвечает за перенаправление папок (Folder Redirection);
- appmgmts.dll отвечает за установку программ;
- и т.д.
При наличии медленного канала между клиентом и контроллером домена (по умолчанию до 500 Кбит/сек) отключаются все CSE за исключением двух (Userenv.dll и scecli.dll). Согласитесь, вполне разумно отказаться от установки приложений Office или перенаправления папок профиля при подключении к домену через модем.
Как полоса пропускания канала вычислялась раньше?
В операционных системах Windows 2000, Windows XP и Windows Server 2003 определение полосы пропускания канала выполнялось путем отправки двух ICMP пакетов на контроллер домена. Первый ICMP пакет пустой, второй с блоком данных в 2048 байт. Анализируя разницу в скорости прохождения этих пакетов, операционная система вычисляла ширину канала. Детальный алгоритм описан в KB227260.
Минусы такого способа – невысокая достоверность оценки, неожиданные отключения групповых политик при включении фильтрации ICMP трафика внутри сети, избыточный трафик в больших сетях.
Как полоса пропускания вычисляется сейчас?
В Windows Vista, Windows Server 2008, Windows 7 способ вычисления полосы пропускания канала принципиально изменен. В этих системах появилась новая служба “Служба сведений о подключенных сетях” (Network Location Awareness, NLA). Эта служба постоянно собирает статистику со всех локальных сетевых интерфейсов и, среди прочего, вычисляет оценку полосы пропускания канала между текущим клиентом и удаленными хостами. Т.е., для вычисления полосы пропускания между компьютером и контроллером домена нет больше необходимости в отправке ICMP пакетов. Оценка вычисляется на основе трафика LDAP-запроса, который всегда предшествует загрузке групповой политики.
Практика
Настройка порогового значения полосы пропускания
При определении порога минимально допустимой полосы пропускания Windows использует значение по умолчанию, равное 500 Кбит/сек.
Значение по умолчанию может быть изменено на клиентских машинах путем добавления в реестр ключей GroupPolicyMinTransferRate типа REG_DWORD в ветви
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
и/или
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System.
Наличие двух ключей означает, что можно раздельно регулировать пороговое значение для компьютерных настроек и пользовательских.
Централизованно изменить значение ключа можно путем редактирования групповой политики для компьютеров…
… или групповой политики для пользователей:
Настройка режима работы CSE на медленном канале
Если требуется принудительно заставить отдельные Client-Side Extensions групповой политики работать на медленном канале, (например, чтобы обеспечить подключение дисков или гарантировать отработка сценариев), то это также легко настроить через групповую политику.
Для начала желательно включить в редакторе групповой политики фильтрацию по слову “Processing”…
… а затем пройтись по необходимым политикам в разделе Computer Configuration\Administrative Templates\System\Group Policy, установить их в режим Enabled и включить флажок Allow processing across a slow network connection.
Отключение определения скорости канала
Отключение определения скорости канала может быть настроено двумя способами:
- вводом 0 (нуля) в качестве значения одного из упомянутых выше ключей GroupPolicyMinTransferRate;
- вводом 0 (нуля) в качестве скорости канала в групповой политике.
При отключении определения скорости канала все модули CSE групповой политики будут отрабатываться на клиенте.
Выводы
Групповая политика позволяет очень гибко регулировать объем настроек, высылаемых клиентским машинам, в зависимости от качества канала между клиентом и контроллером домена.
Применение нового алгоритма определения полосы пропускания и исключение ICMP трафика повышает надежность применения групповых политик в крупных распределенных сетях.
Подробнее о том, как вообще работает групповая политика: http://technet.microsoft.com/en-us/library/cc784268.aspx
Подробнее о том, как работает групповая политика на медленном канале: http://blogs.technet.com/b/askds/archive/2009/10/23/group-policy-slow-link-detection-using-windows-vista-and-later.aspx
Комментариев нет:
Отправить комментарий