Как Group Policy работает на медленном канале

Групповая политика не всегда работает так, как мы ожидаем. Причин может быть много и одна из них - наличие медленного канала связи между клиентом и контроллером домена.

А что такое для Windows медленный канал? Как он влияет на групповую политику? Что мы можем настроить в системе? Ответы в статье.

Теория


Что такое CSE и как они связаны с полосой пропускания?

Обработка групповой политики – задача клиентской машины, точнее библиотек Client-Side Extensions, CSE. Каждый модуль CSE отвечает за свой собственный участок:

  • Userenv.dll отвечает за применение Административных шаблонов (Administrative Templates);
  • scecli.dll отвечает за применение настроек безопасности (Security Settings);
  • gptext.dll отвечает за сценарии входа (Scripts);
  • fdeploy.dll отвечает за перенаправление папок (Folder Redirection);
  • appmgmts.dll отвечает за установку программ;
  • и т.д.

При наличии медленного канала между клиентом и контроллером домена (по умолчанию до 500 Кбит/сек) отключаются все CSE за исключением двух (Userenv.dll и scecli.dll). Согласитесь, вполне разумно отказаться от установки приложений Office или перенаправления папок профиля при подключении к домену через модем.

Как полоса пропускания канала вычислялась раньше?

В операционных системах Windows 2000, Windows XP и Windows Server 2003 определение полосы пропускания канала выполнялось путем отправки двух ICMP пакетов на контроллер домена. Первый ICMP пакет пустой, второй с блоком данных в 2048 байт. Анализируя разницу в скорости прохождения этих пакетов, операционная система вычисляла ширину канала. Детальный алгоритм описан в KB227260.

Минусы такого способа – невысокая достоверность оценки, неожиданные отключения групповых политик при включении фильтрации ICMP трафика внутри сети, избыточный трафик в больших сетях.

Как полоса пропускания вычисляется сейчас?

В Windows Vista, Windows Server 2008, Windows 7 способ вычисления полосы пропускания канала принципиально изменен. В этих системах появилась новая служба “Служба сведений о подключенных сетях” (Network Location Awareness, NLA). Эта служба постоянно собирает статистику со всех локальных сетевых интерфейсов и, среди прочего, вычисляет оценку полосы пропускания канала между текущим клиентом и удаленными хостами. Т.е., для вычисления полосы пропускания между компьютером и контроллером домена нет больше необходимости в отправке ICMP пакетов. Оценка вычисляется на основе трафика LDAP-запроса, который всегда предшествует загрузке групповой политики.

Практика


Настройка порогового значения полосы пропускания

При определении порога минимально допустимой полосы пропускания Windows использует значение по умолчанию, равное 500 Кбит/сек.

Значение по умолчанию может быть изменено на клиентских машинах путем добавления в реестр ключей GroupPolicyMinTransferRate типа REG_DWORD   в ветви
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
и/или
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System.

Наличие двух ключей означает, что можно раздельно регулировать пороговое значение для компьютерных настроек и пользовательских.

Централизованно изменить значение ключа можно путем редактирования групповой политики для компьютеров…

image

… или групповой политики для пользователей:

image

Настройка режима работы CSE на медленном канале

Если требуется принудительно заставить отдельные Client-Side Extensions групповой политики работать на медленном канале, (например, чтобы обеспечить подключение дисков или гарантировать отработка сценариев), то это также легко настроить через групповую политику.

Для начала желательно включить в редакторе групповой политики фильтрацию по слову “Processing”…

image

… а затем пройтись по необходимым политикам в разделе Computer Configuration\Administrative Templates\System\Group Policy, установить их в режим Enabled и включить флажок Allow processing across a slow network connection.

image

Отключение определения скорости канала

Отключение определения скорости канала может быть настроено двумя способами:

  • вводом 0 (нуля) в качестве значения одного из упомянутых выше ключей GroupPolicyMinTransferRate;
  • вводом 0 (нуля) в качестве скорости канала в групповой политике.

При отключении определения скорости канала все модули CSE групповой политики будут отрабатываться на клиенте.

Выводы


Групповая политика позволяет очень гибко регулировать объем настроек, высылаемых клиентским машинам, в зависимости от качества канала между клиентом и контроллером домена.

Применение нового алгоритма определения полосы пропускания и исключение ICMP трафика повышает надежность применения групповых политик в крупных распределенных сетях.

 

Подробнее о том, как вообще работает групповая политика: http://technet.microsoft.com/en-us/library/cc784268.aspx 

Подробнее о том, как работает групповая политика на медленном канале: http://blogs.technet.com/b/askds/archive/2009/10/23/group-policy-slow-link-detection-using-windows-vista-and-later.aspx

Комментариев нет:

Отправка комментария