Group Policy Processing – Slow Link Detection

By Andrei Ungureanu - Last updated: Thursday, October 7, 2010 - Save & Share - Leave a Comment

Pentru cine nu stia, in procesul de procesare a unui GPO exista ceva numit Slow Link Detection si este folosit pentru a stopa aplicarea unui GPO (sau mai bine zis a unei portiuni din GPO) atunci cand politica este incarcata peste o legatura WAN cu bandwidth limitat (adica slaba).

Ca exemplu sa luam cazul in care am o politica care face deployment la o aplicatie si intamplator un computer (sa spunem ca este un laptop si userul se deplaseaza frecvent) peste care este aplicata acea politica se afla intr-o locatie unde nu am domain controller, iar politica este incarcata de la serverul din sediul central peste o conexiune WAN. In functie de latimea de banda a conexiunii, procesarea GPO-ului si instalarea aplicatiei poate dura cateva secunde/minute sau o vesnicie.

Tocmai aici intervine acest mecanism numit GPO Slow Link Detection. Daca sistemul detecteaza ca latimea de banda intre el si domain controller este mai mica decat 500Kb (by default dar merge modificat) atunci nu mai proceseaza anumite parti din GPO. Cele mai importante ar fi: Application Deployment, Scripts, Folder Redirection. Mai multe detalii gasiti aici.

Cei ce s-au ocupat de administrarea AD ceva mai mult timp si au prins 2000 si XP probabil sunt familiari cu ce se intampla atunci cand tai ICMP-ul pe linkurile WAN. Nu se mai aplica GPO-urile; asta pentru ca XP si 2000 fac slow link detection folosind un algoritm bazat pe ICMP. Intregul mecanism de detectie, bazat pe ICMP este descris in KB227260.

In Vista si Windows 7 lucrurile s-au schimbat, si nu mai este folosit algoritmul bazat pe ICMP. In schimb intra in joc serviciul NLA (Network Location Awarnes) care estimeaza latimea de banda dintre client si domain controller. Cum anume face asta (ma refer la algoritm) – habar nu am si nici nu cred ca e documentat pe undeva. In schimb pot sa povestesc in mare ce face si mai ales sa explic de ce nu genereaza trafic suplimentar in comparatie cu metoda pe ICMP (in multe documente tehnice ale MS e specificat ca nu genereaza trafic suplimentar insa nu explica si de ce).

Pana sa apuce sa proceseze GPO-ul, clientul mai schimba cateva replici cu domain controllerul, gen: localizarea celui mai apropiat DC, autentificare, ceva RPC calls, cateva interogari LDAP, etc. Tot acest trafic, pana sa se ajunga la procesarea GPO-ului, este monitorizat de NLA, iar rezultatul este oferit serviciului Group Policy la momentul procesarii politicilor.

Daca linkul este suficient de rapid atunci HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\History\IsSlowLink este setat pe 1, in caz contrar pe 0.

image

Totusi, Slow Link Detection poate fi dezactivat. Dezactivarea se face tot prin Group Policy din ComputerConfiguration\Administrative Templates\System\Group Policy\Group Policy Slow Link Detection. By default setarea este pus pe 0, dar asta nu inseamna ca este dezactivata; inseamna ca o sa funtioneze cu setarea standard de 500Kbps.

image

Atentie: Aceasta optiune o gasiti si in User Configuration si in Computer Configuration. Deci slow link detection se face separat pe cele doua rubrici. A se mai vedea si optiunea Do not detect slow network connections din User Profiles.

image

Daca totusi vrem sa lasam optiunea activa dar sa fortam aplicarea unor parti din GPO chiar si peste link-uri lente, se poarte face si asta. Din aceeasi rubrica (ComputerConfiguration\Administrative Templates\System\Group Policy\) in GPO gasim si setari pe componente cum ar fi Scripts Processing Policy:

image

Mai multe detalii gasiti si aici http://support.microsoft.com/kb/227369/. Atentie ca in acest KB se mentioneaza ca optiunea “script policy processing” (exemplul meu) se refera numai la USER LOGON/LOGOFF Scripts. KB-ul este destul de vechi si nu am gasit nimic pentru versiunile mai noi de Windows, iar de reprodus asa ceva e destul de complicat.

Si probabil ca am mai putea deszvolta acest subiect insa scopul meu a fost sa fac un recap al acestei optiuni si sa pun intr-un singur loc ceva mai multe informatii despre subiect. Pentru restul va astept la discutii pe forum.

Posted in Active Directory • Tags: , Top Of Page

Write a comment