Iestatiet SysVol replikāciju divos Samba4 AD DC ar Rsync - 6. daļa

Šajā tēmā tiks aplūkota SysVol replikācija divos Samba4 Active Directory domēna kontrolleros, kas veikti, izmantojot dažus spēcīgus Linux rīkus, piemēram, SSH protokolu.

1. Pievienojieties Ubuntu 16.04 kā papildu domēna kontrolieris programmai Samba4 AD DC - 5. daļa

1. darbība: precīza laika sinhronizācija starp DC

1. Pirms sysvol direktorija kopēšanas abos domēna kontrolleros jums jānorāda precīzs laiks šīm mašīnām.

Ja kavēšanās ir lielāka par 5 minūtēm abos virzienos un to pulksteņi nav pareizi sinhronizēti, jums vajadzētu sākt saskarties ar dažādām problēmām ar AD kontiem un domēna replikāciju.

Lai pārvarētu laika nobīdes problēmu starp diviem vai vairākiem domēna kontrolleriem, datorā jāinstalē un jākonfigurē NTP serveris, izpildot tālāk norādīto komandu.

# apt-get install ntp

2. Pēc NTP dēmona instalēšanas atveriet galveno konfigurācijas failu, komentējiet noklusējuma kopas (pievienojiet # katras pūla rindas priekšā) un pievienojiet jaunu pūli, kas norādīs atpakaļ uz galveno Samba4 AD DC FQDN ar instalētu NTP serveri. , kā ieteikts zemāk esošajā piemērā.

# nano /etc/ntp.conf

Pievienojiet šādas rindas failam ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Vēl neaizveriet failu, pārejiet uz faila apakšdaļu un pievienojiet šādas rindas, lai citi klienti varētu vaicāt un sinhronizēt laiku ar šo NTP serveri, izsniedzot parakstītus NTP pieprasījumus, ja primārais DC paliek bezsaistē:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Visbeidzot, saglabājiet un aizveriet konfigurācijas failu un restartējiet NTP dēmonu, lai piemērotu izmaiņas. Pagaidiet dažas sekundes vai minūtes, līdz tiek sinhronizēts laiks un izdota komanda ntpq, lai sinhronizēti izdrukātu pašreizējo adc1 vienaudža kopsavilkuma stāvokli.

# systemctl restart ntp
# ntpq -p

2. solis: SysVol replikācija ar pirmo DC, izmantojot Rsync

Pēc noklusējuma Samba4 AD DC neveic SysVol replikāciju, izmantojot DFS-R (Distributed File System Replication) vai FRS (File Replication Service).

Tas nozīmē, ka grupas politikas objekti ir pieejami tikai tad, ja pirmais domēna kontrolleris ir tiešsaistē. Ja pirmais DC kļūst nepieejams, grupas politikas iestatījumi un pieteikšanās skripti vairs netiks piemēroti domēna reģistrētajām Windows mašīnām.

Lai pārvarētu šo šķērsli un panāktu elementāru SysVol replikācijas formu, mēs ieplānosim SSH autentifikāciju uz atslēgu bāzes, lai droši pārsūtītu GPO objektus no pirmā domēna kontrollera uz otro domēna kontrolleri.

Šī metode nodrošina GPO objektu konsekvenci starp domēna kontrolleriem, taču tai ir viens milzīgs trūkums. Tas darbojas tikai vienā virzienā, jo, sinhronizējot GPO direktorijus, rsync pārsūtīs visas izmaiņas no avota DC uz galamērķa DC.

Objekti, kuru vairs nav avotā, tiks dzēsti arī no galamērķa. Lai ierobežotu un izvairītos no jebkādiem konfliktiem, visi GPO labojumi jāveic tikai pirmajā DC.

5. Lai sāktu SysVol replikācijas procesu, vispirms ģenerējiet SSH atslēgu pirmajā Samba AD DC un pārsūtiet atslēgu uz otro DC, izsniedzot tālāk norādītās komandas.

Neizmantojiet šai atslēgai ieejas frāzi, lai plānotā pārsūtīšana darbotos bez lietotāja iejaukšanās.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit 

6. Kad esat pārliecinājies, ka saknes lietotājs no pirmā DC var automātiski pieteikties otrajā DC, izpildiet šādu komandu Rsync ar parametru --dry-run , lai simulētu SysVol replikāciju. Attiecīgi nomainiet adc2.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Ja simulācijas process darbojas kā paredzēts, palaidiet komandu rsync vēlreiz bez opcijas --dry-run , lai faktiski atkārtotu GPO objektus visos jūsu domēna kontrolleros.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. Kad SysVol replikācijas process ir pabeigts, piesakieties galamērķa domēna kontrollerī un uzskaitiet viena no GPO objektu direktorija saturu, izpildot zemāk esošo komandu.

Arī šeit vajadzētu atkārtot tos pašus GPO objektus no pirmās DC.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Lai automatizētu grupas politikas replikācijas procesu (sysvol direktoriju transportēšana tīklā), ieplānojiet saknes darbu, lai palaistu iepriekš izmantoto komandu rsync ik pēc 5 minūtēm, izsniedzot tālāk norādīto komandu.

# crontab -e 

Pievienojiet komandu rsync, lai palaistu ik pēc 5 minūtēm, un komandas izeju, ieskaitot kļūdas, novirziet žurnāla failā /var/log/sysvol-replication.log. Ja kaut kas nedarbojas, kā paredzēts, jums vajadzētu iepazīties ar šo failu lai novērstu problēmu.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Pieņemot, ka nākotnē būs dažas saistītas problēmas ar SysVol ACL atļaujām, varat palaist šādas komandas, lai atklātu un labotu šīs kļūdas.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. Gadījumā, ja pirmais Samba4 AD DC ar FSMO lomu kā “PDC emulatoru” vairs nav pieejams, varat piespiest Microsoft Windows sistēmā instalēto grupas politikas pārvaldības konsoli izveidot savienojumu tikai ar otro domēna kontrolleri, izvēloties opciju Mainīt domēna kontrolleri un manuāli. atlasot mērķa mašīnu, kā parādīts zemāk.

Kad esat izveidojis savienojumu ar otro DC no grupas politikas pārvaldības konsoles, jums nevajadzētu veikt nekādas izmaiņas jūsu domēna grupas politikā. Kad pirmā DC atkal būs pieejama, komanda rsync iznīcinās visas izmaiņas, kas veiktas šajā otrajā domēna kontrollerī.