Vyhledávání na webu

Nastavení replikace SysVol napříč dvěma Samba4 AD DC s Rsync – část 6


Toto téma se bude zabývat replikací SysVol napříč dvěma řadiči domény Samba4 Active Directory prováděnou pomocí několika výkonných nástrojů Linuxu, jako je nástroj pro synchronizaci souborů Rsync, plánovací démon Cron a SSH protokol.

Požadavky:

  1. Připojte se k Ubuntu 16.04 jako další řadič domény k Samba4 AD DC – část 5

Krok 1: Přesná synchronizace času napříč DC

1. Než začnete replikovat obsah adresáře sysvol na obou řadičích domény, musíte těmto počítačům poskytnout přesný čas.

Pokud je zpoždění v obou směrech větší než 5 minut a jejich hodiny nejsou správně synchronizovány, měli byste začít mít různé problémy s účty AD a replikací domény.

Chcete-li překonat problém s časovým posunem mezi dvěma nebo více řadiči domény, musíte na svém počítači nainstalovat a nakonfigurovat server NTP provedením níže uvedeného příkazu.

apt-get install ntp

2. Po instalaci démona NTP otevřete hlavní konfigurační soubor, okomentujte výchozí fondy (přidejte # před každý řádek fondu) a přidejte nový fond, který bude ukazovat zpět na hlavní Samba4 AD DC FQDN s nainstalovaným NTP serverem, jak je navrženo v níže uvedeném příkladu.

nano /etc/ntp.conf

Přidejte následující řádky do souboru ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Soubor zatím nezavírejte, přejděte na konec souboru a přidejte následující řádky, aby ostatní klienti mohli dotazovat a synchronizovat čas s tímto serverem NTP a vydávat podepsané Požadavky NTP v případě, že primární DC přejde do režimu offline:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Nakonec uložte a zavřete konfigurační soubor a restartujte démona NTP, aby se změny projevily. Počkejte několik sekund nebo minut, než dojde k synchronizaci, a zadejte příkaz ntpq, aby se vytiskl aktuální souhrnný stav protějšku adc1 synchronizovaně.

systemctl restart ntp
ntpq -p

Krok 2: Replikace SysVol s prvním DC přes Rsync

Ve výchozím nastavení Samba4 AD DC neprovádí replikaci SysVol prostřednictvím DFS-R (Replikace distribuovaného systému souborů) nebo FRS (File Replication Service).

To znamená, že objekty Zásady skupiny jsou dostupné pouze v případě, že je první řadič domény online. Pokud první řadič domény nebude k dispozici, nastavení zásad skupiny a přihlašovací skripty se na počítačích se systémem Windows zapsaných do domény nebudou dále vztahovat.

Abychom tuto překážku překonali a dosáhli základní formy replikace SysVol, naplánujeme linuxový příkaz rsync kombinovaný se šifrovaným tunelem SSH s autentizací SSH založenou na klíčích, abychom bezpečně přenesli GPO objekty z prvního řadiče domény. na druhý řadič domény.

Tato metoda zajišťuje konzistenci objektů GPO napříč řadiči domény, má však jednu obrovskou nevýhodu. Funguje pouze jedním směrem, protože rsync při synchronizaci adresářů GPO přenese všechny změny ze zdrojového DC do cílového DC.

Objekty, které již ve zdroji neexistují, budou také odstraněny z cíle. Aby se omezily a předešly konfliktům, měly by být všechny úpravy GPO prováděny pouze na prvním DC.

5. Chcete-li zahájit proces replikace SysVol, nejprve vygenerujte klíč SSH na prvním Samba AD DC a přeneste klíč do druhého DC zadáním níže uvedených příkazů.

Pro tento klíč nepoužívejte heslo, aby plánovaný přenos proběhl bez zásahu uživatele.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit 

6. Poté, co se ujistíte, že uživatel root z prvního DC se může automaticky přihlásit na druhém DC, spusťte následující Příkaz Rsync s parametrem --dry-run za účelem simulace replikace SysVol. Nahraďte odpovídajícím způsobem adc2.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Pokud proces simulace funguje podle očekávání, spusťte příkaz rsync znovu bez možnosti --dry-run, aby se skutečně replikovaly objekty GPO napříč vašimi doménovými řadiči.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. Po dokončení procesu replikace SysVol se přihlaste k cílovému řadiči domény a vypište obsah jednoho z adresářů objektů GPO spuštěním níže uvedeného příkazu.

Stejné objekty GPO z prvního DC by měly být replikovány i zde.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Chcete-li automatizovat proces replikace zásad skupiny (přenos adresáře sysvol po síti), naplánujte úlohu root tak, aby každých 5 minut spouštěla dříve používaný příkaz rsync, a to zadáním níže uvedeného příkaz.

crontab -e 

Přidejte příkaz rsync, aby se spouštěl každých 5 minut, a nasměrujte výstup příkazu, včetně chyb, do souboru protokolu /var/log/sysvol-replication.log. V případě, že něco nefunguje očekává se, že byste se měli podívat do tohoto souboru, abyste mohli problém vyřešit.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Za předpokladu, že v budoucnu nastanou nějaké související problémy s oprávněními SysVol ACL, můžete spustit následující příkazy, abyste tyto chyby odhalili a opravili.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. V případě, že první Samba4 AD DC s rolí FSMO jako „EMulátor PDC“ nebude k dispozici, můžete vynutit, aby se Konzola pro správu zásad skupiny nainstalovaná v systému Microsoft Windows připojila pouze k druhému řadiči domény výběrem možnosti Změnit řadič domény a ručním výběrem cílového počítače, jak je znázorněno níže.

Během připojení k druhému DC z Konzoly pro správu zásad skupiny byste neměli provádět žádné úpravy zásad skupiny vaší domény. Až bude první DC znovu dostupný, příkaz rsync zničí všechny změny provedené na tomto druhém řadiči domény.