Configurați replicarea SysVol pe două Samba4 AD DC cu Rsync - Partea 6
Acest subiect va acoperi replicarea SysVol pe două controlere de domeniu Samba4 Active Directory realizate cu ajutorul câtorva instrumente Linux puternice, cum ar fi protocolul SSH.
Cerințe:
- Alăturați-vă Ubuntu 16.04 ca controler de domeniu suplimentar la Samba4 AD DC – Partea 5
Pasul 1: Sincronizare precisă a timpului între DC
1. Înainte de a începe să replicați conținutul directorului sysvol pe ambele controlere de domeniu, trebuie să furnizați o oră exactă pentru aceste mașini.
Dacă întârzierea este mai mare de 5 minute pe ambele sensuri și ceasurile lor nu sunt sincronizate corect, ar trebui să începeți să întâmpinați diverse probleme cu conturile AD și replicarea domeniului.
Pentru a depăși problema trecerii timpului între două sau mai multe controlere de domeniu, trebuie să instalați și să configurați serverul NTP pe mașina dvs. executând comanda de mai jos.
# apt-get install ntp
2. După ce demonul NTP a fost instalat, deschideți fișierul de configurare principal, comentați pool-urile implicite (adăugați un # în fața fiecărei linii de pool) și adăugați un pool nou care va indica înapoi la Samba4 AD DC FQDN principal cu serverul NTP instalat, așa cum este sugerat în exemplul de mai jos.
# nano /etc/ntp.conf
Adăugați următoarele linii în fișierul ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst #pool 1.ubuntu.pool.ntp.org iburst #pool 2.ubuntu.pool.ntp.org iburst #pool 3.ubuntu.pool.ntp.org iburst pool adc1.tecmint.lan # Use Ubuntu's ntp server as a fallback. pool ntp.ubuntu.com
3. Nu închideți încă fișierul, treceți în partea de jos a fișierului și adăugați următoarele rânduri pentru ca alți clienți să poată interoga și sincroniza ora cu acest server NTP, emitând semnate Solicitări NTP, în cazul în care DC-ul principal este offline:
restrict source notrap nomodify noquery mssntp ntpsigndsocket /var/lib/samba/ntp_signd/
4. În cele din urmă, salvați și închideți fișierul de configurare și reporniți demonul NTP pentru a aplica modificările. Așteptați câteva secunde sau minute până când timpul să se sincronizeze și să lansați comanda ntpq pentru a imprima în sincronizare starea rezumată curentă a peer-ului adc1.
# systemctl restart ntp # ntpq -p
Pasul 2: Replicarea SysVol cu primul DC prin Rsync
Implicit, Samba4 AD DC nu efectuează replicarea SysVol prin DFS-R (Replicarea sistemului de fișiere distribuit) sau FRS (Serviciul de replicare a fișierelor).
Aceasta înseamnă că obiectele Politica de grup sunt disponibile numai dacă primul controler de domeniu este online. Dacă primul DC devine indisponibil, setările politicii de grup și scripturile de conectare nu se vor mai aplica pe mașinile Windows înscrise în domeniu.
Pentru a depăși acest obstacol și a obține o formă rudimentară de replicare SysVol, vom programa o autentificare SSH bazată pe chei pentru a transfera în siguranță obiectele GPO de la primul controler de domeniu la al doilea controler de domeniu.
Această metodă asigură consecvența obiectelor GPO între controlerele de domeniu, dar are un mare dezavantaj. Funcționează într-o singură direcție, deoarece rsync va transfera toate modificările de la DC sursă la DC de destinație atunci când se sincronizează directoarele GPO.
Obiectele care nu mai există pe sursă vor fi șterse și de la destinație. Pentru a limita și a evita orice conflicte, toate editările GPO ar trebui făcute numai pe primul DC.
5. Pentru a începe procesul de replicare SysVol, mai întâi generați o cheie SSH pe primul DC Samba AD și transferați cheia în al doilea DC lansând comenzile de mai jos.
Nu utilizați o frază de acces pentru această cheie pentru ca transferul programat să se desfășoare fără interferența utilizatorului.
# ssh-keygen -t RSA # ssh-copy-id # ssh adc2 # exit
6. După ce v-ați asigurat că utilizatorul root de la primul DC se poate conecta automat pe al doilea DC, rulați următorul Comanda Rsync cu parametrul --dry-run pentru a simula replicarea SysVol. Înlocuiți adc2 în consecință.
# rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ :/var/lib/samba/sysvol/
7. Dacă procesul de simulare funcționează conform așteptărilor, executați din nou comanda rsync fără opțiunea --dry-run pentru a replica efectiv obiectele GPO pe controlerele dvs. de domeniu.
# rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ :/var/lib/samba/sysvol/
8. După ce procesul de replicare SysVol s-a încheiat, conectați-vă la controlerul de domeniu de destinație și enumerați conținutul unuia dintre directorul de obiecte GPO executând comanda de mai jos.
Aceleași obiecte GPO de la primul DC ar trebui să fie replicate și aici.
# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Pentru a automatiza procesul de replicare a politicii de grup (transportul directorului sysvol prin rețea), programați un job rădăcină pentru a rula comanda rsync folosită mai devreme la fiecare 5 minute, lansând următorul text comanda.
# crontab -e
Adăugați comanda rsync pentru a rula la fiecare 5 minute și direcționați rezultatul comenzii, inclusiv erorile, către fișierul jurnal /var/log/sysvol-replication.log . În cazul în care ceva nu funcționează ca de așteptat, ar trebui să consultați acest fișier pentru a depana problema.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Presupunând că în viitor vor exista unele probleme legate de permisiunile SysVol ACL, puteți rula următoarele comenzi pentru a detecta și repara aceste erori.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset
11. În cazul în care primul Samba4 AD DC cu rol FSMO ca „Emulator PDC” devine indisponibil, puteți forțați Consola de gestionare a politicilor de grup instalată pe un sistem Microsoft Windows să se conecteze numai la al doilea controler de domeniu, alegând opțiunea Schimbați controlerul de domeniu și selectând manual mașina țintă, așa cum este ilustrat mai jos.
În timp ce sunteți conectat la al doilea DC din Consola de gestionare a politicilor de grup, ar trebui să evitați să modificați domeniul dvs. Politica de grup. Când primul DC va deveni din nou disponibil, comanda rsync va distruge toate modificările făcute pe acest al doilea controler de domeniu.