„SysVol“ replikacijos nustatymas dviem „Samba4 AD DC“ su „Rsync“ - 6 dalis

Ši tema apims „SysVol“ replikaciją dviejuose „Samba4 Active Directory“ domeno valdikliuose, atliekamuose naudojant keletą galingų „Linux“ įrankių, tokių kaip SSH protokolas.

Prisijunkite prie „Ubuntu 16.04“ kaip papildomas domeno valdiklis prie „Samba4 AD DC“ - 5 dalies

1 žingsnis: tikslus laiko sinchronizavimas visose DC

1. Prieš pradėdami replikuoti sysvol katalogo turinį abiejuose domeno valdikliuose, turite nurodyti tikslų šių mašinų laiką.

Jei vėlavimas yra didesnis nei 5 minutės į abi puses ir jų laikrodžiai nėra tinkamai sinchronizuojami, turėtumėte pradėti patirti įvairių problemų su AD abonementais ir domeno replikavimu.

Norėdami įveikti laiko dreifavimo tarp dviejų ar daugiau domeno valdiklių problemą, turite įdiegti ir sukonfigūruoti NTP serverį savo kompiuteryje vykdydami žemiau pateiktą komandą.

# apt-get install ntp

2. Įdiegę NTP deemoną, atidarykite pagrindinį konfigūracijos failą, pakomentuokite numatytuosius baseinus (prieš kiekvieną baseino eilutę pridėkite #) ir pridėkite naują telkinį, kuris nukreips atgal į pagrindinį „Samba4 AD DC FQDN“ su įdiegtu NTP serveriu. , kaip siūloma toliau pateiktame pavyzdyje.

# nano /etc/ntp.conf

Įtraukite šias eilutes į failą ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Dar neuždarykite failo, pereikite prie failo apačios ir pridėkite šias eilutes, kad kiti klientai galėtų pateikti užklausą ir sinchronizuoti laiką su šiuo NTP serveriu, išrašydami pasirašytas NTP užklausas, jei pagrindinis DC neprisijungęs:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Galiausiai išsaugokite ir uždarykite konfigūracijos failą ir iš naujo paleiskite NTP demoną, kad pritaikytumėte pakeitimus. Palaukite kelias sekundes ar minutes, kol sinchronizuosite laiką ir išleisite komandą ntpq, kad išspausdintumėte sinchronizuotą dabartinę „adc1“ bendraamžio būseną.

# systemctl restart ntp
# ntpq -p

2 žingsnis: „SysVol“ replikacija naudojant „First DC“ per „Rsync“

Pagal numatytuosius nustatymus „Samba4 AD DC“ nevykdo „SysVol“ replikacijos per DFS-R (paskirstytos failų sistemos replikacija) arba FRS (failų replikacijos tarnyba).

Tai reiškia, kad grupės strategijos objektai yra prieinami tik tuo atveju, jei pirmasis domeno valdiklis yra prisijungęs. Jei pirmasis DC tampa nepasiekiamas, grupės strategijos parametrai ir prisijungimo scenarijai nebus taikomi „Windows“ mašinoms, užregistruotoms į domeną.

Norėdami įveikti šią kliūtį ir pasiekti elementarią „SysVol“ replikacijos formą, suplanuosime pagrindinį SSH autentifikavimą, kad galėtume saugiai perkelti GPO objektus iš pirmojo domeno valdiklio į antrąjį domeno valdiklį.

Šis metodas užtikrina GPO objektų nuoseklumą visuose domeno valdikliuose, tačiau turi vieną didžiulį trūkumą. Tai veikia tik viena kryptimi, nes sinchronizuodama GPO katalogus, „rsync“ perkels visus pakeitimus iš šaltinio nuolatinės į paskirties nuolatinę srovę.

Objektai, kurių šaltinyje nebėra, taip pat bus ištrinti iš paskirties vietos. Siekiant apriboti ir išvengti bet kokių konfliktų, visi GPO pakeitimai turėtų būti atliekami tik pirmojoje DC.

5. Norėdami pradėti „SysVol“ replikacijos procesą, pirmiausia sugeneruokite SSH raktą pirmajame „Samba AD DC“ ir perkelkite raktą į antrąjį nuolatinės srovės kompiuterį išduodami toliau nurodytas komandas.

Nenaudokite šio rakto slaptafrazės, kad suplanuotas perdavimas vyktų be vartotojo įsikišimo.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit

6. Įsitikinę, kad šakninis vartotojas iš pirmojo DC gali automatiškai prisijungti prie antrojo DC, vykdykite šią komandą Rsync su parametru --dry-run , kad imituotų „SysVol“ replikaciją. Atitinkamai pakeiskite adc2.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Jei modeliavimo procesas veikia taip, kaip tikėtasi, dar kartą paleiskite komandą rsync be parinkties --dry-run , kad iš tikrųjų atkartotumėte GPO objektus savo domeno valdikliuose.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. Baigę „SysVol“ replikacijos procesą, prisijunkite prie paskirties domeno valdiklio ir nurodykite vieno iš GPO objektų katalogo turinį, vykdydami žemiau esančią komandą.

Tie patys GPO objektai iš pirmosios DC turėtų būti pakartoti ir čia.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Norėdami automatizuoti grupės strategijos replikacijos procesą („sysvol“ katalogų transportavimas per tinklą), suplanuokite šaknies užduotį, kad kas 5 minutes vykdytų anksčiau naudojamą komandą „rsync“, išleisdami žemiau esančią komandą.

# crontab -e

Pridėkite komandą rsync paleisti kas 5 minutes ir nukreipkite komandos išvestį, įskaitant klaidas, į žurnalo failą /var/log/sysvol-replication.log. Jei kažkas neveikia taip, kaip tikėtasi, turėtumėte perskaityti šį failą kad išspręstumėte problemą.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Darant prielaidą, kad ateityje bus keletas susijusių problemų su „SysVol ACL“ leidimais, galite paleisti šias komandas, kad aptiktumėte ir ištaisytumėte šias klaidas.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. Jei pirmasis „Samba4 AD DC“ su FSMO vaidmeniu kaip „PDC emuliatorius“ tampa nebeprieinamas, galite priversti „Microsoft Windows“ sistemoje įdiegtą grupės strategijos valdymo pultą prisijungti tik prie antrojo domeno valdiklio pasirinkdami parinktį Keisti domeno valdiklį ir rankiniu būdu pasirinkdami tikslinę mašiną, kaip parodyta žemiau.

Būdami prisijungę prie antrojo DC iš grupės strategijos valdymo pulto, turėtumėte vengti jokių domeno grupės politikos pakeitimų. Kai pirmasis DC bus vėl pasiekiamas, komanda rsync sunaikins visus pakeitimus, padarytus šiame antrame domeno valdiklyje.