Nastavite replikacijo SysVol čez dva Samba4 AD DC z Rsync - 6. del

Ta tema bo zajela replikacijo SysVol v dveh domenskih krmilnikih Samba4 Active Directory, izvedenih s pomočjo nekaj zmogljivih orodij Linux, kot je SSH protokol.

1. Pridružite se Ubuntu 16.04 kot dodatni krmilnik domene Samba4 AD DC - 5. del

1. korak: Natančna časovna sinhronizacija med DC-ji

1. Preden začnete kopirati vsebino imenika sysvol v obeh krmilnikih domen, morate zagotoviti natančen čas za te stroje.

Če je zakasnitev v obeh smereh daljša od 5 minut in se njihove ure ne sinhronizirajo pravilno, bi morali začeti naleteti na različne težave z računi AD in podvajanjem domen.

Če želite odpraviti težavo s premikanjem časa med dvema ali več krmilniki domene, morate v računalnik namestiti in konfigurirati strežnik NTP z izvajanjem spodnjega ukaza.

# apt-get install ntp

2. Po namestitvi demona NTP odprite glavno konfiguracijsko datoteko, komentirajte privzeta področja (dodajte # pred vsako vrstico bazena) in dodajte novo področje, ki bo kazalo nazaj na glavno FQDN Samba4 AD DC z nameščenim strežnikom NTP , kot je predlagano na spodnjem primeru.

# nano /etc/ntp.conf

V datoteko ntp.conf dodajte naslednje vrstice.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Datoteke še ne zaprite, premaknite se na dno datoteke in dodajte naslednje vrstice, da bodo drugi odjemalci lahko poizvedovali in sinhronizirali čas s tem strežnikom NTP ter izdali podpisane zahteve NTP, če je primarni DC izklopi povezavo:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Na koncu shranite in zaprite konfiguracijsko datoteko ter znova zaženite demon NTP, da uveljavite spremembe. Počakajte nekaj sekund ali minut, da se čas sinhronizira in izda ukaz ntpq, da se sinhronizirano natisne trenutno stanje povzetka vrstnika adc1.

# systemctl restart ntp
# ntpq -p

2. korak: Replikacija SysVol s First DC prek Rsync

Samba4 AD DC privzeto ne izvaja replikacije SysVol prek DFS-R (Distributed File System Replication) ali FRS (File Replication Service).

To pomeni, da so predmeti pravilnika skupine na voljo samo, če je prvi krmilnik domene povezan. Če prvi DC ne bo več na voljo, nastavitve pravilnika skupine in prijavni skripti ne bodo več veljali na računalnikih z operacijskim sistemom Windows, vpisanih v domeno.

Da bi odpravili to oviro in dosegli osnovno obliko replikacije SysVol, bomo razporedili preverjanje pristnosti SSH na osnovi ključa, da bomo lahko varno prenesli objekte GPO iz prvega krmilnika domene v drugega krmilnika domene.

Ta metoda zagotavlja skladnost objektov GPO med krmilniki domen, vendar ima eno veliko pomanjkljivost. Deluje samo v eno smer, ker bo rsync pri sinhronizaciji imenikov GPO prenesel vse spremembe iz izvornega DC v ciljni DC.

Predmeti, ki ne obstajajo več v viru, bodo izbrisani tudi s cilja. Da bi omejili in se izognili kakršnim koli konfliktom, je treba vse urejanja GPO izvajati samo na prvem DC

5. Če želite začeti postopek replikacije SysVol, najprej ustvarite ključ SSH na prvem Samba AD DC in ga prenesite na drugi DC z izdajo spodnjih ukazov.

Za ta ključ ne uporabljajte gesla, da bi se načrtovani prenos lahko izvajal brez vmešavanja uporabnika.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit 

6. Ko zagotovite, da se korenski uporabnik iz prvega DC lahko samodejno prijavi v drugi DC, zaženite naslednji ukaz Rsync s parametrom --dry-run , da simulirate replikacijo SysVol. Ustrezno zamenjajte adc2.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Če postopek simulacije deluje po pričakovanjih, znova zaženite ukaz rsync brez možnosti --dry-run , da dejansko ponovite objekte GPO prek krmilnikov domene.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. Ko se postopek kopiranja SysVol konča, se prijavite v ciljni krmilnik domene in z zagonom spodnjega ukaza navedite vsebino enega od imenikov objektov GPO.

Isti objekti GPO iz prvega DC bi morali replicirati tudi tukaj.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Če želite avtomatizirati postopek podvajanja pravilnika skupine (prenos imenika sysvol po omrežju), razporedite korensko opravilo za zagon ukaza rsync, uporabljenega prej vsakih 5 minut, tako da izdate spodnji ukaz.

# crontab -e 

Dodajte ukaz rsync za zagon vsakih 5 minut in izhod ukaza, vključno z napakami, usmerite v dnevniško datoteko /var/log/sysvol-replication.log. Če nekaj ne deluje po pričakovanjih, se posvetujte s to datoteko v za odpravljanje težave.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Če predpostavimo, da bodo v prihodnosti nekatere s tem povezane težave z dovoljenji ACL SysVol, lahko zaženete naslednje ukaze, da odkrijete in popravite te napake.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. Če prvi Samba4 AD DC z vlogo FSMO kot »PDC Emulator« postane nedosegljiv, lahko prisilno konzolo za upravljanje pravilnikov skupine, nameščeno v sistemu Microsoft Windows, povežete samo z drugim krmilnikom domene, tako da izberete možnost Spremeni krmilnik domene in ročno izbiro ciljne naprave, kot je prikazano spodaj.

Medtem ko ste povezani z drugim DC iz konzole za upravljanje pravilnikov skupine, se izogibajte kakršnim koli spremembam pravilnika skupine za svojo domeno. Ko bo prvi DC spet na voljo, bo ukaz rsync uničil vse spremembe tega drugega krmilnika domene.