Konfiguracja replikacji Sysvol w dwóch samba4 ad DC z rsync - część 6

Ten temat obejmie Sysvol Replikacja dla dwóch Kontrolery domeny Active Directory Samba4 Wykonane za pomocą kilku potężnych narzędzi Linux, takich jak narzędzie synchronizacji plików RSYNC, Demon planowania CRON i protokoł SSH.

Wymagania:

1. Dołącz do Ubuntu 16.04 jako dodatkowy kontroler domeny do Samba4 AD DC - Część 5

Krok 1: Dokładna synchronizacja czasu w DCS

1. Przed rozpoczęciem replikacji zawartości Sysvol katalog w obu kontrolerach domeny, którego potrzebujesz, aby zapewnić dokładny czas dla tych maszyn.

Jeśli opóźnienie jest większe niż 5 minut w obu kierunkach, a ich zegary nie są odpowiednio zsynchronizowane, powinieneś zacząć doświadczać różnych problemów z kontami reklam i replikacją domeny.

Aby przezwyciężyć problem dryfowania czasu między dwoma lub więcej kontrolerów domen, musisz zainstalować i skonfigurować serwer NTP na komputerze, wykonując poniższe polecenie.

# apt-get instaluj NTP 

2. Po zainstalowaniu demona NTP otwórz główny plik konfiguracyjny, skomentuj domyślne pule (dodaj # przed każdą linią basenową) i dodaj nowy basen, który skieruje się z powrotem do głównego Samba4 ad dc fqdn z NTP Zainstalowany serwer, jak sugerowano w poniższym przykładzie.

# nano /etc /ntp.conf 

Dodaj następujące linie do NTP.conf plik.

pula 0.Ubuntu.basen.NTP.org iburst #pool 1.Ubuntu.basen.NTP.org iburst #pool 2.Ubuntu.basen.NTP.org iburst #pool 3.Ubuntu.basen.NTP.org iburst basen ADC1.Tecmint.LAN # Użyj serwera NTP Ubuntu jako awarii. pula NTP.Ubuntu.com 

Skonfiguruj NTP dla samba4

3. Nie zamykaj jeszcze pliku, przejdź do dolnej części pliku i dodaj następujące wiersze, aby inni klienci mogli zapytać i synchronizować czas z tym serwerem NTP, wydając podpisane żądania NTP, na wypadek, gdyby główny stał offline:

Ogranicz źródło notRap nomodify noquery mssntp ntpsigndsocket/var/lib/samba/ntp_signd/ 

4. Na koniec zapisz i zamknij plik konfiguracyjny i uruchom demon NTP, aby zastosować zmiany. Poczekaj na kilka sekund lub minut na synchronizację i wydać NTPQ polecenie w celu wydrukowania aktualnego stanu podsumowania ADC1 Zsynchronizuj się.

# Systemctl restart ntp # ntpq -p 

Synchronizować czas NTP z ADAMBA4 AD

Krok 2: Replikacja Sysvol z pierwszym DC przez RSYNC

Domyślnie, Samba4 AD DC nie działa Sysvol Replikacja przez DFS-R (Rozproszona replikacja systemu plików) albo Frs (Usługa replikacji pliku).

To znaczy że Zasady grupy Obiekty są dostępne tylko wtedy, gdy pierwszy kontroler domeny jest online. Jeśli pierwszy stał.

Aby przezwyciężyć tę przeszkodę i osiągnąć podstawową formę replikacji Sysvol GPO obiekty od pierwszego kontrolera domeny do drugiego kontrolera domeny.

Ta metoda zapewnia GPO obiekty spójność w kontrolerach domeny, ale ma jedną ogromną wadę. Działa tylko w jednym kierunku, ponieważ rsync przeniesie wszystkie zmiany ze źródła DC do docelowego DC podczas synchronizacji katalogów GPO.

Obiekty, które już nie istnieją na źródle, zostaną również usunięte z miejsca docelowego. Aby ograniczyć i uniknąć konfliktów, wszystkie edycje GPO powinny być dokonywane tylko na pierwszym DC.

5. Aby rozpocząć proces Sysvol Replikacja, najpierw wygeneruj klawisz SSH na pierwszej ADAMA AD DC i przenieś klucz do drugiego DC, wydając poniższe polecenia.

Nie używaj fraza dla tego klucza, aby zaplanowane przelew uruchomione bez zakłóceń użytkownika.

# ssh-keygen -t rsa # ssh-copy-id [e-mail chroniony] # ssh adc2 # exit 

Wygeneruj klucz SSH na Samba4 DC

6. Po zapewnieniu, że użytkownik root od pierwszego DC może automatycznie zalogować się w drugim DC, Uruchom następujące Rsync polecenie z --próba Parametr w kolejności Symulować replikację sysvol. Zastępować ADC2 odpowiednio.

# rsync-Dry-run -xaavz --chmod = 775--delete-after --progress --stats/var/lib/samba/sysvol/[e-mail chroniony]:/var/lib/samba/sysvol/ 

7. Jeśli proces symulacji działa zgodnie z oczekiwaniami, uruchom polecenie RSync ponownie bez --próba opcja, aby faktycznie powtórzyć obiekty GPO w kontrolerach domeny.

# rsync -xaavz --chmod = 775 - -delete -after --progress --stats/var/lib/samba/sysvol/[e -mail chroniony]:/var/lib/samba/sysvol/sysvol/ 

Replikacja Sysvol Samba4 AD DC

8. Po zakończeniu procesu replikacji SYSVOL zaloguj się do docelowego kontrolera domeny i wymień zawartość jednego z katalogu obiektów GPO, uruchamiając poniższe polecenie.

Te same obiekty GPO z pierwszego DC również powinny być tutaj powtórzone.

# ls -alh/var/lib/samba/sysvol/your_domain/polityki/ 

Sprawdź replikację Sysvol Samba4 DC

9. Aby zautomatyzować proces Zasady grupy Replikacja (Transport katalogu SYSVOL przez sieć), zaplanuj stanowisko główne, aby uruchomić polecenie RSync używane wcześniej co 5 minut, wydając poniższe polecenie.

# crontab -e 

Dodaj polecenie rsync do uruchamiania co 5 minut i kieruj wyjście polecenia, w tym błędy, do pliku dziennika /var/log/sysvol-replikacja.dziennik .W przypadku, gdy coś nie działa zgodnie z oczekiwaniami.

*/5 * * * * rsync -xaavz --chmod = 775 - -delete -after --progress --stats/var/lib/samba/sysvol/[e -mail chroniony]:/var/lib/samba/sysvol/> /var/log/sysvol-replikacja.Log 2> i 1 

10. Zakładając, że w przyszłości pojawią się pewne powiązane problemy Sysvol ACL uprawnienia, możesz uruchomić następujące polecenia w celu wykrycia i naprawy tych błędów.

# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset 

Napraw uprawnienia Sysvol ACL

11. Na wypadek, gdyby pierwszy Samba4 AD DC z FSMO rola jako „Emulator PDC„Staje się niedostępny, możesz wymusić Konsola zarządzania polityką grupową Zainstalowane na Microsoft Windows System do łączenia się tylko z drugim kontrolerem domeny, wybierając opcję kontrolera domeny zmiany i ręcznie wybierając komputer docelowy, jak pokazano poniżej.

Zmień kontroler domeny Samba4 Wybierz kontroler domeny Samba4

Połącz się z drugim DC z Konsola zarządzania polityką grupową, Powinieneś unikać modyfikacji swojej domeny Zasady grupy. Kiedy pierwszy DC stanie się ponownie dostępny, polecenie rsync zniszczy wszystkie zmiany dokonane w tym drugim kontrolerze domeny.