Configureu la replicació SysVol en dos Samba4 AD DC amb Rsync - Part 6
Aquest tema tractarà la rèplica de SysVol en dos controladors de domini Samba4 Active Directory realitzats amb l'ajuda d'unes poques eines de Linux potents, com ara el protocol SSH.
- Uniu-vos a Ubuntu 16.04 com a controlador de domini addicional a Samba4 AD DC - Part 5
Pas 1: Sincronització de l'hora precisa entre els DC
1. Abans de començar a replicar el contingut del directori sysvol a tots dos controladors de domini, heu de proporcionar una hora precisa per a aquestes màquines.
Si el retard és superior a 5 minuts en ambdues direccions i els seus rellotges no estan correctament sincronitzats, hauríeu de començar a experimentar diversos problemes amb els comptes AD i la rèplica del domini.
Per superar el problema de la deriva del temps entre dos o més controladors de domini, cal que instal·leu i configureu el servidor NTP a la vostra màquina executant l'ordre següent.
# apt-get install ntp
2. Un cop instal·lat el dimoni NTP, obriu el fitxer de configuració principal, comenteu els grups predeterminats (afegiu un # davant de cada línia d'agrupació) i afegiu un grup nou que apuntarà de nou al FQDN principal de Samba4 AD DC amb el servidor NTP instal·lat. , tal com es suggereix a l'exemple següent.
# nano /etc/ntp.conf
Afegiu les següents línies al fitxer ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst #pool 1.ubuntu.pool.ntp.org iburst #pool 2.ubuntu.pool.ntp.org iburst #pool 3.ubuntu.pool.ntp.org iburst pool adc1.tecmint.lan # Use Ubuntu's ntp server as a fallback. pool ntp.ubuntu.com
3. No tanqueu el fitxer encara, aneu a la part inferior del fitxer i afegiu les línies següents per tal que altres clients puguin consultar i sincronitzar l'hora amb aquest servidor NTP, emetent sol·licituds NTP signades, en cas que el principal DC es desconnecta:
restrict source notrap nomodify noquery mssntp ntpsigndsocket /var/lib/samba/ntp_signd/
4. Finalment, deseu i tanqueu el fitxer de configuració i reinicieu el dimoni NTP per aplicar els canvis. Espereu uns quants segons o minuts fins que el temps es sincronitzi i emeti l'ordre ntpq per imprimir l'estat de resum actual del peer adc1 sincronitzat.
# systemctl restart ntp # ntpq -p
Pas 2: Replicació SysVol amb el primer DC mitjançant Rsync
De manera predeterminada, Samba4 AD DC no realitza la replicació SysVol mitjançant DFS-R (Replica del sistema de fitxers distribuït) o el FRS (Servei de replicació de fitxers).
Això vol dir que els objectes de la política de grup només estan disponibles si el primer controlador de domini està en línia. Si el primer DC no està disponible, la configuració de la política de grup i els scripts d'inici de sessió no s'aplicaran més a les màquines Windows inscrites al domini.
Per superar aquest obstacle i aconseguir una forma rudimentària de replicació de SysVol, programarem una autenticació SSH basada en clau per tal de transferir de manera segura els objectes GPO del primer controlador de domini al segon controlador de domini.
Aquest mètode garanteix la coherència dels objectes GPO entre els controladors de domini, però té un gran inconvenient. Funciona només en una direcció perquè rsync transferirà tots els canvis del DC d'origen al DC de destinació quan sincronitzeu directoris GPO.
Els objectes que ja no existeixen a la font també se suprimiran de la destinació. Per limitar i evitar conflictes, totes les edicions de GPO només s'han de fer al primer DC.
5. Per iniciar el procés de replicació de SysVol, primer genereu una clau SSH al primer DC de Samba AD i transferiu-la al segon DC emetent les ordres següents.
No utilitzeu una frase de contrasenya per a aquesta clau perquè la transferència programada s'executi sense interferències de l'usuari.
# ssh-keygen -t RSA # ssh-copy-id [email # ssh adc2 # exit
6. Després d'haver-hi assegurat que l'usuari root del primer DC pot iniciar sessió automàticament al segon DC, executeu l'ordre Rsync següent amb el paràmetre --dry-run per simular la rèplica de SysVol. Substituïu adc2 en conseqüència.
# rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
7. Si el procés de simulació funciona com s'esperava, torneu a executar l'ordre rsync sense l'opció --dry-run per tal de replicar realment els objectes GPO als vostres controladors de domini.
# rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
8. Un cop finalitzat el procés de rèplica SysVol, inicieu sessió al controlador de domini de destinació i enumereu el contingut d'un dels directoris d'objectes GPO executant l'ordre següent.
Els mateixos objectes GPO del primer DC també s'han de replicar aquí.
# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Per automatitzar el procés de replicació de la política de grup (transport de directoris sysvol a través de la xarxa), programeu una tasca arrel per executar l'ordre rsync que s'utilitzava abans cada 5 minuts emetent l'ordre següent.
# crontab -e
Afegiu l'ordre rsync per executar-se cada 5 minuts i dirigiu la sortida de l'ordre, inclosos els errors, al fitxer de registre /var/log/sysvol-replication.log . En cas que alguna cosa no funcioni com s'esperava, hauríeu de consultar aquest fitxer a per solucionar el problema.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Suposant que en el futur hi haurà alguns problemes relacionats amb els permisos SysVol ACL, podeu executar les ordres següents per detectar i reparar aquests errors.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset
11. En cas que el primer Samba4 AD DC amb rol FSMO com a Emulador de PDC no estigui disponible, podeu forçar la Consola de gestió de polítiques de grup instal·lada en un sistema Microsoft Windows perquè es connecti només al segon controlador de domini escollint l'opció Canvia el controlador de domini i manualment. seleccionant la màquina objectiu tal com es mostra a continuació.
Mentre estigui connectat al segon DC des de la Consola de gestió de polítiques de grup, hauríeu d'evitar fer cap modificació a la política de grup del vostre domini. Quan el primer DC torni a estar disponible, l'ordre rsync destruirà tots els canvis fets en aquest segon controlador de domini.