Skonfiguruj replikację SysVol w dwóch usługach Samba4 AD DC z Rsync — część 6
W tym temacie omówiona zostanie replikacja SysVol pomiędzy dwoma kontrolerami domeny Active Directory Samba4 wykonywana za pomocą kilku potężnych narzędzi Linux, takich jak narzędzie do synchronizacji plików Rsync, demon planowania Cron i SSH protokół.
Wymagania:
- Dołącz do Ubuntu 16.04 jako dodatkowy kontroler domeny w Samba4 AD DC – część 5
Krok 1: Dokładna synchronizacja czasu w DC
1. Przed rozpoczęciem replikacji zawartości katalogu sysvol na obu kontrolerach domeny musisz podać dokładny czas dla tych maszyn.
Jeśli opóźnienie jest większe niż 5 minut w obu kierunkach, a ich zegary nie są prawidłowo zsynchronizowane, powinieneś zacząć doświadczać różnych problemów z kontami AD i replikacją domen.
Aby przezwyciężyć problem dryfu czasu między dwoma lub większą liczbą kontrolerów domeny, musisz zainstalować i skonfigurować serwer NTP na swoim komputerze, wykonując poniższe polecenie.
apt-get install ntp
2. Po zainstalowaniu demona NTP otwórz główny plik konfiguracyjny, skomentuj pule domyślne (dodaj # przed każdą linią puli) i dodaj nową pulę, która wskaże główną FQDN Samba4 AD DC z zainstalowanym serwerem NTP, jak sugeruje poniższy przykład.
nano /etc/ntp.conf
Dodaj następujące linie do pliku ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. Nie zamykaj jeszcze pliku, przejdź na dół pliku i dodaj następujące wiersze, aby inni klienci mogli wysyłać zapytania i synchronizować czas z tym serwerem NTP, wystawiając podpisane Żądania NTP, w przypadku gdy podstawowy kontroler domeny przejdzie w tryb offline:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Na koniec zapisz i zamknij plik konfiguracyjny i zrestartuj demona NTP, aby zastosować zmiany. Poczekaj kilka sekund lub minut na synchronizację czasu i wydaj polecenie ntpq, aby wydrukować bieżący stan podsumowania zsynchronizowanego partnera adc1.
systemctl restart ntp
ntpq -p
Krok 2: Replikacja SysVol z pierwszym kontrolerem domeny za pośrednictwem Rsync
Domyślnie Samba4 AD DC nie wykonuje replikacji SysVol poprzez DFS-R (replikacja rozproszonego systemu plików) lub FRS (usługa replikacji plików).
Oznacza to, że obiekty Zasady grupy są dostępne tylko wtedy, gdy pierwszy kontroler domeny jest online. Jeśli pierwszy kontroler domeny stanie się niedostępny, ustawienia zasad grupy i skrypty logowania nie będą już stosowane na komputerach z systemem Windows zarejestrowanych w domenie.
Aby pokonać tę przeszkodę i osiągnąć podstawową formę replikacji SysVol, zaplanujemy polecenie rsync systemu Linux w połączeniu z zaszyfrowanym tunelem SSH z uwierzytelnianiem SSH opartym na kluczach w celu bezpiecznego przesyłania obiektów GPO z pierwszego kontrolera domeny do drugiego kontrolera domeny.
Ta metoda zapewnia spójność obiektów GPO na kontrolerach domeny, ale ma jedną ogromną wadę. Działa to tylko w jedną stronę, ponieważ rsync przeniesie wszystkie zmiany ze źródłowego kontrolera domeny do docelowego kontrolera domeny podczas synchronizacji katalogów GPO.
Obiekty, które nie istnieją już w źródle, zostaną również usunięte z miejsca docelowego. Aby ograniczyć i uniknąć konfliktów, wszystkie zmiany GPO powinny być dokonywane tylko na pierwszym kontrolerze domeny.
5. Aby rozpocząć proces replikacji SysVol, najpierw wygeneruj klucz SSH na pierwszym kontrolerze domeny Samba AD i prześlij klucz do drugiego kontrolera domeny, wydając poniższe polecenia.
Nie używaj hasła dla tego klucza, aby zaplanowany transfer mógł przebiegać bez ingerencji użytkownika.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. Po upewnieniu się, że użytkownik root z pierwszego DC może automatycznie zalogować się na drugim DC, uruchom następujące polecenie Komenda Rsync z parametrem --dry-run w celu symulacji replikacji SysVol. Zastąp odpowiednio adc2.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. Jeśli proces symulacji przebiegnie zgodnie z oczekiwaniami, uruchom ponownie polecenie rsync bez opcji --dry-run, aby faktycznie zreplikować obiekty GPO na kontrolerach domeny.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. Po zakończeniu procesu replikacji SysVol zaloguj się do docelowego kontrolera domeny i wyświetl zawartość jednego z katalogów obiektów GPO, uruchamiając poniższe polecenie.
Te same obiekty GPO z pierwszego kontrolera domeny również powinny zostać tutaj zreplikowane.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Aby zautomatyzować proces replikacji Zasad grupy (transport katalogu sysvol przez sieć), zaplanuj zadanie root, aby uruchamiało używane wcześniej polecenie rsync co 5 minut, wydając poniższe polecenie Komenda.
crontab -e
Dodaj polecenie rsync, aby było uruchamiane co 5 minut i kieruj dane wyjściowe polecenia, łącznie z błędami, do pliku dziennika /var/log/sysvol-replication.log. Na wypadek, gdyby coś nie działało zgodnie z oczekuje się, że w celu rozwiązania problemu należy zapoznać się z tym plikiem.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Zakładając, że w przyszłości pojawią się powiązane problemy z uprawnieniami SysVol ACL, możesz uruchomić następujące polecenia, aby wykryć i naprawić te błędy.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. W przypadku, gdy pierwszy Samba4 AD DC z rolą FSMO jako „Emulator PDC” stanie się niedostępny, możesz wymuś konsolę zarządzania zasadami grupy zainstalowaną w systemie Microsoft Windows, aby łączyła się tylko z drugim kontrolerem domeny, wybierając opcję Zmień kontroler domeny i ręcznie wybierając maszynę docelową, jak pokazano poniżej.
Po podłączeniu do drugiego DC z Konsoli zarządzania zasadami grupy należy unikać wprowadzania jakichkolwiek modyfikacji w Zasadach grupy swojej domeny. Kiedy pierwszy DC będzie ponownie dostępny, polecenie rsync zniszczy wszystkie zmiany wprowadzone na tym drugim kontrolerze domeny.