Opsæt SysVol-replikering på tværs af to Samba4 AD DC med Rsync - Del 6

Dette emne vil dække SysVol-replikering på tværs af to Samba4 Active Directory Domain Controllers udført ved hjælp af et par kraftfulde Linux-værktøjer, såsom SSH-protokol.

1. Deltag i Ubuntu 16.04 som ekstra domænecontroller til Samba4 AD DC - del 5

Trin 1: Nøjagtig tidssynkronisering på tværs af jævnstrøm

1. Inden du begynder at replikere indholdet af sysvol-biblioteket på tværs af begge domænecontrollere, skal du give en nøjagtig tid til disse maskiner.

Hvis forsinkelsen er større end 5 minutter i begge retninger, og deres ure ikke er korrekt synkroniseret, skal du begynde at opleve forskellige problemer med AD-konti og domænereplikering.

For at overvinde problemet med tidsdrift mellem to eller flere domænekontrollere skal du installere og konfigurere NTP-serveren på din maskine ved at udføre nedenstående kommando.

# apt-get install ntp

2. Når NTP-dæmonen er installeret, skal du åbne hovedkonfigurationsfilen, kommentere standardpools (tilføj et # foran hver poollinje) og tilføje en ny pool, der peger tilbage til Samba4 AD DC FQDN med NTP-server installeret som foreslået i nedenstående eksempel.

# nano /etc/ntp.conf

Tilføj følgende linjer til filen ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Luk ikke filen endnu, flyt til bunden af filen og tilføj følgende linjer for at andre klienter skal kunne spørge og synkronisere tiden med denne NTP-server og udstede underskrevne NTP-anmodninger, hvis den primære DC går offline:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Til sidst skal du gemme og lukke konfigurationsfilen og genstarte NTP-dæmonen for at anvende ændringerne. Vent et par sekunder eller minutter på tiden til synkronisering og udstedelse af ntpq-kommandoen for at udskrive den aktuelle opsummeringstilstand for adc1-peer synkroniseret.

# systemctl restart ntp
# ntpq -p

Trin 2: SysVol-replikering med første DC via Rsync

Som standard udfører Samba4 AD DC ikke SysVol-replikering via DFS-R (Distribueret filsystemreplikering) eller FRS (File Replication Service).

Dette betyder, at gruppepolitikobjekter kun er tilgængelige, hvis den første domænecontroller er online. Hvis den første DC bliver utilgængelig, gælder gruppepolitikindstillingerne og logon-scripts ikke længere på Windows-maskiner, der er tilmeldt domænet.

For at overvinde denne hindring og opnå en rudimentær form for SysVol-replikering planlægger vi en nøglebaseret SSH-godkendelse for sikkert at overføre GPO-objekter fra den første domænecontroller til den anden domænecontroller.

Denne metode sikrer GPO-objekter konsistens på tværs af domænekontrollere, men har en enorm ulempe. Det fungerer kun i én retning, fordi rsync overfører alle ændringer fra kilden DC til destination DC, når du synkroniserer GPO-mapper.

Objekter, der ikke længere findes på kilden, slettes også fra destinationen. For at begrænse og undgå konflikter bør alle GPO-redigeringer kun foretages på den første DC.

5. For at starte processen med SysVol-replikering skal du først generere en SSH-nøgle på den første Samba AD DC og overføre nøglen til den anden DC ved at udstede nedenstående kommandoer.

Brug ikke en adgangssætning til denne nøgle for at den planlagte overførsel skal køre uden brugerindblanding.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit 

6. Når du har forsikret, at rodbrugeren fra den første DC automatisk kan logge ind på den anden DC, skal du køre følgende Rsync-kommando med parameteren --dry-run for at simulere SysVol-replikering. Udskift adc2 i overensstemmelse hermed.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Hvis simuleringsprocessen fungerer som forventet, skal du køre kommandoen rsync igen uden indstillingen --dry-run for faktisk at replikere GPO-objekter på tværs af dine domænekontrollere.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. Når SysVol-replikeringsprocessen er afsluttet, skal du logge ind på destinationsdomænecontrolleren og liste indholdet af et af GPO-objektsmappen ved at køre nedenstående kommando.

De samme GPO-objekter fra den første DC skal også replikeres her.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. For at automatisere processen med gruppepolitikreplikering (sysvol-katalogtransport via netværk) skal du planlægge et rodjob til at køre den rsync-kommando, der blev brugt tidligere hvert 5. minut, ved at udstede nedenstående kommando.

# crontab -e 

Tilføj rsync-kommando for at køre hvert 5. minut og dirigere output af kommandoen, inklusive fejlene, til logfilen /var/log/sysvol-replication.log. Hvis noget ikke fungerer som forventet, skal du konsultere denne fil i for at fejlfinde problemet.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Forudsat at der fremover vil være nogle relaterede problemer med SysVol ACL-tilladelser, kan du køre følgende kommandoer for at opdage og reparere disse fejl.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. Hvis den første Samba4 AD DC med FSMO-rolle som "PDC-emulator" bliver utilgængelig, kan du tvinge Group Policy Management Console installeret på et Microsoft Windows-system til kun at oprette forbindelse til den anden domænecontroller ved at vælge Change Domain Controller option og manuelt vælge målmaskinen som vist nedenfor.

Mens du er tilsluttet den anden DC fra Group Policy Management Console, bør du undgå at foretage ændringer i dit domænes gruppepolitik. Når den første DC bliver tilgængelig igen, vil rsync-kommandoen ødelægge alle ændringer, der er foretaget på denne anden domænecontroller.