Podešavanje replikacije SysVol preko dva Samba4 AD DC sa Rsync - Dio 6
Ova tema će pokriti SysVol replikaciju preko dva Samba4 Active Directory Domain Controllera izvedena uz pomoć nekoliko moćnih Linux alata, kao što su Rsync uslužni program za sinhronizaciju datoteka, Cron demon za zakazivanje i SSH protokol.
Zahtjevi:
- Pridružite se Ubuntu 16.04 kao dodatnom kontroleru domene za Samba4 AD DC – 5. dio
Korak 1: Precizna vremenska sinhronizacija preko DC-a
1. Prije nego počnete replicirati sadržaj direktorija sysvol na oba domena kontrolera, morate osigurati tačno vrijeme za ove mašine.
Ako je kašnjenje veće od 5 minuta u oba smjera i njihovi satovi nisu ispravno sinhronizirani, trebali biste početi imati različite probleme s AD nalozima i replikacijom domena.
Da biste prevazišli problem pomeranja vremena između dva ili više kontrolera domena, morate da instalirate i konfigurišete NTP server na vašem računaru izvršavanjem naredbe ispod.
apt-get install ntp
2. Nakon što je NTP demon instaliran, otvorite glavnu konfiguracijsku datoteku, komentirajte zadane grupe (dodajte # ispred svake linije bazena) i dodajte novi bazen koji će ukazati na glavni Samba4 AD DC FQDN sa instaliranim NTP serverom, kao što je predloženo u primjeru ispod.
nano /etc/ntp.conf
Dodajte sljedeće redove u datoteku ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. Nemojte još zatvarati datoteku, pomaknite se na dno datoteke i dodajte sljedeće redove kako bi drugi klijenti mogli upiti i sinhronizirati vrijeme sa ovim NTP serverom, izdajući potpisano NTP zahtjevi, u slučaju da primarni DC ode van mreže:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Konačno, sačuvajte i zatvorite konfiguracionu datoteku i ponovo pokrenite NTP demon da biste primijenili promjene. Pričekajte nekoliko sekundi ili minuta da se vrijeme sinhronizira i izda naredbu ntpq kako biste ispisali trenutno sažeto stanje istovrsnog adc1 u sinhronizaciji.
systemctl restart ntp
ntpq -p
Korak 2: SysVol replikacija s prvim DC putem Rsync
Prema zadanim postavkama, Samba4 AD DC ne izvodi SysVol replikaciju putem DFS-R (Replikacija distribuiranog sistema datoteka) ili FRS (Usluga replikacije datoteka).
To znači da su objekti Group Policy dostupni samo ako je prvi kontroler domene online. Ako prvi DC postane nedostupan, postavke grupne politike i skripte za prijavu neće se dalje primjenjivati na Windows strojevima upisanim u domenu.
Da bismo prevladali ovu prepreku i postigli rudimentarni oblik SysVol replikacije, zakazat ćemo Linux rsync naredbu u kombinaciji sa SSH šifriranim tunelom sa SSH autentifikacijom baziranom na ključu kako bismo sigurno prenijeli GPO objekte s prvog kontrolera domene na drugi kontroler domene.
Ova metoda osigurava konzistentnost GPO objekata u svim domenskim kontrolerima, ali ima jedan veliki nedostatak. Radi samo u jednom smjeru jer će rsync prenijeti sve promjene sa izvornog DC na odredišni DC prilikom sinhronizacije GPO direktorija.
Objekti koji više ne postoje na izvoru također će biti izbrisani sa odredišta. U cilju ograničavanja i izbjegavanja bilo kakvih sukoba, sve GPO izmjene treba da se izvrše samo na prvom DC-u.
5. Da biste započeli proces replikacije SysVol, prvo generirajte SSH ključ na prvom Samba AD DC-u i prenesite ključ u drugi DC izdavanjem naredbi ispod.
Nemojte koristiti lozinku za ovaj ključ kako bi se planirani prijenos odvijao bez uplitanja korisnika.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. Nakon što ste se uvjerili da se root korisnik iz prvog DC može automatski prijaviti na drugi DC, pokrenite sljedeće Rsync naredba s parametrom --dry-run kako bi se simulirala SysVol replikacija. Zamijenite adc2 u skladu s tim.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. Ako proces simulacije radi kako se očekuje, ponovo pokrenite naredbu rsync bez opcije --dry-run kako biste stvarno replicirali GPO objekte na vašim kontrolerima domene.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. Nakon što se SysVol proces replikacije završi, prijavite se na kontroler odredišne domene i navedite sadržaj jednog od direktorija GPO objekata tako što ćete pokrenuti naredbu ispod.
Isti GPO objekti iz prvog DC-a također bi trebali biti replicirani ovdje.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Da biste automatizirali proces replikacije Grupne politike (sysvol transport direktorija preko mreže), zakažite root posao za pokretanje naredbe rsync korišćenu ranije svakih 5 minuta izdavanjem dolje komanda.
crontab -e
Dodajte naredbu rsync da se izvodi svakih 5 minuta i usmjerite izlaz naredbe, uključujući greške, u datoteku dnevnika /var/log/sysvol-replication.log. U slučaju da nešto ne radi kao očekivalo se da biste trebali pogledati ovu datoteku kako biste riješili problem.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Pod pretpostavkom da će u budućnosti biti nekih povezanih problema sa SysVol ACL dozvolama, možete pokrenuti sljedeće komande kako biste otkrili i popravili ove greške.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. U slučaju da prvi Samba4 AD DC sa ulogom FSMO kao “PDC emulator” postane nedostupan, možete prisilite Konzolu za upravljanje pravilima grupe instaliranu na Microsoft Windows sistemu da se poveže samo na drugi kontroler domene odabirom opcije Promjena kontrolera domene i ručnim odabirom ciljne mašine kao što je prikazano ispod.
Dok ste povezani na drugi DC iz Konzole za upravljanje pravilima grupe, trebali biste izbjegavati bilo kakve izmjene Grupne politike vaše domene. Kada prvi DC postane ponovo dostupan, rsync komanda će uništiti sve promjene napravljene na ovom drugom kontroleru domene.