Postavljanje SysVol replikacije preko dva Samba4 AD DC s Rsync - Dio 6
Ova tema će pokriti replikaciju SysVol preko dva kontrolera domene Active Directory Samba4 koja se izvodi uz pomoć nekoliko moćnih Linux alata, kao što je uslužni program za sinkronizaciju datoteka Rsync, demon za raspored Cron i SSH protokol.
Zahtjevi:
- Pridružite se Ubuntu 16.04 kao dodatni kontroler domene za Samba4 AD DC – dio 5
Korak 1: Točna vremenska sinkronizacija između DC-ova
1. Prije nego počnete replicirati sadržaj direktorija sysvol na oba kontrolera domene, trebate osigurati točno vrijeme za ove strojeve.
Ako je kašnjenje veće od 5 minuta u oba smjera i njihovi satovi nisu ispravno sinkronizirani, trebali biste početi doživljavati razne probleme s AD računima i replikacijom domene.
Kako biste prevladali problem vremenskog lutanja između dva ili više kontrolera domene, trebate instalirati i konfigurirati NTP poslužitelj na vašem računalu izvršavanjem donje naredbe.
apt-get install ntp
2. Nakon instaliranja NTP demona, otvorite glavnu konfiguracijsku datoteku, komentirajte zadane skupove (dodajte # ispred svake linije skupa) i dodajte novi skup koji pokazat će natrag na glavni Samba4 AD DC FQDN s instaliranim NTP poslužiteljem, kao što je predloženo u donjem primjeru.
nano /etc/ntp.conf
Dodajte sljedeće retke u datoteku ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. Nemojte još zatvarati datoteku, pomaknite se na dno datoteke i dodajte sljedeće retke kako bi drugi klijenti mogli postavljati upite i sinkronizirati vrijeme s ovim NTP poslužiteljem, izdajući potpisano NTP zahtjevi, u slučaju da primarni DC bude izvan mreže:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Na kraju, spremite i zatvorite konfiguracijsku datoteku i ponovno pokrenite NTP demon kako biste primijenili promjene. Pričekajte nekoliko sekundi ili minuta za vrijeme za sinkronizaciju i izdajte naredbu ntpq kako biste ispisali trenutno stanje sažetka adc1 peera u sinkronizaciji.
systemctl restart ntp
ntpq -p
Korak 2: SysVol replikacija s prvim DC-om putem Rsync-a
Prema zadanim postavkama, Samba4 AD DC ne izvodi SysVol replikaciju putem DFS-R (Distribuirana replikacija sustava datoteka) ili FRS (File Replication Service).
To znači da su objekti pravila grupe dostupni samo ako je prvi kontroler domene na mreži. Ako prvi DC postane nedostupan, postavke pravila grupe i skripte za prijavu neće se dalje primjenjivati na Windows strojevima upisanim u domenu.
Kako bismo prevladali ovu prepreku i postigli rudimentarni oblik SysVol replikacije, rasporedit ćemo Linux rsync naredbu u kombinaciji sa SSH šifriranim tunelom sa SSH provjerom autentičnosti temeljenom na ključu kako bismo sigurno prenijeli GPO objekte s prvog kontrolera domene na drugi kontroler domene.
Ova metoda osigurava dosljednost GPO objekata na kontrolerima domene, ali ima jedan veliki nedostatak. Radi samo u jednom smjeru jer će rsync prenijeti sve promjene s izvornog DC-a na odredišni DC prilikom sinkronizacije GPO direktorija.
Objekti koji više ne postoje na izvoru bit će izbrisani i s odredišta. Kako bi se ograničili i izbjegli bilo kakvi sukobi, sva GPO uređivanja trebala bi se izvršiti samo na prvom DC-u.
5. Da biste pokrenuli proces replikacije SysVol, prvo generirajte SSH ključ na prvom Samba AD DC-u i prenesite ključ na drugi DC izdavanjem naredbi u nastavku.
Nemojte koristiti zaporku za ovaj ključ kako bi se zakazani prijenos odvijao bez uplitanja korisnika.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. Nakon što ste se uvjerili da se root korisnik iz prvog DC može automatski prijaviti na drugi DC, pokrenite sljedeće Naredba Rsync s parametrom --dry-run radi simulacije SysVol replikacije. Zamijenite adc2 u skladu s tim.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. Ako proces simulacije radi prema očekivanjima, ponovno pokrenite naredbu rsync bez opcije --dry-run kako biste stvarno replicirali GPO objekte na vašim kontrolerima domene.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. Nakon što SysVol proces replikacije završi, prijavite se na odredišni kontroler domene i popišite sadržaj jednog od direktorija GPO objekata pokretanjem donje naredbe.
Isti GPO objekti iz prvog DC-a trebali bi se replicirati i ovdje.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Kako biste automatizirali proces replikacije pravila grupe (prijenos sysvol direktorija preko mreže), zakažite root posao za pokretanje naredbe rsync koja se ranije koristila svakih 5 minuta izdavanjem donje naredba.
crontab -e
Dodajte naredbu rsync za izvođenje svakih 5 minuta i usmjerite izlaz naredbe, uključujući pogreške, u datoteku dnevnika /var/log/sysvol-replication.log. U slučaju da nešto ne radi kao očekuje se da biste trebali pogledati ovu datoteku kako biste riješili problem.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Pretpostavljajući da će u budućnosti biti nekih povezanih problema s SysVol ACL dopuštenjima, možete pokrenuti sljedeće naredbe kako biste otkrili i popravili te pogreške.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. U slučaju da prvi Samba4 AD DC s ulogom FSMO kao “PDC Emulator” postane nedostupan, možete prisilite Konzolu za upravljanje pravilima grupe instaliranu na sustavu Microsoft Windows da se poveže samo s drugim kontrolerom domene odabirom opcije Promjena kontrolera domene i ručnim odabirom ciljnog stroja kao što je prikazano u nastavku.
Dok ste povezani na drugi DC iz Konzole za upravljanje grupnim pravilima, trebali biste izbjegavati bilo kakve izmjene Grupnih pravila svoje domene. Kada prvi DC ponovo postane dostupan, rsync naredba uništit će sve promjene napravljene na ovom drugom kontroleru domene.