Seadistage SysVoli replikatsioon kahes Samba4 AD DC-s koos Rsynciga - 6. osa

See teema hõlmab SysVoli replikatsiooni kahes Samba4 Active Directory domeenikontrolleris, mida teostatakse mõne võimsa Linuxi tööriista, näiteks SSH-protokolli abil.

1. Liituge Ubuntu 16.04-ga täiendava domeenikontrollerina Samba4 AD DC-s - 5. osa

1. samm: täpne aja sünkroniseerimine DC-de vahel

1. Enne sysvoli kataloogi sisu paljundamise alustamist mõlema domeenikontrolleri kaudu peate nende masinate jaoks täpset aega andma.

Kui viivitus on mõlemas suunas suurem kui 5 minutit ja nende kellad pole õigesti sünkroonitud, peaksite AD-kontode ja domeeni replikatsiooniga alustama mitmesuguseid probleeme.

Kahe või enama domeenikontrolleri vahelise ajaliikumise probleemi ületamiseks peate oma arvutisse installima ja konfigureerima NTP-serveri, käivitades alltoodud käsu.

# apt-get install ntp

2. Pärast NTP-deemoni installimist avage põhikonfiguratsioonifail, kommenteerige vaikimisi basseinid (lisage iga basseinirea ette #) ja lisage uus bassein, mis osutab tagasi peamisele Samba4 AD DC FQDN-ile, kus on installitud NTP-server , nagu soovitatakse allpool toodud näites.

# nano /etc/ntp.conf

Lisage failile ntp.conf järgmised read.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Ärge sulgege veel faili, minge faili lõppu ja lisage järgmised read, et teised kliendid saaksid selle NTP-serveriga aega pärida ja sünkroonida, väljastades allkirjastatud NTP-päringuid juhul, kui esmane DC läheb võrguühenduseta:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Lõpuks salvestage ja sulgege konfiguratsioonifail ning taaskäivitage NTP deemon, et muudatusi rakendada. Oodake mõni sekund või minut aega sünkroonimiseks ja ntpq käsu väljastamiseks, et printida sünkroonitud adc1-eakaaslase praegune kokkuvõtlik olek.

# systemctl restart ntp
# ntpq -p

2. samm: SysVoli replikatsioon esimese DC-ga Rsynci kaudu

Vaikimisi ei tee Samba4 AD DC SysVoli replikatsiooni DFS-R (hajutatud failisüsteemi replikatsioon) või FRS (failide replikatsiooniteenus) kaudu.

See tähendab, et rühmapoliitika objektid on saadaval ainult siis, kui esimene domeenikontroller on võrgus. Kui esimene alalisvool ei ole enam saadaval, ei rakendata grupipoliitika sätteid ja sisselogimisskripte enam domeeni registreeritud Windowsi masinate puhul.

Selle takistuse ületamiseks ja SysVoli replikatsiooni algelise vormi saavutamiseks ajastame võtmepõhise SSH-autentimise, et GPO-objektid turvaliselt teiselt domeenikontrollerilt teisele domeenikontrollerile üle kanda.

See meetod tagab GPO-objektide järjepidevuse kogu domeenikontrolleris, kuid sellel on üks suur puudus. See töötab ainult ühes suunas, sest rsync kannab GPO-kataloogide sünkroonimisel kõik muudatused lähteallikast DC siht-alalisvoolu.

Objektid, mida allikas enam ei eksisteeri, kustutatakse ka sihtkohast. Konfliktide piiramiseks ja vältimiseks tuleks kõik GPO-d redigeerida ainult esimesel DC-l.

5. SysVoli replikatsiooni protsessi alustamiseks genereerige esmalt SSH-võti esimesele Samba AD DC-le ja edastage võti teisele DC-le, väljastades alltoodud käsud.

Ärge kasutage selle võtme jaoks parooli, et ajastatud edastus toimuks ilma kasutaja sekkumiseta.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit 

6. Kui olete kindel, et esimese DC juurkasutaja saab teise DC-ga automaatselt sisse logida, käivitage järgmine Rsynci käsk parameetriga --dry-run , et simuleerida SysVoli replikatsiooni. Asendage adc2 vastavalt.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Kui simulatsiooniprotsess töötab ootuspäraselt, käivitage käsk rsync uuesti ilma suvandita --dry-run , et GPO-objekte oma domeenikontrollerites tegelikult kopeerida.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. Pärast SysVoli replikatsiooniprotsessi lõppu logige sisse sihtdomeeni kontrollerisse ja loetlege ühe GPO-objektide kataloogi sisu, käivitades alloleva käsu.

Siit tuleks kopeerida samad GPO-objektid esimesest DC-st.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Rühmapoliitika replikatsiooni protsessi automatiseerimiseks (sysvoli kataloogi transport üle võrgu) ajastage juuretöö, et käivitada varem kasutatud käsk rsync iga 5 minuti tagant, väljastades alltoodud käsu.

# crontab -e 

Lisage käsk rsync iga 5 minuti käivitamiseks ja suunake käsu väljund koos vigadega logifaili /var/log/sysvol-replication.log. Kui midagi ei toimi ootuspäraselt, peate selle failiga tutvuma probleemi tõrkeotsinguks.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Eeldades, et tulevikus ilmnevad mõned seotud probleemid SysVol ACL-i lubadega, võite nende vigade avastamiseks ja parandamiseks käivitada järgmised käsud.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. Juhul kui esimene Samba4 AD DC, mille FSMO roll on „PDC emulaator”, ei ole enam saadaval, võite sundida Microsofti Windowsi süsteemi installitud rühmapoliitika halduskonsooli ühenduma ainult teise domeenikontrolleriga, valides suvandi Muuda domeenikontrollerit ja käsitsi sihtmasina valimine, nagu allpool illustreeritud.

Kui olete ühendatud teise DC-ga rühmapoliitika halduskonsoolilt, peaksite hoiduma oma domeeni grupipoliitika mis tahes muutmisest. Kui esimene alalisvool saab uuesti kättesaadavaks, hävitab rsync käsk kõik selles teises domeenikontrolleris tehtud muudatused.