Replicação do SYSVOL de configuração em dois samba4 ad DC com rsync - parte 6

Replicação do SYSVOL de configuração em dois samba4 ad DC com rsync - parte 6

Este tópico vai cobrir Sysvol replicação em dois Controladores de domínio do diretório ativo samba4 executado com a ajuda de algumas ferramentas de Linux poderosas, como o utilitário de sincronização de arquivos rsync, daemon de agendamento de cron e protocolo SSH.

Requisitos:

  1. Junte -se ao Ubuntu 16.04 como controlador de domínio adicional para samba4 ad DC - Parte 5

Etapa 1: Sincronização de tempo precisa nos DCs

1. Antes de começar a replicar o conteúdo do Sysvol Diretório em ambos os controladores de domínio, você precisa fornecer um tempo preciso para essas máquinas.

Se o atraso for superior a 5 minutos em ambas as direções e seus relógios não estiverem adequadamente em sincronia, você deve começar a enfrentar vários problemas com contas de anúncios e replicação do domínio.

Para superar o problema da deriva do tempo entre dois ou mais controladores de domínio, você precisa instalar e configurar o servidor NTP em sua máquina, executando o comando abaixo.

# instalação apt-get NTP 

2. Depois que o daemon do NTP foi instalado, abra o arquivo de configuração principal, comente os pools padrão (adicione um # em frente a cada linha da piscina) e adicione um novo pool que apoiará de volta ao principal Samba4 ad dc fqdn com Ntp servidor instalado, conforme sugerido no exemplo abaixo.

# nano /etc /ntp.conf 

Adicione as seguintes linhas a ntp.conf arquivo.

Pool 0.Ubuntu.piscina.ntp.org iburst #pool 1.Ubuntu.piscina.ntp.org iburst #pool 2.Ubuntu.piscina.ntp.org iburst #pool 3.Ubuntu.piscina.ntp.org iburst pool adc1.Tecmint.LAN # Use o servidor NTP do Ubuntu como um recuo. Piscina NTP.Ubuntu.com 
Configure NTP para Samba4

3. Não feche o arquivo ainda, vá para a parte inferior do arquivo e adicione as seguintes linhas para que outros clientes possam consultar e sincronizar o tempo com este servidor NTP, emitindo solicitações NTP assinadas, caso o DC principal vá desligada:

Restre a fonte NOTRAP NOMODIFIA NOQUENY MSSNTP NTPSINDSOCKET/VAR/LIB/SAMBA/NTP_SIGND/ 

4. Por fim, salve e feche o arquivo de configuração e reinicie o daemon NTP para aplicar as alterações. Aguarde alguns segundos ou minutos pelo tempo para sincronizar e emitir ntpq comando para imprimir o estado de resumo atual do ADC1 par em sincronia.

# Systemctl Reiniciar ntp # ntpq -p 
Sincronize o tempo NTP com o samba4 anúncio

Etapa 2: replicação do SYSVOL com o primeiro DC via RSYNC

Por padrão, Samba4 anúncio dc não se apresenta Sysvol replicação via Dfs-r (Replicação do sistema de arquivos distribuído) ou o Frs (Serviço de replicação de arquivos).

Isso significa que Política de grupo Objetos estão disponíveis apenas se o primeiro controlador de domínio estiver online. Se o primeiro DC ficar indisponível, as configurações da política de grupo e os scripts de logon não se aplicarão mais nas máquinas Windows inscritos no domínio.

Para superar esse obstáculo e alcançar uma forma rudimentar de replicação do SYSVOL, agendaremos um comando Linux RSYNC combinado com um túnel criptografado SSH com autenticação SSH baseada em chaves para transferir com segurança a transferência com segurança GPO objetos do primeiro controlador de domínio para o segundo controlador de domínio.

Este método garante GPO Consistência de objetos entre controladores de domínio, mas tem uma enorme desvantagem. Funciona apenas em uma direção porque rsync transferirá todas as alterações da fonte DC para o destino DC ao sincronizar os diretórios GPO.

Objetos que não existem mais na fonte também serão excluídos do destino. Para limitar e evitar conflitos, todas as edições de GPO devem ser feitas apenas no primeiro DC.

5. Para iniciar o processo de Sysvol Replicação, primeiro gera uma chave SSH no primeiro samba ad DC e transfira a chave para o segundo DC, emitindo os comandos abaixo.

Não use um senha Para esta chave, para que a transferência programada seja executada sem a interferência do usuário.

# ssh-keygen -t rsa # ssh-copy-id [email protegido] # ssh adc2 # saída 
Gerar a chave SSH no samba4 dc

6. Depois de garantir que o usuário raiz do primeiro DC pode fazer login automaticamente no segundo DC, execute o seguinte Rsync comando com --funcionamento a seco parâmetro em ordem simular replicação de sysvol. Substituir ADC2 de acordo.

# rsync--dry-run -xaavz --chmod = 775--Delete-afor --progress-stats/var/liba/samba/sysvol/[email protegido]:/var/lib/samba/sysvol/ 

7. Se o processo de simulação funcionar como esperado, execute o comando rsync novamente sem o --funcionamento a seco opção para realmente replicar objetos GPO em seus controladores de domínio.

# rsync -xaavz --chmod = 775 - -Delete -afor --progress -stats/var/lib/samba/sysvol/[email protegido]:/var/lib/samba/sysvol/ 
Samba4 ad DC Sysvol Replicação

8. Após o término do processo de replicação do SYSVOL, faça o login no controlador de domínio de destino e liste o conteúdo de um dos diretórios de objetos GPO executando o comando abaixo.

Os mesmos objetos GPO do primeiro DC também devem ser replicados aqui.

# ls -Ah/var/lib/samba/sysvol/your_domain/policiers/ 
Verifique a replicação do sysvol samba4 dc

9. Para automatizar o processo de Política de grupo Replicação (Transporte do diretório SYSVOL sobre rede), agende um trabalho raiz para executar o comando rsync usado anteriormente a cada 5 minutos, emitindo o comando abaixo.

# Crontab -e 

Adicione o comando rsync para executar a cada 5 minutos e direcionar a saída do comando, incluindo os erros, para o arquivo de log /var/log/sysvol-replicação.registro .Caso algo não funcione como esperado, você deve consultar esse arquivo para solucionar o problema.

*/5 * * * * rsync -xaavz --chmod = 775 - -Delete -afor --progress -stats/var/liba/samba/sysvol/[email protegido]:/var/lib/samba/sysvol/> /var/log/sysvol-replicação.log 2> & 1 

10. Supondo que no futuro haverá alguns problemas relacionados com Sysvol ACL Permissões, você pode executar os seguintes comandos para detectar e reparar esses erros.

# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolset 
Corrija as permissões do SYSVOL ACL

11. No caso do primeiro Samba4 anúncio dc com Fsmo papel como “Emulador de PDC”Torna -se indisponível, você pode forçar o Console de gerenciamento de políticas de grupo instalado em um Microsoft Windows sistema para se conectar apenas ao segundo controlador de domínio, escolhendo a opção de alteração do controlador de domínio e selecionando manualmente a máquina de destino, conforme ilustrado abaixo.

Alterar controlador de domínio Samba4 Selecione o controlador de domínio Samba4

Enquanto conectado ao segundo DC de Console de gerenciamento de políticas de grupo, Você deve evitar fazer qualquer modificação no seu domínio Política de grupo. Quando o primeiro DC ficará disponível novamente, comando rsync destruirá todas as mudanças feitas neste segundo controlador de domínio.