Weboldal keresés

SysVol replikáció beállítása két Samba4 AD DC-n Rsync segítségével – 6. rész


Ez a témakör a SysVol replikációjával foglalkozik két Samba4 Active Directory tartományvezérlőn, amelyet néhány hatékony Linux-eszköz, például az Rsync fájlszinkronizáló segédprogram, a Cron ütemező démon és az SSH segítségével hajtanak végre. jegyzőkönyv.

Követelmények:

  1. Csatlakozzon az Ubuntu 16.04-hez kiegészítő tartományvezérlőként a Samba4 AD DC-hez – 5. rész

1. lépés: Pontos időszinkronizálás DC-k között

1. Mielőtt elkezdené replikálni a sysvol könyvtár tartalmát mindkét tartományvezérlőn, pontos időt kell megadnia ezeknek a gépeknek.

Ha a késés mindkét irányban 5 percnél nagyobb, és az óráik nincsenek megfelelően szinkronban, akkor különféle problémákat kell tapasztalnia az AD-fiókokkal és a tartományreplikációval kapcsolatban.

A két vagy több tartományvezérlő közötti idősodródás problémájának megoldásához telepítenie és konfigurálnia kell az NTP-kiszolgálót a számítógépén az alábbi parancs végrehajtásával.

apt-get install ntp

2. Az NTP démon telepítése után nyissa meg a fő konfigurációs fájlt, írja be megjegyzésekkel az alapértelmezett készleteket (adjon hozzá egy # jelet minden készletsor elé), és adjon hozzá egy új készletet, amely visszamutat a fő Samba4 AD DC FQDN-re, ahol az NTP szerver telepítve van, az alábbi példában javasolt módon.

nano /etc/ntp.conf

Adja hozzá a következő sorokat az ntp.conf fájlhoz.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Még ne zárja be a fájlt, lépjen a fájl aljára, és adja hozzá a következő sorokat, hogy más kliensek lekérdezhessék és szinkronizálhassák az időt ezzel az NTP-kiszolgálóval, az aláírt kiadással NTP kérések arra az esetre, ha az elsődleges DC offline állapotba kerülne:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Végül mentse és zárja be a konfigurációs fájlt, és indítsa újra az NTP-démont a módosítások alkalmazásához. Várjon néhány másodpercet vagy percet a szinkronizálás idejére, és adja ki az ntpq parancsot az adc1 partner aktuális összefoglaló állapotának szinkronban történő kinyomtatásához.

systemctl restart ntp
ntpq -p

2. lépés: SysVol replikáció az első DC-vel Rsync segítségével

Alapértelmezés szerint a Samba4 AD DC nem hajtja végre a SysVol replikációt a DFS-R (Elosztott fájlrendszer replikációja) segítségével. vagy az FRS (Fájlreplikációs szolgáltatás).

Ez azt jelenti, hogy a Csoportházirend objektumok csak akkor érhetők el, ha az első tartományvezérlő online állapotban van. Ha az első DC elérhetetlenné válik, a csoportházirend-beállítások és a bejelentkezési parancsfájlok a továbbiakban nem lesznek érvényesek a tartományba regisztrált Windows-gépeken.

Ennek az akadálynak a leküzdése és a SysVol replikáció kezdetleges formájának elérése érdekében ütemezünk egy Linux rsync parancsot SSH-titkosított alagúttal kombinálva kulcsalapú SSH-hitelesítéssel a GPO objektumok biztonságos átvitele érdekében az első tartományvezérlőről a második tartományvezérlőre.

Ez a módszer biztosítja a GPO objektumok konzisztenciáját a tartományvezérlők között, de van egy hatalmas hátránya. Csak egy irányban működik, mert az rsync minden változtatást átvisz a forrás DC-ről a cél DC-re a GPO-könyvtárak szinkronizálása során.

A forrásban már nem létező objektumok is törlődnek a célhelyről. Az ütközések korlátozása és elkerülése érdekében minden csoportházirend-objektum-szerkesztést csak az első DC-n szabad elvégezni.

5. A SysVol replikációs folyamat elindításához először generáljon SSH-kulcsot az első Samba AD DC-n, és vigye át a kulcsot a második DC-re az alábbi parancsok kiadásával.

Ne használjon jelszót ehhez a kulcshoz, hogy az ütemezett átvitel felhasználói beavatkozás nélkül fusson.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit 

6. Miután megbizonyosodott arról, hogy az első DC root felhasználója automatikusan bejelentkezhet a második DC-re, futtassa a következőt: Rsync parancs --dry-run paraméterrel a SysVol replikáció szimulálásához. Cserélje le az adc2 elemet ennek megfelelően.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Ha a szimulációs folyamat a várt módon működik, futtassa újra az rsync parancsot a --dry-run opció nélkül, hogy ténylegesen replikálja a csoportházirend-objektumokat a tartományvezérlőkön.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. A SysVol replikációs folyamatának befejezése után jelentkezzen be a cél tartományvezérlőbe, és listázza ki a csoportházirend-objektumok egyik könyvtárának tartalmát az alábbi parancs futtatásával.

Ugyanazokat a csoportházirend-objektumokat az első DC-ből kell replikálni itt is.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. A Csoportházirend replikáció folyamatának automatizálásához (sysvol címtárszállítás hálózaton keresztül), ütemezzen egy root feladatot a korábban használt rsync parancs 5 percenkénti futtatására az alábbi parancs kiadásával. parancs.

crontab -e 

Adja hozzá az rsync parancsot, amely 5 percenként fut, és a parancs kimenetét a hibákkal együtt a /var/log/sysvol-replication.log naplófájlba irányítja. Abban az esetben, ha valami nem működik várhatóan meg kell néznie ezt a fájlt a probléma elhárításához.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Feltételezve, hogy a jövőben problémák lesznek a SysVol ACL engedélyekkel kapcsolatban, a következő parancsokat futtathatja a hibák észleléséhez és kijavításához.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. Ha az első Samba4 AD DC FSMO szerepkörrel „PDC-emulátorként” nem elérhető, kényszerítse a Microsoft Windows rendszerre telepített Csoportházirend-kezelő konzolt, hogy csak a második tartományvezérlőhöz csatlakozzon. Ehhez válassza a Change Domain Controller opciót, és manuálisan válassza ki a célgépet az alábbi ábra szerint.

Amíg csatlakozik a második DC-hez a Csoportházirend-kezelő konzolról, kerülje a domain csoportházirend módosítását. Amikor az első DC újra elérhetővé válik, az rsync parancs megsemmisíti a második tartományvezérlőn végzett összes módosítást.