SysVol replikáció beállítása két Samba4 AD DC-n Rsync segítségével – 6. rész
Ez a témakör a SysVol replikációjával foglalkozik két Samba4 Active Directory tartományvezérlőn, amelyet néhány hatékony Linux-eszköz, például az Rsync fájlszinkronizáló segédprogram, a Cron ütemező démon és az SSH segítségével hajtanak végre. jegyzőkönyv.
Követelmények:
- Csatlakozzon az Ubuntu 16.04-hez kiegészítő tartományvezérlőként a Samba4 AD DC-hez – 5. rész
1. lépés: Pontos időszinkronizálás DC-k között
1. Mielőtt elkezdené replikálni a sysvol könyvtár tartalmát mindkét tartományvezérlőn, pontos időt kell megadnia ezeknek a gépeknek.
Ha a késés mindkét irányban 5 percnél nagyobb, és az óráik nincsenek megfelelően szinkronban, akkor különféle problémákat kell tapasztalnia az AD-fiókokkal és a tartományreplikációval kapcsolatban.
A két vagy több tartományvezérlő közötti idősodródás problémájának megoldásához telepítenie és konfigurálnia kell az NTP-kiszolgálót a számítógépén az alábbi parancs végrehajtásával.
apt-get install ntp
2. Az NTP démon telepítése után nyissa meg a fő konfigurációs fájlt, írja be megjegyzésekkel az alapértelmezett készleteket (adjon hozzá egy # jelet minden készletsor elé), és adjon hozzá egy új készletet, amely visszamutat a fő Samba4 AD DC FQDN-re, ahol az NTP szerver telepítve van, az alábbi példában javasolt módon.
nano /etc/ntp.conf
Adja hozzá a következő sorokat az ntp.conf fájlhoz.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. Még ne zárja be a fájlt, lépjen a fájl aljára, és adja hozzá a következő sorokat, hogy más kliensek lekérdezhessék és szinkronizálhassák az időt ezzel az NTP-kiszolgálóval, az aláírt kiadással NTP kérések arra az esetre, ha az elsődleges DC offline állapotba kerülne:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Végül mentse és zárja be a konfigurációs fájlt, és indítsa újra az NTP-démont a módosítások alkalmazásához. Várjon néhány másodpercet vagy percet a szinkronizálás idejére, és adja ki az ntpq parancsot az adc1 partner aktuális összefoglaló állapotának szinkronban történő kinyomtatásához.
systemctl restart ntp
ntpq -p
2. lépés: SysVol replikáció az első DC-vel Rsync segítségével
Alapértelmezés szerint a Samba4 AD DC nem hajtja végre a SysVol replikációt a DFS-R (Elosztott fájlrendszer replikációja) segítségével. vagy az FRS (Fájlreplikációs szolgáltatás).
Ez azt jelenti, hogy a Csoportházirend objektumok csak akkor érhetők el, ha az első tartományvezérlő online állapotban van. Ha az első DC elérhetetlenné válik, a csoportházirend-beállítások és a bejelentkezési parancsfájlok a továbbiakban nem lesznek érvényesek a tartományba regisztrált Windows-gépeken.
Ennek az akadálynak a leküzdése és a SysVol replikáció kezdetleges formájának elérése érdekében ütemezünk egy Linux rsync parancsot SSH-titkosított alagúttal kombinálva kulcsalapú SSH-hitelesítéssel a GPO objektumok biztonságos átvitele érdekében az első tartományvezérlőről a második tartományvezérlőre.
Ez a módszer biztosítja a GPO objektumok konzisztenciáját a tartományvezérlők között, de van egy hatalmas hátránya. Csak egy irányban működik, mert az rsync minden változtatást átvisz a forrás DC-ről a cél DC-re a GPO-könyvtárak szinkronizálása során.
A forrásban már nem létező objektumok is törlődnek a célhelyről. Az ütközések korlátozása és elkerülése érdekében minden csoportházirend-objektum-szerkesztést csak az első DC-n szabad elvégezni.
5. A SysVol replikációs folyamat elindításához először generáljon SSH-kulcsot az első Samba AD DC-n, és vigye át a kulcsot a második DC-re az alábbi parancsok kiadásával.
Ne használjon jelszót ehhez a kulcshoz, hogy az ütemezett átvitel felhasználói beavatkozás nélkül fusson.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. Miután megbizonyosodott arról, hogy az első DC root felhasználója automatikusan bejelentkezhet a második DC-re, futtassa a következőt: Rsync parancs --dry-run
paraméterrel a SysVol replikáció szimulálásához. Cserélje le az adc2 elemet ennek megfelelően.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. Ha a szimulációs folyamat a várt módon működik, futtassa újra az rsync parancsot a --dry-run
opció nélkül, hogy ténylegesen replikálja a csoportházirend-objektumokat a tartományvezérlőkön.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. A SysVol replikációs folyamatának befejezése után jelentkezzen be a cél tartományvezérlőbe, és listázza ki a csoportházirend-objektumok egyik könyvtárának tartalmát az alábbi parancs futtatásával.
Ugyanazokat a csoportházirend-objektumokat az első DC-ből kell replikálni itt is.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. A Csoportházirend replikáció folyamatának automatizálásához (sysvol címtárszállítás hálózaton keresztül), ütemezzen egy root feladatot a korábban használt rsync parancs 5 percenkénti futtatására az alábbi parancs kiadásával. parancs.
crontab -e
Adja hozzá az rsync parancsot, amely 5 percenként fut, és a parancs kimenetét a hibákkal együtt a /var/log/sysvol-replication.log naplófájlba irányítja. Abban az esetben, ha valami nem működik várhatóan meg kell néznie ezt a fájlt a probléma elhárításához.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Feltételezve, hogy a jövőben problémák lesznek a SysVol ACL engedélyekkel kapcsolatban, a következő parancsokat futtathatja a hibák észleléséhez és kijavításához.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. Ha az első Samba4 AD DC FSMO szerepkörrel „PDC-emulátorként” nem elérhető, kényszerítse a Microsoft Windows rendszerre telepített Csoportházirend-kezelő konzolt, hogy csak a második tartományvezérlőhöz csatlakozzon. Ehhez válassza a Change Domain Controller opciót, és manuálisan válassza ki a célgépet az alábbi ábra szerint.
Amíg csatlakozik a második DC-hez a Csoportházirend-kezelő konzolról, kerülje a domain csoportházirend módosítását. Amikor az első DC újra elérhetővé válik, az rsync parancs megsemmisíti a második tartományvezérlőn végzett összes módosítást.