Настройка репликации SysVol на двух контроллерах домена AD Samba4 с помощью Rsync. Часть 6
В этой теме будет рассмотрена репликация SysVol между двумя контроллерами домена Samba4 Active Directory, выполняемая с помощью нескольких мощных инструментов Linux, таких как утилита синхронизации файлов Rsync, демон планирования Cron и SSH. протокол.
Требования:
- Присоединяйтесь к Ubuntu 16.04 в качестве дополнительного контроллера домена для Samba4 AD DC – часть 5
Шаг 1. Точная синхронизация времени между контроллерами домена
1. Прежде чем приступить к репликации содержимого каталога sysvol на обоих контроллерах домена, вам необходимо указать точное время для этих компьютеров.
Если задержка превышает 5 минут в обоих направлениях и их часы не синхронизированы должным образом, у вас должны возникнуть различные проблемы с учетными записями AD и репликацией домена.
Чтобы решить проблему смещения времени между двумя или более контроллерами домена, вам необходимо установить и настроить NTP-сервер на своем компьютере, выполнив приведенную ниже команду.
apt-get install ntp
2. После установки демона NTP откройте основной файл конфигурации, прокомментируйте пулы по умолчанию (добавьте # перед каждой строкой пула) и добавьте новый пул, который будет указывать на основное полное доменное имя контроллера домена Samba4 AD с установленным сервером NTP, как показано в примере ниже.
nano /etc/ntp.conf
Добавьте следующие строки в файл ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. Пока не закрывайте файл, перейдите в конец файла и добавьте следующие строки, чтобы другие клиенты могли запрашивать и синхронизировать время с этим NTP-сервером, выдавая подписанные Запросы NTP, если основной контроллер домена отключается от сети:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Наконец, сохраните и закройте файл конфигурации и перезапустите демон NTP, чтобы применить изменения. Подождите несколько секунд или минут, пока наступит время синхронизации, и введите команду ntpq, чтобы распечатать текущее сводное состояние синхронизированного узла adc1.
systemctl restart ntp
ntpq -p
Шаг 2. Репликация SysVol с первым контроллером домена через Rsync
По умолчанию Samba4 AD DC не выполняет репликацию SysVol через DFS-R (Репликация распределенной файловой системы). или FRS (Служба репликации файлов).
Это означает, что объекты Групповой политики доступны только в том случае, если первый контроллер домена находится в сети. Если первый контроллер домена становится недоступным, параметры групповой политики и сценарии входа не будут применяться дальше на компьютерах Windows, зарегистрированных в домене.
Чтобы преодолеть это препятствие и достичь элементарной формы репликации SysVol, мы запланируем команду Linux rsync в сочетании с зашифрованным туннелем SSH с аутентификацией SSH на основе ключей для безопасной передачи объектов GPO с первого контроллера домена. ко второму контроллеру домена.
Этот метод обеспечивает согласованность объектов GPO на всех контроллерах домена, но имеет один огромный недостаток. Он работает только в одном направлении, поскольку rsync перенесет все изменения с исходного DC на целевой DC при синхронизации каталогов GPO.
Объекты, которые больше не существуют в источнике, также будут удалены из места назначения. Чтобы ограничить и избежать конфликтов, все изменения объектов групповой политики следует вносить только на первом контроллере домена.
5. Чтобы начать процесс репликации SysVol, сначала сгенерируйте ключ SSH на первом контроллере домена Samba AD и передайте ключ на второй контроллер домена, введя приведенные ниже команды.
Не используйте пароль для этого ключа, чтобы запланированная передача прошла без вмешательства пользователя.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. Убедившись, что пользователь root с первого DC может автоматически войти на второй DC, запустите следующий Команда Rsync с параметром --dry-run для имитации репликации SysVol. Замените adc2 соответствующим образом.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. Если процесс моделирования работает должным образом, снова запустите команду rsync без параметра --dry-run, чтобы фактически реплицировать объекты GPO на всех контроллерах домена.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. После завершения процесса репликации SysVol войдите в целевой контроллер домена и просмотрите содержимое одного из каталогов объектов групповой политики, выполнив приведенную ниже команду.
Сюда также следует реплицировать те же объекты групповой политики из первого контроллера домена.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Чтобы автоматизировать процесс репликации групповой политики (передача каталогов sysvol по сети), запланируйте корневое задание для запуска использованной ранее команды rsync каждые 5 минут, выполнив следующую команду: команда.
crontab -e
Добавьте команду rsync, которая будет запускаться каждые 5 минут, и направляйте выходные данные команды, включая ошибки, в файл журнала /var/log/sysvol-replication.log. На случай, если что-то не работает Ожидается, что вам следует обратиться к этому файлу для устранения проблемы.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Предполагая, что в будущем возникнут некоторые проблемы с разрешениями SysVol ACL, вы можете запустить следующие команды, чтобы обнаружить и исправить эти ошибки.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. В случае, если первый Samba4 AD DC с ролью FSMO как «PDC Emulator» станет недоступным, вы можете заставить Консоль управления групповой политикой, установленную в системе Microsoft Windows, подключаться только ко второму контроллеру домена, выбрав параметр «Изменить контроллер домена» и вручную выбрав целевой компьютер, как показано ниже.
При подключении ко второму DC из Консоли управления групповой политикой вам следует избегать внесения каких-либо изменений в Групповую политику вашего домена. Когда первый DC снова станет доступен, команда rsync уничтожит все изменения, внесенные на этом втором контроллере домена.