Setup SysVol Replikatioun iwwer zwee Samba4 AD DC mat Rsync - Deel 6
Dëst Thema wäert d'SysVol Replikatioun iwwer zwee Samba4 Active Directory Domain Controller ofdecken, déi mat der Hëllef vun e puer mächtege Linux Tools ausgefouert goufen, sou wéi SSH Protokoll.
- Maacht mat Ubuntu 16.04 als zousätzlech Domain Controller op Samba4 AD DC - Deel 5
Schrëtt 1: Genau Zäit Synchroniséierung iwwer DCs
1. Ier Dir ufänkt d'Inhalter vum sysvol Verzeechnes iwwer béid Domain Controller ze replizéieren, musst Dir eng korrekt Zäit fir dës Maschinnen ubidden.
Wann d'Verzögerung méi wéi 5 Minuten op béide Richtungen ass an hir Aueren net richteg synchroniséiert sinn, sollt Dir ufänken verschidde Probleemer mat AD Konten an Domain Replikatioun ze erliewen.
Fir de Problem vun der Zäit tëscht zwee oder méi Domain Controller ze iwwerwannen, musst Dir den NTP-Server op Ärer Maschinn installéieren an konfiguréieren andeems Dir de Kommando hei ënnen ausféiert.
# apt-get install ntp
2. Nodeems den NTP-Daemon installéiert ass, öffnen d'Haaptkonfiguratiounsdatei, kommentéieren d'Standardpools (füügt e # virun all Poollinn derbäi) a füügt en neie Pool un deen zréck op den Haapt Samba4 AD DC FQDN mat NTP Server installéiert gëtt. , wéi am Beispill hei ënnen proposéiert.
# nano /etc/ntp.conf
Füügt folgend Zeilen op ntp.conf Datei.
pool 0.ubuntu.pool.ntp.org iburst #pool 1.ubuntu.pool.ntp.org iburst #pool 2.ubuntu.pool.ntp.org iburst #pool 3.ubuntu.pool.ntp.org iburst pool adc1.tecmint.lan # Use Ubuntu's ntp server as a fallback. pool ntp.ubuntu.com
3. Maacht d'Datei nach net zou, réckelt bis ënnen vun der Datei a füügt déi folgend Zeilen derbäi fir datt aner Clienten d'Zäit mat dësem NTP-Server kënnen ufroen an synchroniséieren, ënnerschriwwen NTP-Ufroen ausginn, am Fall wou de primäre DC geet offline:
restrict source notrap nomodify noquery mssntp ntpsigndsocket /var/lib/samba/ntp_signd/
4. Schlussendlech späichert a schléisst d'Konfiguratiounsdatei an a start den NTP-Daemon nei fir d'Ännerungen z'applizéieren. Waart e puer Sekonnen oder Minutten fir d'Zäit ze synchroniséieren an auszeginn den ntpq Kommando fir den aktuelle Resumézoustand vum adc1 Peer synchroniséiert ze drécken.
# systemctl restart ntp # ntpq -p
Schrëtt 2: SysVol Replikatioun mat Éischt DC iwwer Rsync
Par défaut mécht Samba4 AD DC keng SysVol Replikatioun iwwer DFS-R (Distributed File System Replication) oder de FRS (File Replication Service).
Dëst bedeit datt Group Policy Objekter nëmme verfügbar sinn wann den éischten Domain Controller online ass. Wann déi éischt DC net verfügbar ass, gëllen d'Gruppepolitik-Astellungen an d'Login-Skripte net weider op Windows Maschinnen, déi an d'Domain ageschriwwe sinn.
Fir dëst Hindernis ze iwwerwannen an eng rudimentär Form vu SysVol Replikatioun z'erreechen, plangen mir eng Schlësselbaséiert SSH Authentifikatioun fir sécher GPO Objekter vum éischten Domain Controller op den zweeten Domain Controller ze transferéieren.
Dës Method garantéiert GPO Objekter Konsistenz iwwer Domain Controller, awer huet e groussen Nodeel. Et funktionnéiert nëmmen an enger Richtung well rsync all Ännerunge vun der Quell DC op d'Destinatioun DC transferéiert wann Dir GPO Verzeichnisser synchroniséiert.
Objekter déi net méi op der Quell existéieren, ginn och vun der Destinatioun geläscht. Fir Konflikter ze limitéieren an ze vermeiden, sollten all GPO Ännerungen nëmmen op den éischten DC gemaach ginn.
5. Fir de Prozess vun der SysVol Replikatioun unzefänken, generéiert als éischt e SSH-Schlëssel op der éischter Samba AD DC an iwwerdroe de Schlëssel op den zweeten DC andeems Dir déi folgend Kommandoen ausgëtt.
Benotzt keng Passphrase fir dëse Schlëssel fir datt de geplangten Transfer ouni Benotzerinterferenz leeft.
# ssh-keygen -t RSA # ssh-copy-id [email # ssh adc2 # exit
6. Nodeems Dir verséchert hutt datt de Root Benotzer aus dem éischten DC automatesch op der zweeter DC aloggen kann, lafen de folgende Rsync Kommando mat --dry-run Parameter fir d'SysVol Replikatioun ze simuléieren. Ersetzen adc2 entspriechend.
# rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
7. Wann de Simulatiounsprozess funktionnéiert wéi erwaart, fuert de Kommando rsync erëm ouni d'Optioun --dry-run fir tatsächlech GPO-Objeten iwwer Är Domain Controller ze replizéieren.
# rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
8. Nodeems de SysVol Replikatiounsprozess ofgeschloss ass, loggt Iech op den Destinatioun Domain Controller a lëscht den Inhalt vun engem vun de GPO Objekter Verzeechnes andeems Dir de Kommando hei drënner leeft.
Déi selwecht GPO Objete vum éischten DC sollen och hei replizéiert ginn.
# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Fir de Prozess vun der Group Policy Replikatioun ze automatiséieren (sysvol Verzeechnes Transport iwwer Netz), plangt e Root Job fir de rsync Kommando ze lafen, dee fréier all 5 Minuten benotzt gëtt, andeems Dir de Kommando hei ënnen ausgitt.
# crontab -e
Füügt rsync Kommando fir all 5 Minutten ze lafen an direkt d'Ausgab vum Kommando, och d'Fehler, op d'Logdatei /var/log/sysvol-replication.log .Am Fall wou eppes net funktionnéiert wéi erwaart, sollt Dir dës Datei konsultéieren an fir de Problem ze léisen.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Unzehuelen datt et an Zukunft e puer Zesummenhang Problemer mat SysVol ACL Permissiounen ginn, kënnt Dir déi folgend Kommandoen lafen fir dës Feeler z'entdecken an ze reparéieren.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset
11. Am Fall wou déi éischt Samba4 AD DC mat FSMO Roll als PDC Emulator net verfügbar ass, kënnt Dir d'Gruppepolitik Management Console, déi op engem Microsoft Windows System installéiert ass, zwéngen fir nëmmen mam zweeten Domain Controller ze verbannen andeems Dir d'Optioun Domain Controller änneren a manuell wielt. d'Zilmaschinn auswielen wéi hei ënnen illustréiert.
Wärend Dir mat der zweeter DC vun der Group Policy Management Console verbonne sidd, sollt Dir vermeiden datt Dir eng Ännerung vun Ärer Domain Group Policy maacht. Wann den éischten DC erëm verfügbar ass, zerstéiert rsync Kommando all Ännerungen déi op dësem zweeten Domain Controller gemaach goufen.