Configurar la replicación de Sysvol en dos Samba4 AD DC con RSYNC - Parte 6
- 4372
- 1412
- Mario Gollum
Este tema cubrirá Sysvol replicación en dos Controladores de dominio de Samba4 Active Directory Realizado con la ayuda de algunas herramientas de Linux potentes, como la utilidad de sincronización de archivos RSYNC, Daemon de programación cron y protocolo SSH.
Requisitos:
- Únete a Ubuntu 16.04 como controlador de dominio adicional a Samba4 AD DC - Parte 5
Paso 1: Sincronización de tiempo precisa en DCS
1. Antes de comenzar a replicar el contenido del sysvol Directorio en ambos controladores de dominio que necesita para proporcionar un tiempo preciso para estas máquinas.
Si el retraso es mayor de 5 minutos en ambas direcciones y sus relojes no están correctamente sincronizados, debe comenzar a experimentar varios problemas con las cuentas de anuncios y la replicación del dominio.
Para superar el problema del tiempo a la deriva entre dos o más controladores de dominio, debe instalar y configurar el servidor NTP en su máquina ejecutando el siguiente comando.
# apt-get install ntp
2. Después de que se haya instalado NTP Daemon, abra el archivo de configuración principal, comente los grupos predeterminados (agregue un # frente a cada línea de grupo) y agregue una nueva piscina que apuntará hacia la principal Samba4 ad dc fqdn con NTP Servidor instalado, como se sugiere en el siguiente ejemplo.
# nano /etc /ntp.confusión
Agregar líneas siguientes a NTP.confusión archivo.
grupo 0.ubuntu.piscina.NTP.org iburst #pool 1.ubuntu.piscina.NTP.org iburst #pool 2.ubuntu.piscina.NTP.org iburst #pool 3.ubuntu.piscina.NTP.org iburst Pool ADC1.tecmenta.Lan # usa el servidor NTP de Ubuntu como alternativo. piscina NTP.ubuntu.comunicarseConfigurar NTP para SAMBA4
3. No cierre el archivo todavía, muévase a la parte inferior del archivo y agregue las siguientes líneas para que otros clientes puedan consultar y sincronizar el tiempo con este servidor NTP, emitiendo solicitudes NTP firmadas, en caso de que se vaya a la DC primaria. desconectado:
Restringir la fuente Notrap Nomodify NoQuery mssntp ntpsigndsocket/var/lib/samba/ntp_signd/
4. Finalmente, guarde y cierre el archivo de configuración y reinicie NTP Daemon para aplicar los cambios. Espere unos segundos o minutos por el tiempo para sincronizar y emitir NTPQ comando para imprimir el estado de resumen actual del ADC1 Peer sincronizado.
# SystemCTL reiniciar NTP # NTPQ -PSincronice el tiempo NTP con el anuncio SAMBA4
Paso 2: Replicación de Sysvol con First DC a través de RSYNC
Por defecto, Samba4 AD DC no funciona Sysvol replicación a través de DFS-R (Replicación del sistema de archivos distribuido) o el FRS (Servicio de replicación de archivos).
Esto significa que Política grupal Los objetos están disponibles solo si el primer controlador de dominio está en línea. Si el primer DC no está disponible, la configuración de la política del grupo y los scripts de inicio de sesión no se aplicarán más en las máquinas de Windows inscritas en el dominio.
Para superar este obstáculo y lograr una forma rudimentaria de replicación de SYSVOL, programaremos un comando RSYNC Linux combinado con un túnel cifrado SSH con autenticación SSH basada en clave para transferir de forma segura GPO Objetos del primer controlador de dominio al segundo controlador de dominio.
Este método asegura GPO consistencia de los objetos en los controladores de dominio, pero tiene un gran inconveniente. Funciona solo en una dirección porque rsync Transferirá todos los cambios de la fuente de CC al destino DC al sincronizar los directorios GPO.
Los objetos que ya no existen en la fuente también se eliminarán del destino. Para limitar y evitar cualquier conflicto, todas las ediciones GPO deben realizarse solo en el primer DC.
5. Para comenzar el proceso de Sysvol Replicación, primero genere una tecla SSH en el primer AD de Samba DC y transfiera la clave a la segunda DC emitiendo los siguientes comandos.
No use un frase para esta clave en orden para que la transferencia programada se ejecute sin interferencia del usuario.
# ssh-keygen -t rsa # ssh-copy-id [correo electrónico protegido] # ssh adc2 # salirGenere la tecla SSH en Samba4 DC
6. Después de haber asegurado que el usuario raíz del primero corriente continua puede iniciar sesión automáticamente en el segundo corriente continua, ejecutar lo siguiente Rsync ordenar con --corrido por secado
Parámetro en orden Simular la replicación de Sysvol. Reemplazar ADC2 respectivamente.
# rsync --dry-run -xaavz --chmod = 775 --delete-cotter --progress --stats/var/lib/samba/sysvol/[correo electrónico protegido]:/var/lib/samba/sysvol/
7. Si el proceso de simulación funciona como se esperaba, ejecute el comando rsync nuevamente sin el --corrido por secado
Opción para replicar realmente los objetos GPO en sus controladores de dominio.
# rsync -xaavz --chmod = 775 --delete -after --progress - -stats/var/lib/samba/sysvol/[correo electrónico protegido]:/var/lib/samba/sysvol/Samba4 AD DC Sysvol Replicación
8. Después de que haya terminado el proceso de replicación de Sysvol, inicie sesión en el controlador de dominio de destino y enumere el contenido de uno de los objetos GPO ejecutando el siguiente comando.
Los mismos objetos GPO del primer DC también deben replicarse aquí.
# ls -alh/var/lib/samba/sysvol/your_domain/policiers/Verificar la replicación SAMBA4 DC SYSVOL
9. Para automatizar el proceso de Política grupal Replicación (Sysvol Directory Transport Over Network), programe un trabajo root para ejecutar el comando RSYNC utilizado más temprano cada 5 minutos emitiendo el siguiente comando.
# crontab -e
Agregue el comando RSYNC para ejecutar cada 5 minutos y dirija la salida del comando, incluidos los errores, al archivo de registro /var/log/sysvol-replicación.registro .En caso de que algo no funcione como se esperaba, debe consultar este archivo para solucionar el problema.
*/5 * * * * rsync -xaavz --chmod = 775 --delete -cotter --progress --stats/var/lib/samba/sysvol/[correo electrónico protegido]:/var/lib/samba/sysvol/>> /var/log/sysvol-replicación.log 2> y 1
10. Suponiendo que en el futuro habrá algunos problemas relacionados con Sysvol ACL Permisos, puede ejecutar los siguientes comandos para detectar y reparar estos errores.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolresetArreglar los permisos de Sysvol ACL
11. En caso de que el primero Samba4 AD DC con FSMO papel como "Emulador PDC"No está disponible, puedes forzar el Consola de gestión de políticas grupales instalado en un Microsoft Windows sistema para conectarse solo al segundo controlador de dominio eligiendo la opción de controlador de dominio de cambio y seleccionando manualmente la máquina de destino como se ilustra a continuación.
Cambiar el controlador de dominio SAMBA4 Seleccione el controlador de dominio SAMBA4Mientras está conectado al segundo corriente continua de Consola de gestión de políticas grupales, Debe evitar hacer cualquier modificación a su dominio Política grupal. Cuando el primero corriente continua estará disponible de nuevo, Comando RSYNC destruirá todos los cambios realizados en este segundo controlador de dominio.
- « Comenzando con Bitbucket para el control de versiones
- Aprenda los conceptos básicos de cómo funciona la redirección de E/S de Linux (entrada/salida) »