Setup SysVol Replikazzjoni F'Żewġ Samba4 AD DC b'Rsync - Parti 6
Dan is-suġġett se jkopri r-replikazzjoni ta' SysVol f'żewġ Kontrolluri ta' Domain Samba4 Active Directory mwettqa bl-għajnuna ta' ftit għodod Linux qawwija, bħall-protokoll SSH.
- Ingħaqad ma' Ubuntu 16.04 bħala Kontrollur ta' Dominju Addizzjonali għal Samba4 AD DC – Parti 5
Pass 1: Sinkronizzazzjoni Preċiża tal-Ħin Madwar DCs
1. Qabel ma tibda tirreplika l-kontenut tad-direttorju sysvol fiż-żewġ kontrolluri tad-dominju trid tipprovdi ħin preċiż għal dawn il-magni.
Jekk id-dewmien huwa akbar minn 5 minuti fiż-żewġ direzzjonijiet u l-arloġġi tagħhom ma jkunux sinkronizzati sew, għandek tibda tesperjenza diversi problemi bil-kontijiet AD u r-replikazzjoni tad-dominju.
Biex tegħleb il-problema tal-ħin tad-drifting bejn żewġ kontrolluri tad-dominju jew aktar, għandek bżonn tinstalla u tikkonfigura server NTP fuq il-magna tiegħek billi tesegwixxi l-kmand hawn taħt.
# apt-get install ntp
2. Wara li jkun ġie installat NTP daemon, iftaħ il-fajl tal-konfigurazzjoni prinċipali, ikkummenta l-pools default (żid # quddiem kull linja tal-pool) u żid ġabra ġdida li tipponta lura lejn il-FQDN prinċipali Samba4 AD DC bis-server NTP installat , kif issuġġerit fuq l-eżempju hawn taħt.
# nano /etc/ntp.conf
Żid il-linji li ġejjin fil-fajl ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst #pool 1.ubuntu.pool.ntp.org iburst #pool 2.ubuntu.pool.ntp.org iburst #pool 3.ubuntu.pool.ntp.org iburst pool adc1.tecmint.lan # Use Ubuntu's ntp server as a fallback. pool ntp.ubuntu.com
3. M'għandekx tagħlaq il-fajl s'issa, imxi fil-qiegħ tal-fajl u żid il-linji li ġejjin sabiex klijenti oħra jkunu jistgħu jitolbu u jissinkronizzaw il-ħin ma 'dan is-server NTP, billi joħorġu talbiet NTP iffirmati, f'każ li l-primarja DC tmur offline:
restrict source notrap nomodify noquery mssntp ntpsigndsocket /var/lib/samba/ntp_signd/
4. Fl-aħħarnett, issalva u agħlaq il-fajl tal-konfigurazzjoni u terġa 'tibda NTP daemon sabiex tapplika l-bidliet. Stenna għal ftit sekondi jew minuti għall-ħin biex tissinkronizza u toħroġ kmand ntpq sabiex tipprintja l-istat sommarju attwali tal-peer adc1 sinkronizzat.
# systemctl restart ntp # ntpq -p
Pass 2: SysVol Replikazzjoni bl-Ewwel DC permezz Rsync
B'mod awtomatiku, Samba4 AD DC ma jwettaqx replikazzjoni SysVol permezz ta' DFS-R (Replikazzjoni tas-Sistema ta' Fajl Distribut) jew l-FRS (Servizz ta' Replikazzjoni ta' Fajl).
Dan ifisser li l-oġġetti tal-Politika tal-Grupp huma disponibbli biss jekk l-ewwel kontrollur tad-dominju huwa online. Jekk l-ewwel DC ma jkunx disponibbli, is-settings tal-Politika tal-Grupp u l-iskripts tal-logon ma japplikawx aktar fuq magni Windows irreġistrati fid-dominju.
Biex negħlbu dan l-ostaklu u niksbu forma rudimentali ta 'replikazzjoni SysVol aħna se niskedaw awtentikazzjoni SSH bbażata fuq iċ-ċavetta sabiex tittrasferixxi b'mod sigur oġġetti GPO mill-ewwel kontrollur tad-dominju għat-tieni kontrollur tad-dominju.
Dan il-metodu jiżgura l-konsistenza tal-oġġetti tal-GPO fil-kontrolluri tad-dominju, iżda għandu żvantaġġ wieħed enormi. Jaħdem biss f'direzzjoni waħda minħabba li rsync se jittrasferixxi l-bidliet kollha mis-sors DC għad-destinazzjoni DC meta jissinkronizza direttorji GPO.
Oġġetti li m'għadhomx jeżistu fuq is-sors se jitħassru mid-destinazzjoni wkoll. Sabiex tillimita u tevita kwalunkwe kunflitt, l-editji kollha tal-GPO għandhom isiru biss fuq l-ewwel DC.
5. Biex tibda l-proċess ta 'replikazzjoni SysVol, l-ewwel iġġenera ċavetta SSH fuq l-ewwel Samba AD DC u ttrasferixxi ċ-ċavetta għat-tieni DC billi toħroġ il-kmandi ta' hawn taħt.
Tużax passphrase għal din iċ-ċavetta sabiex it-trasferiment skedat jaħdem mingħajr interferenza tal-utent.
# ssh-keygen -t RSA # ssh-copy-id [email # ssh adc2 # exit
6. Wara li tkun assigurajt li l-utent għerq mill-ewwel DC jista 'jilloggja awtomatikament fit-tieni DC, mexxi l-kmand Rsync li ġej bil-parametru --dry-run sabiex tissimula replikazzjoni SysVol. Ibdel adc2 kif xieraq.
# rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
7. Jekk il-proċess ta' simulazzjoni jaħdem kif mistenni, erġa' ħaddem il-kmand rsync mingħajr l-għażla --dry-run sabiex fil-fatt tirreplika l-oġġetti GPO fil-kontrolluri tad-dominju tiegħek.
# rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
8. Wara li l-proċess ta 'replikazzjoni ta' SysVol ikun intemm, idħol fil-kontrollur tad-dominju tad-destinazzjoni u elenka l-kontenut ta 'wieħed mid-direttorju tal-oġġetti GPO billi tħaddem il-kmand ta' hawn taħt.
L-istess oġġetti GPO mill-ewwel DC għandhom jiġu replikati hawn ukoll.
# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Biex awtomat il-proċess ta 'replikazzjoni tal-Politika tal-Grupp (trasport tad-direttorju sysvol fuq in-netwerk), iskeda xogħol ta' l-għeruq biex iħaddem il-kmand rsync użat qabel kull 5 minuti billi toħroġ il-kmand ta 'hawn taħt.
# crontab -e
Żid il-kmand rsync biex imexxi kull 5 minuti u jidderieġi l-output tal-kmand, inklużi l-iżbalji, lejn il-fajl log /var/log/sysvol-replication.log .F'każ li xi ħaġa ma taħdimx kif mistenni għandek tikkonsulta dan il-fajl f' sabiex issolvi l-problema.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Jekk wieħed jassumi li fil-futur se jkun hemm xi kwistjonijiet relatati mal-permessi SysVol ACL, tista 'tmexxi l-kmandi li ġejjin sabiex tiskopri u tiswija dawn l-iżbalji.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset
11. F'każ li l-ewwel Samba4 AD DC b'rwol FSMO bħala PDC Emulator ma jkunx disponibbli, tista' ġġiegħel lill-Grupp ta' Ġestjoni tal-Politika installata fuq sistema Microsoft Windows biex tikkonnettja biss mat-tieni kontrollur tad-dominju billi tagħżel l-għażla Ibdel il-Kontrollur tad-Dominju u manwalment tagħżel il-magna fil-mira kif muri hawn taħt.
Waqt li tkun imqabbda mat-tieni DC minn Group Policy Management Console, għandek tevita li tagħmel xi modifika fid-dominju tiegħek Group Policy. Meta l-ewwel DC jerġa 'jsir disponibbli, il-kmand rsync jeqred il-bidliet kollha li saru fuq dan it-tieni kontrollur tad-dominju.