Zoeken op website

SysVol-replicatie instellen over twee Samba4 AD DC met Rsync - Deel 6

In dit onderwerp wordt de SysVol-replicatie tussen twee Samba4 Active Directory Domain Controllers besproken, uitgevoerd met behulp van een paar krachtige Linux-tools, zoals het Rsync-hulpprogramma voor bestandssynchronisatie, Cron-planningsdaemon en SSH protocol.

Vereisten:

  1. Sluit u aan bij Ubuntu 16.04 als aanvullende domeincontroller voor Samba4 AD DC – Deel 5

Stap 1: Nauwkeurige tijdsynchronisatie tussen DC's

1. Voordat u begint met het repliceren van de inhoud van de map sysvol over beide domeincontrollers, moet u een nauwkeurige tijd voor deze machines opgeven.

Als de vertraging in beide richtingen groter is dan 5 minuten en de klokken niet goed synchroon lopen, kunt u verschillende problemen ondervinden met AD-accounts en domeinreplicatie.

Om het probleem van het tijdsverschil tussen twee of meer domeincontrollers te verhelpen, moet u de NTP-server op uw machine installeren en configureren door de onderstaande opdracht uit te voeren.

apt-get install ntp

2. Nadat de NTP-daemon is geïnstalleerd, opent u het hoofdconfiguratiebestand, geeft u commentaar op de standaardpools (voeg een # toe voor elke poolregel) en voegt u een nieuwe pool toe die verwijst terug naar de hoofd-Samba4 AD DC FQDN waarop de NTP-server is geïnstalleerd, zoals voorgesteld in het onderstaande voorbeeld.

nano /etc/ntp.conf

Voeg de volgende regels toe aan het bestand ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Sluit het bestand nog niet, ga naar de onderkant van het bestand en voeg de volgende regels toe zodat andere clients de tijd kunnen opvragen en synchroniseren met deze NTP-server, waarbij ondertekende NTP-verzoeken, voor het geval de primaire DC offline gaat:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Sla ten slotte het configuratiebestand op en sluit het en start de NTP-daemon opnieuw om de wijzigingen toe te passen. Wacht een paar seconden of minuten totdat de tijd is bereikt om te synchroniseren en voer de opdracht ntpq uit om de huidige samenvattingsstatus van de gesynchroniseerde adc1-peer af te drukken.

systemctl restart ntp
ntpq -p

Stap 2: SysVol-replicatie met eerste DC via Rsync

Standaard voert Samba4 AD DC geen SysVol-replicatie uit via DFS-R (Distributed File System Replication) of de FRS (File Replication Service).

Dit betekent dat Groepsbeleid-objecten alleen beschikbaar zijn als de eerste domeincontroller online is. Als de eerste DC niet meer beschikbaar is, zijn de groepsbeleidsinstellingen en aanmeldingsscripts niet meer van toepassing op Windows-machines die bij het domein zijn ingeschreven.

Om dit obstakel te overwinnen en een rudimentaire vorm van SysVol-replicatie te bereiken, zullen we een Linux rsync-opdracht plannen in combinatie met een SSH-gecodeerde tunnel met sleutelgebaseerde SSH-authenticatie om GPO-objecten veilig over te dragen vanaf de eerste domeincontroller naar de tweede domeincontroller.

Deze methode garandeert de consistentie van GPO-objecten tussen domeincontrollers, maar heeft één groot nadeel. Het werkt slechts in één richting omdat rsync alle wijzigingen van de bron-DC naar de doel-DC zal overbrengen bij het synchroniseren van GPO-mappen.

Objecten die niet langer op de bron bestaan, worden ook van de bestemming verwijderd. Om eventuele conflicten te beperken en te vermijden, mogen alle GPO-bewerkingen alleen op de eerste DC worden uitgevoerd.

5. Om het proces van SysVol-replicatie te starten, genereert u eerst een SSH-sleutel op de eerste Samba AD DC en draagt u de sleutel over naar de tweede DC door de onderstaande opdrachten te geven.

Gebruik geen wachtwoordzin voor deze sleutel, zodat de geplande overdracht zonder tussenkomst van de gebruiker kan plaatsvinden.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit

6. Nadat u er zeker van bent dat de rootgebruiker van de eerste DC automatisch kan inloggen op de tweede DC, voert u de volgende Rsync-opdracht met de parameter --dry-run om SysVol-replicatie te simuleren. Vervang adc2 dienovereenkomstig.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Als het simulatieproces werkt zoals verwacht, voert u de opdracht rsync opnieuw uit zonder de optie --dry-run om GPO-objecten daadwerkelijk te repliceren op uw domeincontrollers.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. Nadat het SysVol-replicatieproces is voltooid, logt u in op de doeldomeincontroller en geeft u de inhoud van een van de GPO-objectdirectory's weer door de onderstaande opdracht uit te voeren.

Dezelfde GPO-objecten uit de eerste DC moeten hier ook worden gerepliceerd.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Om het proces van Groepsbeleid-replicatie (sysvol directory-transport over het netwerk) te automatiseren, plant u een roottaak om de eerder gebruikte rsync-opdracht elke 5 minuten uit te voeren door het onderstaande uit te voeren commando.

crontab -e

Voeg de rsync-opdracht toe die elke 5 minuten wordt uitgevoerd en stuur de uitvoer van de opdracht, inclusief de fouten, naar het logbestand /var/log/sysvol-replication.log. In het geval dat iets niet werkt zoals verwacht dat u dit bestand moet raadplegen om het probleem op te lossen.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Ervan uitgaande dat er in de toekomst enkele gerelateerde problemen zullen zijn met SysVol ACL-rechten, kunt u de volgende opdrachten uitvoeren om deze fouten te detecteren en te herstellen.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. In het geval dat de eerste Samba4 AD DC met FSMO rol als “PDC Emulator” niet meer beschikbaar is, kunt u dwing de Groepsbeleidsbeheerconsole geïnstalleerd op een Microsoft Windows-systeem om alleen verbinding te maken met de tweede domeincontroller door de optie Domeincontroller wijzigen te kiezen en handmatig de doelmachine te selecteren, zoals hieronder weergegeven.

Terwijl u verbonden bent met de tweede DC van de Groepsbeleidsbeheerconsole, moet u voorkomen dat u wijzigingen aanbrengt in uw domein Groepsbeleid. Wanneer de eerste DC weer beschikbaar komt, zal rsync command alle wijzigingen die op deze tweede domeincontroller zijn aangebracht, vernietigen.