Pesquisa de site

Configure a replicação SysVol em dois Samba4 AD DC com Rsync - Parte 6

Este tópico abordará a replicação do SysVol em dois controladores de domínio do Active Directory Samba4 realizada com a ajuda de algumas ferramentas poderosas do Linux, como o utilitário de sincronização de arquivos Rsync, o daemon de agendamento Cron e o SSH. protocolo.

Requisitos:

  1. Junte-se ao Ubuntu 16.04 como controlador de domínio adicional para Samba4 AD DC – Parte 5

Etapa 1: sincronização de tempo precisa entre DCs

1. Antes de começar a replicar o conteúdo do diretório sysvol em ambos os controladores de domínio, você precisa fornecer um horário preciso para essas máquinas.

Se o atraso for superior a 5 minutos em ambas as direções e seus relógios não estiverem sincronizados corretamente, você deverá começar a ter vários problemas com contas AD e replicação de domínio.

Para superar o problema de variação de tempo entre dois ou mais controladores de domínio, você precisa instalar e configurar o servidor NTP em sua máquina executando o comando abaixo.

apt-get install ntp

2. Após a instalação do daemon NTP, abra o arquivo de configuração principal, comente os pools padrão (adicione um # na frente de cada linha de pool) e adicione um novo pool que apontará de volta para o Samba4 AD DC FQDN principal com o servidor NTP instalado, conforme sugerido no exemplo abaixo.

nano /etc/ntp.conf

Adicione as seguintes linhas ao arquivo ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Não feche o arquivo ainda, vá para o final do arquivo e adicione as seguintes linhas para que outros clientes possam consultar e sincronizar a hora com este servidor NTP, emitindo sinal Solicitações NTP, caso o DC primário fique offline:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, salve e feche o arquivo de configuração e reinicie o daemon NTP para aplicar as alterações. Aguarde alguns segundos ou minutos para sincronizar e emita o comando ntpq para imprimir o estado resumido atual do peer adc1 em sincronia.

systemctl restart ntp
ntpq -p

Etapa 2: Replicação SysVol com primeiro DC via Rsync

Por padrão, o Samba4 AD DC não executa a replicação SysVol via DFS-R (Replicação do sistema de arquivos distribuído). ou o FRS (serviço de replicação de arquivos).

Isso significa que os objetos de Política de Grupo estarão disponíveis somente se o primeiro controlador de domínio estiver online. Se o primeiro controlador de domínio ficar indisponível, as configurações da Política de Grupo e os scripts de logon não serão mais aplicados nas máquinas Windows inscritas no domínio.

Para superar esse obstáculo e alcançar uma forma rudimentar de replicação SysVol, agendaremos um comando rsync do Linux combinado com um túnel criptografado SSH com autenticação SSH baseada em chave para transferir com segurança objetos GPO do primeiro controlador de domínio. para o segundo controlador de domínio.

Esse método garante a consistência dos objetos GPO entre os controladores de domínio, mas tem uma grande desvantagem. Ele funciona apenas em uma direção porque rsync transferirá todas as alterações do controlador de domínio de origem para o controlador de domínio de destino ao sincronizar os diretórios do GPO.

Objetos que não existem mais na origem também serão excluídos do destino. Para limitar e evitar conflitos, todas as edições do GPO devem ser feitas apenas no primeiro DC.

5. Para iniciar o processo de replicação SysVol, primeiro gere uma chave SSH no primeiro Samba AD DC e transfira a chave para o segundo DC emitindo os comandos abaixo.

Não use uma senha para esta chave para que a transferência agendada seja executada sem interferência do usuário.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit

6. Depois de garantir que o usuário root do primeiro DC possa fazer login automaticamente no segundo DC, execute o seguinte Comando Rsync com parâmetro --dry-run para simular a replicação SysVol. Substitua adc2 adequadamente.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Se o processo de simulação funcionar conforme o esperado, execute o comando rsync novamente sem a opção --dry-run para realmente replicar objetos GPO em seus controladores de domínio.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. Após a conclusão do processo de replicação SysVol, faça login no controlador de domínio de destino e liste o conteúdo de um dos diretórios de objetos GPO executando o comando abaixo.

Os mesmos objetos GPO do primeiro controlador de domínio também devem ser replicados aqui.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Para automatizar o processo de replicação da Política de Grupo (transporte de diretório sysvol pela rede), agende uma tarefa raiz para executar o comando rsync usado anteriormente a cada 5 minutos, emitindo o comando abaixo comando.

crontab -e

Adicione o comando rsync para ser executado a cada 5 minutos e direcione a saída do comando, incluindo os erros, para o arquivo de log /var/log/sysvol-replication.log. Caso algo não funcione como esperado que você consulte este arquivo para solucionar o problema.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Supondo que no futuro haverá alguns problemas relacionados com as permissões SysVol ACL, você pode executar os seguintes comandos para detectar e reparar esses erros.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. Caso o primeiro Samba4 AD DC com função FSMO como “PDC Emulator” fique indisponível, você pode force o Console de gerenciamento de política de grupo instalado em um sistema Microsoft Windows a se conectar apenas ao segundo controlador de domínio escolhendo a opção Alterar controlador de domínio e selecionando manualmente a máquina de destino conforme ilustrado abaixo.

Enquanto estiver conectado ao segundo DC do Console de gerenciamento de política de grupo, você deve evitar fazer qualquer modificação na Política de grupo de seu domínio. Quando o primeiro DC estiver disponível novamente, o comando rsync destruirá todas as alterações feitas neste segundo controlador de domínio.