Setup SYSVOL -Replikation über zwei SAMBA4 -Anzeigen -DC mit RSYNC - Teil 6

Setup SYSVOL -Replikation über zwei SAMBA4 -Anzeigen -DC mit RSYNC - Teil 6

Dieses Thema wird abdecken Sysvol Replikation über zwei SAMBA4 Active Directory Domain Controller Mit Hilfe einiger leistungsstarker Linux -Tools ausgeführt, wie z.

Anforderungen:

  1. Treten Sie Ubuntu 16 bei.04 als zusätzlicher Domänencontroller zu SAMBA4 AD DC - Teil 5

Schritt 1: Genaue Zeitsynchronisation über DCs hinweg

1. Bevor der Inhalt der Inhalte repliziert sysvol Verzeichnis für beide Domänencontroller, die Sie für diese Maschinen eine genaue Zeit anbieten müssen.

Wenn die Verzögerung in beiden Richtungen größer als 5 Minuten beträgt und ihre Uhren nicht ordnungsgemäß synchronisiert sind, sollten Sie anfangen, verschiedene Probleme mit Anzeigenkonten und Domänenreplikation zu haben.

Um das Problem des Zeitproblems zwischen zwei oder mehr Domänencontrollern zu überwinden, müssen Sie den NTP -Server auf Ihrem Computer installieren und konfigurieren, indem Sie den folgenden Befehl ausführen.

# APT-Get Installieren Sie NTP 

2. Öffnen Sie nach der Installation von NTP -Daemon die Hauptkonfigurationsdatei, kommentieren Sie die Standardpools (fügen Sie a hinzu # vor jeder Poollinie) und fügen Sie einen neuen Pool hinzu, der auf die Hauptdarsteller zurückgibt SAMBA4 AD DC FQDN mit NTP Server installiert, wie im folgenden Beispiel vorgeschlagen.

# Nano /etc /ntp.Conf 

Fügen Sie die folgenden Zeilen hinzu zu NTP.Conf Datei.

Pool 0.Ubuntu.Schwimmbad.NTP.org iburst #pool 1.Ubuntu.Schwimmbad.NTP.org iburst #pool 2.Ubuntu.Schwimmbad.NTP.org iburst #pool 3.Ubuntu.Schwimmbad.NTP.Org Iburst Pool ADC1.Tecmint.LAN # Verwenden Sie den NTP -Server von Ubuntu als Fallback. Pool NTP.Ubuntu.com 
Konfigurieren Sie NTP für SAMBA4

3. Schließen Sie die Datei noch nicht, gehen Sie nach unten in der Datei und fügen Sie die folgenden Zeilen hinzu, damit andere Clients die Zeit mit diesem NTP -Server abfragen und synchronisieren können, um signierte NTP -Anforderungen zu erteilen, falls der primäre DC geht offline:

Beschränken Sie die Quelle nicht nomodify noQuery MSSNTP NTPSIGNDSocket/var/lib/samba/ntp_signd/ 

4. Speichern und schließen Sie schließlich die Konfigurationsdatei und starten Sie NTP -Daemon neu, um die Änderungen anzuwenden. Warten Sie einige Sekunden oder Minuten, um die Zeit zu synchronisieren und auszugeben NTPQ Befehl, um den aktuellen Zusammenfassungszustand der zu drucken ADC1 Peer synchronisiert.

# SystemCTL Neustart NTP # NTPQ -p 
Synchronisieren Sie die NTP -Zeit mit SAMBA4 AD

Schritt 2: SYSVOL -Replikation mit First DC über RSYNC

Standardmäßig, SAMBA4 AD DC Leistung nicht Sysvol Replikation über DFS-R (Verteilte Dateisystemreplikation) oder der FRS (Dateireplikationsdienst).

Das bedeutet, dass Gruppenrichtlinie Objekte sind nur verfügbar, wenn der erste Domänencontroller online ist. Wenn der erste DC nicht verfügbar ist, gelten die Gruppenrichtlinieneinstellungen und Anmeldeskripte nicht weiter unter Windows -Maschinen, die in die Domäne eingeschrieben sind.

Um dieses Hindernis zu überwinden und eine rudimentäre Form der SYSVOL-Replikation zu erreichen GPO Objekte vom ersten Domänencontroller zum zweiten Domänencontroller.

Diese Methode gewährleistet GPO Objekte Konsistenz über Domänencontroller hinweg, haben aber einen großen Nachteil. Es funktioniert nur in eine Richtung, weil rsync Übertragt alle Änderungen vom Quell -DC auf das Ziel DC, wenn GPO -Verzeichnisse synchronisiert werden.

Objekte, die auf der Quelle nicht mehr existieren. Um Konflikte einzuschränken und zu vermeiden, sollten alle GPO -Änderungen nur beim ersten Gleichstrom vorgenommen werden.

5. Den Prozess von starten Sysvol Replikation, erstellen Sie zunächst einen SSH -Schlüssel für den ersten SAMBA AD DC und übertragen Sie den Schlüssel in den zweiten DC, indem Sie die folgenden Befehle ausgeben.

Verwenden Sie keine a Passphrase Für diesen Schlüssel, damit die geplante Übertragung ohne Benutzerstörungen ausgeführt werden kann.

# SSH-Keygen -t RSA # SSH-COPY-ID [E-Mail geschützt] # SSH ADC2 # Exit 
Generieren Sie den SSH -Schlüssel auf SAMBA4 DC

6. Nachdem Sie versichert haben, dass der Stammbenutzer vom ersten DC kann sich automatisch in der zweiten anmelden DC, Leiten Sie Folgendes aus Rsync Befehl mit --Probelauf Parameter in der Reihenfolge Simulieren Sysvol Replikation. Ersetzen ADC2 entsprechend.

# RSYNC-D-dRY-RUN -XAAVZ-CHMOD = 775-DELETE-AFTER-PROGRESS-STATS/VAR/LIB/SAMBA/SYSVOL/[E-Mail geschützt]:/var/lib/samba/sysvol/ 

7. Wenn der Simulationsprozess wie erwartet funktioniert, führen Sie den Befehl rsync ohne die erneut aus --Probelauf Option, um GPO -Objekte tatsächlich über Ihre Domänencontroller zu replizieren.

# rsync -xaavz --chmod = 775 -Delete -After -Progress -Stats/var/lib/samba/sysvol/[E -Mail -Schutz]:/var/lib/samba/sysvol/ 
SAMBA4 AD DC Sysvol Replikation

8. Melden Sie sich nach Abschluss des SYSVOL -Replikationsprozesses beim Zieldomänencontroller an und listen Sie den Inhalt eines des GPO -Objektverzeichnisses auf, indem Sie den folgenden Befehl ausführen.

Die gleichen GPO -Objekte aus dem ersten Gleichstrom sollten auch hier repliziert werden.

# ls -alh/var/lib/samba/sysvol/your_domain/Policiers/ 
Überprüfen Sie die SAMBA4 DC Sysvol Replication

9. Zu automatisieren, den Prozess von Gruppenrichtlinie Replikation (Sysvol Directory Transport Over Network), planen Sie einen Root -Job, um den Befehl rsync zu führen, das alle 5 Minuten zuvor verwendet wird, indem Sie den folgenden Befehl ausgeben.

# Crontab -e 

Fügen Sie den Befehl rsync hinzu, um alle 5 Minuten auszuführen und die Ausgabe des Befehls einschließlich der Fehler in die Protokolldatei zu lenken /var/log/sysvol-Replikation.Protokoll .Falls etwas nicht erwartet funktioniert, sollten Sie diese Datei konsultieren, um das Problem zu beheben.

*/5 * * * * rsync -xaavz --chmod = 775 -Delete -After -Progress -Stats/var/lib/samba/sysvol/[E -Mail -Protected]:/var/lib/samba/sysvol/> /var/log/sysvol-Replikation.Protokoll 2> & 1 

10. Angenommen, es wird in Zukunft einige verwandte Probleme mit geben Sysvol ACL Berechtigungen können Sie die folgenden Befehle ausführen, um diese Fehler zu erkennen und zu reparieren.

# Samba-Tool Ntacl Sysvolcheck # Samba-Tool NtaCl Sysvolreset 
Beheben Sie die SYSVOL -ACL -Berechtigungen

11. Falls der erste SAMBA4 AD DC mit FSMO Rolle als "PDC -Emulator”Wird nicht verfügbar, Sie können die erzwingen Gruppenpolitikmanagementkonsole auf a installiert Microsoft Windows System zur Verbindung zum zweiten Domänencontroller, indem Sie die Option Änderungsdomänencontroller auswählen und die Zielmaschine manuell auswählen, wie unten dargestellt.

Ändern Sie die SAMBA4 -Domänencontroller Wählen Sie SAMBA4 -Domänencontroller

Während der zweite verbunden ist DC aus Gruppenpolitikmanagementkonsole, Sie sollten vermeiden, eine Änderung in Ihrer Domain vorzunehmen Gruppenrichtlinie. Wenn der erste DC wird wieder verfügbar sein, RSYNC -Befehl zerstört alle Änderungen an diesem zweiten Domänencontroller.