Sanidi Urudiaji wa SysVol Katika Samba4 AD DC Mbili kwa Rsync - Sehemu ya 6


Mada hii itashughulikia uigaji wa SysVol kwenye Vidhibiti viwili vya Samba4 Active Directory Domain vilivyofanywa kwa usaidizi wa zana chache zenye nguvu za Linux, kama vile itifaki ya SSH.

  1. Jiunge na Ubuntu 16.04 kama Kidhibiti cha Ziada cha Kikoa kwa Samba4 AD DC - Sehemu ya 5

Hatua ya 1: Usawazishaji Sahihi wa Wakati Kote DCs

1. Kabla ya kuanza kunakili yaliyomo kwenye saraka ya sysvol kwenye vidhibiti vyote viwili vya kikoa unahitaji kutoa muda sahihi wa mashine hizi.

Ikiwa ucheleweshaji ni mkubwa zaidi ya dakika 5 kwa pande zote mbili na saa zake hazijasawazishwa ipasavyo, unapaswa kuanza kukumbana na matatizo mbalimbali ya akaunti za AD na urudufishaji wa kikoa.

Ili kuondokana na tatizo la muda kati ya vidhibiti viwili au zaidi vya kikoa, unahitaji kusakinisha na kusanidi seva ya NTP kwenye mashine yako kwa kutekeleza amri iliyo hapa chini.

# apt-get install ntp

2. Baada ya daemoni ya NTP kusakinishwa, fungua faili kuu ya usanidi, toa maoni kwa madimbwi chaguo-msingi (ongeza # mbele ya kila mstari wa bwawa) na uongeze dimbwi jipya ambalo litaelekeza nyuma kwa Samba4 AD DC FQDN kuu na seva ya NTP imesakinishwa. , kama inavyopendekezwa kwenye mfano hapa chini.

# nano /etc/ntp.conf

Ongeza mistari ifuatayo kwenye faili ya ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Usifunge faili bado, nenda chini ya faili na uongeze mistari ifuatayo ili wateja wengine waweze kuuliza na kusawazisha saa na seva hii ya NTP, ukitoa maombi ya NTP yaliyotiwa saini, ikiwa ya msingi. DC iko nje ya mtandao:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Hatimaye, hifadhi na funga faili ya usanidi na uanze upya daemoni ya NTP ili kutekeleza mabadiliko. Subiri kwa sekunde au dakika chache kwa muda wa kusawazisha na kutoa amri ya ntpq ili kuchapisha muhtasari wa hali ya sasa ya rika la adc1 katika kusawazisha.

# systemctl restart ntp
# ntpq -p

Hatua ya 2: Replication ya SysVol na First DC kupitia Rsync

Kwa chaguomsingi, Samba4 AD DC haifanyi urudufishaji wa SysVol kupitia DFS-R (Unakili wa Mfumo wa Faili Uliosambazwa) au FRS (Huduma ya Kurudufisha Faili).

Hii inamaanisha kuwa vipengee vya Sera ya Kundi vinapatikana tu ikiwa kidhibiti cha kikoa cha kwanza kiko mtandaoni. Ikiwa DC ya kwanza haitapatikana, mipangilio ya Sera ya Kundi na hati za nembo hazitatumika zaidi kwenye mashine za Windows zilizoandikishwa kwenye kikoa.

Ili kuondokana na kikwazo hiki na kufikia aina ya kawaida ya urudufishaji wa SysVol tutaratibu uthibitishaji wa msingi wa SSH ili kuhamisha kwa usalama vitu vya GPO kutoka kwa kidhibiti cha kikoa cha kwanza hadi kidhibiti cha kikoa cha pili.

Njia hii inahakikisha uthabiti wa vitu vya GPO kwenye vidhibiti vya kikoa, lakini ina kasoro moja kubwa. Inafanya kazi katika mwelekeo mmoja tu kwa sababu rsync itahamisha mabadiliko yote kutoka kwa chanzo cha DC hadi DC lengwa wakati wa kusawazisha saraka za GPO.

Vitu ambavyo havipo tena kwenye chanzo vitafutwa kutoka lengwa pia. Ili kupunguza na kuzuia mizozo yoyote, uhariri wote wa GPO unapaswa kufanywa kwenye DC ya kwanza pekee.

5. Kuanza mchakato wa urudufishaji wa SysVol, kwanza toa kitufe cha SSH kwenye Samba AD DC ya kwanza na uhamishe ufunguo hadi DC ya pili kwa kutoa amri zilizo hapa chini.

Usitumie kaulisiri kwa ufunguo huu ili uhamishaji ulioratibiwa kufanya kazi bila kuingiliwa na mtumiaji.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit 

6. Baada ya kuhakikisha kuwa mtumiaji wa mizizi kutoka DC ya kwanza anaweza kuingia kiotomatiki kwenye DC ya pili, endesha amri ifuatayo ya Rsync kwa --dry-run parameta ili kuiga urudufishaji wa SysVol. Badilisha adc2 ipasavyo.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Ikiwa mchakato wa kuiga utafanya kazi inavyotarajiwa, endesha amri ya rsync tena bila chaguo la --dry-run ili kunakili vitu vya GPO kwenye vidhibiti vya kikoa chako.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. Baada ya mchakato wa urudufishaji wa SysVol kukamilika, ingia kwa kidhibiti cha kikoa lengwa na uorodheshe yaliyomo kwenye orodha ya vitu vya GPO kwa kutekeleza amri iliyo hapa chini.

Vitu sawa vya GPO kutoka kwa DC ya kwanza vinapaswa kuigwa hapa pia.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Kurekebisha mchakato wa urudufishaji wa Sera ya Kikundi (usafirishaji wa saraka ya sysvol kupitia mtandao), ratibisha kazi ya mizizi ili kutekeleza amri ya rsync inayotumiwa mapema kila dakika 5 kwa kutoa amri iliyo hapa chini.

# crontab -e 

Ongeza amri ya rsync ili kutekeleza kila dakika 5 na uelekeze matokeo ya amri, ikijumuisha makosa, kwenye faili ya kumbukumbu /var/log/sysvol-replication.log .Ikiwa kitu hakitafanya kazi inavyotarajiwa unapaswa kushauriana na faili hii ili kutatua tatizo.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Kwa kuchukulia kuwa katika siku zijazo kutakuwa na masuala yanayohusiana na ruhusa za SysVol ACL, unaweza kutekeleza amri zifuatazo ili kugundua na kurekebisha hitilafu hizi.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. Iwapo Samba4 AD DC ya kwanza iliyo na jukumu la FSMO kama Emulator ya PDC haitapatikana, unaweza kulazimisha Dashibodi ya Usimamizi wa Sera ya Kundi iliyosakinishwa kwenye mfumo wa Microsoft Windows kuunganisha tu kwa kidhibiti cha pili cha kikoa kwa kuchagua chaguo la Badilisha Kidhibiti cha Kikoa na wewe mwenyewe. kuchagua mashine inayolengwa kama inavyoonyeshwa hapa chini.

Wakati umeunganishwa kwa DC ya pili kutoka Dashibodi ya Kudhibiti Sera ya Kundi, unapaswa kuepuka kufanya marekebisho yoyote kwenye Sera ya Kikundi chako. Wakati DC ya kwanza itapatikana tena, rsync amri itaharibu mabadiliko yote yaliyofanywa kwenye kidhibiti hiki cha pili cha kikoa.