Configuración de la replicación de SysVol en dos Samba4 AD DC con Rsync-Parte 6

Configuración de la replicación de SysVol en dos Samba4 AD DC con Rsync-Parte 6

Este tema cubrirá la replicación SysVol. en dos Controladores de dominio de Active Directory Samba4. realizada con la ayuda de algunas herramientas poderosas de Linux, como la utilidad de sincronización de archivos Rsync, programación Cron demonio y protocolo SSH.

Requisitos:

  1. Unir Ubuntu 16.04 como controlador de dominio adicional a Samba4 AD DC-Parte 5

Paso 1: Sincronización de tiempo precisa en todos los DC

1.. Antes de comenzar a replicar el contenido del directorio sysvol. en ambos controladores de dominio, debe proporcionar una hora exacta para estas máquinas.

Si el retraso es superior a 5 minutos en ambas direcciones y sus relojes no están sincronizados correctamente, debería empezar a experimentar varios problemas con las cuentas de AD y la replicación de dominios.

Para superar el problema de el tiempo de deriva entre dos o más controladores de dominio, debe instalar y configurar el servidor NTP en su máquina ejecutando el b comando elow.

# apt-get install ntp

2.. Después de que se haya instalado el demonio NTP, abra el archivo de configuración principal, comente los grupos predeterminados (agregue un #. frente a cada línea de grupo) y agregue un nuevo grupo que apuntará al Samba4 AD DC FQDN. principal con el servidor NTP. instalado, como se sugiere a continuación ejemplo.

# nano/etc/ntp.conf freestar.config.enabled_slots.push

Agregue las siguientes líneas a ntp.conf. archivo.

pool 0.ubuntu.pool.ntp.org iburst #pool 1.ubuntu.pool.ntp.org iburst #pool 2.ubuntu.pool.ntp.org iburst #pool 3.ubuntu .pool.ntp.org iburst pool adc1.tecmint.lan # Use el servidor ntp de Ubuntu como respaldo. grupo ntp.ubuntu.com  Configurar NTP para Samba4 Configurar NTP para Samba4 Configurar NTP para Samba4

3. No cierre el archivo todavía, vaya al final del archivo y agregue las siguientes líneas para que otros clientes puedan consultar y sincronizar la hora con este servidor NTP, emitiendo solicitudes NTP firmadas, en caso de que el DC se desconecta:

restringir la fuente notrap nomodify noquery mssntp ntpsigndsocket/var/lib/samba/ntp_signd/

4.. Finalmente, guarde y cierre el archivo de configuración y reinicie el demonio NTP en orden para aplicar los cambios. Espere unos segundos o minutos para que se sincronice el tiempo y ejecute el comando ntpq. para imprimir el estado de resumen actual del par adc1. sincronizado.

# systemctl restart ntp # ntpq-p  Sincronizar la hora NTP con Samba4 AD  Sincronizar la hora NTP con Samba4 AD Sincronizar la hora NTP con Samba4 AD

Paso 2: Replicación de SysVol con First DC a través de Rsync

De forma predeterminada, Samba4 AD DC. no realiza la replicación SysVol. a través de DFS-R. ( Archivo distribuido Replicación del sistema. o el FRS. ( Servicio de replicación de archivos. .

Esto significa que los objetos Política de grupo. están disponibles solo si el primer controlador de dominio es en línea. Si el primer DC deja de estar disponible, la configuración de la directiva de grupo y los scripts de inicio de sesión no se aplicarán más en las máquinas Windows inscritas en el dominio.

Para superar este obstáculo y lograr una forma rudimentaria de replicación de SysVol, programaremos una Comando rsync combinado con un túnel encriptado SSH con autenticación SSH basada en clave para transferir de forma segura objetos GPO. desde el primer controlador de dominio al segundo controlador de dominio.

Este método garantiza la coherencia de los objetos GPO. en los controladores de dominio, pero tiene un gran inconveniente. Funciona solo en una dirección porque rsync. transferirá todos los cambios del DC de origen al DC de destino al sincronizar los directorios de GPO.

Los objetos que ya no existen en el origen se eliminarán del destino también. Para limitar y evitar conflictos, todas las ediciones de GPO deben realizarse solo en el primer DC.

5.. Para iniciar el proceso de SysVol. replicación, primero genere una clave SSH en el primer Samba AD DC y transfiera la clave al segundo DC emitiendo los siguientes comandos.

No utilice una frase de contraseña. para esta clave en orden para que la transferencia programada se ejecute sin interferencia del usuario.

# ssh-keygen-t RSA # ssh-copy-id [email protected] # ssh adc2 # exit  Generar clave SSH en Samba4 DC  Generar clave SSH en Samba4 DC Generar clave SSH en Samba4 DC

6.. Después de haber asegurado que el usuario root del primer DC. puede iniciar sesión automáticamente en el segundo DC. ejecute el siguiente comando Rsync. con el parámetro–dry-run para simular la replicación de SysVol. Reemplace adc2. en consecuencia.

# rsync–dry-run-XAavz–chmod = 775–delete-after–progress–stats/var/lib/samba/sysvol/[ email protected]:/var/lib/samba/sysvol/

7.. Si el proceso de simulación funciona como se esperaba, ejecute el comando rsync nuevamente sin la opción–dry-run para realmente replicar objetos de GPO en sus controladores de dominio.

# rsync-XAavz–chmod = 775–delete-after–progress–stats/var/lib/samba/sysvol/[email protected]:/var/lib/samba/sysvol/ Samba4 AD DC Replicación SysVol  Samba4 AD DC SysVol Replication Replicación Samba4 AD DC SysVol

8. Una vez finalizado el proceso de replicación de SysVol, inicie sesión en el controlador de dominio de destino y enumere el contenido de uno de los directorios de objetos de GPO ejecutando el siguiente comando.

Los mismos objetos de GPO del primer DC deben replicarse aquí también.

# ls-alh/var/lib/samba/sysvol/your_domain/Policiers/Verificar la replicación de SysVol DC de Samba4  Verify Samba4 DC SysVol Replication Verificar la replicación Samba4 DC SysVol

9.. Para automatizar el proceso de la replicación de Política de grupo. (transporte de directorio sysvol a través de la red), programe un trabajo raíz para ejecutar el comando rsync utilizado anteriormente cada 5 minutos emitiendo el siguiente comando.

# crontab-e

Agregue el comando rsync para que se ejecute cada 5 minutos y dirija la salida del comando, incluidos los errores, al archivo de registro /var/log/sysvol-replication.log. En caso de que algo no funcione como Se esperaba que consultara este archivo para solucionar el problema.

*/5 * * * * rsync-XAavz–chmod = 775–delete-after–progress–stats/var/lib/samba/sysvol/[email protected]:/var/lib/samba/sysvol/>/var/log/sysvol-replication.log 2> & 1

10.. Suponiendo que en el futuro habrá algunos problemas relacionados con los permisos SysVol ACL. puede ejecutar la siguiente c comandos para detectar y reparar estos errores.

# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset  Arreglar permisos de ACL de SysVol  Arreglar permisos de ACL de SysVol Arreglar los permisos de ACL de SysVol

11.. En caso de que el primer Samba4 AD DC. con la función FSMO. como “ Emulador de PDC. deja de estar disponible, puede forzar la instalación de la Consola de administración de políticas de grupo. en un Microsoft Windows. para conectarse solo al segundo controlador de dominio seleccionando la opción Cambiar controlador de dominio y seleccionando manualmente la máquina de destino como se ilustra a continuación.