I-setup ang SysVol Replication sa Duha ka Samba4 AD DC nga adunay Rsync - Bahin 6
Kini nga hilisgutan maglakip sa SysVol replication sa duha ka Samba4 Active Directory Domain Controllers nga gihimo sa tabang sa pipila ka gamhanan nga mga himan sa Linux, sama sa SSH protocol.
- Apil sa Ubuntu 16.04 isip Dugang nga Domain Controller sa Samba4 AD DC - Bahin 5
Lakang 1: Tukma nga Pag-synchronize sa Oras sa mga DC
1. Sa dili pa magsugod sa pagkopya sa mga sulod sa sysvol nga direktoryo sa duha ka domain controllers kinahanglan nimo nga maghatag ug tukma nga panahon alang niini nga mga makina.
Kung ang paglangan labaw pa sa 5 minuto sa duha ka direksyon ug ang ilang mga orasan dili husto nga nag-sync, kinahanglan ka magsugod sa pagsinati sa lainlaing mga problema sa AD account ug pagkopya sa domain.
Aron mabuntog ang problema sa pag-anod sa oras tali sa duha o daghan pa nga mga tigkontrol sa domain, kinahanglan nimo nga i-install ug i-configure ang NTP server sa imong makina pinaagi sa pagpatuman sa ubos nga mando.
# apt-get install ntp
2. Human ma-install ang NTP daemon, ablihi ang main configuration file, i-comment ang default pools (pagdugang ug # atubangan sa matag linya sa pool) ug idugang ang bag-ong pool nga magpunting balik sa main Samba4 AD DC FQDN nga adunay NTP server nga naka-install , ingon sa gisugyot sa ubos nga pananglitan.
# nano /etc/ntp.conf
Idugang ang mosunod nga mga linya sa ntp.conf file.
pool 0.ubuntu.pool.ntp.org iburst #pool 1.ubuntu.pool.ntp.org iburst #pool 2.ubuntu.pool.ntp.org iburst #pool 3.ubuntu.pool.ntp.org iburst pool adc1.tecmint.lan # Use Ubuntu's ntp server as a fallback. pool ntp.ubuntu.com
3. Ayaw pa pagsira sa file, balhin sa ubos sa file ug idugang ang mosunod nga mga linya aron ang ubang mga kliyente makahimo sa pagpangutana ug pag-sync sa oras niini nga NTP server, pag-isyu sa gipirmahan nga NTP nga mga hangyo, kung ang panguna Nag-offline ang DC:
restrict source notrap nomodify noquery mssntp ntpsigndsocket /var/lib/samba/ntp_signd/
4. Sa katapusan, i-save ug isira ang configuration file ug i-restart ang NTP daemon aron magamit ang mga pagbag-o. Paghulat sa pipila ka segundo o minuto alang sa oras sa pag-synchronize ug pag-isyu sa ntpq nga mando aron maimprinta ang karon nga kahimtang sa summary sa adc1 peer nga nag-sync.
# systemctl restart ntp # ntpq -p
Lakang 2: SysVol Replication uban sa Unang DC pinaagi sa Rsync
Sa kasagaran, ang Samba4 AD DC wala maghimo sa SysVol replication pinaagi sa DFS-R (Distributed File System Replication) o sa FRS (File Replication Service).
Kini nagpasabot nga ang mga butang sa Patakaran sa Grupo anaa lamang kung ang unang tigkontrol sa domain anaa sa internet. Kung ang una nga DC mahimong dili magamit, ang mga setting sa Patakaran sa Grupo ug mga script sa pag-logon dili magamit pa sa mga makina sa Windows nga na-enrol sa domain.
Aron mabuntog kini nga babag ug makab-ot ang usa ka sukaranan nga porma sa SysVol nga replikasyon mag-iskedyul kami og key-based nga SSH authentication aron luwas nga mabalhin ang GPO nga mga butang gikan sa unang domain controller ngadto sa ikaduhang domain controller.
Kini nga pamaagi nagsiguro sa GPO nga mga butang nga makanunayon sa mga tigkontrol sa domain, apan adunay usa ka dako nga disbentaha. Naglihok lamang kini sa usa ka direksyon tungod kay ibalhin sa rsync ang tanan nga mga pagbag-o gikan sa gigikanan nga DC hangtod sa destinasyon nga DC kung gi-synchronize ang mga direktoryo sa GPO.
Ang mga butang nga wala na sa gigikanan mapapas usab sa destinasyon. Aron malimitahan ug malikayan ang bisan unsang mga panagsumpaki, ang tanan nga mga pag-edit sa GPO kinahanglan nga himoon lamang sa unang DC.
5. Aron masugdan ang proseso sa SysVol replication, una paghimo ug SSH key sa unang Samba AD DC ug ibalhin ang yawe ngadto sa ikaduhang DC pinaagi sa pag-isyu sa ubos nga mga sugo.
Ayaw gamita ang passphrase alang niini nga yawe aron ang gikatakda nga pagbalhin modagan nga walay pagpanghilabot sa user.
# ssh-keygen -t RSA # ssh-copy-id [email # ssh adc2 # exit
6. Human nimo masiguro nga ang root user gikan sa unang DC mahimong awtomatik nga maka-log in sa ikaduhang DC, padagana ang mosunod nga Rsync command nga adunay --dry-run parameter aron masundog ang SysVol replication. Ilisan ang adc2 sumala niana.
# rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
7. Kung ang proseso sa simulation molihok sama sa gipaabut, padagana pag-usab ang rsync command nga wala ang --dry-run nga kapilian aron aktuwal nga makopya ang mga butang sa GPO sa imong mga tigkontrol sa domain.
# rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/
8. Human mahuman ang proseso sa pagkopya sa SysVol, pag-log in sa controller sa destinasyon nga domain ug ilista ang mga sulod sa usa sa direktoryo sa mga butang sa GPO pinaagi sa pagpadagan sa ubos nga sugo.
Ang parehas nga GPO nga mga butang gikan sa una nga DC kinahanglan nga kopyahon usab dinhi.
# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Aron ma-automate ang proseso sa Group Policy replication (sysvol directory transport over network), mag-iskedyul og root job aron ipadagan ang rsync command nga gigamit sa sayo pa matag 5 minutos pinaagi sa pag-isyu sa ubos nga sugo.
# crontab -e
Idugang ang rsync nga sugo nga modagan matag 5 ka minuto ug idirekta ang output sa command, lakip ang mga sayop, ngadto sa log file /var/log/sysvol-replication.log .Sa kaso nga adunay dili molihok sama sa gipaabut kinahanglan nimo nga konsultahon kini nga file sa aron masulbad ang problema.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Sa paghunahuna nga sa umaabot adunay pipila ka mga isyu nga may kalabutan sa SysVol ACL nga mga permiso, mahimo nimong ipadagan ang mosunod nga mga sugo aron mahibal-an ug ayohon kini nga mga sayup.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolreset
11. Sa kaso nga ang una nga Samba4 AD DC nga adunay papel sa FSMO ingon PDC Emulator mahimong dili magamit, mahimo nimong pugson ang Group Policy Management Console nga gi-install sa usa ka sistema sa Microsoft Windows nga magkonektar lamang sa ikaduha nga tigkontrol sa domain pinaagi sa pagpili sa opsyon sa Change Domain Controller ug mano-mano. pagpili sa target nga makina sama sa gihulagway sa ubos.
Samtang konektado sa ikaduhang DC gikan sa Group Policy Management Console, kinahanglan nimong likayan ang paghimo sa bisan unsang pagbag-o sa imong domain Group Policy. Sa diha nga ang unang DC mahimong magamit pag-usab, ang rsync nga sugo moguba sa tanang kausaban nga gihimo niining ikaduhang domain controller.