Replikasi SYSVOL Persediaan di Dua Samba4 AD DC dengan RSYNC - Bahagian 6
- 3061
- 993
- Chris Little I
Topik ini akan meliputi Sysvol Replikasi merentasi dua Pengawal Domain Direktori Aktif Samba4 Dilakukan dengan bantuan beberapa alat Linux yang kuat, seperti utiliti penyegerakan fail rsync, daemon penjadualan cron dan protokol SSH.
Keperluan:
- Sertailah Ubuntu 16.04 Sebagai Pengawal Domain Tambahan ke Samba4 AD DC - Bahagian 5
Langkah 1: Penyegerakan masa yang tepat di seluruh DCS
1. Sebelum mula meniru kandungan Sysvol Direktori merentasi kedua -dua pengawal domain yang anda perlukan untuk menyediakan masa yang tepat untuk mesin ini.
Sekiranya kelewatan lebih besar daripada 5 minit pada kedua -dua arah dan jam mereka tidak betul disegerakkan, anda harus mula mengalami pelbagai masalah dengan akaun iklan dan replikasi domain.
Untuk mengatasi masalah masa hanyut antara dua atau lebih pengawal domain, anda perlu memasang dan mengkonfigurasi pelayan NTP pada mesin anda dengan melaksanakan arahan di bawah.
# apt-get memasang NTP
2. Selepas Daemon NTP dipasang, buka fail konfigurasi utama, komen kolam lalai (tambahkan a # di hadapan setiap garisan kolam) dan tambahkan kolam baru yang akan menunjuk kembali ke utama Samba4 AD DC FQDN dengan NTP Pelayan dipasang, seperti yang dicadangkan pada contoh di bawah.
# nano /etc /ntp.Conf
Tambah baris berikut ke NTP.Conf fail.
Kolam 0.Ubuntu.kolam.NTP.org iburst #pool 1.Ubuntu.kolam.NTP.org iburst #pool 2.Ubuntu.kolam.NTP.org iburst #pool 3.Ubuntu.kolam.NTP.org iburst pool ADC1.Tecmint.LAN # Gunakan pelayan NTP Ubuntu sebagai sandaran. Kolam NTP.Ubuntu.comKonfigurasikan NTP untuk Samba4
3. Jangan tutup fail, pindah ke bahagian bawah fail dan tambahkan baris berikut agar pelanggan lain dapat menanyakan dan menyegerakkan masa dengan pelayan NTP ini, mengeluarkan permintaan NTP yang ditandatangani, sekiranya DC utama pergi Luar Talian:
menyekat sumber notrap nomodify noquery mssntp ntpsigndsocket/var/lib/samba/ntp_signd/
4. Akhirnya, simpan dan tutup fail konfigurasi dan mulakan semula daemon NTP untuk menerapkan perubahan. Tunggu beberapa saat atau minit untuk masa menyegerakkan dan mengeluarkan NTPQ perintah untuk mencetak keadaan ringkasan semasa ADC1 rakan sebaya disegerakkan.
# Systemctl mulakan semula ntp # ntpq -pMenyegerakkan masa NTP dengan iklan samba4
Langkah 2: Replikasi Sysvol dengan DC pertama melalui RSYNC
Secara lalai, Samba4 AD DC tidak melakukan Sysvol Replikasi melalui DFS-R (Replikasi sistem fail yang diedarkan) atau Frs (Perkhidmatan replikasi fail).
Ini bermakna itu Dasar Kumpulan Objek hanya tersedia jika pengawal domain pertama dalam talian. Sekiranya DC pertama tidak tersedia, tetapan dasar kumpulan dan skrip logon tidak akan digunakan lebih lanjut pada mesin Windows yang mendaftar ke domain.
Untuk mengatasi halangan ini dan mencapai bentuk replikasi sysvol asas, kami akan menjadualkan perintah rsync linux digabungkan dengan terowong yang disulitkan SSH dengan pengesahan SSH berasaskan utama untuk memindahkannya dengan selamat GPO objek dari pengawal domain pertama ke pengawal domain kedua.
Kaedah ini memastikan GPO objek konsistensi merentasi pengawal domain, tetapi mempunyai satu kelemahan yang besar. Ia hanya berfungsi dalam satu arah kerana rsync Akan memindahkan semua perubahan dari sumber DC ke destinasi DC apabila menyegerakkan direktori GPO.
Objek yang tidak lagi wujud di sumber akan dipadamkan dari destinasi juga. Untuk mengehadkan dan mengelakkan sebarang konflik, semua suntingan GPO hanya perlu dibuat pada DC pertama.
5. Untuk memulakan proses Sysvol Replikasi, mula -mula menjana kunci SSH pada Samba AD DC pertama dan memindahkan kunci ke DC kedua dengan mengeluarkan arahan di bawah.
Jangan gunakan a laluan belakang Untuk kunci ini agar pemindahan yang dijadualkan berjalan tanpa gangguan pengguna.
# ssh-keygen -t rsa # ssh-copy-id [e-mel dilindungi] # ssh adc2 # exitMenjana kunci ssh pada samba4 dc
6. Setelah anda memberi jaminan bahawa pengguna root dari yang pertama DC boleh log masuk secara automatik pada kedua DC, Jalankan perkara berikut Rsync perintah dengan --Kering-run
parameter dalam urutan mensimulasikan replikasi sysvol. Menggantikan ADC2 Sehubungan itu.
# rsync--dry-run -xaavz --chmod = 775--delete-after --progress --stats/var/lib/samba/sysvol/[dilindungi e-mel]:/var/lib/samba/sysvol/
7. Sekiranya proses simulasi berfungsi seperti yang diharapkan, jalankan perintah rsync sekali lagi tanpa --Kering-run
pilihan untuk benar -benar meniru objek GPO di seluruh pengawal domain anda.
# rsync -xaavz --chmod = 775 --delete -selepas --Progress --Stats/var/lib/samba/sysvol/[dilindungi e -mel]:/var/lib/samba/sysvol/Replikasi Samba4 AD DC Sysvol
8. Selepas proses replikasi sysvol selesai, log masuk ke pengawal domain destinasi dan senaraikan kandungan salah satu direktori objek GPO dengan menjalankan arahan di bawah.
Objek GPO yang sama dari DC pertama juga harus direplikasi di sini juga.
# ls -alh/var/lib/samba/sysvol/your_domain/policiers/Sahkan replikasi Samba4 DC Sysvol
9. Untuk mengautomasikan proses Dasar Kumpulan Replikasi (pengangkutan direktori sysvol ke atas rangkaian), jadilah pekerjaan akar untuk menjalankan perintah rsync yang digunakan lebih awal setiap 5 minit dengan mengeluarkan arahan di bawah.
# Crontab -e
Tambahkan arahan rsync untuk menjalankan setiap 5 minit dan mengarahkan output arahan, termasuk kesilapan, ke fail log /var/log/sysvol-replikasi.log .Sekiranya sesuatu tidak berfungsi seperti yang diharapkan, anda harus berunding dengan fail ini untuk menyelesaikan masalah masalah.
*/5 * * * * rsync -xaavz --chmod = 775 --delete -after --progress --stats/var/lib/samba/sysvol/[dilindungi e -mel]:/var/lib/samba/sysvol/> /var/log/sysvol-replikasi.Log 2> & 1
10. Dengan mengandaikan bahawa pada masa akan datang akan ada beberapa isu yang berkaitan dengan SYSVOL ACL Kebenaran, anda boleh menjalankan arahan berikut untuk mengesan dan membaiki kesilapan ini.
# samba-tool ntacl sysvolcheck # samba-tool ntacl sysvolresetBetulkan keizinan SYSVOL ACL
11. Sekiranya yang pertama Samba4 AD DC dengan FSMO peranan sebagai "Emulator PDC"Menjadi tidak tersedia, anda boleh memaksa Konsol Pengurusan Dasar Kumpulan dipasang pada a Microsoft Windows Sistem untuk menyambung hanya ke pengawal domain kedua dengan memilih pilihan Pengawal Domain Perubahan dan memilih mesin sasaran secara manual seperti yang digambarkan di bawah.
Tukar pengawal domain samba4 Pilih pengawal domain samba4Sementara disambungkan ke yang kedua DC dari Konsol Pengurusan Dasar Kumpulan, anda harus mengelakkan membuat pengubahsuaian ke domain anda Dasar Kumpulan. Apabila yang pertama DC Akan tersedia lagi, perintah rsync Akan memusnahkan semua perubahan yang dibuat pada pengawal domain kedua ini.
- « Bermula dengan Bitbucket untuk Kawalan Versi
- Ketahui asas bagaimana Linux I/O (Input/Output) Kerja Pengalihan »