Replikasi Setup Sysvol di dua SAMBA4 AD DC dengan RSYNC - Bagian 6
- 1942
- 148
- Darryl Ritchie
Topik ini akan mencakup Sysvol replikasi di dua Pengontrol Domain Direktori Aktif Samba4 dilakukan dengan bantuan beberapa alat Linux yang kuat, seperti utilitas sinkronisasi file RSYNC, daemon penjadwalan cron dan protokol SSH.
Persyaratan:
- Bergabunglah dengan Ubuntu 16.04 Sebagai pengontrol domain tambahan ke Samba4 AD DC - Bagian 5
Langkah 1: Sinkronisasi waktu yang akurat di seluruh DC
1. Sebelum mulai meniru isi Sysvol Direktori di kedua pengontrol domain Anda perlu memberikan waktu yang akurat untuk mesin ini.
Jika penundaan lebih besar dari 5 menit di kedua arah dan jam mereka tidak sinkron dengan benar, Anda harus mulai mengalami berbagai masalah dengan akun iklan dan replikasi domain.
Untuk mengatasi masalah melayang waktu antara dua atau lebih pengontrol domain, Anda perlu menginstal dan mengonfigurasi server NTP di mesin Anda dengan mengeksekusi perintah di bawah ini.
# apt-get install ntp
2. Setelah NTP Daemon diinstal, buka file konfigurasi utama, komentar kumpulan default (tambahkan a # Di depan setiap garis biliar) dan tambahkan kolam baru yang akan mengarah kembali ke utama Samba4 iklan dc fqdn dengan NTP server diinstal, seperti yang disarankan pada contoh di bawah ini.
# nano /etc /ntp.conf
Tambahkan baris berikut ke NTP.conf mengajukan.
Pool 0.Ubuntu.kolam.NTP.org iburst #pool 1.Ubuntu.kolam.NTP.org iburst #pool 2.Ubuntu.kolam.NTP.org iburst #pool 3.Ubuntu.kolam.NTP.org iburst pool adc1.tecmint.LAN # Gunakan server NTP Ubuntu sebagai Fallback. Pool NTP.Ubuntu.comKonfigurasikan NTP untuk samba4
3. Jangan tutup file, pindah ke bagian bawah file dan tambahkan baris berikut agar klien lain dapat meminta dan menyinkronkan waktu dengan server NTP ini, mengeluarkan permintaan NTP yang ditandatangani, jika DC utama berjalan Offline:
Batasi sumber notrap nomodifikasi noquery mssntp ntpsigndsocket/var/lib/samba/ntp_signd/
4. Akhirnya, simpan dan tutup file konfigurasi dan restart daemon ntp untuk menerapkan perubahan. Tunggu beberapa detik atau menit untuk waktu untuk menyinkronkan dan mengeluarkan ntpq Perintah untuk mencetak keadaan ringkasan saat ini ADC1 Peer in Sync.
# Systemctl Restart NTP # ntpq -pSinkronisasi waktu NTP dengan iklan Samba4
Langkah 2: Replikasi Sysvol dengan DC pertama melalui RSYNC
Secara default, SAMBA4 AD DC tidak tampil Sysvol replikasi melalui DFS-R (Replikasi Sistem File Terdistribusi) atau Frs (Layanan Replikasi File).
Ini berarti itu Kebijakan Grup Objek hanya tersedia jika pengontrol domain pertama online. Jika DC pertama menjadi tidak tersedia, pengaturan kebijakan grup dan skrip logon tidak akan berlaku lebih lanjut pada mesin Windows yang terdaftar di domain.
Untuk mengatasi hambatan ini dan mencapai bentuk replikasi Sysvol yang belum sempurna, kami akan menjadwalkan perintah Linux Rsync yang dikombinasikan dengan terowongan terenkripsi SSH dengan otentikasi SSH berbasis kunci untuk mentransfer dengan aman GPO Objek dari pengontrol domain pertama ke pengontrol domain kedua.
Metode ini memastikan GPO Konsistensi objek di seluruh pengontrol domain, tetapi memiliki satu kelemahan besar. Itu hanya berfungsi dalam satu arah karena rsync akan mentransfer semua perubahan dari sumber DC ke DC tujuan saat menyinkronkan direktori GPO.
Objek yang tidak ada lagi pada sumber akan dihapus dari tujuan juga. Untuk membatasi dan menghindari konflik apa pun, semua pengeditan GPO harus dilakukan hanya pada DC pertama.
5. Untuk memulai proses Sysvol Replikasi, pertama -tama buat kunci SSH pada Samba Ad DC pertama dan transfer kunci ke DC kedua dengan mengeluarkan perintah di bawah ini.
Jangan gunakan a frasa sandi untuk kunci ini agar transfer yang dijadwalkan berjalan tanpa gangguan pengguna.
# ssh-keygen -t RSA # ssh-copy-id [email dilindungi] # ssh adc2 # keluarHasilkan Kunci SSH di Samba4 DC
6. Setelah Anda meyakinkan bahwa pengguna root dari yang pertama Dc dapat secara otomatis masuk pada yang kedua Dc, Jalankan berikut ini Rsync perintah dengan --Dry-run
parameter dalam urutan mensimulasikan replikasi sysvol. Mengganti ADC2 demikian.
# rsync --dry-run -xaavz --chmod = 775 --delete-after --progress --stats/var/lib/samba/sysvol/[email dilindungi]:/var/lib/samba/sysvol/
7. Jika proses simulasi berfungsi seperti yang diharapkan, jalankan perintah rsync lagi tanpa --Dry-run
Opsi untuk benar -benar mereplikasi objek GPO di seluruh pengontrol domain Anda.
# rsync -xaavz --chmod = 775 --delete -after --progress --stats/var/lib/samba/sysvol/[email dilindungi]:/var/lib/samba/sysvol/Replikasi Samba4 Ad DC Sysvol
8. Setelah proses replikasi Sysvol selesai, login ke pengontrol domain tujuan dan daftarkan isi salah satu direktori objek GPO dengan menjalankan perintah di bawah ini.
Objek GPO yang sama dari DC pertama juga harus direplikasi di sini.
# ls -alh/var/lib/samba/sysvol/your_domain/policiers/Verifikasi replikasi Samba4 DC Sysvol
9. Untuk mengotomatiskan proses Kebijakan Grup Replikasi (transportasi direktori sysvol melalui jaringan), jadwalkan pekerjaan root untuk menjalankan perintah rsync yang digunakan sebelumnya setiap 5 menit dengan mengeluarkan perintah di bawah ini.
# crontab -e
Tambahkan perintah rsync untuk menjalankan setiap 5 menit dan mengarahkan output perintah, termasuk kesalahan, ke file log /var/log/replikasi sysvol.catatan .Jika ada sesuatu yang tidak berhasil seperti yang diharapkan, Anda harus berkonsultasi dengan file ini untuk memecahkan masalah masalah.
*/5 * * * * rsync -xaavz --chmod = 775 --delete -after --progress --stats/var/lib/samba/sysvol/[email dilindungi]:/var/lib/samba/sysvol/> /var/log/replikasi sysvol.LOG 2> & 1
10. Dengan asumsi bahwa di masa depan akan ada beberapa masalah terkait dengan SYSVOL ACL izin, Anda dapat menjalankan perintah berikut untuk mendeteksi dan memperbaiki kesalahan ini.
# SAMBA-TOOL NTACL SYSVOLCHECK # SAMBA-TOOL NTACL SYSVOLRESETPerbaiki izin Sysvol ACL
11. Dalam kasus yang pertama SAMBA4 AD DC dengan Fsmo peran sebagai "Emulator PDC“Menjadi tidak tersedia, Anda dapat memaksa Konsol Manajemen Kebijakan Kelompok dipasang pada Microsoft Windows Sistem Untuk Terhubung Hanya ke Pengontrol Domain Kedua dengan Memilih Opsi Ubah Pengontrol Domain dan secara manual memilih mesin target seperti yang diilustrasikan di bawah ini.
Ubah Pengontrol Domain Samba4 Pilih pengontrol domain Samba4Saat terhubung ke yang kedua Dc dari Konsol Manajemen Kebijakan Kelompok, Anda harus menghindari membuat modifikasi apa pun pada domain Anda Kebijakan Grup. Saat yang pertama Dc akan tersedia lagi, perintah rsync akan menghancurkan semua perubahan yang dilakukan pada pengontrol domain kedua ini.
- « Memulai dengan Bitbucket untuk kontrol versi
- Pelajari dasar -dasar cara pengalihan Linux I/O (input/output) berfungsi »