Ricerca nel sito web

Configurare la replica SysVol su due DC Samba4 AD con Rsync - Parte 6


Questo argomento tratterà la replica SysVol su due controller di dominio Active Directory Samba4 eseguita con l'aiuto di alcuni potenti strumenti Linux, come l'utility di sincronizzazione dei file Rsync, il demone di pianificazione Cron e SSH protocollo.

Requisiti:

  1. Unisciti a Ubuntu 16.04 come controller di dominio aggiuntivo a Samba4 AD DC – Parte 5

Passaggio 1: sincronizzazione temporale accurata tra controller di dominio

1. Prima di iniziare a replicare il contenuto della directory sysvol su entrambi i controller di dominio è necessario fornire un orario preciso per queste macchine.

Se il ritardo è maggiore di 5 minuti in entrambe le direzioni e i loro orologi non sono correttamente sincronizzati, dovresti iniziare a riscontrare vari problemi con gli account AD e la replica del dominio.

Per superare il problema dello spostamento del tempo tra due o più controller di dominio, è necessario installare e configurare il server NTP sul computer eseguendo il comando seguente.

apt-get install ntp

2. Dopo aver installato il demone NTP, apri il file di configurazione principale, commenta i pool predefiniti (aggiungi un # davanti a ciascuna riga del pool) e aggiungi un nuovo pool che punterà al Samba4 AD DC FQDN principale con il server NTP installato, come suggerito nell'esempio seguente.

nano /etc/ntp.conf

Aggiungi le seguenti righe al file ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Non chiudere ancora il file, spostati in fondo al file e aggiungi le seguenti righe in modo che altri client possano interrogare e sincronizzare l'ora con questo server NTP, emettendo firma Richieste NTP, nel caso in cui il controller di dominio primario vada offline:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Infine, salva e chiudi il file di configurazione e riavvia il demone NTP per applicare le modifiche. Attendi qualche secondo o minuto per la sincronizzazione ed emetti il comando ntpq per stampare in sincronia lo stato di riepilogo corrente del peer adc1.

systemctl restart ntp
ntpq -p

Passaggio 2: replica SysVol con il primo controller di dominio tramite Rsync

Per impostazione predefinita, Samba4 AD DC non esegue la replica SysVol tramite DFS-R (Replica del file system distribuito) o FRS (File Replication Service).

Ciò significa che gli oggetti Criteri di gruppo sono disponibili solo se il primo controller di dominio è online. Se il primo controller di dominio non è più disponibile, le impostazioni dei criteri di gruppo e gli script di accesso non verranno applicati ulteriormente sui computer Windows registrati nel dominio.

Per superare questo ostacolo e ottenere una forma rudimentale di replica SysVol pianificheremo un comando rsync Linux combinato con un tunnel crittografato SSH con autenticazione SSH basata su chiave per trasferire in modo sicuro gli oggetti GPO dal primo controller di dominio al secondo controller di dominio.

Questo metodo garantisce la coerenza degli oggetti GPO tra i controller di dominio, ma presenta un enorme svantaggio. Funziona solo in una direzione perché rsync trasferirà tutte le modifiche dal controller di dominio di origine al controller di dominio di destinazione durante la sincronizzazione delle directory GPO.

Gli oggetti che non esistono più nell'origine verranno eliminati anche dalla destinazione. Per limitare ed evitare eventuali conflitti, tutte le modifiche all'oggetto Criteri di gruppo devono essere apportate solo al primo controller di dominio.

5. Per avviare il processo di replica SysVol, generare innanzitutto una chiave SSH sul primo controller di dominio Samba AD e trasferire la chiave sul secondo controller di dominio emettendo i comandi seguenti.

Non utilizzare una passphrase per questa chiave affinché il trasferimento pianificato venga eseguito senza interferenze da parte dell'utente.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit 

6. Dopo esserti assicurato che l'utente root del primo DC possa accedere automaticamente al secondo DC, esegui quanto segue Comando Rsync con il parametro --dry-run per simulare la replica SysVol. Sostituisci adc2 di conseguenza.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Se il processo di simulazione funziona come previsto, esegui nuovamente il comando rsync senza l'opzione --dry-run per replicare effettivamente gli oggetti GPO sui controller di dominio.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. Al termine del processo di replica SysVol, accedi al controller di dominio di destinazione ed elenca il contenuto di una delle directory degli oggetti GPO eseguendo il comando seguente.

Anche qui devono essere replicati gli stessi oggetti oggetto Criteri di gruppo del primo controller di dominio.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Per automatizzare il processo di replica dei Criteri di gruppo (trasporto della directory sysvol sulla rete), pianificare un processo root per eseguire il comando rsync utilizzato in precedenza ogni 5 minuti immettendo il comando seguente comando.

crontab -e 

Aggiungi il comando rsync da eseguire ogni 5 minuti e indirizza l'output del comando, inclusi gli errori, nel file di registro /var/log/sysvol-replication.log. Nel caso in cui qualcosa non funzioni come previsto che dovresti consultare questo file per risolvere il problema.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Supponendo che in futuro si verificheranno alcuni problemi correlati con le autorizzazioni SysVol ACL, è possibile eseguire i seguenti comandi per rilevare e riparare questi errori.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. Nel caso in cui il primo Samba4 AD DC con il ruolo FSMO come "PDC Emulator" non sia più disponibile, è possibile forzare la console di gestione dei criteri di gruppo installata su un sistema Microsoft Windows a connettersi solo al secondo controller di dominio scegliendo l'opzione Cambia controller di dominio e selezionando manualmente il computer di destinazione come illustrato di seguito.

Mentre sei connesso al secondo DC dalla Console di gestione dei criteri di gruppo, dovresti evitare di apportare modifiche ai Criteri di gruppo del tuo dominio. Quando il primo DC sarà nuovamente disponibile, il comando rsync eliminerà tutte le modifiche apportate su questo secondo controller di dominio.