SysVol köpeltmesini iki Samba4 AD DC-de Rsync bilen guruň - 6-njy bölüm

Bu mowzuk, SSH protokoly ýaly birnäçe güýçli Linux gurallarynyň kömegi bilen ýerine ýetirilen iki Samba4 Active Directory Domain Controllers-de SysVol köpeltmesini öz içine alar.

Samba4 AD DC - 5-nji bölüm

1-nji ädim: DC-lerde takyk wagt sinhronizasiýasy

1. Sysvol katalogynyň mazmunyny iki domen dolandyryjysynda köpeltmäge başlamazdan ozal bu enjamlar üçin takyk wagt bermeli.

Gijikdirme iki ugurda 5 minutdan köp bolsa we sagatlary dogry sinhron bolmasa, AD hasaplary we domen köpeltmek bilen dürli kynçylyklary başdan geçirip başlamaly.

Iki ýa-da has köp domen dolandyryjysynyň arasynda wagtyň süýşmegi meselesini ýeňip geçmek üçin aşakdaky buýrugy ýerine ýetirip, enjamyňyzda NTP serwerini gurnamaly we sazlamaly.

# apt-get install ntp

2. NTP daemon gurlandan soň, esasy konfigurasiýa faýly açyň, deslapky howuzlary düşündiriň (her howuz çyzygynyň öňünde # goşuň) we NTP serweri gurnalan esasy Samba4 AD DC FQDN-e gaýdyp boljak täze howuz goşuň. aşakdaky mysalda görkezilişi ýaly.

# nano /etc/ntp.conf

Ntp.conf faýlyna aşakdaky setirleri goşuň.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Faýly entek ýapmaň, faýlyň aşagyna geçiň we beýleki müşderileriň bu NTP serweri bilen wagty talap edip we sinhronlap bilmekleri üçin, aşakdaky ýagdaýynda gol çekilen NTP haýyşlaryny berip, aşakdaky setirleri goşuň. DC awtonom görnüşde gidýär:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Netijede, üýtgeşmeleri ulanmak üçin konfigurasiýa faýlyny ýazdyryň we ýapyň we NTP daemonyny täzeden açyň. Adc1 deň-duşlarynyň häzirki jemleýji ýagdaýyny sinhronlamak üçin ntpq buýrugyny sinhronlamak we çykarmak üçin birnäçe sekunt ýa-da birnäçe minut garaşyň.

# systemctl restart ntp
# ntpq -p

2-nji ädim: Rsync arkaly ilkinji DC bilen SysVol köpeltmek

Düzgüne görä, Samba4 AD DC SFSVol köpeltmesini DFS-R (paýlanan faýl ulgamynyň köpeltmesi) ýa-da FRS (Faýl köpeltmek hyzmaty) arkaly ýerine ýetirmeýär.

Bu, Topar syýasaty obýektleriniň diňe ilkinji domen gözegçisi onlaýn bolsa, elýeterlidigini aňladýar. Ilkinji DC elýeterli bolmasa, Topar syýasaty sazlamalary we giriş skriptleri, domene ýazylan Windows maşynlarynda mundan beýläk ulanylmaz.

Bu päsgelçiligi ýeňip geçmek we SysVol köpeltmegiň başlangyç görnüşine ýetmek üçin, GPO obýektlerini birinji domen gözegçisinden ikinji domen gözegçisine ygtybarly geçirmek üçin açar esasly SSH tassyklamasyny meýilleşdireris.

Bu usul, domen dolandyryjylary boýunça GPO obýektleriniň yzygiderliligini üpjün edýär, ýöne bir uly kemçiligi bar. Diňe bir ugurda işleýär, sebäbi rsync GPO kataloglaryny sinhronlamakda ähli çeşmäni DC çeşmesinden maksat DC-a geçirer.

Çeşmede ýok zatlar, barmaly ýerinden hem pozular. Çaknyşyklary çäklendirmek we öňüni almak üçin ähli GPO üýtgetmeleri diňe birinji DC-de edilmeli.

5. SysVol köpeltmek işine başlamak üçin ilki bilen Samba AD DC-de SSH düwmesini dörediň we aşakdaky buýruklary çykaryp açary ikinji DC-e geçiriň.

Ulanyjynyň päsgel bermezden meýilleşdirilen geçirilmegi üçin bu açar üçin parol ulanmaň.

# ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit

6. Birinji DC-den kök ulanyjynyň ikinji DC-ä awtomatiki girip biljekdigine göz ýetireniňizden soň, SysVol köpeltmesini simulirlemek üçin aşakdaky Rsync buýrugyny - gurak iş parametri bilen işlediň. Adc2-i şoňa görä çalyşyň.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

7. Simulýasiýa prosesi garaşylşy ýaly işleýän bolsa, domen dolandyryjylaryňyzda GPO obýektlerini köpeltmek üçin rsync buýrugyny - gurak işlediň opsiýasyz gaýtadan işlediň.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

8. SysVol köpeltmek prosesi gutarandan soň, niýetlenen domen gözegçisine giriň we aşakdaky buýrugy işledip, GPO obýekt katalogynyň mazmunyny sanaň.

Birinji DC-den şol bir GPO obýektleri bu ýerde hem köpeldilmeli.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Topar syýasatyny köpeltmek prosesini awtomatlaşdyrmak üçin (sysvol katalogy toruň üsti bilen daşamak), aşakdaky buýrugy bermek bilen her 5 minutda öň ulanylan rsync buýrugyny işletmek üçin düýp iş meýilnamasyny düzüň.

# crontab -e

Her 5 minutdan işlemek we rsync buýrugyny goşuň we ýalňyşlyklary goşmak bilen buýrugyň çykyşyny /var/log/sysvol-replication.log faýlyna ugrukdyryň .Bir zat garaşylşy ýaly işlemese, bu faýly gözden geçiriň meseläni çözmek üçin buýruk.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Geljekde SysVol ACL rugsatlary bilen baglanyşykly käbir meseleleriň ýüze çykjakdygyny göz öňünde tutup, bu ýalňyşlyklary ýüze çykarmak we bejermek üçin aşakdaky buýruklary işledip bilersiňiz.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. “PDC Emulator” rolunda FSMO roly bolan ilkinji Samba4 AD DC elýeterli bolmadyk ýagdaýynda, Microsoft Windows ulgamynda gurnalan Topar Syýasat Dolandyryş Konsolyny Domain Controller Change opsiýasyny saýlap we diňe ikinji domen gözegçisine birikdirmäge mejbur edip bilersiňiz. maksatly maşyny aşakda görkezilişi ýaly saýlamak.

Topar syýasaty dolandyryş konsolyndan ikinji DC-e birikdirilende, domeniňiziň topar syýasatyna haýsydyr bir üýtgetme girizmekden saklanmalysyňyz. Ilkinji DC täzeden elýeterli bolanda, rsync buýrugy bu ikinji domen gözegçisinde edilen ähli üýtgeşmeleri ýok eder.