Búsqueda de sitios web

Configurar la replicación de SysVol en dos Samba4 AD DC con Rsync - Parte 6

Este tema cubrirá la replicación de SysVol en dos controladores de dominio de Active Directory Samba4 realizada con la ayuda de algunas potentes herramientas de Linux, como la utilidad de sincronización de archivos Rsync, el demonio de programación Cron y SSH. protocolo.

Requisitos:

  1. Únase a Ubuntu 16.04 como controlador de dominio adicional para Samba4 AD DC – Parte 5

Paso 1: Sincronización horaria precisa entre los centros de datos

1. Antes de comenzar a replicar el contenido del directorio sysvol en ambos controladores de dominio, debe proporcionar una hora exacta para estas máquinas.

Si el retraso es superior a 5 minutos en ambas direcciones y sus relojes no están sincronizados correctamente, debería comenzar a experimentar varios problemas con las cuentas de AD y la replicación de dominios.

Para superar el problema de la deriva de tiempo entre dos o más controladores de dominio, debe instalar y configurar el servidor NTP en su máquina ejecutando el siguiente comando.

apt-get install ntp

2. Después de instalar el demonio NTP, abra el archivo de configuración principal, comente los grupos predeterminados (agregue un # delante de cada línea del grupo) y agregue un nuevo grupo que apuntará al Samba4 AD DC FQDN principal con el servidor NTP instalado, como se sugiere en el siguiente ejemplo.

nano /etc/ntp.conf

Agregue las siguientes líneas al archivo ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. No cierre el archivo todavía, vaya al final del archivo y agregue las siguientes líneas para que otros clientes puedan consultar y sincronizar la hora con este servidor NTP, emitiendo firmado Solicitudes NTP, en caso de que el DC principal se desconecte:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, guarde y cierre el archivo de configuración y reinicie el demonio NTP para aplicar los cambios. Espere unos segundos o minutos hasta que se sincronice y emita el comando ntpq para imprimir el estado resumido actual del par adc1 sincronizado.

systemctl restart ntp
ntpq -p

Paso 2: Replicación de SysVol con First DC a través de Rsync

De forma predeterminada, Samba4 AD DC no realiza la replicación SysVol a través de DFS-R (Replicación del sistema de archivos distribuido) o el FRS (Servicio de replicación de archivos).

Esto significa que los objetos Política de grupo están disponibles sólo si el primer controlador de dominio está en línea. Si el primer DC deja de estar disponible, la configuración de la política de grupo y los scripts de inicio de sesión no se aplicarán más en las máquinas Windows inscritas en el dominio.

Para superar este obstáculo y lograr una forma rudimentaria de replicación SysVol, programaremos un comando rsync de Linux combinado con un túnel cifrado SSH con autenticación SSH basada en claves para transferir de forma segura objetos GPO desde el primer controlador de dominio. al segundo controlador de dominio.

Este método garantiza la coherencia de los objetos GPO entre los controladores de dominio, pero tiene un gran inconveniente. Funciona solo en una dirección porque rsync transferirá todos los cambios desde el DC de origen al DC de destino al sincronizar los directorios de GPO.

Los objetos que ya no existan en el origen también se eliminarán del destino. Para limitar y evitar conflictos, todas las ediciones de GPO deben realizarse únicamente en el primer DC.

5. Para iniciar el proceso de replicación de SysVol, primero genere una clave SSH en el primer DC de Samba AD y transfiera la clave al segundo DC emitiendo los siguientes comandos.

No utilice una frase de contraseña para esta clave para que la transferencia programada se ejecute sin interferencia del usuario.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit

6. Después de asegurarse de que el usuario raíz del primer DC puede iniciar sesión automáticamente en el segundo DC, ejecute el siguiente Comando Rsync con el parámetro --dry-run para simular la replicación de SysVol. Reemplace adc2 en consecuencia.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Si el proceso de simulación funciona como se esperaba, ejecute el comando rsync nuevamente sin la opción --dry-run para replicar realmente los objetos GPO en sus controladores de dominio.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. Una vez finalizado el proceso de replicación de SysVol, inicie sesión en el controlador de dominio de destino y enumere el contenido de uno de los directorios de objetos GPO ejecutando el siguiente comando.

Aquí también se deben replicar los mismos objetos GPO del primer DC.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Para automatizar el proceso de replicación de la Política de grupo (transporte del directorio sysvol a través de la red), programe un trabajo de raíz para ejecutar el comando rsync utilizado anteriormente cada 5 minutos emitiendo lo siguiente dominio.

crontab -e

Agregue el comando rsync para que se ejecute cada 5 minutos y dirija la salida del comando, incluidos los errores, al archivo de registro /var/log/sysvol-replication.log. En caso de que algo no funcione como Se espera que deba consultar este archivo para solucionar el problema.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Suponiendo que en el futuro habrá algunos problemas relacionados con los permisos SysVol ACL, puede ejecutar los siguientes comandos para detectar y reparar estos errores.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. En caso de que el primer Samba4 AD DC con función FSMO como “PDC Emulator” no esté disponible, puede fuerce la Consola de administración de políticas de grupo instalada en un sistema Microsoft Windows a conectarse solo al segundo controlador de dominio eligiendo la opción Cambiar controlador de dominio y seleccionando manualmente la máquina de destino como se ilustra a continuación.

Mientras esté conectado al segundo DC desde la Consola de administración de políticas de grupo, debe evitar realizar modificaciones en su dominio Política de grupo. Cuando el primer DC vuelva a estar disponible, el comando rsync destruirá todos los cambios realizados en este segundo controlador de dominio.