Configuración de la replicación de SysVol en dos Samba4 AD DC con Rsync - Parte 6


Este tema cubrirá la replicación de SysVol en dos Controladores de dominio de Active Directory Samba4 realizada con la ayuda de algunas herramientas poderosas de Linux, como el protocolo SSH.

  1. Únase a Ubuntu 16.04 como controlador de dominio adicional a Samba4 AD DC - Parte 5

Paso 1: sincronización de tiempo precisa en los países en desarrollo

1. Antes de comenzar a replicar el contenido del directorio sysvol en ambos controladores de dominio, debe proporcionar una hora exacta para estas máquinas.

Si el retraso es superior a 5 minutos en ambas direcciones y sus relojes no están sincronizados correctamente, debería empezar a experimentar varios problemas con las cuentas de AD y la replicación de dominios.

Para superar el problema de la deriva del tiempo entre dos o más controladores de dominio, debe instalar y configurar el servidor NTP en su máquina ejecutando el siguiente comando.

# apt-get install ntp

2. Una vez instalado el demonio NTP, abra el archivo de configuración principal, comente los grupos predeterminados (agregue un # delante de cada línea de grupo) y agregue un grupo nuevo que apuntará al FQDN principal de Samba4 AD DC con el servidor NTP instalado , como se sugiere en el siguiente ejemplo.

# nano /etc/ntp.conf

Agregue las siguientes líneas al archivo ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. No cierre el archivo todavía, vaya al final del archivo y agregue las siguientes líneas para que otros clientes puedan consultar y sincronizar la hora con este servidor NTP, emitiendo solicitudes NTP firmadas, en caso de que el principal DC se desconecta:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, guarde y cierre el archivo de configuración y reinicie el demonio NTP para aplicar los cambios. Espere unos segundos o minutos para que el tiempo se sincronice y emita el comando ntpq para imprimir el estado de resumen actual del par adc1 en sincronización.

# systemctl restart ntp
# ntpq -p

Paso 2: Replicación de SysVol con First DC a través de Rsync

De forma predeterminada, Samba4 AD DC no realiza la replicación de SysVol a través de DFS-R (replicación del sistema de archivos distribuido) o FRS (servicio de replicación de archivos).

Esto significa que los objetos de directiva de grupo están disponibles solo si el primer controlador de dominio está en línea. Si el primer controlador de dominio no está disponible, la configuración de la directiva de grupo y los scripts de inicio de sesión no se aplicarán más en las máquinas Windows inscritas en el dominio.

Para superar este obstáculo y lograr una forma rudimentaria de replicación de SysVol, programaremos una autenticación SSH basada en claves para transferir de forma segura objetos GPO desde el primer controlador de dominio al segundo controlador de dominio.

Este método garantiza la coherencia de los objetos de GPO en los controladores de dominio, pero tiene un gran inconveniente. Funciona solo en una dirección porque rsync transferirá todos los cambios del DC de origen al DC de destino al sincronizar los directorios de GPO.

Los objetos que ya no existen en el origen también se eliminarán del destino. Para limitar y evitar conflictos, todas las ediciones de GPO deben realizarse solo en el primer DC.

5. Para iniciar el proceso de replicación de SysVol, primero genere una clave SSH en el primer Samba AD DC y transfiera la clave al segundo DC emitiendo los siguientes comandos.

No utilice una frase de contraseña para esta clave para que la transferencia programada se ejecute sin la interferencia del usuario.

# ssh-keygen -t RSA  
# ssh-copy-id [email protected]  
# ssh adc2 
# exit 

6. Después de asegurarse de que el usuario root del primer DC puede iniciar sesión automáticamente en el segundo DC, ejecute el siguiente comando Rsync con el parámetro --dry-run para simular la replicación de SysVol. Reemplace adc2 en consecuencia.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email protected]:/var/lib/samba/sysvol/

7. Si el proceso de simulación funciona como se esperaba, ejecute el comando rsync nuevamente sin la opción --dry-run para replicar realmente los objetos de GPO en sus controladores de dominio.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email protected]:/var/lib/samba/sysvol/

8. Una vez finalizado el proceso de replicación de SysVol, inicie sesión en el controlador de dominio de destino y enumere el contenido de uno de los directorios de objetos de GPO ejecutando el siguiente comando.

Los mismos objetos de GPO del primer DC también deberían replicarse aquí.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Para automatizar el proceso de replicación de la política de grupo (transporte del directorio sysvol a través de la red), programe un trabajo raíz para ejecutar el comando rsync utilizado anteriormente cada 5 minutos mediante la emisión del siguiente comando.

# crontab -e 

Agregue el comando rsync para que se ejecute cada 5 minutos y dirija la salida del comando, incluidos los errores, al archivo de registro /var/log/sysvol-replication.log. En caso de que algo no funcione como se esperaba, debe consultar este archivo en para solucionar el problema.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email protected]:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Suponiendo que en el futuro habrá algunos problemas relacionados con los permisos de SysVol ACL, puede ejecutar los siguientes comandos para detectar y reparar estos errores.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. En caso de que el primer Samba4 AD DC con función FSMO como "Emulador de PDC" no esté disponible, puede forzar la Consola de administración de políticas de grupo instalada en un sistema Microsoft Windows para que se conecte solo al segundo controlador de dominio eligiendo la opción Cambiar controlador de dominio y manualmente seleccionando la máquina de destino como se ilustra a continuación.

Mientras esté conectado al segundo DC desde la Consola de administración de políticas de grupo, debe evitar realizar modificaciones en la Política de grupo de su dominio. Cuando el primer controlador de dominio vuelva a estar disponible, el comando rsync destruirá todos los cambios realizados en este segundo controlador de dominio.