Configure la replicación de SysVol en dos Samba4 AD DC con Rsync - Parte 6


Este tema cubrirá la replicación de SysVol en dos Controladores de dominio de Samba4 Active Directory realizada con la ayuda de algunas potentes herramientas de Linux, como la utilidad de sincronización de archivos Rsync, el demonio de planificación Cron y SSH protocolo.

  1. Join Ubuntu 16.04 as Additional Domain Controller to Samba4 AD DC – Part 5

Paso 1: sincronización precisa de tiempo entre los DC

1. Antes de comenzar a replicar el contenido del directorio sysvol en ambos controladores de dominio, debe proporcionar una hora precisa para estas máquinas.

Si el retraso es mayor de 5 minutos en ambas direcciones y sus relojes no están sincronizados correctamente, debe comenzar a experimentar varios problemas con las cuentas de AD y la replicación del dominio.

Para superar el problema de la desviación del tiempo entre dos o más controladores de dominio, debe instalar y configurar el servidor NTP en su máquina ejecutando el siguiente comando.

# apt-get install ntp

2. Una vez que se haya instalado el demonio NTP, abra el archivo de configuración principal, comente los grupos predeterminados (agregue un # al frente de cada línea de grupo) y agregue un grupo nuevo que apuntará al servidor Samba4 AD DC FQDN con el servidor NTP instalado, como se sugiere en el siguiente ejemplo.

# nano /etc/ntp.conf

Agregue las siguientes líneas al archivo ntp.conf .

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Aún no cierre el archivo, muévase al final del archivo y agregue las siguientes líneas para que otros clientes puedan consultar y sincronizar la hora con este servidor NTP, firmando Solicitudes NTP, en caso de que el DC primario se desconecte:

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Finalmente, guarde y cierre el archivo de configuración y reinicie el daemon NTP para aplicar los cambios. Espere unos segundos o minutos para que se sincronice y emita el comando ntpq para imprimir el estado de resumen actual del interlocutor adc1 en sincronización.

# systemctl restart ntp
# ntpq -p

Paso 2: Replicación SysVol con First DC a través de Rsync

De manera predeterminada, Samba4 AD DC no realiza la replicación de SysVol mediante DFS-R ( Replicación del sistema de archivos distribuido ) o el FRS ( Servicio de replicación de archivos ).

Esto significa que los objetos Directiva de grupo están disponibles solo si el primer controlador de dominio está en línea. Si el primer DC no está disponible, la configuración de la Política de grupo y los scripts de inicio de sesión no se aplicarán más en las máquinas Windows inscritas en el dominio.

Para superar este obstáculo y lograr una forma rudimentaria de replicación de SysVol programaremos un comando rsync de Linux combinado con un túnel cifrado SSH con autenticación SSH basada en clave para transferir de forma segura objetos GPO desde el primer controlador de dominio al segundo controlador de dominio.

Este método garantiza la consistencia de los objetos GPO en los controladores de dominio, pero tiene un gran inconveniente. Funciona solo en una dirección porque rsync transferirá todos los cambios del DC de origen al DC de destino al sincronizar los directorios de GPO.

Los objetos que ya no existen en la fuente también se eliminarán del destino. Para limitar y evitar cualquier conflicto, todas las ediciones de GPO deben realizarse solo en el primer DC.

5. Para iniciar el proceso de replicación de SysVol , primero genere una clave SSH en el primer Samba AD DC y transfiera la clave al segundo DC emitiendo los siguientes comandos.

No utilice una frase de contraseña para esta clave para que la transferencia programada se ejecute sin la interferencia del usuario.

# ssh-keygen -t RSA  
# ssh-copy-id [email protected]  
# ssh adc2 
# exit 

6. Una vez que haya asegurado que el usuario root del primer DC puede iniciar sesión automáticamente en el segundo DC , ejecute lo siguiente El comando Rsync con el parámetro --dry-run para simular la replicación de SysVol. Reemplace adc2 en consecuencia.

# rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email protected]:/var/lib/samba/sysvol/

7. Si el proceso de simulación funciona como se esperaba, ejecute nuevamente el comando rsync sin la opción --dry-run para replicar realmente los objetos de GPO en sus controladores de dominio.

# rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email protected]:/var/lib/samba/sysvol/

8. Una vez finalizado el proceso de replicación de SysVol, inicie sesión en el controlador de dominio de destino y enumere los contenidos de uno de los directorios de objetos de GPO ejecutando el siguiente comando.

Los mismos objetos de GPO del primer DC también deberían replicarse aquí.

# ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Para automatizar el proceso de replicación de Directiva de grupo (transporte de directorio sysvol a través de la red), programe un trabajo de raíz para ejecutar el comando rsync que se usa cada 5 minutos antes mando.

# crontab -e 

Agregue el comando rsync para que se ejecute cada 5 minutos y dirija la salida del comando, incluidos los errores, al archivo de registro /var/log/sysvol-replication.log . En caso de que algo no funcione como Se espera que debería consultar este archivo para solucionar el problema.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email protected]:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. Suponiendo que en el futuro habrá algunos problemas relacionados con los permisos de SysVol ACL , puede ejecutar los siguientes comandos para detectar y reparar estos errores.

# samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

11. En caso de que el primer Samba4 AD DC con FSMO como " Emulador de PDC " no esté disponible, puede fuerce la Consola de administración de directivas de grupo instalada en un sistema Microsoft Windows para conectarse solo al segundo controlador de dominio seleccionando la opción Cambiar el controlador de dominio y seleccionando manualmente la máquina de destino como se ilustra a continuación.

Mientras esté conectado al segundo DC de Consola de administración de políticas de grupo , debe evitar realizar modificaciones en su dominio Política de grupo . Cuando el primer DC vuelva a estar disponible, rsync command destruirá todos los cambios realizados en este segundo controlador de dominio.