ຕັ້ງຄ່າການ ຈຳ ລອງແບບ SysVol ທົ່ວສອງ Samba4 AD DC ກັບ Rsync - ພາກ 6

ຫົວຂໍ້ນີ້ຈະເວົ້າເຖິງການເຮັດຊ້ ຳ ແບບ SysVol ທົ່ວສອງຕົວຄວບຄຸມໂດເມນຂອງ Samba4 Active Directory Domain Controllers ທີ່ປະຕິບັດໂດຍການຊ່ວຍເຫຼືອຂອງເຄື່ອງມື Linux ທີ່ມີປະສິດທິພາບ ຈຳ ນວນ ໜຶ່ງ, ເຊັ່ນ: SSH protocol.

<

  • ເຂົ້າຮ່ວມ Ubuntu 16.04 ເປັນຜູ້ຄວບຄຸມໂດເມນເພີ່ມເຕີມໃຫ້ກັບ Samba4 AD DC - ສ່ວນທີ 5

    • ຂັ້ນຕອນທີ 1: ການຊິງໂຄສະນາເວລາທີ່ຖືກຕ້ອງທົ່ວ DCs

    1. ກ່ອນທີ່ຈະເລີ່ມຕົ້ນທີ່ຈະລອກແບບເນື້ອໃນຂອງໄດເລກະທໍລີ sysvol ທົ່ວຜູ້ຄວບຄຸມໂດເມນທັງສອງທ່ານຕ້ອງໃຫ້ເວລາທີ່ຖືກຕ້ອງ ສຳ ລັບເຄື່ອງຈັກເຫຼົ່ານີ້.

    ຖ້າຄວາມຊັກຊ້າເກີນ 5 ນາທີທັງໃນທິດທາງແລະໂມງຂອງພວກເຂົາບໍ່ກົງກັບເວລາ, ທ່ານຄວນເລີ່ມປະສົບບັນຫາຕ່າງໆກັບບັນຊີ AD ແລະການ ຈຳ ລອງໂດເມນ.

    ເພື່ອເອົາຊະນະປັນຫາຂອງເວລາພຽງການລອຍລົມລະຫວ່າງສອງຫຼືຫຼາຍກວ່າເຄື່ອງຄວບຄຸມໂດເມນ, ທ່ານ ຈຳ ເປັນຕ້ອງຕິດຕັ້ງແລະ ກຳ ຫນົດຄ່າເຊີຟເວີ NTP ໃນເຄື່ອງຂອງທ່ານໂດຍການປະຕິບັດ ຄຳ ສັ່ງດ້ານລຸ່ມ.

    # apt-get install ntp

    2. ຫລັງຈາກທີ່ NTP daemon ໄດ້ຖືກຕິດຕັ້ງແລ້ວ, ເປີດເອກະສານການຕັ້ງຄ່າຕົ້ນຕໍ, ໃຫ້ ຄຳ ເຫັນກ່ຽວກັບສະລອຍນ້ ຳ ແບບເດີມ (ເພີ່ມ # ຢູ່ທາງ ໜ້າ ຂອງແຕ່ລະສາຍນ້ ຳ) ແລະເພີ່ມສະລອຍນ້ ຳ ໃໝ່ ເຊິ່ງຈະຊີ້ໄປທີ່ຫລັກຂອງ Samba4 AD DC FQDN ທີ່ຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍ NTP. , ຕາມທີ່ໄດ້ແນະ ນຳ ໃນຕົວຢ່າງຂ້າງລຸ່ມນີ້.

    # nano /etc/ntp.conf

    ຕື່ມສາຍຕໍ່ໄປນີ້ໃສ່ແຟ້ມ ntp.conf.

    pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

# Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

    3. ຢ່າປິດແຟ້ມເທື່ອ, ຍ້າຍໄປຢູ່ທາງລຸ່ມຂອງເອກະສານແລະເພີ່ມສາຍຕໍ່ໄປນີ້ເພື່ອໃຫ້ລູກຄ້າຄົນອື່ນສາມາດສອບຖາມແລະຊິ້ງຂໍ້ມູນກັບເຄື່ອງແມ່ຂ່າຍ NTP ນີ້, ອອກໃບສະ ເໜີ ຂໍ NTP ທີ່ເຊັນ, ໃນກໍລະນີປະຖົມ DC ໄປ offline:

    restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

    4. ສຸດທ້າຍ, ບັນທຶກແລະປິດເອກະສານການຕັ້ງຄ່າແລະເລີ່ມ NTP daemon ເພື່ອ ນຳ ໃຊ້ການປ່ຽນແປງ. ລໍຖ້າສອງສາມວິນາທີຫຼືນາທີ ສຳ ລັບເວລາທີ່ຈະປະສານແລະອອກ ຄຳ ສັ່ງ ntpq ເພື່ອພິມສະພາບສະຫຼຸບຂອງ adc1 peer ໃນປະຈຸບັນ.

    # systemctl restart ntp
# ntpq -p

    ຂັ້ນຕອນທີ 2: ການ ຈຳ ລອງແບບ SysVol ກັບ First DC ຜ່ານ Rsync

    ໂດຍຄ່າເລີ່ມຕົ້ນ, Samba4 AD DC ບໍ່ໄດ້ເຮັດແບບຊ້ ຳ ແບບ SysVol ຜ່ານ DFS-R (ການແຈກຈ່າຍແບບ ຈຳ ລອງລະບົບແຟ້ມເອກະສານ) ຫຼື FRS (ບໍລິການ ຈຳ ໜ່າຍ ເອກະສານ).

    ນີ້ຫມາຍຄວາມວ່າວັດຖຸນະໂຍບາຍກຸ່ມແມ່ນມີພຽງແຕ່ຜູ້ຄວບຄຸມໂດເມນທໍາອິດແມ່ນອອນລາຍ. ຖ້າ DC ທຳ ອິດບໍ່ສາມາດໃຊ້ໄດ້, ການຕັ້ງຄ່ານະໂຍບາຍຂອງກຸ່ມແລະສະຄິບ logon ຈະບໍ່ ນຳ ໃຊ້ຕໍ່ໄປໃນເຄື່ອງ Windows ທີ່ລົງທະບຽນເຂົ້າໃນໂດເມນ.

    ເພື່ອເອົາຊະນະອຸປະສັກນີ້ແລະບັນລຸຮູບແບບຫຍໍ້ຂອງການ ຈຳ ລອງແບບ SysVol ພວກເຮົາຈະຈັດຕາຕະລາງການກວດສອບຄວາມປອດໄພ SSH ທີ່ ສຳ ຄັນເພື່ອໂອນວັດຖຸ GPO ຢ່າງປອດໄພຈາກຜູ້ຄວບຄຸມໂດເມນ ທຳ ອິດໄປຫາຜູ້ຄວບຄຸມໂດເມນທີສອງ.

    ວິທີການນີ້ຈະຮັບປະກັນຄວາມສອດຄ່ອງຂອງວັດຖຸ GPO ໃນທົ່ວຜູ້ຄວບຄຸມໂດເມນ, ແຕ່ມັນມີຂໍ້ບົກຜ່ອງອັນໃຫຍ່ຫຼວງ. ມັນເຮັດວຽກພຽງແຕ່ໃນທິດທາງດຽວເພາະວ່າ rsync ຈະໂອນການປ່ຽນແປງທັງ ໝົດ ຈາກແຫຼ່ງ DC ໄປຫາຈຸດ ໝາຍ ປາຍທາງ DC ໃນເວລາທີ່ ກຳ ລັງປັບແຕ່ງໄດເລກະທໍລີ GPO.

    ວັດຖຸທີ່ບໍ່ມີຢູ່ໃນແຫລ່ງອື່ນຈະຖືກລຶບອອກຈາກປາຍທາງເຊັ່ນກັນ. ເພື່ອ ຈຳ ກັດແລະຫລີກລ້ຽງການຂັດແຍ້ງໃດໆ, ການດັດແກ້ GPO ທັງ ໝົດ ຄວນຈະຖືກສ້າງຂື້ນໃນ DC ທຳ ອິດ.

    5. ເພື່ອເລີ່ມຕົ້ນຂັ້ນຕອນການ ຈຳ ລອງແບບ SysVol, ທຳ ອິດໃຫ້ສ້າງຄີ SSH ໃສ່ Samba AD DC ທຳ ອິດແລະໂອນຄີໄປທີ່ DC ທີສອງໂດຍການອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    ຢ່າໃຊ້ passphrase ສຳ ລັບລະຫັດນີ້ເພື່ອໃຫ້ການໂອນຍ້າຍທີ່ ກຳ ນົດຈະ ດຳ ເນີນການໂດຍບໍ່ມີການແຊກແຊງຈາກຜູ້ໃຊ້.

    # ssh-keygen -t RSA  
# ssh-copy-id [email   
# ssh adc2 
# exit

    6. ຫຼັງຈາກທີ່ທ່ານໄດ້ຮັບປະກັນວ່າຜູ້ໃຊ້ຮາກຈາກ DC ທຳ ອິດສາມາດເຂົ້າສູ່ລະບົບ DC ທີສອງໂດຍອັດຕະໂນມັດ, ດຳ ເນີນການ ຄຳ ສັ່ງ Rsync ຕໍ່ໄປນີ້ໂດຍມີຕົວ ກຳ ນົດການ - run-code ເພື່ອເຮັດແບບ ຈຳ ລອງການ ຈຳ ລອງແບບ SysVol. ທົດແທນ adc2 ຕາມຄວາມ ເໝາະ ສົມ.

    # rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

    7. ຖ້າຂັ້ນຕອນການ ຈຳ ລອງເຮັດວຽກຕາມທີ່ຄາດ ໝາຍ, ໃຫ້ ດຳ ເນີນ ຄຳ ສັ່ງ rsync ອີກຄັ້ງໂດຍບໍ່ມີຕົວເລືອກ - ດຳ ເນີນການ ເພື່ອທີ່ຈະ ຈຳ ໜ່າຍ ວັດຖຸ GPO ຢ່າງແທ້ຈິງໃນທົ່ວເຄື່ອງຄວບຄຸມໂດເມນຂອງທ່ານ.

    # rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/

    8. ຫຼັງຈາກຂັ້ນຕອນການ ຈຳ ລອງແບບ SysVol ສຳ ເລັດແລ້ວ, ເຂົ້າສູ່ລະບົບຄວບຄຸມໂດເມນປາຍທາງແລະລົງລາຍຊື່ເນື້ອໃນຂອງ ໜຶ່ງ ໃນໄດເລກະທໍລີວັດຖຸ GPO ໂດຍການແລ່ນ ຄຳ ສັ່ງລຸ່ມນີ້.

    ວັດຖຸ GPO ດຽວກັນຈາກ DC ທຳ ອິດຄວນຖືກ ນຳ ມາໃຊ້ໃນທີ່ນີ້ເຊັ່ນກັນ.

    # ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

    9. ເພື່ອອັດຕະໂນມັດຂະບວນການຂອງການ ຈຳ ລອງແບບນະໂຍບາຍກຸ່ມ (sysvol directory ຂົນສົ່ງຜ່ານເຄືອຂ່າຍ), ຈັດຕາຕະລາງວຽກຮາກເພື່ອ ດຳ ເນີນການ ຄຳ ສັ່ງ rsync ທີ່ໃຊ້ກ່ອນ ໜ້າ ນີ້ທຸກໆ 5 ນາທີໂດຍອອກ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້.

    # crontab -e

    ເພີ່ມ ຄຳ ສັ່ງ rsync ໃຫ້ເຮັດວຽກທຸກໆ 5 ນາທີແລະຊີ້ ນຳ ຜົນຜະລິດຂອງ ຄຳ ສັ່ງ, ລວມທັງຂໍ້ຜິດພາດຕ່າງໆ, ໃສ່ແຟ້ມ log /var/log/sysvol-replication.log. ເພື່ອແກ້ໄຂບັນຫາ.

    */5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ [email :/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

    10. ສົມມຸດວ່າໃນອະນາຄົດຈະມີບາງບັນຫາທີ່ກ່ຽວຂ້ອງກັບສິດອະນຸຍາດຂອງ SysVol ACL, ທ່ານສາມາດ ດຳ ເນີນການ ຄຳ ສັ່ງຕໍ່ໄປນີ້ເພື່ອຈະກວດພົບແລະແກ້ໄຂຂໍ້ຜິດພາດເຫລົ່ານີ້.

    # samba-tool ntacl sysvolcheck
# samba-tool ntacl sysvolreset

    11. ໃນກໍລະນີ Samba4 AD DC ທຳ ອິດທີ່ມີບົດບາດ FSMO ເປັນ "PDC Emulator", ທ່ານສາມາດບັງຄັບໃຫ້ Group Policy Management Console ຕິດຕັ້ງຢູ່ໃນລະບົບ Microsoft Windows ເພື່ອເຊື່ອມຕໍ່ກັບຕົວຄວບຄຸມໂດເມນທີສອງເທົ່ານັ້ນໂດຍເລືອກຕົວເລືອກ Change Domain Controller ແລະດ້ວຍຕົນເອງ ເລືອກເຄື່ອງເປົ້າ ໝາຍ ດັ່ງຮູບຂ້າງລຸ່ມນີ້.

    ໃນຂະນະທີ່ເຊື່ອມຕໍ່ກັບ DC ທີສອງຈາກກຸ່ມນະໂຍບາຍການຄຸ້ມຄອງກຸ່ມ, ທ່ານຄວນຫລີກລ້ຽງການແກ້ໄຂໃດໆຕໍ່ນະໂຍບາຍກຸ່ມໂດເມນຂອງທ່ານ. ໃນເວລາທີ່ DC ທໍາອິດຈະມີອີກເທື່ອຫນຶ່ງ, ຄໍາສັ່ງ rsync ຈະທໍາລາຍການປ່ຽນແປງທັງຫມົດທີ່ເຮັດໃນຕົວຄວບຄຸມໂດເມນທີສອງນີ້.