Siapkan Replikasi SysVol di Dua Samba4 AD DC dengan Rsync - Bagian 6
Topik ini akan membahas replikasi SysVol di dua Pengontrol Domain Direktori Aktif Samba4 yang dilakukan dengan bantuan beberapa alat Linux yang canggih, seperti utilitas sinkronisasi file Rsync, daemon penjadwalan Cron, dan SSH protokol.
Persyaratan:
- Bergabunglah dengan Ubuntu 16.04 sebagai Pengontrol Domain Tambahan ke Samba4 AD DC – Bagian 5
Langkah 1: Sinkronisasi Waktu Akurat di Seluruh DC
1. Sebelum mulai mereplikasi konten direktori sysvol di kedua pengontrol domain, Anda perlu menyediakan waktu yang akurat untuk mesin ini.
Jika penundaan lebih dari 5 menit pada kedua arah dan jamnya tidak sinkron dengan benar, Anda akan mulai mengalami berbagai masalah dengan akun AD dan replikasi domain.
Untuk mengatasi masalah penyimpangan waktu antara dua atau lebih pengontrol domain, Anda perlu menginstal dan mengkonfigurasi server NTP di mesin Anda dengan menjalankan perintah di bawah ini.
apt-get install ntp
2. Setelah daemon NTP diinstal, buka file konfigurasi utama, beri komentar pada kumpulan default (tambahkan # di depan setiap baris kumpulan) dan tambahkan kumpulan baru yang akan menunjuk kembali ke Samba4 AD DC FQDN utama dengan server NTP terinstal, seperti yang disarankan pada contoh di bawah.
nano /etc/ntp.conf
Tambahkan baris berikut ke file ntp.conf.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. Jangan tutup file dulu, pindah ke bagian bawah file dan tambahkan baris berikut agar klien lain dapat menanyakan dan menyinkronkan waktu dengan server NTP ini, mengeluarkan tanda tangan Permintaan NTP, jika DC utama offline:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. Terakhir, simpan dan tutup file konfigurasi dan mulai ulang daemon NTP untuk menerapkan perubahan. Tunggu beberapa detik atau menit hingga waktu sinkronisasi dan keluarkan perintah ntpq untuk mencetak status ringkasan terkini dari rekan adc1 yang sedang disinkronkan.
systemctl restart ntp
ntpq -p
Langkah 2: Replikasi SysVol dengan DC Pertama melalui Rsync
Secara default, Samba4 AD DC tidak melakukan replikasi SysVol melalui DFS-R (Replikasi Sistem File Terdistribusi) atau FRS (Layanan Replikasi File).
Artinya objek Kebijakan Grup hanya tersedia jika pengontrol domain pertama sedang online. Jika DC pertama tidak tersedia, pengaturan Kebijakan Grup dan skrip masuk tidak akan berlaku lebih lanjut pada mesin Windows yang terdaftar ke domain.
Untuk mengatasi kendala ini dan mencapai bentuk replikasi SysVol yang belum sempurna, kami akan menjadwalkan perintah rsync Linux yang dikombinasikan dengan terowongan terenkripsi SSH dengan autentikasi SSH berbasis kunci untuk mentransfer objek GPO dengan aman dari pengontrol domain pertama ke pengontrol domain kedua.
Metode ini memastikan konsistensi objek GPO di seluruh pengontrol domain, namun memiliki satu kelemahan besar. Ini hanya berfungsi dalam satu arah karena rsync akan mentransfer semua perubahan dari DC sumber ke DC tujuan saat menyinkronkan direktori GPO.
Objek yang sudah tidak ada lagi di sumbernya akan terhapus dari tujuan juga. Untuk membatasi dan menghindari konflik, semua pengeditan GPO harus dilakukan hanya pada DC pertama.
5. Untuk memulai proses replikasi SysVol, pertama-tama buat kunci SSH pada Samba AD DC pertama dan transfer kunci tersebut ke DC kedua dengan mengeluarkan perintah di bawah ini.
Jangan gunakan frasa sandi untuk kunci ini agar transfer terjadwal dapat berjalan tanpa campur tangan pengguna.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. Setelah Anda yakin bahwa pengguna root dari DC pertama dapat login secara otomatis di DC kedua, jalankan berikut Perintah Rsync dengan parameter --dry-run untuk mensimulasikan replikasi SysVol. Ganti adc2 sebagaimana mestinya.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. Jika proses simulasi berjalan seperti yang diharapkan, jalankan kembali perintah rsync tanpa opsi --dry-run untuk benar-benar mereplikasi objek GPO di seluruh pengontrol domain Anda.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. Setelah proses replikasi SysVol selesai, login ke pengontrol domain tujuan dan daftarkan konten salah satu direktori objek GPO dengan menjalankan perintah di bawah ini.
Objek GPO yang sama dari DC pertama juga harus direplikasi di sini.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. Untuk mengotomatiskan proses replikasi Kebijakan Grup (transportasi direktori sysvol melalui jaringan), jadwalkan pekerjaan root untuk menjalankan perintah rsync yang digunakan sebelumnya setiap 5 menit dengan mengeluarkan perintah di bawah ini memerintah.
crontab -e
Tambahkan perintah rsync untuk dijalankan setiap 5 menit dan arahkan keluaran perintah, termasuk kesalahan, ke file log /var/log/sysvol-replication.log .Jika ada sesuatu yang tidak berfungsi sebagai diharapkan Anda harus membaca file ini untuk memecahkan masalah.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. Dengan asumsi bahwa di masa depan akan ada beberapa masalah terkait dengan izin SysVol ACL, Anda dapat menjalankan perintah berikut untuk mendeteksi dan memperbaiki kesalahan ini.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. Jika Samba4 AD DC pertama dengan peran FSMO sebagai “PDC Emulator” tidak tersedia, Anda dapat memaksa Konsol Manajemen Kebijakan Grup yang diinstal pada sistem Microsoft Windows untuk terhubung hanya ke pengontrol domain kedua dengan memilih opsi Ubah Pengontrol Domain dan secara manual memilih mesin target seperti yang diilustrasikan di bawah.
Saat terhubung ke DC kedua dari Konsol Manajemen Kebijakan Grup, Anda harus menghindari melakukan modifikasi apa pun pada Kebijakan Grup domain Anda. Ketika DC pertama tersedia kembali, perintah rsync akan menghancurkan semua perubahan yang dibuat pada pengontrol domain kedua ini.