Rsync를 사용하여 두 Samba4 AD DC에 SysVol 복제 설정 - 6부
이 주제에서는 Rsync 파일 동기화 유틸리티, Cron 예약 데몬 및 SSH와 같은 몇 가지 강력한 Linux 도구를 사용하여 수행되는 두 개의 Samba4 Active Directory 도메인 컨트롤러 간의 SysVol 복제를 다룹니다. 규약.
요구사항:
- Ubuntu 16.04를 Samba4 AD DC의 추가 도메인 컨트롤러로 참여 – 5부
1단계: DC 간 정확한 시간 동기화
1. 두 도메인 컨트롤러에 걸쳐 sysvol 디렉터리의 내용을 복제하기 전에 이러한 시스템에 대한 정확한 시간을 제공해야 합니다.
양방향에서 지연이 5분 이상이고 시계가 제대로 동기화되지 않은 경우 AD 계정 및 도메인 복제와 관련된 다양한 문제가 발생하기 시작해야 합니다.
두 개 이상의 도메인 컨트롤러 사이의 시간 표류 문제를 극복하려면 아래 명령을 실행하여 컴퓨터에 NTP 서버를 설치하고 구성해야 합니다.
apt-get install ntp
2. NTP 데몬이 설치된 후 기본 구성 파일을 열고 기본 풀에 주석을 달고(각 풀 줄 앞에 # 추가) 새 풀을 추가합니다. 아래 예에서 제안된 것처럼 NTP 서버가 설치된 기본 Samba4 AD DC FQDN을 다시 가리킵니다.
nano /etc/ntp.conf
ntp.conf 파일에 다음 줄을 추가합니다.
pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst
pool adc1.tecmint.lan
Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com
3. 아직 파일을 닫지 말고 파일 맨 아래로 이동하여 다른 클라이언트가 이 NTP 서버와 시간을 쿼리하고 동기화하여 서명된 메시지를 발행할 수 있도록 다음 줄을 추가하세요. 기본 DC가 오프라인이 되는 경우 NTP 요청:
restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/
4. 마지막으로 구성 파일을 저장하고 닫은 후 NTP 데몬을 다시 시작하여 변경 사항을 적용합니다. 동기화된 adc1 피어의 현재 요약 상태를 인쇄하려면 동기화하고 ntpq 명령을 실행할 때까지 몇 초 또는 몇 분 정도 기다리세요.
systemctl restart ntp
ntpq -p
2단계: Rsync를 통한 첫 번째 DC와의 SysVol 복제
기본적으로 Samba4 AD DC는 DFS-R(분산 파일 시스템 복제)을 통해 SysVol 복제를 수행하지 않습니다. 또는 FRS(파일 복제 서비스).
즉, 첫 번째 도메인 컨트롤러가 온라인인 경우에만 그룹 정책 개체를 사용할 수 있습니다. 첫 번째 DC를 사용할 수 없게 되면 도메인에 등록된 Windows 컴퓨터에 그룹 정책 설정 및 로그온 스크립트가 더 이상 적용되지 않습니다.
이러한 장애물을 극복하고 기본적인 형태의 SysVol 복제를 달성하기 위해 첫 번째 도메인 컨트롤러에서 GPO 개체를 안전하게 전송하기 위해 키 기반 SSH 인증을 사용하는 SSH 암호화 터널과 결합된 Linux rsync 명령을 예약합니다. 두 번째 도메인 컨트롤러로.
이 방법은 도메인 컨트롤러 전체에서 GPO 개체 일관성을 보장하지만 한 가지 큰 단점이 있습니다. rsync는 GPO 디렉터리를 동기화할 때 소스 DC의 모든 변경 사항을 대상 DC로 전송하기 때문에 한 방향으로만 작동합니다.
소스에 더 이상 존재하지 않는 개체는 대상에서도 삭제됩니다. 충돌을 제한하고 방지하려면 모든 GPO 편집은 첫 번째 DC에서만 수행되어야 합니다.
5. SysVol 복제 프로세스를 시작하려면 먼저 첫 번째 Samba AD DC에서 SSH 키를 생성하고 아래 명령을 실행하여 키를 두 번째 DC로 전송합니다.
사용자 간섭 없이 예약된 전송을 실행하려면 이 키에 암호를 사용하지 마세요.
ssh-keygen -t RSA
ssh-copy-id root@adc2
ssh adc2
exit
6. 첫 번째 DC의 루트 사용자가 두 번째 DC에 자동으로 로그인할 수 있음을 확인한 후 다음 을 실행합니다. SysVol 복제를 시뮬레이션하기 위해 --dry-run 매개변수가 포함된 Rsync 명령입니다. 이에 따라 adc2를 교체하세요.
rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
7. 시뮬레이션 프로세스가 예상대로 작동하는 경우 --dry-run 옵션 없이 rsync 명령을 다시 실행하여 실제로 도메인 컨트롤러 전체에서 GPO 개체를 복제하세요.
rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/
8. SysVol 복제 프로세스가 완료된 후 대상 도메인 컨트롤러에 로그인하고 아래 명령을 실행하여 GPO 개체 디렉터리 중 하나의 내용을 나열합니다.
첫 번째 DC의 동일한 GPO 개체가 여기에도 복제되어야 합니다.
ls -alh /var/lib/samba/sysvol/your_domain/Policiers/
9. 그룹 정책 복제(네트워크를 통한 sysvol 디렉터리 전송) 프로세스를 자동화하려면 아래 명령을 실행하여 이전에 사용된 rsync 명령을 5분마다 실행하도록 루트 작업을 예약하세요. 명령.
crontab -e
5분마다 실행되도록 rsync 명령을 추가하고 오류를 포함한 명령 출력을 /var/log/sysvol-replication.log 로그 파일에 보냅니다. 문제를 해결하려면 이 파일을 참조해야 할 것으로 예상됩니다.
*/5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1
10. 향후 SysVol ACL 권한과 관련된 몇 가지 관련 문제가 있을 것이라고 가정하면 이러한 오류를 감지하고 복구하기 위해 다음 명령을 실행할 수 있습니다.
samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset
11. PDC 에뮬레이터"로서 FSMO 역할을 가진 첫 번째 Samba4 AD DC를 사용할 수 없는 경우 다음을 수행할 수 있습니다. Microsoft Windows 시스템에 설치된 그룹 정책 관리 콘솔이 도메인 컨트롤러 변경 옵션을 선택하고 아래 그림과 같이 대상 시스템을 수동으로 선택하여 두 번째 도메인 컨트롤러에만 연결하도록 강제합니다.
그룹 정책 관리 콘솔에서 두 번째 DC에 연결되어 있는 동안에는 도메인 그룹 정책을 수정하지 않아야 합니다. 첫 번째 DC 를 다시 사용할 수 있게 되면 rsync 명령은 이 두 번째 도메인 컨트롤러에 적용된 모든 변경 사항을 삭제합니다.