Configurer la réplication SysVol sur deux Samba4 AD DC avec Rsync - Partie 6

Ajoutez les lignes suivantes au fichier ntp.conf.

pool 0.ubuntu.pool.ntp.org iburst
#pool 1.ubuntu.pool.ntp.org iburst
#pool 2.ubuntu.pool.ntp.org iburst
#pool 3.ubuntu.pool.ntp.org iburst

pool adc1.tecmint.lan

Use Ubuntu's ntp server as a fallback.
pool ntp.ubuntu.com

3. Ne fermez pas encore le fichier, déplacez-vous vers le bas du fichier et ajoutez les lignes suivantes afin que les autres clients puissent interroger et synchroniser l'heure avec ce serveur NTP, en émettant des signatures Requêtes NTP, au cas où le contrôleur de domaine principal serait hors ligne :

restrict source notrap nomodify noquery mssntp
ntpsigndsocket /var/lib/samba/ntp_signd/

4. Enfin, enregistrez et fermez le fichier de configuration et redémarrez le démon NTP afin d'appliquer les modifications. Attendez quelques secondes ou minutes pour que l'heure soit synchronisée et émettez la commande ntpq afin d'imprimer l'état récapitulatif actuel du homologue adc1 synchronisé.

systemctl restart ntp
ntpq -p

Étape 2 : Réplication SysVol avec First DC via Rsync

Par défaut, Samba4 AD DC n'effectue pas de réplication SysVol via DFS-R (Réplication du système de fichiers distribué) ou le FRS (File Replication Service).

Cela signifie que les objets Stratégie de groupe ne sont disponibles que si le premier contrôleur de domaine est en ligne. Si le premier contrôleur de domaine devient indisponible, les paramètres de stratégie de groupe et les scripts de connexion ne s'appliqueront plus aux machines Windows inscrites dans le domaine.

Pour surmonter cet obstacle et réaliser une forme rudimentaire de réplication SysVol, nous planifierons une commande Linux rsync combinée à un tunnel crypté SSH avec authentification SSH par clé afin de transférer en toute sécurité les objets GPO du premier contrôleur de domaine. au deuxième contrôleur de domaine.

Cette méthode garantit la cohérence des objets GPO entre les contrôleurs de domaine, mais présente un énorme inconvénient. Cela ne fonctionne que dans un sens car rsync transférera toutes les modifications du contrôleur de domaine source vers le contrôleur de domaine de destination lors de la synchronisation des répertoires GPO.

Les objets qui n'existent plus sur la source seront également supprimés de la destination. Afin de limiter et d'éviter tout conflit, toutes les modifications de GPO doivent être effectuées uniquement sur le premier DC.

5. Pour démarrer le processus de réplication SysVol, générez d'abord une clé SSH sur le premier Samba AD DC et transférez la clé vers le deuxième DC en émettant les commandes ci-dessous.

N'utilisez pas de phrase secrète pour cette clé afin que le transfert planifié s'exécute sans interférence de l'utilisateur.

ssh-keygen -t RSA  
ssh-copy-id root@adc2  
ssh adc2 
exit 

6. Après vous être assuré que l'utilisateur root du premier DC peut se connecter automatiquement au deuxième DC, exécutez la commande suivante. Commande Rsync avec le paramètre --dry-run afin de simuler la réplication SysVol. Remplacez adc2 en conséquence.

rsync --dry-run -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7. Si le processus de simulation fonctionne comme prévu, exécutez à nouveau la commande rsync sans l'option --dry-run afin de répliquer réellement les objets GPO sur vos contrôleurs de domaine.

rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

8. Une fois le processus de réplication SysVol terminé, connectez-vous au contrôleur de domaine de destination et répertoriez le contenu de l'un des répertoires d'objets GPO en exécutant la commande ci-dessous.

Les mêmes objets GPO du premier DC doivent également être répliqués ici.

ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

9. Pour automatiser le processus de réplication de la stratégie de groupe (transport du répertoire Sysvol sur le réseau), planifiez une tâche racine pour exécuter la commande rsync utilisée précédemment toutes les 5 minutes en exécutant la commande ci-dessous. commande.

crontab -e 

Ajoutez la commande rsync à exécuter toutes les 5 minutes et dirigez la sortie de la commande, y compris les erreurs, vers le fichier journal /var/log/sysvol-replication.log. Au cas où quelque chose ne fonctionnerait pas comme il est prévu que vous consultiez ce fichier afin de résoudre le problème.

*/5 * * * * rsync -XAavz --chmod=775 --delete-after  --progress --stats  /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10. En supposant qu'à l'avenir, il y aura des problèmes liés aux autorisations SysVol ACL, vous pouvez exécuter les commandes suivantes afin de détecter et de réparer ces erreurs.

samba-tool ntacl sysvolcheck
samba-tool ntacl sysvolreset

11. Dans le cas où le premier Samba4 AD DC avec le rôle FSMO en tant que « Émulateur PDC » devient indisponible, vous pouvez forcez la Console de gestion des stratégies de groupe installée sur un système Microsoft Windows à se connecter uniquement au deuxième contrôleur de domaine en choisissant l'option Modifier le contrôleur de domaine et en sélectionnant manuellement la machine cible comme illustré ci-dessous.

Lorsque vous êtes connecté au deuxième DC à partir de la Console de gestion des stratégies de groupe, vous devez éviter d'apporter toute modification à la Stratégie de groupe de votre domaine. Lorsque le premier DC redeviendra disponible, la commande rsync détruira toutes les modifications apportées sur ce deuxième contrôleur de domaine.