1014      京東網上商城

Samba 係列（六）：使用 Rsync 命令同步兩個 Samba4 AD DC 之間的 SysVol 目錄

需求：

1、在 Ubuntu 係統上使用 Samba4 來創建活動目錄架構

2、在 Linux 命令行下管理 Samba4 AD 架構

3、使用 Windows 10 的 RSAT 工具來管理 Samba4 活動目錄架構

4、在 Windows 下管理 Samba4 AD 域管製器 DNS 和組策略

5、將另一台 Ubuntu DC 服務器加入到 Samba4 AD DC 實現雙域控主機模式

第一步：配置 DC 服務器時間同步

1、在兩個域控製器之間複製 sysvol 目錄的內容之前，你得保證這兩個服務器時間設置準確且一致。

如果這兩個服務器的時間延遲大於 5 分鍾，並且時鍾也不同步，你將會遇到 AD 賬號和域複製的各種問題。

為了解決多個域控製器之間時間漂移的問題，你需要在服務器上執行如下命令來安裝和配置 NTP 服務。

1. # apt-get install ntp

2、在 NTP 服務安裝完成之後，打開主配置文件，把默認的 pool 值注釋（在每行 pool 參數前添加 # ），並且添加新的 pool 值，指向已安裝了 NTP 服務端的主 Samba4 AD DC FQDN，如下所示。

1. # nano /etc/ntp.conf

把下麵幾行添加到 ntp.conf 配置文件。

1. pool 0.ubuntu.pool.ntp.org iburst
2. #pool 1.ubuntu.pool.ntp.org iburst
3. #pool 2.ubuntu.pool.ntp.org iburst
4. #pool 3.ubuntu.pool.ntp.org iburst
5. pool adc1.tecmint.lan
6. # Use Ubuntu's ntp server as a fallback.
7. pool ntp.ubuntu.com

Samba4 配置 NTP 服務

3、先不要關閉該文件，在文件末尾添加如下內容，這是為了讓其它客戶端能夠查詢並與這個 NTP 服務器同步時間，並發出 NTP 簽署請求，以防主 DC 離線：

1. restrict source notrap nomodify noquery mssntp
2. ntpsigndsocket /var/lib/samba/ntp_signd/

4、最後，關閉並保存該配置文件，然後重啟 NTP 服務以應用更改。等待幾分鍾後時間同步完成，執行 ntpq命令打印出 adc1 時間同步情況。

1. # systemctl restart ntp
2. # ntpq -p

與 Samba4 AD 同步 NTP 時間

第二步：通過 Rsync 命令來複製第一個 DC 服務器上的 SysVol 目錄

默認情況下，Samba4 AD DC 不會通過 DFS-R（分布式文件係統複製Distributed File System Replication）或者FRS（文件複製服務File Replication Service）來複製 SysVol 目錄。

這意味著隻有在第一個域控製器聯機時，組策略對象Group Policy objects才可用。否則組策略設置和登錄腳本不會應用到已加入域的 Windosws 機器上。

為了克服這個障礙，以及基本實現 SysVol 目錄複製的目的，我們通過執行一個基於 SSH 的身份認證並使用 SSH 加密通道的Linux 同步命令來從第一個域控製器安全地傳輸 GPO 對象到第二個域控製器。

這種方式能夠確保 GPO 對象在域控製器之間的一致性，但是也有一個很大的缺點。它隻能進行單向同步，因為在同步 GPO 目錄的時候， rsync 命令會從源 DC 服務器傳輸所有的更改到目標 DC 服務器，

源 DC 服務器上不存在的組策略對象也會從目標 DC 服務器上刪除，為了限製並避免任何衝突，所有的 GPO 編輯操作隻能在第一個 DC 服務器上執行。

5、要進行 SysVol 複製，先到第一個 AD DC 服務器上生成 SSH 密鑰，然後使用下麵的命令把該密鑰傳輸到第二個 DC 服務器。

在生成密鑰的過程中不要設置密碼，以便在無用戶幹預的情況下進行傳輸。

1. # ssh-keygen -t RSA
2. # ssh-copy-id root@adc2
3. # ssh adc2
4. # exit

在 Samba4 DC 服務器上生成 SSH 密鑰

6、 當你確認 root 用戶可以從第一個 DC 服務器以免密碼方式登錄到第二個 DC 服務器時，執行下麵的 rsync命令，加上 --dry-run 參數來模擬 SysVol 複製過程。注意把對應的參數值替換成你自己的數據。

1. # rsync --dry-run -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

7、如果模擬複製過程正常，那麼再次執行去掉 --dry-run 參數的 rsync 命令，來真實的在域控製器之間複製 GPO 對象。

1. # rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/

Samba4 AD DC SysVol 複製

8、在 SysVol 複製完成之後，登錄到目標域控製器，然後執行下麵的命令來列出其中一個 GPO 對象目錄的內容。

從第一個 DC 服務器上執行這個命令時，列出的 GPO 對象也要相同。

1. # ls -alh /var/lib/samba/sysvol/your_domain/Policiers/

驗證 Samba4 DC SysVol 複製結果是否正常

9、為了自動完成組策略複製的過程（通過網絡傳輸 sysvol 目錄），你可以使用 root 賬號設置一個任務來執行同步命令，如下所示，設置為每隔 5 分鍾執行一次該命令。

1. # crontab -e

添加一條每隔 5 分鍾運行的同步命令，並把執行結果以及錯誤信息輸出到日誌文件 /var/log/sysvol-replication.log 。如果執行命令異常，你可以查看該文件來定位問題。

1. */5 * * * * rsync -XAavz --chmod=775 --delete-after --progress --stats /var/lib/samba/sysvol/ root@adc2:/var/lib/samba/sysvol/ > /var/log/sysvol-replication.log 2>&1

10、如果以後 SysVol ACL 權限有問題，你可以通過下麵的命令來檢測和修複這些異常。

1. # samba-tool ntacl sysvolcheck
2. # samba-tool ntacl sysvolreset

修複 SysVol ACL 權限問題

11、如果第一個 Samba4 AD DC 的 FSMO 角色，即“PDC 模擬器”不可用，你可以強製 Microsoft Windows係統上的組策略管理控製台隻連接到第二個域控製器，通過選擇更改域控製器選項和手動選擇目標機器，如下圖所示。

更改 Samba4 域控製器

選擇 Samba4 域控製器

當你從組策略管理控製台連接到第二個 DC 服務器時，你應該避免對組策略做任何更改。否則，當第一個 DC 服務器恢複正常後， rsync 命令將會刪除在第二個 DC 服務器上所做的更改。

最後更新：2017-05-23 15:02:55

  上一篇：  幹貨丨喬俊飛：麵向汙水處理過程控製的多目標智能優化方法研究

  下一篇：  Linux 命令行工具使用小貼士及技巧（三）