Репликация SysVol Linux AD-DC необходима для поддержания в актуальном состоянии информации внутри домена. Ранее мы всё подготовили к тому чтобы сейчас произвести запуск репликации. Прогнав все необходимые тесты на этапе настройки репликации, дошли до текущей части инструкции. Просто реплицировать SysVol — с одного контроллера домена на другой — недостаточно. Всегда нужно помнить что есть файл idmap.ldb. В данном файле хранятся ID пользователей и групп. Для корректной работы нам необходимо чтобы эти ID совпадали 1в1 на всех контроллерах домена. К несчастью сам механизм работы idmap.ldb не в состоянии гарантировать этого. Потому необходимо с контроллера домена, владельца FSMO ролей, скопировать этот файл на вводимый в строй дополнительный контроллер домена. Таким образом мы сможем гарантировать что в момент старта, idmap.ldb будет идентичен как у владельца FSMO ролей так и у дополнительного контроллера.
В данный момент мы настраиваем уже работающий контроллер домена. Текущего держателя FSMO ролей. ag-dc-1.adminguide.lan
ВСЕ действия производятся из его же консоли
Встроенные пользователи и группы маппинг
Во-первых необходимо забекапить файл idmap.ldb на ag-dc-1.
sudo tdbbackup -s .bak /var/lib/samba/private/idmap.ldb
Во-вторых скопировать его на второй контроллер ag-dc-2. Все операции мы производим из консоли ag-dc-1, с каждой командой авторизуясь по SSH на ag-dc-2.
sudo scp -P 54322 /var/lib/samba/private/idmap.ldb.bak root@ag-dc-2:/var/lib/samba/private
В-третьих удалить существующий файл idmap.ldb.
sudo ssh -p 54322 root@ag-dc-2.adminguide.lan rm /var/lib/samba/private/idmap.ldb
Потом скопировать на его место новый файл.
sudo ssh -p 54322 root@ag-dc-2.adminguide.lan mv /var/lib/samba/private/idmap.ldb.bak /var/lib/samba/private/idmap.ldb
Репликация SysVol Linux AD-DC — сбрасываем кеш.
sudo ssh -p 54322 root@ag-dc-2.adminguide.lan net cache flush
Далее ещё раз синхронизируем sysvol с ДЦ1
sudo /usr/local/bin/osync.sh /etc/osync/sync.conf --verbose
И наконец сбрасываем acl
sudo ssh -p 54322 root@ag-dc-2.adminguide.lan samba-tool ntacl sysvolreset
Репликация SysVol Linux AD-DC — Запускаем резервный контроллер домена ag-dc-2
Это действие необходимо выполнить на ВВОДИМОМ В СТРОЙ КОНТРОЛЛЕРЕ ДОМЕНА! НЕ ПЕРЕПУТАЙТЕ КОНСОЛИ! Действия совершаются с ag-dc-2!
Всё достаточно просто, будучи НЕ под рутом, используем команду
sudo systemctl unmask samba-ad-dc sudo systemctl enable samba-ad-dc sudo reboot -h now
Проверяем что сервис запустился, следующей командой
service samba-ad-dc status
Должно быть active (running)
Репликация SysVol Linux AD-DC — Проверяем что репликация заработала
Данное действие выполняется на всех контроллерах домена.
После того как резервный контроллер домена был запущен командой samba, начинается большая политика. Самбовая реализация KCC нашего контроллера домена, начинает выстраивать с другими контроллерами соглашения относительно репликации. Нам необходимо проверить что все KCC наладили связь. Что репликация каталога работает как надо. Потому применим следующую команду:
sudo samba-tool drs showrepl
Эту команду надо запустить на каждом контроллере домена в сети.
Что мы должны увидеть:
adminguideru@ag-dc-2:~$ sudo samba-tool drs showrepl Default-First-Site-Name\AG-DC-2 DSA Options: 0x00000001 DSA object GUID: 646dbf42-64fc-4d28-a2b5-3062e78f91c0 DSA invocationId: 98554656-b23c-4a31-8d80-eaa44da53b12 ==== INBOUND NEIGHBORS ==== CN=Schema,CN=Configuration,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ Fri Jan 1 18:48:47 2021 UTC was successful 0 consecutive failure(s). Last success @ Fri Jan 1 18:48:47 2021 UTC DC=ForestDnsZones,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ Fri Jan 1 18:48:47 2021 UTC was successful 0 consecutive failure(s). Last success @ Fri Jan 1 18:48:47 2021 UTC DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ Fri Jan 1 18:48:47 2021 UTC was successful 0 consecutive failure(s). Last success @ Fri Jan 1 18:48:47 2021 UTC DC=DomainDnsZones,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ Fri Jan 1 18:48:47 2021 UTC was successful 0 consecutive failure(s). Last success @ Fri Jan 1 18:48:47 2021 UTC CN=Configuration,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ Fri Jan 1 18:48:48 2021 UTC was successful 0 consecutive failure(s). Last success @ Fri Jan 1 18:48:48 2021 UTC ==== OUTBOUND NEIGHBORS ==== CN=Schema,CN=Configuration,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ NTTIME(0) was successful 0 consecutive failure(s). Last success @ NTTIME(0) DC=ForestDnsZones,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ NTTIME(0) was successful 0 consecutive failure(s). Last success @ NTTIME(0) DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ NTTIME(0) was successful 0 consecutive failure(s). Last success @ NTTIME(0) DC=DomainDnsZones,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ NTTIME(0) was successful 0 consecutive failure(s). Last success @ NTTIME(0) CN=Configuration,DC=adminguide,DC=lan Default-First-Site-Name\AG-DC-1 via RPC DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d Last attempt @ NTTIME(0) was successful 0 consecutive failure(s). Last success @ NTTIME(0) ==== KCC CONNECTION OBJECTS ==== Connection -- Connection name: c470466a-8502-4dbd-898c-93054dc854e5 Enabled : TRUE Server DNS name : ag-dc-1.adminguide.lan Server DN name : CN=NTDS Settings,CN=AG-DC-1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adminguide,DC=lan TransportType: RPC options: 0x00000001 Warning: No NC replicated for Connection!
Во-первых установленные связи в следующих разделах
==== INBOUND NEIGHBORS ==== и ==== OUTBOUND NEIGHBORS ====
Соединения отображаются с точки зрения контроллера домена, на котором запускается команда.
Во-вторых в каждом разделе должно быть по 5 пунктов:
CN=Schema,CN=Configuration,DC=adminguide,DC=lan DC=ForestDnsZones,DC=adminguide,DC=lan DC=adminguide,DC=lan DC=DomainDnsZones,DC=adminguide,DC=lan CN=Configuration,DC=adminguide,DC=lan
Раздел ==== INBOUND NEIGHBORS ====
В пункте Last attempt должны стоять актуальные дата и время, идентичные указанным в строке Last success.
Должно быть 0 consecutive failure(s). Если выключите резервный DC, увидите как на основном начнёт расти этот счётчик, а Last success будет отражать время последней репликации перед выключением второго DC.
Если в разделе ==== INBOUND NEIGHBORS ==== у вас есть записи:
Last attempt @ NTTIME(0) was successful и Last success @ NTTIME(0)
Подождите 15, соединение устанавливается :). Если спустя это время всё ещё нет подвижек — пишите, будем разбираться.
Раздел ==== KCC CONNECTION OBJECTS ====
Там должен быть приведён список всех контроллеров домена чьи KCC установили соглашения о репликации с текущим контроллером домена. В случае когда контроллер домена только только был добавлен в домен и запущен, может пройти до 15 минут до того, как соглашения будут установлены.
Warning: No NC replicated for Connection!
Данная ошибка вызвана тем что Samba неверно выставляет некоторые флаги в процессе регистрации DC как участника репликации. Данная ошибка полностью безвредна и потому не должна приниматься во внимание.
Если всё круто — переходим к следующей статье. Если нет — пишите, будем разбираться.
Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru
Vkontakte Comments
Default Comments