adminguide_emodzi_nu-laaadno

Платные курсы

C промокодом ADMINGUIDE

emoji AdminGuide - Очень приятно

Бесплатное обучение

Видеоуроки повышенной чёткости

Tuesday, March 19, 2024
adminguide_emodzi_nu-laaadno

Платные курсы

C промокодом ADMINGUIDE

emoji AdminGuide - Очень приятно

Бесплатное обучение

Видеоуроки повышенной чёткости

AdminGuide Patreon

Boosty

Поддержи автора! Стань спонсором.

Главная страница » Репликация SysVol Linux AD-DC. Запуск и проверка.
Репликация SysVol Linux AD-DC. Запуск и проверка

Репликация SysVol Linux AD-DC. Запуск и проверка.

by Belfigor
5 552 views

Преподаю и разрабатываю лекции в Нетологии. Записывайтесь на обучение по моей ссылке.

Чтобы получить скидку 10% используйте промодкод:

ADMINGUIDE

Скидка суммируется со всеми действующими на Нетологии акциями

Репликация SysVol Linux AD-DC необходима для поддержания в актуальном состоянии информации внутри домена. Ранее мы всё подготовили к тому чтобы сейчас произвести запуск репликации. Прогнав все необходимые тесты на этапе настройки репликации, дошли до текущей части инструкции. Просто реплицировать SysVol — с одного контроллера домена на другой — недостаточно. Всегда нужно помнить что есть файл idmap.ldb. В данном файле хранятся ID пользователей и групп. Для корректной работы нам необходимо чтобы эти ID совпадали 1в1 на всех контроллерах домена. К несчастью сам механизм работы idmap.ldb не в состоянии гарантировать этого. Потому необходимо с контроллера домена, владельца FSMO ролей, скопировать этот файл на вводимый в строй дополнительный контроллер домена. Таким образом мы сможем гарантировать что в момент старта, idmap.ldb будет идентичен как у владельца FSMO ролей так и у дополнительного контроллера.

В данный момент мы настраиваем уже работающий контроллер домена. Текущего держателя FSMO ролей. ag-dc-1.adminguide.lan

ВСЕ действия производятся из его же консоли

Встроенные пользователи и группы маппинг

Во-первых необходимо забекапить файл idmap.ldb на ag-dc-1.

sudo tdbbackup -s .bak /var/lib/samba/private/idmap.ldb

Во-вторых скопировать его на второй контроллер ag-dc-2. Все операции мы производим из консоли ag-dc-1, с каждой командой авторизуясь по SSH на ag-dc-2.

sudo scp -P 54322 /var/lib/samba/private/idmap.ldb.bak root@ag-dc-2:/var/lib/samba/private

В-третьих удалить существующий файл idmap.ldb.

sudo ssh -p 54322 root@ag-dc-2.adminguide.lan rm /var/lib/samba/private/idmap.ldb

Потом скопировать на его место новый файл.

sudo ssh -p 54322 root@ag-dc-2.adminguide.lan mv /var/lib/samba/private/idmap.ldb.bak /var/lib/samba/private/idmap.ldb

Репликация SysVol Linux AD-DC — сбрасываем кеш.

sudo ssh -p 54322 root@ag-dc-2.adminguide.lan net cache flush

Далее ещё раз синхронизируем sysvol с ДЦ1

sudo /usr/local/bin/osync.sh /etc/osync/sync.conf --verbose

И наконец сбрасываем acl

sudo ssh -p 54322 root@ag-dc-2.adminguide.lan samba-tool ntacl sysvolreset

Репликация SysVol Linux AD-DC — Запускаем резервный контроллер домена ag-dc-2

Это действие необходимо выполнить на ВВОДИМОМ В СТРОЙ КОНТРОЛЛЕРЕ ДОМЕНА! НЕ ПЕРЕПУТАЙТЕ КОНСОЛИ! Действия совершаются с ag-dc-2!

Всё достаточно просто, будучи НЕ под рутом, используем команду

sudo systemctl unmask samba-ad-dc
sudo systemctl enable samba-ad-dc
sudo reboot -h now

Проверяем что сервис запустился, следующей командой

service samba-ad-dc status

Должно быть active (running)

Репликация SysVol Linux AD-DC — Проверяем что репликация заработала

Данное действие выполняется на всех контроллерах домена.

После того как резервный контроллер домена был запущен командой samba, начинается большая политика. Самбовая реализация KCC нашего контроллера домена, начинает выстраивать с другими контроллерами соглашения относительно репликации. Нам необходимо проверить что все KCC наладили связь. Что репликация каталога работает как надо. Потому применим следующую команду:

sudo samba-tool drs showrepl

Эту команду надо запустить на каждом контроллере домена в сети.

Что мы должны увидеть:

adminguideru@ag-dc-2:~$ sudo samba-tool drs showrepl
Default-First-Site-Name\AG-DC-2
DSA Options: 0x00000001
DSA object GUID: 646dbf42-64fc-4d28-a2b5-3062e78f91c0
DSA invocationId: 98554656-b23c-4a31-8d80-eaa44da53b12
==== INBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ Fri Jan  1 18:48:47 2021 UTC was successful
0 consecutive failure(s).
Last success @ Fri Jan  1 18:48:47 2021 UTC
DC=ForestDnsZones,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ Fri Jan  1 18:48:47 2021 UTC was successful
0 consecutive failure(s).
Last success @ Fri Jan  1 18:48:47 2021 UTC
DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ Fri Jan  1 18:48:47 2021 UTC was successful
0 consecutive failure(s).
Last success @ Fri Jan  1 18:48:47 2021 UTC
DC=DomainDnsZones,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ Fri Jan  1 18:48:47 2021 UTC was successful
0 consecutive failure(s).
Last success @ Fri Jan  1 18:48:47 2021 UTC
CN=Configuration,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ Fri Jan  1 18:48:48 2021 UTC was successful
0 consecutive failure(s).
Last success @ Fri Jan  1 18:48:48 2021 UTC
==== OUTBOUND NEIGHBORS ====
CN=Schema,CN=Configuration,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=ForestDnsZones,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=DomainDnsZones,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
CN=Configuration,DC=adminguide,DC=lan
Default-First-Site-Name\AG-DC-1 via RPC
DSA object GUID: 953d05c6-b395-4b24-93bc-9f2d46ac256d
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
==== KCC CONNECTION OBJECTS ====
Connection --
Connection name: c470466a-8502-4dbd-898c-93054dc854e5
Enabled        : TRUE
Server DNS name : ag-dc-1.adminguide.lan
Server DN name  : CN=NTDS Settings,CN=AG-DC-1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=adminguide,DC=lan
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!

Во-первых установленные связи в следующих разделах

==== INBOUND NEIGHBORS ====
и
==== OUTBOUND NEIGHBORS ====

Соединения отображаются с точки зрения контроллера домена, на котором запускается команда.

Во-вторых в каждом разделе должно быть по 5 пунктов:

CN=Schema,CN=Configuration,DC=adminguide,DC=lan
DC=ForestDnsZones,DC=adminguide,DC=lan
DC=adminguide,DC=lan
DC=DomainDnsZones,DC=adminguide,DC=lan
CN=Configuration,DC=adminguide,DC=lan

Раздел ==== INBOUND NEIGHBORS ====

В пункте Last attempt должны стоять актуальные дата и время, идентичные указанным в строке Last success.
Должно быть 0 consecutive failure(s). Если выключите резервный DC, увидите как на основном начнёт расти этот счётчик, а Last success будет отражать время последней репликации перед выключением второго DC.

Если в разделе ==== INBOUND NEIGHBORS ==== у вас есть записи:

Last attempt @ NTTIME(0) was successful
и
Last success @ NTTIME(0)

Подождите 15, соединение устанавливается :). Если спустя это время всё ещё нет подвижек — пишите, будем разбираться.

Раздел ==== KCC CONNECTION OBJECTS ====

Там должен быть приведён список всех контроллеров домена чьи KCC установили соглашения о репликации с текущим контроллером домена. В случае когда контроллер домена только только был добавлен в домен и запущен, может пройти до 15 минут до того, как соглашения будут установлены.

Warning: No NC replicated for Connection!

Данная ошибка вызвана тем что Samba неверно выставляет некоторые флаги в процессе регистрации DC как участника репликации. Данная ошибка полностью безвредна и потому не должна приниматься во внимание.

Если всё круто — переходим к следующей статье. Если нет — пишите, будем разбираться.

Ещё больше интересного контента в моём блоге в Zen и на моём канале YouTube. Подписывайтесь на канал, ставьте лайки, делайте репосты, это поможет развитию контента проекта AdminGuide.Ru

Text.ru - 100.00%

You may also like

Vkontakte Comments

Default Comments

Добавить комментарий

%d такие блоггеры, как: