本文讲述了通过一些强大的Linux工具,如Rsync数据同步工具,Cron任务调度流程和SSH协议。要求:1.在Ubuntu系统上使用Samba4创建活动目录结构2.在Linux命令行下管理Samba4AD结构3.使用Windows10RSAT工具管理Samba4活动目录结构4.在WindowsServerDNS和组下管理Samba4AD域控策略5.Samba4ADDC中再添加一个UbuntuDC服务器,实现双域控主机模式步骤一:配置DC服务器时间同步1.复制两个域控之间的sysvol目录内容之前,你要确保两台服务器时间设置准确一致。如果两台服务器之间的时间差大于5分钟,并且时钟不同步,您将遇到AD帐户和域复制的各种问题。为了解决多个域控制器之间的时间漂移??问题,需要在服务器上执行以下命令安装配置NTP服务。#apt-getinstallntp2。NTP服务安装完成后,打开主配置文件,注释默认pool值(每行pool参数前加#),添加新的pool值,指向已安装NTP服务器的主Samba4ADDCFQDN,如下所示。#nano/etc/ntp.conf将以下行添加到ntp.conf配置文件中。pool0.ubuntu.pool.ntp.orgiburst#pool1.ubuntu.pool.ntp.orgiburst#pool2.ubuntu.pool.ntp.orgiburst#pool3.ubuntu.pool.ntp.orgiburstpooladc1.tecmint.lan#UseUbuntu的sntpserverasafallback.poolntp。ubuntu.comSamba4配置NTP服务3.先不要关闭这个文件,在文件末尾添加如下内容,允许其他客户端向这个NTP服务器查询同步时间,发送NTP签名请求,防止主DC下线:restrictsourcenotrapnomodifynoquerymssntpntpsigndsocket/var/lib/samba/ntp_signd/4,***,关闭并保存配置文件,然后重启NTP服务以应用更改。等待几分钟时间同步完成,执行ntpq命令打印出adc1的时间同步状态。#systemctlrestartntp#ntpq-p与Samba4AD同步NTP时间第二步:使用rsync命令复制第一台DC服务器上的SysVol目录默认情况下,Samba4ADDC不会通过DFS-R(DistributedFileSystemDistributedFileSystemReplication)或FRS(文件复制服务)来复制SysVol目录。这意味着组策略对象仅在第一个域控制器在线时可用。否则,组策略设置和登录脚本将不会应用于加入域的Windows计算机。为了克服这个障碍,并从根本上实现SysVol目录复制的目的,我们通过执行基于SSH的身份验证并在SSH加密通道上使用Linux同步命令,将GPO对象从第一个域控制器安全地传输到第二个域控制器。域控制器。这种方式可以保证域控制器之间GPO对象的一致性,但也有一个很大的缺点。它只能进行单向同步,因为在同步GPO目录时,rsync命令会把源DC服务器上的所有变化都传送到目标DC服务器上,源DC服务器上不存在的组策略对象也会从目标DC服务器中删除,为了限制和避免任何冲突,所有GPO编辑操作只能在第一台DC服务器上进行。5、要进行SysVol复制,首先要在第一台ADDC服务器上生成一个SSH密钥,然后使用下面的命令将密钥传输到第二台DC服务器上。不要在密钥生成期间设置密码,以便在没有用户干预的情况下进行传输。#ssh-keygen-tRSA#ssh-copy-idroot@adc2#sshadc2#exit在Samba4DC服务器上生成SSHkey6.当你确认root用户可以从第一台DC服务器免密码登录到第二台时ForDC服务器,执行以下带--dry-run参数的rsync命令,模拟SysVol复制过程。注意将相应的参数值替换成自己的数据。#rsync--dry-run-XAavz--chmod=775--delete-after--progress--stats/var/lib/samba/sysvol/root@adc2:/var/lib/samba/sysvol/7,如果为了模拟正常的复制过程,再次执行不带--dry-run参数的rsync命令,以实际复制域控制器之间的GPO对象。#rsync-XAavz--chmod=775--delete-after--progress--stats/var/lib/samba/sysvol/root@adc2:/var/lib/samba/sysvol/Samba4ADDCSysVol副本8,在SysVol复制完成后,登录目标域控制器,执行以下命令列出其中一个GPO对象目录的内容。从第一个DC服务器执行此命令时,列出的GPO对象也应该相同。#ls-alh/var/lib/samba/sysvol/your_domain/Policiers/验证Samba4DCSysVol复制结果是否正常9.为了自动完成组策略复制过程(通过网络传输sysvol目录),可以使用root账号设置一个任务来执行同步命令,如下图,设置为每5分钟执行一次命令。#crontab-e添加一条每5分钟运行一次的同步命令,并将执行结果和错误信息输出到日志文件/var/log/sysvol-replication.log中。如果命令执行异常,可以查看文件定位问题。*/5****rsync-XAavz--chmod=775--delete-after--progress--stats/var/lib/samba/sysvol/root@adc2:/var/lib/samba/sysvol/>/var/日志/sysvol-replication.log2>&110。如果以后SysVolACL权限出现问题,可以使用如下命令检测并修复这些异常。#samba-toolntaclsysvolcheck#samba-toolntaclsysvolreset修复SysVolACL权限问题11.如果第一个Samba4ADDC的FSMO角色,即“PDCEmulator”不可用,可以强制MicrosoftWindows系统上的组策略管理控制台仅通过选择“更改域控制器”选项并手动选择目标计算机来连接到第二个域控制器,如下图所示。更改Samba4域控制器选择Samba4域控制器当您从组策略管理控制台连接到第二个DC服务器时,您应该避免对组策略进行任何更改。否则,当第一台DC服务器恢复时,rsync命令将删除在第二台DC服务器上所做的更改。
