[samba] Контроллеры Samba AD и синхронизация idmap

[Alex Moskalenko]

Здравствуйте.

Подскажите пожалуйста, как правильно реализовать синхронизацию базы 
idmap между контроллерами домена на Samba? на текущий момент имею 
следующее: домен AD, два контроллера домена dc0 и dc1, dc0 - владелец 
всех FSMO, Rsynс-репликапия sysvol с dc0 на dc1.

При добавлении dc1 в AD вручную скопировал idmap.ldb на с dc0 на dc1. 
UnixID на контроллерах домена совпадали. Но при добавлении в AD новых 
пользователей и групп идентификаторы на контроллерах домена им выдаются 
разные. Из-за этого возникают проблемы в работе групповых политик.

Каким образом правильно синхронизировать idmap.ldb между контроллерами 
домена? При работающей samba просто заменять idmap.ldb, как я понял, 
нельзя. Перезапуск контроллера dc1 при добавлении пользователя для 
копирования idmap.ldb c dc0 - это как-то неправильно. Использовать 
rfc2307 в AD и вручную прописывать uidы и gudы всем пользователям и 
группам очень не хочется.

Как вообще должна работать синхронизация выдаваемых пользователям AD 
Unix ID между контроллерами домена? Может, это у меня что-то неправильно 
работает?