Anmeldung als Administrator nicht möglich ?!

UCS - Univention Corporate Server
#6

Moin,

Ist das wirklich noch der Fall? Vor einer Woche hat Univention doch gerade erst eine neue AD-Connector-Version herausgebracht, für die auf dem AD auch der Univention-Passwortdienst nicht mehr benötigt habe. Wenn ich den Blog-Post richtig verstanden habe, so ist es seitdem sehr wohl möglich, die Passwörter direkt auszulesen.

Ausprobiert habe ich das selber bisher noch nicht.

@El Muchacho: welche Version des Paketes »univention-ad-connector« ist denn installiert? (siehe »dpkg -l univention-ad-connector«)

LG,
mosu

#7

Das werde ich gleich sagen können, nachdem die Neuinstallation durch ist :wink:
Ich hatte das Gefühl, dass hier irgendwas verbogen ist, da ich mir diese Trägheit des Systems absolut nicht vorstellen konnte …

Melde mich …

#8

Moin,

wenn Sie eh gerade neu installieren, dann lassen Sie auf jeden Fall nach Abschluss der Installation alle verfügbaren Updates einspielen.

Gruß,
mosu

#9

Ob sich dort kürzlich was verändert hat kann ich nicht sagen, vor ein paar Wochen galt aber noch der Ablauf “Login am Univention LDAP -> Univention macht ein Auth per Kerberos am AD um Login zu bestätigen”.

#10

Jetzt gelingt es mir noch nicht einmal, den Server in die Domain aufzunehmen …

#11

Moin,

haben Sie das alte Computerkonto ordentlich gelöscht?

Gruß,
mosu

#12

Konto ist aus dem AD entfernt.
Um DNS-Fehler auszuschließen, habe ich die DNS Einträge in Forward- und Reverse-Zone dieses Mal vorher angelegt.

#13

Moin,

schon probiert, wenn weder Konto noch DNS-Einträge vorhanden sind?

Gruß,
mosu

#14

Versuche ich gleich noch einmal, wenn es nun wieder nicht klappt …

Habe nun auch die DNS Einträge entfernt und DNS restarted …
Keine Änderung …

Ich sehe einen Verbindungsaufbau zum Port 389 auf dem Server und das war’s dannn …
UCS bricht dann mit der o.g. Fehlermeldung “502” ab.

#15

Jetzt habe ich es noch einmal von Grund auf neu gemacht …
Nach der Auswahl Member-Server wird mir der DC korrekt angezeigt.
Ich verwende einen Domain-Admin Account, um UCS in die Domain aufzunehmen.
Klappt nicht …
Diesmal allerdings nicht mit Fehler 502 sondern mit dem hinweis, dass der ssh-login auf dem Windows DC nicht erfolgreich war ?!
“Erneut konfigurieren” klappt nicht, und fertigstellen und den Domainbeitritt manuell über die WebGUI durchzuführen auch nicht.

#16

Moin,

Das ist ein Symptom, das passieren kann, wenn gewisse Einträge im AD-DNS gefunden werden und das Installationsprogramm daher denkt, dass es sich um eine UCS-Domäne und nicht um eine AD-Domäne handelt. Das gleiche ist z.B. diesem User hier passiert. Schauen Sie doch mal nach den DNS-Einträgen, die Herr Gohmann dort benennt, und löschen Sie sie, falls sie existieren.

Wie weiter unten in dem Thread beschrieben kann man aber auch erst mal eine neue UCS-Domäne aufsetzen und später das AD-Connector-Modul installieren und konfigurieren. Der AD-Beitritt muss also nicht direkt bei der Erstinstallation erfolgen.

LG,
mosu

#17

Danke für den Hinweis …
Der Eintrag war tatsächlich vorhanden im DNS!
Direkt unter DNS-SERVER --> Forward-Lookupzonen–> mydomain.lan --> _tcp
Habe ich gelöscht, den DNS neu gestartet und es nach einem reboot von UCS noch einmal versucht … wieder der ssh-Fehler …

Nachdem nun aber auf Seiten des AD und des AD-DNS alles wieder clean ist, wage ich eine erneute Installation :wink:

#18

Was ist hierunter zu verstehen? Wurde Memberserver als UCS-Rolle ausgewählt? Wenn ja, ist dies falsch. Das erste UCS-System muß immer die UCS-Rolle DC Master haben, auch wenn es einer AD-Domäne beitreten soll.

#19

Das Problem scheint wahrlich am DNS gelegen zu haben …
Mir ist gar nicht aufgefallen, dass mir der Beitritt zu einer bestehenden AD-Domain gar nicht aufgeführt war …
Habe stumpf immer den zweiten Eintrag gewählt :wink:
Asche über mein Haupt … und danke für eure Geduld :wink:

#20

Nachdem nun die Installation samt Aufnahme in die Domain geklappt hat, habe ich ZARAFA installiert …
Danach ist kein Login an der UMC mehr möglich …
Der univention-management-console-web-server arbeitet mit 100% CPU …

connector.log zeigt an, dass die maildomain der user nicht zugeordnet werden kann …
Einleuchtend, da der Server zur domain mydomain.lan gehört, die maildomain der zarafa-user aber eine andere ist …

Aber wie füge ich die Maildomain hinzu, wenn ich mich an der UMC nicht anmelden kann ?!

#21

Die übliche Frage – schon einen Reboot ausprobiert?

#22

mehrere …
Nachdem ich dann den ad-connector gestoppt habe, ging die Last wieder runter …
Habe dann den ad-connector wieder gestartet und mich sofort angemeldet … nach einiger Zeit (gefühlt 5 Minuten) war ich dann eingeloggt und konnte die maildomain hinzufügen.

Nichtsdestotrotz stehe ich nun nach einem erneuten reboot wieder am Punkt von gestern … Ich kann mich nicht an der UMC anmelden …
Allerdings steht diesmal im connector.log:

[quote]Failed to lookup AD LDAP base, using UCR value.
[/quote]

Den resync der AD Daten habe ich auch schon probiert … ohne Erfolg …

#23

Stand ist noch immer der gleiche …
Ich kann mich an der UMC nicht anmelden und das connector.log weist noch immer die Einträge auf, dass die Verbindung zum AD nicht hergestellt werden kann …

Ich habe das aber schon richtig verstanden im Handbuch, dass ich auf Windows Seite nichts installieren muss, wenn ich nur den Member-Mode fahren will ?!

#24

Moin,

mit aktuellem Softwarestand dürften Sie in der Tat nichts weiter unter Windows installieren müssen, wie ich auf Seite 1 schon mal gesagt habe.

Leider habe ich keine Idee, wie man dieser großen Verzögerung gut beikommen kann. Sie können noch mal versuchen, das Loglevel der UMC hochzusetzen:

ucr set umc/server/debug/level=10 service univention-management-console-server restart service univention-management-console-web-server restart

Anschließend die Anmeldung als User »administrator« mit dem Passwort des gleichnamigen Windows-Domänen-Accounts probieren und die Logdateien »/var/log/univention/management-console-server.log« und »…/management-console-web-server.log« hier anhängen (zumindest die Teile ab dem Zeitpunkt des Neustarts).

LG,
mosu

#25

Momentan bin ich wieder bei der drölften Neuinstallation, nachdem ich zuvor auf dem WIN-DC das Computerkonto und die DNS-Einträge inkl. des _domainmaster-Eintrags gelöscht und den DNS neu gestartet habe …

Ich fahre die Variante mit manuellen Netzwerk-Einstellungen.
Als ersten DNS trage ich immer den AD-DNS ein, danach den Router.
Die Installation läuft sauber durch.
Dann wähle ich "Einer bestehenden Active-Directory-Domäne beitreten.
Der Installer schlägt mir dann meinen DC und den Account Administrator vor.
Das ergänze ich mit dem passenden Domain-Kennwort und bestätige mit “Weiter” …
Dann rappelt die “Sanduhr” … gefühlt fast 10 Minuten … bis die Fehlermeldung kommt:
“Ein unbekannter Fehler mit Status-Code 502 trat während des Verbindungsaufbaus zum Server auf.”

Morgen geht’s weiter …

Mastodon