LDAP Struktur nicht synchron zwischen UMC und Windows

Guten Tag,

wir setzen einen UCS als Domain Controller mit Samba 4 in der aktuellen Version 3.1.1 und aktuellem Errata 193 (Stand: 03.11.2013) ein.
Es gibt keine weiteren Windows Server im Netzwerk, aber dafür einen Windows Client mit installiertem Gruppenrichtlinien-Management-Tool über den die hauptsächliche Administration in Bezug auf die Struktur und GPOs erfolgt.

Nun habe ich erstmals Differenzen zwischen der UMC und der Windows-Welt festgestellt. Das was in der Windows-Welt steht wird soweit von allen Windows Clients auch umgesetzt, und auch Änderungen an GPOs oder der Struktur / Vererbung werden umgesetzt. Mir scheint es so, als dass die UMC da was nicht mitbekommen hat. Gerade was Umbenennungen oder das Verschieben von Elementen betrifft. Aber auch das Anlegen von Objekten scheint aktuell nicht in die UMC übernommen zu werden. Die OU “test Softwareverteilung” wurde z.B. erst gestern in der Windows Gruppenrichtlinienverwaltung angelegt. Ist aber in der UMC überhaupt nicht vorhanden.

Hat jemand eine Idee oder einen Ansatz für mich, warum das so ist? Gerne stelle ich weitere Informationen zur Verfügung.

Vielen Dank!

Julian Hamborg

Hallo,

bei Differenzen zwischen der AD- und der UMC-Sicht, empfiehlt es sich, “univention-s4connector-list-rejected” zu befragen (detaillierte Informationen in Analysing UCS AD Connector errors).

Vom Fehlerbild her könnte hier [bug]31994[/bug] zutreffen.

Viele Grüße,
Dirk Ahrnke

Hallo hier der Output von den Befehlen, die Aussagen sollen, was die Ursache sein könnte…
Kann es sein, dass das Problem darin besteht das der Base-DN der UCS LDAP Basis: “dc=artstage,dc=local” (auf diese ist der Server Lizensiert) nicht mit der Domäne “dc=artstage,dc=dyndns,dc=org” übereinstimmt?

Was kann ich tun, um das Problem zu beheben?

root@ucs:~# cat /var/log/univention/connector-s4-status.log[code]Sun Nov 17 23:01:58 2013

try to sync 2 changes from UCS
done: 1 2
Changes from UCS: 0 (2 saved rejected)

try to sync 3 changes from S4
done: (1) (2) (3)
Changes from S4: 0 (33 saved rejected)
--------------------------------------[/code]

root@ucs:~# univention-s4connector-list-rejected [code]UCS rejected

1:   UCS DN: relativeDomainName=vmc2,zoneName=artstage.dyndns.org,cn=dns,dc=artstage,dc=local
      S4 DN: relativedomainname=vmc2,zonename=artstage.dyndns.org,cn=microsoftdns,cn=system,dc=artstage,dc=dyndns,dc=org
     Filename: /var/lib/univention-connector/s4/1369943293.186890

2:   UCS DN: cn=vmc1,ou=lokales Profil,ou=computer,ou=artstage,dc=artstage,dc=local
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1370008336.105097

S4 rejected

1:    S4 DN: OU=2 Mitarbeiter,OU=Allgemein,OU=gruppen,OU=artstage,DC=artstage,DC=dyndns,DC=org
     UCS DN: <not found>
2:    S4 DN: cn={1CA1B38F-94ED-47A2-9519-7DDA44E4AEDD},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: cn={1ca1b38f-94ed-47a2-9519-7dda44e4aedd},cn=policies,cn=system,dc=artstage,dc=local
3:    S4 DN: cn={573E72BA-6780-48C0-B572-3BA386A02A0A},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: cn={573e72ba-6780-48c0-b572-3ba386a02a0a},cn=policies,cn=system,dc=artstage,dc=local
4:    S4 DN: CN=Machine,CN={1D4290E0-918E-4D94-85DD-324B2659F431},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: <not found>
5:    S4 DN: CN=User,CN={1D4290E0-918E-4D94-85DD-324B2659F431},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: <not found>
6:    S4 DN: CN=User,CN={B92B9F38-47AB-4E94-84CF-D7A457A7B675},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: <not found>
7:    S4 DN: cn={B92B9F38-47AB-4E94-84CF-D7A457A7B675},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: cn={b92b9f38-47ab-4e94-84cf-d7a457a7b675},cn=policies,cn=system,dc=artstage,dc=local
8:    S4 DN: CN=User,CN={494FA350-225C-4F67-A1E4-9364EB7E90BF},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: <not found>
9:    S4 DN: cn={494FA350-225C-4F67-A1E4-9364EB7E90BF},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
     UCS DN: cn={494fa350-225c-4f67-a1e4-9364eb7e90bf},cn=policies,cn=system,dc=artstage,dc=local

10: S4 DN: cn={32F64D68-8809-4CBB-A802-EE4E1C521ECB},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN: cn={32f64d68-8809-4cbb-a802-ee4e1c521ecb},cn=policies,cn=system,dc=artstage,dc=local
11: S4 DN: cn={1A46ACC1-42EF-42F9-8109-67254B7E140B},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN: cn={1a46acc1-42ef-42f9-8109-67254b7e140b},cn=policies,cn=system,dc=artstage,dc=local
12: S4 DN: cn={494fa350-225c-4f67-a1e4-9364eb7e90bf},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN: cn={494fa350-225c-4f67-a1e4-9364eb7e90bf},cn=policies,cn=system,dc=artstage,dc=local
13: S4 DN: cn={b92b9f38-47ab-4e94-84cf-d7a457a7b675},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN: cn={b92b9f38-47ab-4e94-84cf-d7a457a7b675},cn=policies,cn=system,dc=artstage,dc=local
14: S4 DN: cn={E808C7A1-C14D-40D9-AC2F-0B880D0AD4ED},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN: cn={e808c7a1-c14d-40d9-ac2f-0b880d0ad4ed},cn=policies,cn=system,dc=artstage,dc=local
15: S4 DN: CN=Machine,CN={012302B3-D75B-43B3-9B71-93AF5BA35C6B},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN:
16: S4 DN: CN=User,CN={012302B3-D75B-43B3-9B71-93AF5BA35C6B},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN:
17: S4 DN: OU=nur lokale Profile,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
18: S4 DN: cn={8D998543-5351-41FA-967A-688454C89F75},CN=Policies,CN=System,DC=artstage,DC=dyndns,DC=org
UCS DN: cn={8d998543-5351-41fa-967a-688454c89f75},cn=policies,cn=system,dc=artstage,dc=local
19: S4 DN: OU=nur lokale Profile,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
20: S4 DN: OU=test Softwareverteilung,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
21: S4 DN: OU=test Softwareverteilung,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
22: S4 DN: CN=lpc3,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
23: S4 DN: CN=dpc1,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
24: S4 DN: CN=vmc2,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
25: S4 DN: CN=lpc4,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
26: S4 DN: CN=lpc2,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
27: S4 DN: CN=lpc1,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
28: S4 DN: CN=dpc3,OU=feste Arbeitspl###e,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
29: S4 DN: OU=feste Arbeitsplaetze,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
30: S4 DN: OU=3 Mitarbeiter GF,OU=Allgemein,OU=gruppen,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
31: S4 DN: OU=4 GF,OU=Allgemein,OU=gruppen,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:
32: S4 DN: CN=vmprobackup,CN=Computers,DC=artstage,DC=dyndns,DC=org
UCS DN: cn=vmprobackup,cn=computers,dc=artstage,dc=local
33: S4 DN: CN=dpc2,OU=feste Arbeitsplaetze,OU=computer,OU=artstage,DC=artstage,DC=dyndns,DC=org
UCS DN:

    last synced USN: 6626[/code]

Vielen Dank für Ihre Antwort!
edit_connector-s4.log (42.7 KB)

Hier die Ausgabe aus der Registry mit Variablen, die etwas mit der Struktur zu tun haben könnten…

Alles klar! Dann erwarten wir hoffnungsvoll Version 3.2.
Dieser Thread kann geschlossen werden.

Das dürfte eine kurze Wartezeit sein.
Univention Corporate Server 3.2 veröffentlicht

Ich hab mir die hier abgelegten Logs noch mal angesehen und fürchte, dass auch UCS 3.2 an dem Problem nichts ändern wird.
Nebenbei ist es fraglich, wie es überhaupt zu dieser Aussage kommt.

Noch fraglicher ist, wie es überhaupt sein kann, dass samba4/ldap/base und ldap/base abweichen. Ohne manuelle Intervention geht das wohl eher nicht. In der Tat ist die Ursache sehr wahrscheinlich hier zu suchen.

Viele Grüße,
Dirk Ahrnke