S4CONNECTOR reject nach Domänenbeitritt von Windows10Client

UCS - Univention Corporate Server
#1

Hallo,

ich beschäftige mich seit einigen Tagen mit UCS um mein Windows AD abzulösen.
Installiert habe ich die neueste Version UCS 4.1-4 errata366

Nun zu meinem Problem:
Wenn ich nach dem erfolgreichen Windows 10 Domänenbeitritt in die Univention Management Console gehe (Web-Oberfläche),
sehe ich das hinzugefügte Device weder unter “Geräte -> Rechner” noch im LDAP-Verzeichnis -> computers.

Dafür bekomme ich nach wenigen Sekunden eine Warnung von Nagios/icinga:
S4CONNECTOR WARNING: Found 23 reject(s)! Please check output of univention-s4connector-list-rejected.

Bisher konnte ich mit 2 Testumgebungen einmal mit VM und einmal mit Hardware den Fehler mit mehreren Windows 10 Pro (1607) Rechner reproduzieren.
Andere Betriebssysteme konnte ich bis jetzt noch nicht testen. (MacOS, Linux)

Die Ausgabe von univention-s4connector-list-rejected ist:

UCS rejected

1:   UCS DN: cn=MIKE,cn=computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483312913.838729

2:   UCS DN: cn=MIKE,cn=Computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483312914.367926

3:   UCS DN: cn=MIKE,cn=computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483312923.110796

4:   UCS DN: cn=MIKE,cn=Computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483312923.688284

5:   UCS DN: cn=MIKE,cn=computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483312988.978851

6:   UCS DN: cn=MIKE,cn=Computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483312989.479949

7:   UCS DN: cn=MIKE,cn=computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483313049.571932

8:   UCS DN: cn=MIKE,cn=Computers,dc=xxx,dc=xxxxxxxx,dc=xx
      S4 DN: <not found>
     Filename: /var/lib/univention-connector/s4/1483313049.984204

S4 rejected

1:    S4 DN: CN=MIKE,CN=Computers,DC=xxx,DC=xxxxxxxx,DC=xx
     UCS DN: <not found>

    last synced USN: 3861

root@xyz:~#

Was mir hier auffällt ist, dass der Hostname in Grossbuchstaben angezeigt wird… Soll das so sein?

Hier noch ein Auszug aus dem connector-s4.log

02.01.2017 00:21:52,251 LDAP (PROCESS): sync to ucs: [windowscomputer] [ add] cn=MIKE,CN=Computers,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 00:21:54,307 LDAP (ERROR ): Unknown Exception during sync_to_ucs
02.01.2017 00:21:54,308 LDAP (ERROR ): Traceback (most recent call last):
File “/usr/lib/pymodules/python2.7/univention/s4connector/init.py”, line 1475, in sync_to_ucs
result = self.add_in_ucs(property_type, object, module, position)
File “/usr/lib/pymodules/python2.7/univention/s4connector/init.py”, line 1262, in add_in_ucs
return ucs_object.create() and self.__modify_custom_attributes(property_type, object, ucs_object, module, position)
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/init.py”, line 305, in create
return self._create()
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/init.py”, line 764, in _create
self._ldap_post_create()
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/computers/windows.py”, line 479, in _ldap_post_create
univention.admin.handlers.simpleComputer._ldap_post_create(self)
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/init.py”, line 2359, in _ldap_post_create
self.update_groups()
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/init.py”, line 2454, in update_groups
groupObject.modify(ignore_license=1)
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/init.py”, line 316, in modify
return self._modify(modify_childs, ignore_license=ignore_license)
File “/usr/lib/pymodules/python2.7/univention/admin/handlers/init.py”, line 810, in _modify
self.lo.modify(self.dn, ml, ignore_license=ignore_license)
File “/usr/lib/pymodules/python2.7/univention/admin/uldap.py”, line 403, in modify
raise univention.admin.uexceptions.ldapError(_err2str(msg), original_exception=msg)
ldapError: Type or value exists: modify/add: uniqueMember: value #0 already exists

02.01.2017 00:21:54,308 LDAP (WARNING): sync to ucs was not successfull, save rejected
02.01.2017 00:21:54,308 LDAP (WARNING): object was: CN=MIKE,CN=Computers,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 00:21:59,555 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] CN=MIKE,CN=Computers,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 00:21:59,557 LDAP (PROCESS): Unable to sync CN=MIKE,CN=Computers,DC=xxx,DC=xxxxxxxx,DC=xx (GUID: 2a865b4e-d6f9-4e43-a319-f994f35ad5d0). The object is currently locked.
02.01.2017 00:21:59,667 LDAP (PROCESS): sync from ucs: [windowscomputer] [ delete] CN=MIKE,CN=Computers,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 00:21:59,669 LDAP (PROCESS): Unable to sync CN=MIKE,CN=Computers,DC=xxx,DC=xxxxxxxx,DC=xx (GUID: 2a865b4e-d6f9-4e43-a319-f994f35ad5d0). The object is currently locked.
02.01.2017 00:22:00,826 LDAP (PROCESS): sync to ucs: [ dns] [ add] relativeDomainName=mike,zoneName=xxx.xxxxxxxx.de,cn=dns,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 00:22:01,360 LDAP (PROCESS): sync to ucs: [windowscomputer] [ add] cn=MIKE,CN=Computers,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 00:22:03,366 LDAP (ERROR ): Unknown Exception during sync_to_ucs
02.01.2017 00:22:03,366 LDAP (ERROR ): Traceback (most recent call last):

UCS 4.1-4 Release Notes:

6.11.2. Univention S4 ConnectorFeedback
The S4 Connector mapping for LDAP attributes is now case insensitive (Bug 42855). https://forge.univention.org/bugzilla/show_bug.cgi?id=42855

Ich denke das ganze könnte was mit dem Bug 42855 zu tun haben…
In den nächsten Tagen werde ich es noch einmal mit der Version 4.1.3 versuchen.

Gruss
Robert

#2

Hallo,

mit der Version 4.1-3 errata360 funktioniert alles einwandfrei.
Saubere S4 Logs. Rechner werden angezeigt. Keine S4 rejected Meldungen

Das mit den Hostnamen in Grossbuchstaben hat zu oben genannten Problem wohl keinen Effekt.
Siehe S4 log:

02.01.2017 12:37:53,107 LDAP (PROCESS): sync to ucs: [windowscomputer] [ add] cn=MIKE,cn=computers,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:37:56,449 LDAP (PROCESS): sync to ucs: [ user] [ modify] uid=administrator,cn=users,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:37:58,91 LDAP (PROCESS): sync to ucs: [ dns] [ add] relativeDomainName=mike,zonename=xxx.xxxxxxxx.xx,cn=dns,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:37:58,688 LDAP (PROCESS): sync to ucs: [ dns] [ modify] zonename=xxx.xxxxxxxx.xx,cn=dns,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:38:00,123 LDAP (PROCESS): sync to ucs: [ dns] [ add] relativeDomainName=33,zonename=1.168.192.in-addr.arpa,cn=dns,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:38:00,588 LDAP (PROCESS): sync to ucs: [ dns] [ modify] relativeDomainName=mike,zonename=xxx.xxxxxxxx.xx,cn=dns,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:38:00,827 LDAP (PROCESS): sync to ucs: [ dns] [ modify] zonename=1.168.192.in-addr.arpa,cn=dns,dc=xxx,dc=xxxxxxxx,dc=xx
02.01.2017 12:38:07,313 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] cn=mike,cn=computers,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:07,411 LDAP (PROCESS): sync from ucs: [windowscomputer] [ modify] cn=mike,cn=computers,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:07,423 LDAP (PROCESS): sync from ucs: [windowscomputer] [ modify] cn=mike,cn=computers,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:07,465 LDAP (PROCESS): sync from ucs: [ dns] [ add] DC=mike,dc=xxx.xxxxxxxx.xx,cn=microsoftdns,dc=domaindnszones,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:07,827 LDAP (PROCESS): sync from ucs: [ dns] [ modify] dc=@,dc=xxx.xxxxxxxx.xx,cn=microsoftdns,dc=domaindnszones,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:07,976 LDAP (PROCESS): sync from ucs: [ dns] [ add] DC=33,dc=1.168.192.in-addr.arpa,cn=microsoftdns,dc=domaindnszones,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:08,294 LDAP (PROCESS): sync from ucs: [ dns] [ modify] dc=@,dc=1.168.192.in-addr.arpa,cn=microsoftdns,dc=domaindnszones,DC=xxx,DC=xxxxxxxx,DC=xx
02.01.2017 12:38:09,477 LDAP (PROCESS): sync to ucs: [windowscomputer] [ modify] cn=mike,cn=computers,dc=xxx,dc=xxxxxxxx,dc=xx

Ich denke es gibt ein Problem mit dem s4connector der Version 4.1-4 errata366 in Verbindung mit Windows 10 Clients. (Oder generell)

Gruß
Robert

#3

Ich habe das gerade versucht nachzustellen mit Win10 und Win7, leider erfolglos. Einen jungfräulichen Client konnte ich ohne Schwierigkeiten joinen, dieser verursachte keinen reject und tauchte im LDAP und unter “Computer” auf - ein generelles Problem scheinen wir hier also nicht zu haben. Ist der Computer MIKE schon in dem UCS gejoint, oder war er es einmal und wurde unvollständig bereinigt? Ist es ggf. möglich den Test mit einem jungfräulichen Windows Client zu wiederholen?

#4

Nachdem ich nun eine gleichlautende Meldung bekommen habe, die ebenfalls auftritt wenn der Computername geändert wird interessiert mich die Ausgabe des folgenden Befehls:

[code]# univention-ldapsearch cn=mike

univention-s4search cn=mike[/code]

Bitte einmal groß geschrieben und einmal klein.

#5

Können Sie bitte prüfen, ob folgender Patch das Problem bei Ihnen behebt? Da es sich nicht um ein Errata-Update handelt, empfehle ich Ihnen den Patch vorher in einer Testumgebung zu prüfen!

[code]# wget --no-check-certificate ‘https://forge.univention.org/bugzilla/attachment.cgi?id=8323’ -O hotfix_43247.patch

patch -p7 -d /usr/share/pyshared/univention/admin/handlers/ <hotfix_43247.patch

/etc/init.d/univention-s4-connector restart[/code]

#6

Erstmal vielen Dank für Ihre Antwort.

Da bisher alles in einer Testphase ist und nichts produktiv läuft, sind alle beschriebenen Systeme komplette (jungfräuliche) Neuinstallationen. USC 4.1.4 / Windows 10 Pro 1607 (14393.576)
Auch der Domänenbetritt war jedesmal jungfräulich. Deshalb konnten da keine Reste gewesen sein.

Hier meine Testumgebung:

  • Windows 10 Clients einmal als VM und 2 mal auf Hardware
  • USC 4.1.4 auf Hardware. (Einmal installiert von DVD und mehrere male mit USB inkl alle updates für OS und Apps)

Meine gestriege Neuinstalltion der UCS mit der Version 4.1.3 ergab:
Keine Fehler mit allen Win10 Clients.
Saubere Logs.
Alles läuft Eindwandfrei!

Aber es ist mir natürlich lieber, mir eine Umgebung aufzubauen die auf der neusten Version läuft.
Dazu werde ich heute die UCS nochmal komplett neu mit der Version 4.1.4 installieren. (Ich möchte absichtlich kein update fahren um die exakte Ausgangssituation wiederherzustellen)

Ich bin bin mir sehr sicher, dass es dann wieder zu den beschriebenen Problemen kommt. (Ist die Erfahrung aus ca. 15 UCS neuinstallation der letzten Tage… )
Auf der frischen 4.1.4 inkl einen Client Domänenbeitritt werde ich dann die von Ihnen beschrieben Befehle absetzen und das Ergebnis hier posten.
Und natürlich den patch einspielen um zu testen ob er greift. Auch das umbennen eines Hostnamen werden ich testen

Nochmals vielen Dank

Bis später

#7

Noch als Referenz der andere Thread von dem ich sprach: [url]S4 connector sync issues 4.1-4] Geben Sie bitte Bescheid ob wir die Probleme damit lösen konnten.

#8

Hallo,

wie ich schon vermutet habe, hat eine Neuinstallation mit 4.1.4 die beschriebenen Probleme wieder.
Der Patch hotfix_43247.patch löste das Problem nicht.

Aber wie ich in dem anderen Thread gelesen habe [url]S4 connector sync issues 4.1-4]
kommt da ja bald ein neuer Patch raus sobald er durch die QA ist.

Nochmals vielen Dank für Ihre Mühe

Gruss
Robert

#9

Hallo,

mit 4.1-4 errata371 funktioniert wieder alles wie erwartet.

Mastodon