Samba4 nach Update auf Version 4.2-3 errata 265 auf DC-Backup Join failed

sierra-bravo · January 22, 2018, 9:45pm

Guten Abend zusammen,

ich habe in meiner Umgebung 1x UCS als DC Master, 1x UCS als Member-Server der als Mailserver arbeitet und 1x UCS als Backup. Der DC-Master und der Member-Server hängen in einer DMZ und der Backup im lokalen Subnetz. Alle drei laufen als VM auf VMWare ESXi 6.5.
Das hat bis letzte Woche wunderbar funktioniert bis ich das upgrade auf 4.2-3 gemacht habe mit anschließender Aktualisierung der Pakete. Zuerst war der Master nicht mehr erreichbar, was aber wohl damit zu tun hatte das UCS mit dem Update den eigestellten Typ der Virtuellen Netzwerkkarte nicht mehr unterstützt hat. Nach dem ändern und einem Neustart war das behoben.
Danach hatten allerdings der Member-Server und der DC-Backup keine Verbindung mehr zum Master und mussten neu ge-joint werden. Bei dem Member lief diese so durch und danach funktionierte auch wieder der Mailempfang und Versand, allerdings bei dem DC-Backup auf den auch die User Freigaben liegen hatte ebenfalls nach Update auf 4.2-3 das Problem das die Join Scripte 96univention-samba4 und 98univention-samba4-dns mit einem fail beendet werden und der Samba-Dienst gestoppt wird. (Somit kein Zugriff auf die Freigaben)
Ich bin nun mit meinem Latein am Ende. Habe im APP-Center den Active Directory-kompatibler Domänencontroller deinstalliert und hinterher ein apt-get autoremove durchgeführt um auch alles Abhängigkeiten zu deinstallieren um dann hinterher den AD-kompatiblen DC wieder über das App-Center zu installieren und den DC-Backup neu zu joinen. Ich habe auch wie hier beschrieben, die Wiederherstellung einzelner Samba Daten aus dem Backup wiederhergestellt. In der ./join.log ist ein Fehler der ausgibt, dass das Samba backend nicht erreichbar ist. Daher bin ich mir auch nicht mehr sicher ob es an dem DC-Backup oder doch am DC-Master liegt.
Vielleicht sieht hier ja jemand wo das Problem ist. Ich habe mal die letzten Zeilen vom join.log angehängt die die oben beschriebenen Join-Scripte betreffen.

univention-run-join-scripts started
Mo 22. Jan 19:31:58 CET 2018

RUNNING 96univention-samba4.inst
2018-01-22 19:31:58.276049806+01:00 (in joinscript_init)
22.01.18 19:31:59.544  DEBUG_INIT
UNIVENTION_DEBUG_BEGIN  : uldap.__open host=de282790.sierra-bravo.lan port=7389 base=dc=sierra-bravo,dc=lan
UNIVENTION_DEBUG_END    : uldap.__open host=de282790.sierra-bravo.lan port=7389 base=dc=sierra-bravo,dc=lan
Not updating samba4/role
Restarting univention-directory-listener (via systemctl): univention-directory-listener.service.
Multifile: /etc/samba/smb.conf
Stopping samba-ad-dc (via systemctl): samba-ad-dc.service.
Stopping smbd (via systemctl): smbd.service.
Stopping nmbd (via systemctl): nmbd.service.
Object exists: cn=Builtin,dc=sierra-bravo,dc=lan
WARNING: cannot append cn=DC Backup Hosts,cn=groups,dc=sierra-bravo,dc=lan to nestedGroup, value exists
No modification: cn=Enterprise Domain Controllers,cn=groups,dc=sierra-bravo,dc=lan
WARNING: cannot append cn=DE282790S00002,cn=dc,cn=computers,dc=sierra-bravo,dc=lan to hosts, value exists
No modification: cn=Enterprise Domain Controllers,cn=groups,dc=sierra-bravo,dc=lan
Stopping samba-ad-dc (via systemctl): samba-ad-dc.service.
Stopping smbd (via systemctl): smbd.service.
Stopping nmbd (via systemctl): nmbd.service.
Setting kerberos/kdc
Setting kerberos/kpasswdserver
File: /etc/krb5.conf
Setting slapd/port
File: /etc/init.d/slapd
Multifile: /etc/ldap/slapd.conf
Setting slapd/port/ldaps
File: /etc/init.d/slapd
Multifile: /etc/ldap/slapd.conf
Restarting slapd (via systemctl): slapd.serviceWarning: Unit file of slapd.service changed on disk, 'systemctl daemon-reload' recommended.
.
dsdb_schema_from_db() failed: 53:Unwilling to perform: dsdb_schema: failed to search the schema head: Could not verify if Recycle Bin is enabled 

dsdb_get_schema: refresh_fn() failed
schema_load_init: dsdb_get_schema failed
module schema_load initialization failed : Operations error
module dsdb_notification initialization failed : Operations error
module rootdse initialization failed : Operations error
module samba_dsdb initialization failed : Operations error
Unable to load modules for /var/lib/samba/private/sam.ldb: schema_load_init: dsdb_get_schema failed
Failed to connect to /var/lib/samba/private/sam.ldb - schema_load_init: dsdb_get_schema failed
extract_rIDNextRID: Attribute rIDSetReferences not found
Not updating windows/wins-support
Join against S4 Connector server: de282790
Forest           : sierra-bravo.lan
Domain           : sierra-bravo.lan
Netbios domain   : SIERRA-BRAVO
DC name          : de282790.sierra-bravo.lan
DC netbios name  : DE282790
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name
workgroup is SIERRA-BRAVO
realm is sierra-bravo.lan
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[402/1729] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[804/1729] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[1206/1729] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[1608/1729] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[1729/1729] linked_values[140/140]
Partition[DC=sierra-bravo,DC=lan] objects[98/98] linked_values[27/27]
Partition[DC=sierra-bravo,DC=lan] objects[413/315] linked_values[35/35]
Partition[DC=DomainDnsZones,DC=sierra-bravo,DC=lan] objects[89/89] linked_values[0/0]
Failed to apply records: Failed to locally apply remote add of DC=@,DC=41.47.10.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=sierra-bravo,DC=lan: attribute 'dnsRecord': value #1 on 'DC=@,DC=41.47.10.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=sierra-bravo,DC=lan' provided more than once: Operations error
Failed to commit objects: WERR_GEN_FAILURE
Could not find machine account in secrets database: Failed to fetch machine account password for SIERRA-BRAVO from both secrets.ldb (Could not find entry to match filter: '(&(flatname=SIERRA-BRAVO)(objectclass=primaryDomain))' base: 'cn=Primary Domains': No such object: dsdb_search at ../source4/dsdb/common/util.c:4576) and from /var/lib/samba/private/secrets.tdb: NT_STATUS_CANT_ACCESS_DOMAIN_INFO
ERROR(runtime): uncaught exception - (31, "Failed to process 'chunk' of DRS replicated objects: WERR_GEN_FAILURE")
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 668, in run
    keep_existing=keep_existing)
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 1276, in join_DC
    ctx.do_join()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 1184, in do_join
    ctx.join_replicate()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 925, in join_replicate
    replica_flags=ctx.replica_flags)
  File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 258, in replicate
    schema=schema, req_level=req_level, req=req)
Adding CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Adding CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Adding CN=NTDS Settings,CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Adding SPNs to CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Setting account password for DE282790S00002$
Enabling account
Calling bare provision
Provision OK for domain DN DC=sierra-bravo,DC=lan
Starting replication
Replicating critical objects from the base DN of the domain
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=sierra-bravo,DC=lan
Join failed - cleaning up
removing samaccount: CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Deleted CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Deleted CN=NTDS Settings,CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Deleted CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Failed to join against the S4 Connector server de282790.
Forest           : sierra-bravo.lan
Domain           : sierra-bravo.lan
Netbios domain   : SIERRA-BRAVO
DC name          : de282790.sierra-bravo.lan
DC netbios name  : DE282790
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name
Finding a writeable DC for domain 'sierra-bravo.lan'
Found DC de282790.sierra-bravo.lan
workgroup is SIERRA-BRAVO
realm is sierra-bravo.lan
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
A Kerberos configuration suitable for Samba AD has been generated at /var/lib/samba/private/krb5.conf
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[402/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[804/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[1206/1550] linked_values[0/0]
Schema-DN[CN=Schema,CN=Configuration,DC=sierra-bravo,DC=lan] objects[1550/1550] linked_values[0/0]
Analyze and apply schema objects
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[402/1731] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[804/1731] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[1206/1731] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[1608/1731] linked_values[0/1]
Partition[CN=Configuration,DC=sierra-bravo,DC=lan] objects[1731/1731] linked_values[142/142]
Partition[DC=sierra-bravo,DC=lan] objects[98/98] linked_values[27/27]
Partition[DC=sierra-bravo,DC=lan] objects[414/316] linked_values[35/35]
Partition[DC=DomainDnsZones,DC=sierra-bravo,DC=lan] objects[89/89] linked_values[0/0]
Failed to apply records: Failed to locally apply remote add of DC=@,DC=41.47.10.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=sierra-bravo,DC=lan: attribute 'dnsRecord': value #1 on 'DC=@,DC=41.47.10.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=sierra-bravo,DC=lan' provided more than once: Operations error
Failed to commit objects: WERR_GEN_FAILURE
Could not find machine account in secrets database: Failed to fetch machine account password for SIERRA-BRAVO from both secrets.ldb (Could not find entry to match filter: '(&(flatname=SIERRA-BRAVO)(objectclass=primaryDomain))' base: 'cn=Primary Domains': No such object: dsdb_search at ../source4/dsdb/common/util.c:4576) and from /var/lib/samba/private/secrets.tdb: NT_STATUS_CANT_ACCESS_DOMAIN_INFO
ERROR(runtime): uncaught exception - (31, "Failed to process 'chunk' of DRS replicated objects: WERR_GEN_FAILURE")
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/domain.py", line 668, in run
    keep_existing=keep_existing)
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 1276, in join_DC
    ctx.do_join()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 1184, in do_join
    ctx.join_replicate()
  File "/usr/lib/python2.7/dist-packages/samba/join.py", line 925, in join_replicate
    replica_flags=ctx.replica_flags)
  File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 258, in replicate
    schema=schema, req_level=req_level, req=req)
Adding CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Adding CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Adding CN=NTDS Settings,CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Adding SPNs to CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Setting account password for DE282790S00002$
Enabling account
Calling bare provision
Provision OK for domain DN DC=sierra-bravo,DC=lan
Starting replication
Replicating critical objects from the base DN of the domain
Done with always replicated NC (base, config, schema)
Replicating DC=DomainDnsZones,DC=sierra-bravo,DC=lan
Join failed - cleaning up
removing samaccount: CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Deleted CN=DE282790S00002,OU=Domain Controllers,DC=sierra-bravo,DC=lan
Deleted CN=NTDS Settings,CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Deleted CN=DE282790S00002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sierra-bravo,DC=lan
Failed to join the domain sierra-bravo.lan.
EXITCODE=1
RUNNING 98univention-samba4-dns.inst
2018-01-22 19:32:57.121671475+01:00 (in joinscript_init)
Samba4 backend database not available yet, exiting joinscript 98univention-samba4-dns.
EXITCODE=1

Mo 22. Jan 19:32:58 CET 2018
univention-run-join-scripts finished

Vielen Dank schon einmal.

MFG

SB

externa1 · January 22, 2018, 10:54pm

Hast du den mit dem gleichen Namen neu gejoint ?
Falls ja dann musst du den Server zuerst im AD entfernen - das deinstallieren des AD DC aus dem App Center hinterlässt den Server im AD - d.h. du musst mit den RSAT Tools diesen entfernen bevor du ihn wieder neu joinst.

ich denke der Fehler (31, “Failed to process ‘chunk’ of DRS replicated objects: WERR_GEN_FAILURE”) kommt von dem verbleib im AD

Was sagt der Master im reject log ?

lg

Christian

sierra-bravo · January 23, 2018, 5:51pm

Hallo Christian,

vielen Dank für deine Antwort. Bin leider jetzt erst wieder dazu gekommen auf den Server zu gucken um zu schauen wie der join von heute Nacht verlaufen ist, den ich durchgeführt habe nach dem ich wie du beschrieben den DC-Backup nocheinmal auf dem Master gelöscht habe. (Das hatte ich zwar vorher auch schon gemacht aber vielleicht kann dabei ja etwas schief gegangen sein.) Da ich Apple User bin habe ich die RSAT Tools nicht immer zur Hand, aber nachdem ich mein Windows auf dem Mac einmal bemüht hatte, musste ich feststellen, das der DC-Backup gar nicht auftauchte. Dann habe ich mir eben nocheinmal den join.log angeschaut den ich gestern gepostet habe und dabei ist mir aufgefallen das dort eine ReverseLookUpZone auftaucht die nicht zu meinem Netzt gehört. Das hatte ich gestern zwar irgendwie schon gesehen aber bin nicht weiter darauf eingegangen.
Also im join.log stand:

Failed to apply records: Failed to locally apply remote add of **DC=@,DC=41.47.10.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=sierra-bravo,DC=lan: attribute 'dnsRecord': value #1 on 'DC=@,DC=41.47.10.in-**addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=sierra-bravo,DC=lan' provided more than once: Operations error
Failed to commit objects: WERR_GEN_FAILURE

Darauf hatte ich in der UCS Console auf dem Master geschaut un konnte diese da aber nicht finden.
Dann hatte ich auf dem Master noch ein:

univention-s4connector.list-rejected

ausgeführt und da tauschten Sie wieder auf die falsche ReverseLookUpZone. Auch unter Windows mit RSAT DNS-Tool war sie noch zu sehen, ließ sich aber nicht löschen.

Ich habe die Zone dann auf der UCR-Console auf dem Master wieder angelegt. Danach ließ sich sich mit den RSAT Tool löschen stand aber auch nach Aktualisierung der UCR-Console weiter im DNS. Dort abe ich sie dann auch nochmal gelöscht und unter:

root@de282790:/var/lib/univention-connector/s4# ls
backup  tmp
root@de282790:/var/lib/univention-connector/s4# cd backup/
root@de282790:/var/lib/univention-connector/s4/backup# ls
1516723197.936441  1516723269.305819  1516723363.093124  1516725060.442981
root@de282790:/var/lib/univention-connector/s4/backup#

in ein backup-Verzeichnis verschoben.
Danach habe ich den S4-Connector-Dienst neugestartet.
und den Backup-DC wieder vom Master gelöscht und zunächst nur wieder mit einer ActiveDirectory-Verbindung gejoint und im Anschluss dann über das App-Center den ActiveDirectory kompatiblen DomainController wieder installiert. Danach lief der Join dann erfolgreich durch und die Sambafreigaben sind wieder erreichbar.

Daher hat sich das Thema hier zunächst erledigt vielen Dank für die Unterstützung.

lg Sebastian

externa1 · January 23, 2018, 6:56pm

Sehr schön, freut mich das es wieder läuft