Ich bekomme heute zusätzlich die Meldung “Kritisch: Überprüfe Kerberos authentifizierte DNS Updates”
Fehler traten auf bei der Ausführung von kinit oder nsupdate. nsupdate Prüfung für die Domänne beka.lan ist fehlgeschlagen. nsupdate Prüfung für die Domänne beka.lan ist fehlgeschlagen.
Werden die Fehler irgendwo detailierter gespeichert ?
In den Logs habe ich keine Fehler gefunden. Es klappt auch alles.
Ich würde das nur gerne vor dem Update auf 4.2-3 beseitigen.
Danke
Rainer
Es gibt nur einen Server .
Das Kommando liefert keine Ausgabe / Fehler.
“ucr get kerberos/realm” und “echo $(hostname)” liefern korrekte Ergebnisse.
Kinit ohne Argument erfragt das Passwort des Servers.
Danke für die Hilfe.
jein, das ist eine Kombi-Fehlermeldung, die verschiedene Ursachen haben kann. Die häufigere Ursache scheint mir bisher zu sein, dass das Passwort in /etc/machine.secret nicht mehr zum Maschinenaccount passt. Daher der Test mit kinit.
Für dein jetziges Problem habe ich bisher leider noch keine Idee, wie das zu fixen ist.
Wie bekommt man den Maschinenaccount wieder synchron?
Grüße
/thorsten Strusch
Edit:
Das Kennwort aus /etc/machine.secret habe ich genommen und in der UMC am Objekt als Kennwort gesetzt. Daraufhin wurde auch die /etc/krb5.keytab neu geschrieben. Aber der o.g. kinit Befehl schlägt noch immer fehl.
@ Thorsten Strusch Bei dem Problem gibt es doch sicher eine anders lautende Fehlermeldung sowie einen unterschiedlichen Aufbau.
Daher bitte einen eigenen Thread aufmachen. Danke.
Ich habe mal weiter gesucht und folgenden Test gemacht :
samba_dnsupdate --verbose --all-names
UCS1 :
27 DNS updates and 0 DNS deletes needed
Successfully obtained Kerberos ticket to DNS/ucs-1.beka.lan as UCS-1$
update(nsupdate): A ucs-1.beka.lan 192.168.99.1
Calling nsupdate for A ucs-1.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
ucs-1.beka.lan. 900 IN A 192.168.99.1
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
Bei einem 2. Test Server, der allerdings noch keine Clients hat, tritt der Fehler nicht auf .
samba_upgradedns --dns-backend=SAMBA_INTERNAL
Reading domain information
Traceback (most recent call last):
File "/usr/sbin/samba_upgradedns", line 262, in <module>
paths, lp.configfile, lp)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 334, in find_provision_key_parameters
dns_admins_sid = get_dnsadmins_sid(samdb, names.domaindn)
File "/usr/lib/python2.7/dist-packages/samba/provision/sambadns.py", line 69, in get_dnsadmins_sid
attrs=["objectSid"])
_ldb.LdbError: (32, 'No such Base DN: CN=DnsAdmins,CN=Groups,DC=beka,DC=lan')
samba_upgradedns --dns-backend=BIND9_DLZ
Reading domain information
Traceback (most recent call last):
File "/usr/sbin/samba_upgradedns", line 262, in <module>
paths, lp.configfile, lp)
File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 334, in find_provision_key_parameters
dns_admins_sid = get_dnsadmins_sid(samdb, names.domaindn)
File "/usr/lib/python2.7/dist-packages/samba/provision/sambadns.py", line 69, in get_dnsadmins_sid
attrs=["objectSid"])
_ldb.LdbError: (32, 'No such Base DN: CN=DnsAdmins,CN=Groups,DC=beka,DC=lan')
samba_dnsupdate --verbose --all-names
Exclude the following interfaces: docker0
Exclude the following IP addresses: ['172.17.42.1']
IPs: ['192.168.99.1']
force update: A ucs-1.beka.lan 192.168.99.1
force update: A beka.lan 192.168.99.1
force update: SRV _ldap._tcp.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan ucs-1.beka.lan 389
force update: SRV _kerberos._tcp.beka.lan ucs-1.beka.lan 88
force update: SRV _kerberos._udp.beka.lan ucs-1.beka.lan 88
force update: SRV _kerberos._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 88
force update: SRV _kpasswd._tcp.beka.lan ucs-1.beka.lan 464
force update: SRV _kpasswd._udp.beka.lan ucs-1.beka.lan 464
force update: CNAME 85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan ucs-1.beka.lan
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 389
force update: SRV _kerberos._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 88
force update: SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 88
force update: SRV _ldap._tcp.pdc._msdcs.beka.lan ucs-1.beka.lan 389
force update: A gc._msdcs.beka.lan 192.168.99.1
force update: SRV _gc._tcp.beka.lan ucs-1.beka.lan 3268
force update: SRV _ldap._tcp.gc._msdcs.beka.lan ucs-1.beka.lan 3268
force update: SRV _gc._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 3268
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan ucs-1.beka.lan 3268
force update: A DomainDnsZones.beka.lan 192.168.99.1
force update: SRV _ldap._tcp.DomainDnsZones.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan ucs-1.beka.lan 389
force update: A ForestDnsZones.beka.lan 192.168.99.1
force update: SRV _ldap._tcp.ForestDnsZones.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan ucs-1.beka.lan 389
27 DNS updates and 0 DNS deletes needed
Successfully obtained Kerberos ticket to DNS/ucs-1.beka.lan as UCS-1$
update(nsupdate): A ucs-1.beka.lan 192.168.99.1
Calling nsupdate for A ucs-1.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
ucs-1.beka.lan. 900 IN A 192.168.99.1
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A beka.lan 192.168.99.1
Calling nsupdate for A beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
beka.lan. 900 IN A 192.168.99.1
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.dc._msdcs.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._udp.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._udp.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._udp.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.dc._msdcs.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kpasswd._tcp.beka.lan ucs-1.beka.lan 464
Calling nsupdate for SRV _kpasswd._tcp.beka.lan ucs-1.beka.lan 464 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kpasswd._tcp.beka.lan. 900 IN SRV 0 100 464 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kpasswd._udp.beka.lan ucs-1.beka.lan 464
Calling nsupdate for SRV _kpasswd._udp.beka.lan ucs-1.beka.lan 464 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kpasswd._udp.beka.lan. 900 IN SRV 0 100 464 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): CNAME 85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan ucs-1.beka.lan
Calling nsupdate for CNAME 85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan ucs-1.beka.lan (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan. 900 IN CNAME ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.Default-First-Site-Name._sites.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.pdc._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.pdc._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.pdc._msdcs.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A gc._msdcs.beka.lan 192.168.99.1
Calling nsupdate for A gc._msdcs.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
gc._msdcs.beka.lan. 900 IN A 192.168.99.1
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _gc._tcp.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _gc._tcp.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_gc._tcp.beka.lan. 900 IN SRV 0 100 3268 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.gc._msdcs.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _ldap._tcp.gc._msdcs.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.gc._msdcs.beka.lan. 900 IN SRV 0 100 3268 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _gc._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _gc._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_gc._tcp.Default-First-Site-Name._sites.beka.lan. 900 IN SRV 0 100 3268 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan. 900 IN SRV 0 100 3268 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A DomainDnsZones.beka.lan 192.168.99.1
Calling nsupdate for A DomainDnsZones.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
DomainDnsZones.beka.lan. 900 IN A 192.168.99.1
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.DomainDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.DomainDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.DomainDnsZones.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A ForestDnsZones.beka.lan 192.168.99.1
Calling nsupdate for A ForestDnsZones.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
ForestDnsZones.beka.lan. 900 IN A 192.168.99.1
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.ForestDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.ForestDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.ForestDnsZones.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.
response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
Failed update of 27 entries
Systemdiagnose liefert dann auch immer noch den gleichen Fehler.
Ich habe auch noch die Warnung :
Denke aber nicht, dass es da einen Zusammenhang gibt.
Ich werde jetzt mal neue Clients joinen und schauen was passiert.
Danke
No such Base DN: CN=DnsAdmins,CN=Groups,DC=beka,DC=lan
Da fehlt eine wichtige Gruppe. Und auch die S4-Connector-Probleme, die Sie im anderen Post beschreiben, sehen nicht gerade gut aus; auch dort scheinen wichtige Strukturen zu fehlen.
Ich habe das in dem Link beschriebene Verfahren an einem Testserver durchgeführt (copy and paste).
Bis zum Punkt 10 klappt alles (Ausser Punkt 2 ):
rdate ptbtime1.ptb.de
rdate: Could not connect socket: Connection refused
(Datum und Uhrzeit stimmt aber)
Beim Punkt 10 kommt es zu einem Fehler :
ldbedit -H /var/lib/samba/private/sam.ldb CN="RID Set" -b CN="$(ucr get hostname),OU=Domain Controllers,$(ucr get ldap/base)"
no matching records - cannot edit
Danach kommt es zu vielen Fehlern bei der System-Fehlerdiagnose.
Hat jemand eine Idee was da falsch gelaufen sein könnte ?
ja das Problem hatte ich auch in einem Testsystem. Das scheint zu passieren, weil Samba bei Neuinstallation trotz richtig gesetzter UCR-Variable anscheinend nicht neu befüllt wurde.
Ich habe mir dann so geholfen:
Samba & den S4-Connector gestoppt aber nicht deinstalliert, auch geprüft, dass keine Prozesse mehr laufen (ps uaxw|grep smbd), falls doch, diese abschießen
Verzeichnis /var/lib/samba/private löschen (Backup sollte vom initialen Versuch ja noch existieren)
Dateien in /var/lib/univention-connector/s4 löschen, falls vorhanden
In /etc/univention/connector die Dateien s4*.sqlite und locking*.sqlite löschen
In der Datei /var/univention-join/status die zwei Zeilen mit univention-samba4 bzw. univention-s4-connector entfernen, falls vorhanden
Die UCR-Variablen wieder gesetzt: ucr set connector/s4/mapping/group/grouptype='false' connector/s4/mapping/sid_to_s4='true' samba4/provision/primary='true'
Manuell das Script /var/lib/dpkg/info/univention-samba4.postinst configure ausfüren
Manuell das Script /var/lib/dpkg/info/univention-s4-connector.postinst configure ausführen
In der Anleitung mit Schritt 9 weitergemacht
Nach Schritt 7 kann man kurz prüfen, ob die sam.ldb auch wirklich bestückt wurde. Der folgende Befehl sollte viele Einträge liefern: ldbsearch -H /var/lib/samba/private/sam.ldb
Ich hatte zwischenzeitlich nicht gelöscht und weitergemacht. Das hat aber nicht geklappt.
...
Not updating windows/wins-server
Multifile: /etc/samba/smb.conf
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
WARNING: /etc/krb5.keytab not created.
restore_rIDNextRID: Attribute rIDSetReferences not found
Create samba4/sysvol/sync/host
Multifile: /etc/samba/smb.conf
ERROR(runtime): uncaught exception - samdb_domain_sid failed
File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
return self.run(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 210, in run
domain_sid = security.dom_sid(samdb.domain_sid)
File "/usr/lib/python2.7/dist-packages/samba/samdb.py", line 647, in get_domain_sid
return dsdb._samdb_get_domain_sid(self)
Samba4 does not seem to be provisioned, exiting /usr/share/univention-samba4/scripts/setup-dns-in-ucsldap.sh
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN CN=ucs-test,OU=Domain Controllers,DC=BEKA,DC=LANT at block before line 7
Modify failed after processing 0 records
[ ok ] Starting nmbd (via systemctl): nmbd.service.
[ ok ] Starting smbd (via systemctl): smbd.service.
[ ok ] Starting samba-ad-dc (via systemctl): samba-ad-dc.service.
File: /var/lib/samba/private/krb5.conf
Not updating samba4/sysvol/sync/cron
WARNING: cannot append 192.168.99.6 to a, value exists
No modification: zoneName=beka.lant,cn=dns,dc=beka,dc=lant
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
/etc/krb5.keytab does not exist yet, triggering samba4 commit.
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
rm: das Entfernen von „/etc/krb5.keytab“ ist nicht möglich: Datei oder Verzeichnis nicht gefunden
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
WARNING: /etc/krb5.keytab not created.
Object exists: cn=ucs-test.beka.lant,cn=shares,dc=beka,dc=lant
No modification: cn=ucs-test.beka.lant,cn=shares,dc=beka,dc=lant
/etc/krb5.keytab does not exist after initial samba4 start, re-triggering samba4 commit.
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
rm: das Entfernen von „/etc/krb5.keytab“ ist nicht möglich: Datei oder Verzeichnis nicht gefunden
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
WARNING: /etc/krb5.keytab not created.
[ ok ] Stopping samba-ad-dc (via systemctl): samba-ad-dc.service.
[ ok ] Stopping smbd (via systemctl): smbd.service.
[ ok ] Stopping nmbd (via systemctl): nmbd.service.
[ ok ] Starting nmbd (via systemctl): nmbd.service.
[ ok ] Starting smbd (via systemctl): smbd.service.
[ ok ] Starting samba-ad-dc (via systemctl): samba-ad-dc.service.
Object exists: cn=services,cn=univention,dc=beka,dc=lant
Object exists: cn=Samba 4,cn=services,cn=univention,dc=beka,dc=lant
WARNING: cannot append Samba 4 to service, value exists
No modification: cn=ucs-test,cn=dc,cn=computers,dc=beka,dc=lant
2017-12-14 15:42:46.023771796+01:00 (in joinscript_save_current_version)
Joinscript 96univention-samba4.inst finished with exitcode 0
root@ucs-test:~# ldbsearch -H /var/lib/samba/private/sam.ldb
# returned 0 records
# 0 entries
# 0 referrals
Nach Löschen von /var/univention-join/status klappte alles auf dem Testserver.
Ich habe das ganze zwischenzeitlich auf dem Server durchgeführt. Der Test liefert jetzt keinen Fehler mehr.
Vielen Dank für die Hilfe.
Den ersten WIN7 Rechner habe ich wieder in die Domäne gebracht.
Der Zugriff auf das Heimatverzeichzeichniss klappt auch ohne Probleme.
Lediglich beim Zugriff auf die Freigaben erhalte ich den Hinweis, dass das Kennwort ungültig seit und werde erneut aufgefordert Benutzername und Kennwort einzugeben, was aber auch nicht zum Erfolg führt. In den Log finde ich keine Fehlerhinweise.
Hochgradig interessant. Sorry, dass ich da zwischendurch nicht viel weiter geholfen habe — mir gingen schlicht die Ideen aus. Freut mich, dass es jetzt wieder klappt!