Active Directory Synchronisation funktioniert nicht mehr

PBA · May 29, 2019, 9:13am

Hallo zusammen,
wir betreiben folgendes System:
UCS-Version
4.4-0 errata59 (Blumenthal)
UMC-Version
11.0.4-9A~4.4.0.201903141619

Folgende App ist installiert:
Active Directory Connection Version 12.0
ownCloud

Ein Active Directory Domaincontroller steht im gleichen IP Netzwerk
Nach dem Beitritt zur Domäne hat der Sync einwandfrei funktioniert

Seit kurzem scheint dies nicht mehr der Fall zu sein, neue Benutzer tauchen im UCS nicht auf.

Ich bin etwas ratlos wie ich dieses Problem debuggen kann.
Gerne liefer ich alle benötigten Informationen nach.

Wie gehe ich hier am besten vor?

Vielen Dank
Philipp

pider · May 29, 2019, 10:08am

Hallo,

was sagen denn die /var/log/univention/connector-s4.log und connector-s4-status.log ?

Grüße
pider

PBA · May 29, 2019, 10:22am

Hallo pider,

diese logs sind nicht vorhanden.
Aber das connector-status.log sagt folgendes:
Wed May 29 12:20:28 2019
Wed May 29 12:20:30 2019
— connect failed, failure was: —
Traceback (most recent call last):
File “/usr/share/pyshared/univention/connector/ad/main.py”, line 303, in main
connect()
File “/usr/share/pyshared/univention/connector/ad/main.py”, line 191, in connect
baseConfig[’%s/ad/listener/dir’ % CONFIGBASENAME]
File “/usr/lib/pymodules/python2.7/univention/connector/ad/init.py”, line 839, in init
self.open_ad()
File “/usr/lib/pymodules/python2.7/univention/connector/ad/init.py”, line 1038, in open_ad
self.get_kerberos_ticket()
File “/usr/lib/pymodules/python2.7/univention/connector/ad/init.py”, line 1016, in get_kerberos_ticket
raise kerberosAuthenticationFailed(‘The following command failed: “%s” (%s): %s’ % (string.join(cmd_block), p1.returncode, stdout))
kerberosAuthenticationFailed: The following command failed: “kinit --no-addresses --password-file=/etc/machine.secret a-srv02$” (1): kinit: krb5_get_init_creds: Client (a-srv02$@zensiert.LOCAL) unknown

pider · May 29, 2019, 10:35am

Ok, kerberos ist das Problem. Wurde das Administrator Konto auf dem Windows Server geändert ? UCS AD Connector Probleme ggf. führt UCS AD Connector Probleme zur Lösung

Grüße
pider

PBA · June 3, 2019, 10:42am

Das Administrator Konto wurde nicht geändert.

Der extra aufgesetzte DC scheint sich nicht mit dem Master Server zu replizieren.
Ich würde die UCS gerne mit einem anderen DC verbinden. Muss ich hierzu die Active Directory Connection App löschen? Oder kann ich die Verbindung auch manuell anpassen?

pider · June 3, 2019, 11:07am

Du kannst versuchen via UCR-Variablen einen neuen dc zu bestimmen.
Siehe AD-Connector UCR Variables

Grüße
pider

PBA · June 3, 2019, 11:31am

ucr search --brief connector/ad
gibt folgendes aus:

connector/ad/autostart: yes
connector/ad/ldap/base: DC=zensiert,DC=local
connector/ad/ldap/binddn: a-srv02$
connector/ad/ldap/bindpw: /etc/machine.secret
connector/ad/ldap/host: P-SRV01.zensiert.local
connector/ad/ldap/kerberos: true
connector/ad/ldap/port: 389
connector/ad/ldap/ssl: no
connector/ad/listener/dir: /var/lib/univention-connector/ad
connector/ad/mapping/container/ignorelist: mail,kerberos
connector/ad/mapping/group/grouptype: true
connector/ad/mapping/group/ignorelist: Windows Hosts,DC Slave Hosts,DC Backup Hosts,Authenticated Users,World Authority,Everyone,Null Authority,Nobody,Enterprise Domain Controllers,Computers,Remote Interactive Logon,SChannel Authentication,Digest Authentication,Terminal Server User,NTLM Authentication,Other Organization,This Organization,Anonymous Logon,Network Service,Creator Group,Creator Owner,Local Service,Owner Rights,Interactive,Restricted,Network,Service,Dialup,System,Batch,Proxy,IUSR,Self
connector/ad/mapping/group/language: de
connector/ad/mapping/group/primarymail: true
connector/ad/mapping/group/table/Printer-Admins: Druck-Operatoren
connector/ad/mapping/syncmode: read
connector/ad/mapping/user/ignorelist: krbtgt,root,pcpatch
connector/ad/mapping/user/password/kinit: true
connector/ad/mapping/user/primarymail: true
connector/ad/poll/sleep: 5
connector/ad/retryrejected: 10

P-SRV01 habe ich bereits eingetragen, das ist der funktionierende DC

Wie authentifiziert sich die UCS denn am AC? im binddn sollte laut deinem Link der Benutzer drin stehen Dort steht aber die UCS selbst A-SRV02.

pider · June 3, 2019, 12:09pm

Das ist natürlich ein Computerkonto was auf dem neuen dc nich existiert.
Es wird vermutlich einfacher sein auf dem UCS den ad-connector zu deinstallieren, um ihn dann neuzuinstallieren und über den wizard zu konfigurieren. Ich würde nach der deinstallation darauf achten das die ucr variablen nicht gesetzt sind.Nicht das er diese dann zur Konfiguration verwendet.

PBA · June 3, 2019, 12:23pm

Ich habe den connector deinstalliert, die Inhalte der Variablen gelöscht und den Server einmal durchgestartet.

Nach der erneuten Installation des connectors kann ich den Dienst nur starten, nicht aber über einen wizard konfigurieren.

Wie kann ich denn den Wizard aufrufen? Bzw was muss ich löschen/setzen damit dieser automatisch geöffnet wird?

PBA · June 4, 2019, 9:22am

Gibt es eine Möglichkeit die Univention aus der Domäne zu entfernen und neu zu joinen?

PBA · June 4, 2019, 3:28pm

Für den rejoin ins AD haben wir in der Datei:
/usr/share/univention-management-console-frontend/js/umc/modules/adconnector.js
die if Abfrage auskommentiert um den Wizard erneut aufzurufen.

So konnten wir die UCS erneut der Domäne hinzufügen. Nun scheint wieder alles zu funktionieren…