AD Connector: Join funktioniert nicht

thosl · August 29, 2017, 11:45am

Ich versuche für Tests einen UCS - DC mit einem Windows - SBS zu verbinden (Handbuch 9.4.2).

Das schlägt fehl (ohne qualifizierte Fehlermeldung: falsches Kennwort und den Fehler wiederhohlen muß auch nicht sein).
Aber die well-known Groups wurden umbenannt (connector.log) und sind auch im LDAP zu sehen.

In Log-Dateien smb und wb-DOM Servername not found ; steht im AD aber drin und läßt sich auch anpingen.
In ad-conn-cert: unable to write random State ; aber Data Base updated.
In check_join_status.log: Mehrfach: Joined successfully.

Thomas Schlegel

takang · September 7, 2017, 12:55pm

Guten Tag Herr Schlegel,
wann haben Sie versucht zu verbinden? Bei Installation oder nach der Installation?.
Sie müssen auch sicher sein das die beide (UCS und Windows DC) gehören zu der gleichen Domain (d.h hat derselben DNS Eintrag).
Ich glaube Sie meinte Handbuch 9.3.2 und 9.3.3

Mit freundlichen Grüßen

Anna Takang

thosl · September 7, 2017, 1:29pm

Ich habe beide Varianten probiert. Hier beziehe ich mich auf die Variante nach der Installation.
Beide Domain - Endungen heißen gleich.

scheinig · September 11, 2017, 9:26am

Hallo Herr Schlegel,

mit welcher UCS-Version versuchen Sie Ihre Tests?

univention-app info

Das verstehe ich leider nicht, was genau meinen Sie mit ohne qualifizierte Fehlermeldung? “Falsches Kennwort” sagt doch schon mal etwas? Wie ist “Fehler wiederhohlen muß auch nicht sein” zu verstehen?

Ohne konkrete Fehlermeldungen aus den Logfiles ist es leider schwierig hier eine hilfreiche Unterstützung zu geben.
Können Sie vielleicht fürs erste das join.log, das connector.log, das listener.log und das samba.log zur Verfügung stellen? (Sie können das auch gerne auf unseren Upload Server hochladen und nur die ID hier posten)

/var/log/univention/listener.log
/var/log/univention/join.log
/var/log/univention/connector.log
/var/log/samba/log.samba

takang · September 11, 2017, 9:51am

und auch das

/var/log/univention/management-console-module-adconnector.log

thosl · September 13, 2017, 8:20am

Den ersten Test habe ich mit Version 4.2-1 gemacht. Kennwort falsch als einzige Fehlermeldung bei Kennwort richtig (log: join succesful) halte ich für unqualifiziert. Erneut beitreten führt ohne Beseitigung der Ursachen zur selben Fehlermeldung.

Mit 4.2-2 kommt jetzt wenigstens die bessere Fehlermeldung: join-Script 26univention-samba.inst failed.
upload_jNdXSp.asc
upload_4cnsuL.asc
upload_ur166g.asc
upload_pcLp2f.asc
upload_HaOxIs.asc

takang · September 19, 2017, 3:03pm

Hallo,

danke für die Logfiles. Leider fehlt die Ursache für das fehlgeschlagene Script. Sie können das joinscript nochmal ausführen auf die Konsole bspw:

univention-run-join-scripts

Mit freundlichen Grüßen

Anna Takang

thosl · September 20, 2017, 9:39am

Nach einem upgrade ist immer noch ein join - Script fehlerhaft.
upload_8rNRlt.asc
Mein SBServer hat da sicher ein Defizit. Aber welches?

Gohmann · September 28, 2017, 1:43pm

Was liefert der folgende Befehl als root auf der Kommandozeile für eine Ausgabe?

ucr get samba/domain/security

Sofern dort nicht ads zurückkommt, bitte einmal folgendes ausprobieren:

ucr set samba/domain/security=ads
univention-run-join-scripts

thosl · October 6, 2017, 1:41pm

Die Einstellung der Variable war security=domain. Nach Umstellen auf ads und einem Update auf Errata 189 hat sich an der Fehlersituation nichts geänert. Logdatei: upload_tsRe8R.asc

botner · November 1, 2017, 9:40am

Hallo,

ich muss doch nochmal nachfragen, 9.4.2 ist das Kapitel " Univention AD Takeover", also die Übernahme der AD Domäne nach UCS (wobei das dann AD abgeschaltet wird). Dann gibt es noch 9.3.2. “UCS als Mitglied einer Active Directory-Domäne”. Vom Inhalt her würde ich jetzt vermuten es geht um diesen “Member Mode”.
Ist das richtig?
Das ganze wurde über das UMC-Modul “Active Directory-Verbindung” und dort “UCS als Teil einer AD-Domäne konfigurieren” konfiguriert?

Das ist nicht gut. Bei der Initialisierung des “Member Mode” wird normalerweise die UCR Variable ad/member auf true gesetzt und das 26univention-samba.inst Join-Skript setzt in diesem Fall dann samba/domain/security=ads. Da ist also schon vor 26univention-samba.inst etwas schief gegangen.
Wie sind die UCR Variablen ad/member und connector/ad/mapping/user/password/kinit gesetzt? (ucr get ad/member …)

Ich habe in den logs das /var/log/univention/management-console-module-adconnector.log jetzt leider nicht gefunden, könnten Sie das nochmal schicken?

VG
Felix

thosl · November 2, 2017, 11:19am

Ich teste mehrere Varianten zur Ablösung eines MS SBServers. Hier Vorbereitung für das Takeover.
Eine frische Installation von UCS als DC mit gleichem Domain - Namen wie der SBS.
Installiert Samba + AD Connector. Errata heute aktualisiert auf 209.
Das Log-File: upload_4hQ7hq.asc connector/ad/mapping/user/password/kinit = true
Eine Variable ad/member in verschiedenen Kombinationen ist nicht zu finden.

botner · November 2, 2017, 6:28pm

Es scheitert beim Join des univention-samba Paketes. Danach sind die UCR Variable wie ad/member auch wieder weg, da das UMC Modul bei einem gescheiterten Join wieder aufräumt.

Konkrete Fehlermeldung ist:

setting idmap secret for '*' from /etc/machine.secret
Secret stored
Restarting samba (via systemctl): samba.service.
Permission denied.

Ich glaube das Permission denied bezieht sich auf einen UDM Befehl, der das Maschinen-Konto des UCS Rechners anpassen will. Dabei wird der UMC-Benutzer verwendet. Mit welchem Benutzer haben Sie das Takeover UMC Modul gestartet?

VG
Felix

thosl · November 3, 2017, 1:16pm

Ich habe keine zusätlichen Benutzer angelegt (bis jetzt). Nach meinem Verständnis müssen Systemdienste (und Apps) zumindest bei start und Konfiguration unter root laufen.
Ich sehe auch keine Möglichkeit da andere Benuzerkonten zu konfigurieren.
Wo soll ich nachschauen?

ThoSl

botner · November 6, 2017, 9:40am

Hi,

das Takeover wird ja über das entsprechende UMC Module gestartet. Dafür muss man sich eigentlich als Administrator an der UMC anmelden, das univention-samba Join Skript bekommt dann diese Credentials übergeben und kann damit Änderungen an der Domäne machen.

Wie wurde das UCS System installiert und wie der Takeover gestartet. Normalerweise braucht man nur ein UCS Master (ohne zusätzliche Komponenten). Nun an der UMC als Administrator anmelden und dort die “Active Directory Takeover” App aus dem AppCenter installieren. Anschließend kann das Takeover über das UMC “Takeover” (als Administrator) gestartet werden.

VG
Felix

thosl · November 30, 2017, 11:09am

Habe die Maschine noch mal neu installiert mit 4.2-3. Alles wie es aussieht sehr empindlich.
Meine Empfehlung: einen DC installieren ohne zusätzliche Software. Dann das TakeOver-Modul installieren und konfigurieren.
Bei mir gab es dabei reparierbare Fehler (samba-tool fix). Danach erst AD-Connector Modul installieren.
Anmeldung mit Administrator brachte falscher benutzername oder Kennwort (obwohl richtig gesetzt).
Anmeldung mit meinem Konto brachte wieder den Fehler 26univention-samba.inst failed. mit einem anderen Domain-Admin Konto hat es dann aber funktioniert.
Der Server ist jetzt erst mal fehlerfrei zum Aufbau der TakeOver - Funktionalität.

botner · November 30, 2017, 11:30am

Hallo,

AD-Takeover und AD-Connector sind unterschiedliche Dinge, die eigentlich nicht zusammen installiert werden müssen/sollten.

AD-Takeover
Um eine AD-Domäne zu übernehmen sollte ein UCS System installiert werden (ohne zusätzliche Software). Dann dort die Takeover App installieren. Über das UMC Modul kann dann das Takeover gestartet werden.

AD-Connector
Der AD-Connector verbindet die AD und UCS Domäne. Es gibt hier zwei verschiedene Modi, Synchronisation der Benutzerdaten zw. AD und UCS bzw. das UCS als Teil der AD Domäne. Beides kann über das entsprechende UMC Modul konfiguriert werden. Das “UCS als Teil der AD Domäne” Szenario kann auch im Installer ausgewählt werden, auch hier am besten ohne zusätzliche Software-Komponenten.

Ich verstehe jetzt nicht den Punkt “Danach erst AD-Connector Modul installieren.” Nach einem AD-TakeOver sind alle Benutzer der AD Domäne ins UCS synchronisiert und der/die AD Server deaktiviert. Warum/Wofür wollen Sie jetzt das AD-Connector Module verwenden.

VG
Felix

thosl · December 5, 2017, 12:33pm

Takeover in einem Rutsch durchzuziehen ist unrealistisch. Man muß dem AD-Controler ja von seiner Software z.B. File - Server - Funktionalität befreien. Um das zu testen benötigt man die User - Konten (deshalb AD-Connector).

botner · December 5, 2017, 1:14pm

Ja, alles richtig, so ist es gedacht. Wenn der UCS Rechner im “Member Mode” ist, dann kann das Takeover gestartet werden. Ich war nur etwas verwirrt, worum es jetzt konkret hier geht.

Ich würde vorschlagen, nochmal ein UCS Master (gleiche Domäne wie AD) zu installieren, aber ohne Member-Mode, nur UCS Master ohne zusätzliche Software-Komponenten. Dann dort als Administrator die “Active Directory-Verbindung” App installieren und den “Member-Mode” konfigurieren. Dann kann man besser debuggen als bei “Membe-Mode” im Installer.

VG
Felix