AD-Takeover hängt

german

#1

Liebes Forum,

heute sitze ich das zweite Mal beim Kunden, weil der AD-Takeover nicht funktioniert hat. Er bleibt bei 98% (“Start des S4 Connectors”) hängen. Das erste Mal hatte ich es mit UCS 4.0-0 versucht und heute, weil ich annahm, dass da vllt. etwas mit dem neuen Release noch klemmt und ich darüber hinaus mit 3.2 gute Erfahrungen gemacht habe, noch ein zweites Mal mit 3.2-5.

Beim ersten Versuch (mit 4.0) genauso wie heute (mit 3.2-5) ist es beim Starten des S4-Connectors hängen geblieben. Am LDAP-Port lauschen keine Samba-Prozesse. Ist das das Problem? Falls ja, warum startet Samba nicht? Zumindest nehme ich im Moment mal an, dass zu diesem Zeitpunkt der Übernahme Samba-Prozesse am LDAP-Port lauschen sollten, oder? Siehe hier:

root@ucsserver:~# netstat -tupan|grep samba root@ucsserver:~#
und

root@ucsserver:~# ps aux|grep samba root 1354 0.0 0.0 164 4 ? Ss 11:26 0:00 runsv univention-bind-samba4 root 2509 0.0 0.2 520480 46156 ? S 11:35 0:00 /usr/sbin/samba -D root 8781 0.0 0.0 9668 860 pts/0 S+ 12:22 0:00 grep samba

Das ad-takeover.log habe ich anonymisiert angehängt (anstelle des Domänennames steht “Kunde” bzw. “KUNDE” darin). Kann jemand sagen, was da los ist? Falls noch andere Log-Dateien gebraucht werden, bitte ansagen!

Danke für die Hilfe, Gruß, Valentin
ad-takeover.log (37.3 KB)


#2

Hallo,

ich würde parallel in jedem Fall prüfen, was der S4-Connector tut:

ps aux | grep connector tail -f /var/log/univention/connector-s4.log

Generell würde ich empfehlen bei einer Neuinstallation direkt das UCS 4.0(-1) ISO zu verwenden.

Bzgl. der Ports: Sind diese ggfs. von anderen Prozessen geöffnet?

netstat -tupan | grep :389

Mit freundlichen Grüßen,
Tim Petersen


#3

[quote=“Petersen”]Hallo,

ich würde parallel in jedem Fall prüfen, was der S4-Connector tut:

ps aux | grep connector tail -f /var/log/univention/connector-s4.log
[/quote]
Lieber Herr Petersen,

das “connector-s4.log” ist ziemlich uninteressant, da steht immer nur so etwas drin:

20.03.2015 11:54:00,475 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:01,493 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:02,515 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:03,541 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:04,562 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:05,586 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:06,608 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:07,623 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:08,641 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:09,663 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:10,688 MAIN (------ ): DEBUG_INIT 20.03.2015 11:54:40,741 MAIN (------ ): DEBUG_INIT
Ob der Prozess lief, kann ich jetzt nicht mehr prüfen, ich gehe aber ziemlich sicher davon aus, da das “connector-s4.log” immer weiter geschrieben wurde.

Mit 4.0(-0) hatte ich, wie gesagt, genau an der gleichen Stelle ein Problem. Samba lauschte ebenfalls nicht auf 389 und das “connector-s4.log” sah auch so aus, wie beim zweiten Versuch mit 3.2.

[quote=“Petersen”]Bzgl. der Ports: Sind diese ggfs. von anderen Prozessen geöffnet?

netstat -tupan | grep :389

[/quote]
Nein, das hatte ich geprüft.

Gruß, V. Mayer


#4

Hallo Herr Mayer,

Die Logdatei wird vom Connector selbst beschrieben, also lief der Prozess, ja.
Was aber durchaus interessant ist, ist die Tatsache dass sekündlich DEBUG_INIT protokolliert wird - das passiert nur beim Start.
Für mich sieht es so aus, als würde der Connector direkt nach dem Start sterben und stets direkt neugestartet.

Ich würde hier das Debuglevel des Connectors erhöhen und zusätzlich die /var/log/univention/connector-s4-status.log beobachten.

ucr set connector/debug/level=4 /etc/init.d/univention-s4-connector restart

Es kann auch Sinn machen, das gleiche für Samba zu tun:

ucr set samba/debug/level='4' /etc/init.d/samba restart tail -f /var/log/samba/log.samba

Alternativ würde ich Ihnen natürlich gern direkt die Ursache und Lösung nennen - mir ist das Verhalten aus anderen Umgebungen (mit Takeover-Szenario) aber leider nicht bekannt.
Gibt es gegebenenfalls besondere Rahmenbedingungen? Um was für ein Active Directory handelt es sich? Weist die Basis-DN oder der DNS-Domainname vielleicht Besonderheiten auf?

Das hatte ich verstanden, ja. Das war mehr eine generellere Empfehlung.

Mit freundlichen Grüßen,
Tim Petersen


#5

[quote=“Petersen”]Hallo Herr Mayer,
Ich würde hier das Debuglevel des Connectors erhöhen und zusätzlich die /var/log/univention/connector-s4-status.log beobachten.

ucr set connector/debug/level=4 /etc/init.d/univention-s4-connector restart

Es kann auch Sinn machen, das gleiche für Samba zu tun:

ucr set samba/debug/level='4' /etc/init.d/samba restart tail -f /var/log/samba/log.samba
[/quote]

Lieber Herr Petersen,

den Loglevel habe ich hochgedreht und den AD-Takeover nochmal angestoßen, leider ohne Erfolg:

/var/log/univention/ad-takeover.log:

2015-04-10 12:24:49,190 Found account Administrator with well known RID 500 (Administrator) 2015-04-10 12:24:49,191 Found account Gast with well known RID 501 (Guest) 2015-04-10 12:24:49,191 Found account krbtgt with well known RID 502 (KRBTGT) 2015-04-10 12:24:49,210 Found group Domänencomputer with well known RID 515 (Domain Computers) 2015-04-10 12:24:49,210 Found group Domänencontroller with well known RID 516 (Domain Controllers) 2015-04-10 12:24:49,210 Found group Schema-Admins with well known RID 518 (Schema Admins) 2015-04-10 12:24:49,211 Found group Organisations-Admins with well known RID 519 (Enterprise Admins) 2015-04-10 12:24:49,211 Found group Zertifikatherausgeber with well known RID 517 (Cert Publishers) 2015-04-10 12:24:49,211 Found group Domänen-Admins with well known RID 512 (Domain Admins) 2015-04-10 12:24:49,211 Found group Domänen-Benutzer with well known RID 513 (Domain Users) 2015-04-10 12:24:49,211 Found group Domänen-Gäste with well known RID 514 (Domain Guests) 2015-04-10 12:24:49,211 Found group Richtlinien-Ersteller-Besitzer with well known RID 520 (Group Policy Creator Owners) 2015-04-10 12:24:49,211 Found group RAS- und IAS-Server with well known RID 553 (RAS and IAS Servers) 2015-04-10 12:24:49,248 determine_license for current UCS Users: 0 of unlimited 2015-04-10 12:24:49,248 3 Systemaccounts are ignored. 2015-04-10 12:24:49,249 Found 17 Benutzer objects on the remote server. 2015-04-10 12:24:54,453 Interner Modulfehler: Takeover läuft, Neustartversuch abgebrochen.

/var/log/univention/connector-s4-status.log enthält ausschließlich Folgendes:

Warning: Can't initialize LDAP-Connections, wait...

/var/log/samba/log.samba habe ich jetzt mal angehängt (und umbenannt, damit das Forum es annimmt), weil es etwas länger ist.

Es handelt sich um ein ganz kleines AD auf einem SBS 2003. Basis-DN und DNS-Domainname sind auch ganz normal. Statt “kunde” sind es 5 andere Zeichen, darin keine Sonderzeichen.

BTW: Ich habe natürlich jetzt versucht den zuvor fehlgeschlagenen Takeover fortzusetzen. Gibt es eine Möglichkeit, alles auf Anfang zu setzen, ohne komplett neu zu installieren. Das wäre vllt. ganz praktisch, weil ich dann auch aus der Ferne weiter testen könnte und natürlich auch Zeit für eine Neuinstallation spare.

Gruß, V. Mayer
log.samba.log (20.9 KB)


#6

Es fehlen Einträge in der secrets.ldb Datei. Aus der Samba-Logdatei:

[quote] task_server_terminate: [Cannot start Winbind (domain controller): Failed to find record for KUNDE in /var/lib/samba/private/secrets.ldb: No such object: (null): Have you provisioned the KUNDE domain?]
[/quote]

Vielleicht mal einmal die komplette Ausgabe von den Befehlen posten:

ldbsearch -H /var/lib/samba/private/secrets.ldb univention-s4search --cross-ncs
Allerdings stehen dort viele Passwärter und Kundeninformationen drin. Deshalb vielleicht einfach via upload.univention.de/ hochladen und hier nur die ID posten.


#7

[quote=“Gohmann”]Es fehlen Einträge in der secrets.ldb Datei. Aus der Samba-Logdatei:

[quote] task_server_terminate: [Cannot start Winbind (domain controller): Failed to find record for KUNDE in /var/lib/samba/private/secrets.ldb: No such object: (null): Have you provisioned the KUNDE domain?]
[/quote]

Vielleicht mal einmal die komplette Ausgabe von den Befehlen posten:

ldbsearch -H /var/lib/samba/private/secrets.ldb univention-s4search --cross-ncs
Allerdings stehen dort viele Passwärter und Kundeninformationen drin. Deshalb vielleicht einfach via upload.univention.de/ hochladen und hier nur die ID posten.[/quote]

Lieber Herr Gohmann,

bitte sehr: upload_ekqdv5.p

univention-s4search --cross-ncs gibt nights aus außer folgender Debug-Ausgabe:

params.c:pm_process() - Processing configuration file "/etc/samba/base.conf" Processing section "[netlogon]" Processing section "[sysvol]" Processing section "[IPC$]" Processing section "[homes]" Processing section "[printers]" Processing section "[print$]" pm_process() returned Yes GENSEC backend 'gssapi_spnego' registered GENSEC backend 'gssapi_krb5' registered GENSEC backend 'gssapi_krb5_sasl' registered GENSEC backend 'schannel' registered GENSEC backend 'spnego' registered GENSEC backend 'ntlmssp' registered GENSEC backend 'krb5' registered GENSEC backend 'fake_gssapi_krb5' registered added interface eth0 ip=192.168.0.254 bcast=192.168.0.255 netmask=255.255.255.0 added interface eth0 ip=192.168.0.254 bcast=192.168.0.255 netmask=255.255.255.0 Failed to connect to ldap URL 'ldaps://ucsserver.kunde.local' - LDAP client internal error: NT_STATUS_CONNECTION_REFUSED Failed to connect to 'ldaps://ucsserver.kunde.local' with backend 'ldaps': (null) Failed to connect to ldaps://ucsserver.kunde.local - (null)

Gruß, V. Mayer


#8

Samba funktioniert auf dem System noch nicht, deshalb geht das univention-s4search noch nicht. Dann bitte

ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs

Zusätzlich würde mich Samba Debug Level 12 interessieren, also so in der Art

ucr set samba/debug/level='12' /etc/init.d/samba restart
Nach einer Laufzeit von ca. 1 Minute die Datei /var/log/samba/log.samba.


#9

[quote=“Gohmann”]Samba funktioniert auf dem System noch nicht, deshalb geht das univention-s4search noch nicht. Dann bitte

ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs

[/quote]

Habe ich hochgeladen als “upload_NmeqZz.p”.

[quote=“Gohmann”]Zusätzlich würde mich Samba Debug Level 12 interessieren, also so in der Art

ucr set samba/debug/level='12' /etc/init.d/samba restart
Nach einer Laufzeit von ca. 1 Minute die Datei /var/log/samba/log.samba.[/quote]

Hm, leider gibt es dann bei mir überhaupt keine aktuelle Ausgabe in /var/log/samba/log.samba. Der neuste Eintrag in der Datei ist über 19 Stunden her. Auch ergibt sich folgendes Bild:

root@ucsserver:~# ps aux|grep samba root 1351 0.0 0.0 164 4 ? Ss Apr10 0:00 runsv univention-bind-samba4 root 4058 0.0 0.0 9696 860 pts/0 S+ 20:51 0:00 grep samba

Gruß, V. Mayer


#10

[quote=“vmayer”]Hm, leider gibt es dann bei mir überhaupt keine aktuelle Ausgabe in /var/log/samba/log.samba. Der neuste Eintrag in der Datei ist über 19 Stunden her. Auch ergibt sich folgendes Bild:

root@ucsserver:~# ps aux|grep samba root 1351 0.0 0.0 164 4 ? Ss Apr10 0:00 runsv univention-bind-samba4 root 4058 0.0 0.0 9696 860 pts/0 S+ 20:51 0:00 grep samba
[/quote]

Dann vielleicht mal so versuchen:

 samba -d 12 -i 2>&1 | tee -a samba.log

Die Meldungen sollten dann sowohl auf der Console ausgegeben werden, als auch in der Datei samba.log.


#11

[quote=“Gohmann”]
Dann vielleicht mal so versuchen:

 samba -d 12 -i 2>&1 | tee -a samba.log

Die Meldungen sollten dann sowohl auf der Console ausgegeben werden, als auch in der Datei samba.log.[/quote]

Lieber Herr Gohmann,

das nenne ich Super-Service, sogar am Wochenende :slight_smile: , die Datei finden sie unter “upload_l2cyeO.unknown”

Gruß, V. Mayer


#12

Aus der ad-takeover.log Datei:

[quote]2015-03-20 11:34:38,254 workgroup is KUNDELOCAL

2015-03-20 11:34:58,644 Joined domain KUNDELOCAL (SID S-1-5-21-3121035274-785150713-767694597) as a DC
[/quote]

Und aus der Samba Logdatei:

[quote][2015/04/10 12:22:02.331546, 0, pid=1720] …/source4/smbd/service_task.c:35(task_server_terminate)
task_server_terminate: [Cannot start Winbind (domain controller): Failed to find record for KUNDE in /var/lib/samba/private/secrets.ldb: No such object: (null): Have you provisioned the KUNDE domain?]
[2015/04/10 12:22:02.352402, 4, pid=1718] …/source4/lib/socket/interface.c:121(add_interface)
added interface eth0 ip=192.168.0.254 bcast=192.168.0.255 netmask=255.255.255.0
[2015/04/10 12:22:02.371621, 0, pid=1653] …/source4/smbd/server.c:213(samba_terminate)
samba_terminate: Cannot start Winbind (domain controller): Failed to find record for KUNDE in /var/lib/samba/private/secrets.ldb: No such object: (null): Have you provisioned the KUNDE domain?[/quote]
Da scheint die Einstellung für die Domäne nicht zu stimmen. Auf UCS kann das mit der UCR Variable windows/domain konfiguriert werden. Für mehr Infos: sdb.univention.de/1321


#13

[quote=“Gohmann”]Aus der ad-takeover.log Datei:

[quote]2015-03-20 11:34:38,254 workgroup is KUNDELOCAL

2015-03-20 11:34:58,644 Joined domain KUNDELOCAL (SID S-1-5-21-3121035274-785150713-767694597) as a DC
[/quote]

Und aus der Samba Logdatei:

[quote][2015/04/10 12:22:02.331546, 0, pid=1720] …/source4/smbd/service_task.c:35(task_server_terminate)
task_server_terminate: [Cannot start Winbind (domain controller): Failed to find record for KUNDE in /var/lib/samba/private/secrets.ldb: No such object: (null): Have you provisioned the KUNDE domain?]
[2015/04/10 12:22:02.352402, 4, pid=1718] …/source4/lib/socket/interface.c:121(add_interface)
added interface eth0 ip=192.168.0.254 bcast=192.168.0.255 netmask=255.255.255.0
[2015/04/10 12:22:02.371621, 0, pid=1653] …/source4/smbd/server.c:213(samba_terminate)
samba_terminate: Cannot start Winbind (domain controller): Failed to find record for KUNDE in /var/lib/samba/private/secrets.ldb: No such object: (null): Have you provisioned the KUNDE domain?[/quote]
Da scheint die Einstellung für die Domäne nicht zu stimmen. Auf UCS kann das mit der UCR Variable windows/domain konfiguriert werden. Für mehr Infos: sdb.univention.de/1321[/quote]

Ja, dieser “Unterschied” war mir von Anfang an auch ins Auge gefallen, ich hatte ihn nur nicht weiter beachtet, da er ja bisher hier auch nicht kommentiert worden ist, und dafür mein Samba/Windows-Wissen leider zu oberflächlich ist. Ist das Problem also jenes, dass der zu übernehmende SBS 2003 zwar die LDAP-Basis “dc=kunde,dc=local” hat, der Windows-Domainname (NETBIOS-Domainname) aber nicht etwa “KUNDE” lautet, sondern “KUNDELOCAL”?

Mit anderen Worten die Übernahme klappt “problemlos”, wenn ich den Domainnamen auf dem SBS 2003 zuvor auf “KUNDE” ändere?

Gruß, V. Mayer


#14

Ich würde es ausprobieren. Alternativ versucht man es jetzt nachträglich so anzupassen, dass es funktioniert.


#15

Um dem Ganzen hier noch einmal einen Abschluss zu geben: Wir haben es jetzt so gelöst, dass eine gänzlich neue UCS-Domäne zum Einsatz kommt, also den AD-Takeover komplett ausgespart. Da es sich um ein sehr kleines AD handelt, war das der absehbar geringere Aufwand gegenüber weiteren Versuchen die AD-Domäne wie hier beschrieben gerade zu ziehen um sie übernehmen zu können. Danke nochmal für die Hilfe!

Gruß, V. Mayer