AD-Takeover mit SubDomain

german

#1

Hallo,

ich versuche ein AD-Takeover durchzuführen, bekomme aber folgende Fehlermeldung:

The LDAP base of this UCS domain differs from the LDAP base of the selected Active Directory domain.

Microsoft LDAP-Base (am Beispiel von Administrator):

dsquery -name Administrator
"CN=Administrator,CN=Users,DC=hb,DC=testnetz,DC=firma"

Univention LDAP-Base (auszug aus installer.log):

dc=hb,dc=testnetz,dc=firma

vlg


#2

Hier ein Update.

Ich habe noch einige Log-Informationen:

tail management-console-module-adtakeover.log
15.09.14 16:54:54.106  MODULE      ( PROCESS ) : Running connect
15.09.14 16:54:54.106  MODULE      ( PROCESS ) : ### Connecting to vmtestdc2.hb.testnetz.firma ###
15.09.14 16:54:54.171  MODULE      ( PROCESS ) :   Authenticating
15.09.14 16:54:54.272  MODULE      ( WARN    ) : Error during connect: The LDAP base of this UCS domain differs from the LDAP base of the selected Active Directory domain.
tail management-console-module-adconnector.log
;; Query time: 1 msec
;; SERVER: 192.168.200.124#53(192.168.200.124)
;; WHEN: Mon Sep 15 17:08:39 2014
;; MSG SIZE  rcvd: 505


15.09.14 17:08:39.174  MODULE      ( PROCESS ) : stderr:
15.09.14 17:08:39.177  MODULE      ( PROCESS ) : AD Info: {'Domain': 'hb.testnetz.firma', 'LDAP Base': 'DC=testnetz,DC=firma', 'Forest': 'testnetz.firma', 'Client Site': 'Default-First-Site-Name', 'DC Netbios Name': 'VMTESTDC2', 'DC DNS Name': 'vmtestdc2.hb.testnetz.firma', 'Netbios Domain': 'HB', 'DC IP': '192.168.200.124', 'Server Site': 'Default-First-Site-Name'}
15.09.14 17:08:39.245  MODULE      ( WARN    ) : Failure:
15.09.14 17:08:39.246  MODULE      ( PROCESS ) : The command has failed: Could not connect to AD Server vmtestdc2.hb.testnetz.firma. Please verify that username and password are correct.

Wieso zeigt er mir bei der LDAP-Base folgendes an: ‘LDAP Base’: ‘DC=testnetz,DC=firma’ ???

Funktioniert das mit Child-Domains nicht?


#3

Hallo,

wie ist der Aufbau Ihrer Active Directory Domäne? Wenn ich Ihren zweiten Codeschnipsel richtig interpretiere, dann scheint die LDAP-Base Ihrer AD Domäne nicht wie angenommen “DC=hb,DC=testnetz,DC=firma” zu sein, da das UCS-System diese Informationen meines Erachtens vom AD-Server erhält.

Viele Grüße
Ulf Friedel


#4

Hallo,

Sie ist folgendermaßen aufgebaut:

vmtestdc - 192.168.200.5 - testnetz.firma
vmtestdc2 - 192.168.200.124 - hb.testnetz.firma

testnetz.firma
  |
  |---hb.testnetz.firma

hb.testnetz.firma ist eine childdomain.

Beim AD-Takeover gebe ich auch vmtestdc2 (192.168.200.124) an …


#5

Vielleicht sollte ich direkt unser Vorhaben erläutern.

Unsere Domänenstruktur ist wie oben abgebildet:

testnetz.firma
  |
  |---hb.testnetz.firma

Diese wollen wir auflösen in eine root-Domain. Wenn möglich, soll “hb.testnetz.firma” die root-Domain werden (da hängen alle User, Maschinen, GPOs drunter), um weiteren Aufwand zu minimieren (alle Maschinen neu der Domäne hinzufügen, etc.)


#6

Hallo,

ich bin mir da leider nicht sicher ob dies so umsetzbar ist. Momentan habe ich keine Möglichkeit dies zu testen, aber was passiert bei der Durchführung des AD Takeovers, wenn Sie bei der Installation des UCS-Systems “dc=testnetz,dc=firma” als LDAP Base wählen?

Viele Grüße
Ulf Friedel


#7

Hallo,

also ich habe jetzt mehrere Sachen ausprobiert.

Mein DC Master ist jetzt: ucsmaster2.testnetz.firma - 192.168.200.125

AD-Takeover von 192.168.200.124 hb.testnetz.firma

ad-takeover.log

2014-09-16 13:47:37,860 Authentication failed.

management-console-module-adtakeover.log

16.09.14 13:47:37.795  MODULE      ( PROCESS ) : Running connect
16.09.14 13:47:37.795  MODULE      ( PROCESS ) : ### Connecting to 192.168.200.124 ###
16.09.14 13:47:37.850  MODULE      ( PROCESS ) :   Authenticating
16.09.14 13:47:37.861  MODULE      ( WARN    ) : Error during connect: Authentication failed.

AD-Takeover von 192.168.200.5 testnetz.firma

ad-takeover.log

2014-09-16 13:50:51,130 Found account Administrator with well known RID 500 (Administrator)
2014-09-16 13:50:51,131 Found account Guest with well known RID 501 (Guest)
2014-09-16 13:50:51,131 Found account krbtgt with well known RID 502 (KRBTGT)
2014-09-16 13:50:51,151 Found group Domain Computers with well known RID 515 (Domain Computers)
2014-09-16 13:50:51,151 Found group Domain Controllers with well known RID 516 (Domain Controllers)
2014-09-16 13:50:51,151 Found group Schema Admins with well known RID 518 (Schema Admins)
2014-09-16 13:50:51,152 Found group Enterprise Admins with well known RID 519 (Enterprise Admins)
2014-09-16 13:50:51,152 Found group Cert Publishers with well known RID 517 (Cert Publishers)
2014-09-16 13:50:51,152 Found group Domain Admins with well known RID 512 (Domain Admins)
2014-09-16 13:50:51,152 Found group Domain Users with well known RID 513 (Domain Users)
2014-09-16 13:50:51,152 Found group Domain Guests with well known RID 514 (Domain Guests)
2014-09-16 13:50:51,152 Found group Group Policy Creator Owners with well known RID 520 (Group Policy Creator Owners)
2014-09-16 13:50:51,152 Found group RAS and IAS Servers with well known RID 553 (RAS and IAS Servers)
2014-09-16 13:50:51,152 Found group Allowed RODC Password Replication Group with well known RID 571 (Allowed RODC Password Replication Group)
2014-09-16 13:50:51,152 Found group Denied RODC Password Replication Group with well known RID 572 (Denied RODC Password Replication Group)
2014-09-16 13:50:51,153 Found group Read-only Domain Controllers with well known RID 521 (Read-Only Domain Controllers)
2014-09-16 13:50:51,153 Found group Enterprise Read-only Domain Controllers with well known RID 498 (Enterprise Read-only Domain Controllers)
2014-09-16 13:50:51,153 Found group Cloneable Domain Controllers with well known RID 522 (Cloneable Domain Controllers)
2014-09-16 13:50:51,204 determine_license for current UCS Users: 0 of 5
2014-09-16 13:50:51,205   4 Systemaccounts are ignored.
2014-09-16 13:50:51,205 Found 2 users objects on the remote server.
2014-09-16 13:50:54,451 INFO: Time difference is less than 180 seconds, skipping reset of local time
2014-09-16 13:50:54,496 Starting phase I of the takeover process.
2014-09-16 13:50:54,497 Calling: univention-config-registry set hosts/static/192.168.200.5=vmtestdc.testnetz.firma VMTESTDC
2014-09-16 13:50:54,773 Create hosts/static/192.168.200.5
2014-09-16 13:50:54,774 Calling: /etc/init.d/univention-s4-connector stop
2014-09-16 13:50:54,800 Stopping univention-s4-connector daemon.
2014-09-16 13:50:54,825 done.
2014-09-16 13:50:54,826 Calling: /etc/init.d/samba4 stop
2014-09-16 13:50:57,040 Stopping Samba AD DC daemon: samba. nmbd.
2014-09-16 13:50:57,059 Calling: /etc/init.d/nscd stop
2014-09-16 13:50:57,117 Stopping NSCD:.
2014-09-16 13:50:57,118 Calling: /etc/init.d/bind9 restart
2014-09-16 13:50:57,400 Restarting bind9 daemon: .
2014-09-16 13:51:04,974 done.
2014-09-16 13:51:04,975 Starting Samba domain join.
2014-09-16 13:51:05,280 SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
2014-09-16 13:51:05,392 SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
2014-09-16 13:51:05,919 workgroup is TESTNETZ
2014-09-16 13:51:05,919 realm is testnetz.firma
2014-09-16 13:51:05,919 checking sAMAccountName
2014-09-16 13:51:05,919 Adding CN=UCSMASTER2,OU=Domain Controllers,DC=testnetz,DC=firma
2014-09-16 13:51:05,919 Adding CN=UCSMASTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testnetz,DC=firma
2014-09-16 13:51:05,920 Adding CN=NTDS Settings,CN=UCSMASTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testnetz,DC=firma
2014-09-16 13:51:05,920 Adding SPNs to CN=UCSMASTER2,OU=Domain Controllers,DC=testnetz,DC=firma
2014-09-16 13:51:05,920 Setting account password for UCSMASTER2$
2014-09-16 13:51:05,920 Enabling account
2014-09-16 13:51:05,920 Calling bare provision
2014-09-16 13:51:05,920 No IPv6 address will be assigned
2014-09-16 13:51:05,921 WARNING: No path in service IPC$ - making it unavailable!
2014-09-16 13:51:05,921 NOTE: Service IPC$ is flagged unavailable.
2014-09-16 13:51:10,791 SPNEGO(gssapi_krb5) creating NEG_TOKEN_INIT failed: NT_STATUS_NO_LOGON_SERVERS
2014-09-16 13:51:11,026 Schema-DN[CN=Schema,CN=Configuration,DC=testnetz,DC=firma] objects[402] linked_values[0]
2014-09-16 13:51:11,184 Schema-DN[CN=Schema,CN=Configuration,DC=testnetz,DC=firma] objects[804] linked_values[0]
2014-09-16 13:51:11,378 Schema-DN[CN=Schema,CN=Configuration,DC=testnetz,DC=firma] objects[1206] linked_values[0]
2014-09-16 13:51:11,607 Schema-DN[CN=Schema,CN=Configuration,DC=testnetz,DC=firma] objects[1606] linked_values[0]
2014-09-16 13:51:11,658 Schema-DN[CN=Schema,CN=Configuration,DC=testnetz,DC=firma] objects[1688] linked_values[0]
2014-09-16 13:51:11,659 Analyze and apply schema objects
2014-09-16 13:51:12,235 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x000908BA
2014-09-16 13:51:12,239 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090852
2014-09-16 13:51:12,241 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090877
2014-09-16 13:51:12,262 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090886
2014-09-16 13:51:12,265 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x000908A5
2014-09-16 13:51:12,271 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090838
2014-09-16 13:51:12,271 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x0009088F
2014-09-16 13:51:12,272 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090877
2014-09-16 13:51:12,277 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090831
2014-09-16 13:51:12,278 ../source4/dsdb/schema/schema_syntax.c:1021: Unknown governsID 0x000A010D
2014-09-16 13:51:12,278 ../source4/dsdb/schema/schema_syntax.c:1021: Unknown governsID 0x000A010D
2014-09-16 13:51:12,278 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090837
2014-09-16 13:51:12,278 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090823
2014-09-16 13:51:12,279 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x0009083B
2014-09-16 13:51:12,279 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090850
2014-09-16 13:51:12,279 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090866
2014-09-16 13:51:12,280 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x0009086A
2014-09-16 13:51:12,280 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090879
2014-09-16 13:51:12,280 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x0009087A
2014-09-16 13:51:12,280 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090894
2014-09-16 13:51:12,280 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x00090832
2014-09-16 13:51:12,281 ../source4/dsdb/schema/schema_syntax.c:1076: Unknown attributeID_id 0x0009088D
2014-09-16 13:51:12,294 ../source4/dsdb/schema/schema_syntax.c:1021: Unknown governsID 0x000A010D
2014-09-16 13:51:12,294 ../source4/dsdb/schema/schema_syntax.c:1021: Unknown governsID 0x000A010D
2014-09-16 13:51:14,130 Partition[CN=Configuration,DC=testnetz,DC=firma] objects[402] linked_values[0]
2014-09-16 13:51:14,964 Partition[CN=Configuration,DC=testnetz,DC=firma] objects[804] linked_values[0]
2014-09-16 13:51:15,609 Partition[CN=Configuration,DC=testnetz,DC=firma] objects[1206] linked_values[0]
2014-09-16 13:51:16,182 Partition[CN=Configuration,DC=testnetz,DC=firma] objects[1608] linked_values[0]
2014-09-16 13:51:16,815 Partition[CN=Configuration,DC=testnetz,DC=firma] objects[1749] linked_values[47]
2014-09-16 13:51:17,109 Partition[DC=testnetz,DC=firma] objects[110] linked_values[23]
2014-09-16 13:51:17,591 Partition[DC=testnetz,DC=firma] objects[385] linked_values[26]
2014-09-16 13:51:17,617 Refusing to replicate DC=hb,DC=testnetz,DC=firma from a read-only repilca into a read-write replica!
2014-09-16 13:51:17,621 Failed to convert object DC=hb,DC=testnetz,DC=firma: WERR_DS_DRA_SOURCE_IS_PARTIAL_REPLICA
2014-09-16 13:51:17,621 Failed to convert objects: WERR_DS_DRA_SOURCE_IS_PARTIAL_REPLICA
2014-09-16 13:51:17,779 ERROR(<type 'exceptions.TypeError'>): uncaught exception - Failed to process chunk: NT code 0xc0002111
2014-09-16 13:51:17,780   File "/usr/lib/python2.6/dist-packages/samba/netcmd/__init__.py", line 175, in _run
2014-09-16 13:51:17,780     return self.run(*args, **kwargs)
2014-09-16 13:51:17,780   File "/usr/lib/python2.6/dist-packages/samba/netcmd/domain.py", line 560, in run
2014-09-16 13:51:17,780     machinepass=machinepass, use_ntvfs=use_ntvfs, dns_backend=dns_backend)
2014-09-16 13:51:17,780   File "/usr/lib/python2.6/dist-packages/samba/join.py", line 1220, in join_DC
2014-09-16 13:51:17,781     ctx.do_join()
2014-09-16 13:51:17,781   File "/usr/lib/python2.6/dist-packages/samba/join.py", line 1102, in do_join
2014-09-16 13:51:17,781     ctx.join_replicate()
2014-09-16 13:51:17,781   File "/usr/lib/python2.6/dist-packages/samba/join.py", line 842, in join_replicate
2014-09-16 13:51:17,781     replica_flags=ctx.domain_replica_flags)
2014-09-16 13:51:17,781   File "/usr/lib/python2.6/dist-packages/samba/drs_utils.py", line 256, in replicate
2014-09-16 13:51:17,782     schema=schema, req_level=req_level, req=req)
2014-09-16 13:51:17,859 Provision OK for domain DN DC=testnetz,DC=firma
2014-09-16 13:51:17,860 Starting replication
2014-09-16 13:51:17,860 Replicating critical objects from the base DN of the domain
2014-09-16 13:51:17,860 Join failed - cleaning up
2014-09-16 13:51:17,860 checking sAMAccountName
2014-09-16 13:51:17,860 removing samaccount: CN=UCSMASTER2,OU=Domain Controllers,DC=testnetz,DC=firma
2014-09-16 13:51:17,860 Deleted CN=UCSMASTER2,OU=Domain Controllers,DC=testnetz,DC=firma
2014-09-16 13:51:17,861 Deleted CN=NTDS Settings,CN=UCSMASTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testnetz,DC=firma
2014-09-16 13:51:17,861 Deleted CN=UCSMASTER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=testnetz,DC=firma
2014-09-16 13:51:17,944 Calling: univention-config-registry unset hosts/static/192.168.200.5
2014-09-16 13:51:18,231 Unsetting hosts/static/192.168.200.5
2014-09-16 13:51:18,232 Multifile: /etc/hosts
2014-09-16 13:51:18,240 Calling: /etc/init.d/samba4 start
2014-09-16 13:51:19,271 Starting Samba AD DC daemon: samba nmbd.
2014-09-16 13:51:19,273 Calling: /etc/init.d/univention-s4-connector start
2014-09-16 13:51:19,365 Starting univention-s4-connector daemon.
2014-09-16 13:51:24,381 done.
2014-09-16 13:51:24,381 Warning: Weird, unable to determine previous nameserver1...
         Using localhost as fallback, probably that's the right thing to do.
2014-09-16 13:51:24,381 Calling: univention-config-registry set nameserver1=127.0.0.1
2014-09-16 13:51:24,610 Setting nameserver1
2014-09-16 13:51:24,611 File: /etc/resolv.conf
2014-09-16 13:51:24,619 Calling: univention-config-registry set dns/backend=samba4
2014-09-16 13:51:24,839 Setting dns/backend
2014-09-16 13:51:24,840 Calling: /etc/init.d/bind9 restart
2014-09-16 13:51:25,122 Restarting bind9 daemon: .
2014-09-16 13:51:32,703 done.
2014-09-16 13:51:32,704 Calling: /etc/init.d/nscd restart
2014-09-16 13:51:32,806 Restarting NSCD:.
2014-09-16 13:51:32,808 The domain join failed. See /var/log/univention/ad-takeover.log for details.

management-console-module-adtakeover.log

16.09.14 13:50:51.038  MODULE      ( PROCESS ) : Running connect
16.09.14 13:50:51.038  MODULE      ( PROCESS ) : ### Connecting to 192.168.200.5 ###
16.09.14 13:50:51.083  MODULE      ( PROCESS ) :   Authenticating
16.09.14 13:50:51.129  MODULE      ( PROCESS ) :   Retrieving information from AD DC
16.09.14 13:50:54.337  MODULE      ( PROCESS ) : Running copy_domain_data
16.09.14 13:50:54.338  MODULE      ( PROCESS ) : ### Connecting to 192.168.200.5 ###
16.09.14 13:50:54.384  MODULE      ( PROCESS ) : ### Authenticating ###
16.09.14 13:50:54.417  MODULE      ( PROCESS ) : ### Synchronizing System Clock ###
16.09.14 13:50:54.452  MODULE      ( PROCESS ) : ### Joining the domain ###
16.09.14 13:51:11.026  MODULE      ( PROCESS ) :   Copying Schema partition
16.09.14 13:51:14.131  MODULE      ( PROCESS ) :   Copying CN=Configuration
16.09.14 13:51:17.110  MODULE      ( PROCESS ) :   Copying DC=testnetz,DC=firma
16.09.14 13:51:32.808  MODULE      ( WARN    ) : Error during copy_domain_data: The domain join failed. See /var/log/univention/ad-takeover.log for details.

#8

Hallo,

ich muß hier leider passen, aber nur zum Verständnis, die letzten Tests erfolgten mit der LDAP Base “dc=testnetz,dc=firma”?

Viele Grüße
Ulf Friedel


#9

Hallo,

evtl. ist ein AD-Takeover in der bei Ihnen vorliegenden Konstellation garnicht möglich, da möglicherweise immer nur ein Teil des ADs übernommen werden würde, aber nie das ganze.

Viele Grüße
Ulf Friedel


#10

Ja die Tests wurden mit LDAP dc=testnetz,dc=firma durchgeführt.

Dann muss man sich also ein Migratonsszenario mit Abschreiben und Exportieren/Importieren der Objekte des Microsoft AD überlegen? Das wäre wirklich schade …


#11

Hallo,

soweit ich das richtig verstehe ist die Child-Domain Mitglied in der selben Gesamtstruktur (Forest) wie die Parent-Domäne und es gibt einen Trust zwischen den beiden?
Das sind leider beides Features (Forest und Trust) die Samba 4 aktuell noch nicht wirklich unterstützt:

docs.univention.de/handbuch-3.2. … ws:general
wiki.samba.org/index.php/Samba/ … _the_AD_DC


#12

Das ist wirklich schade, das hätte uns einiges an Aufwand erspart.

Vielleicht kommt ja jemand noch auf eine andere Idee:

Aktuell haben wir eine root-Domain

firma.net

mit einer Subdomain

hb.firma.net:

firma.net
|
|--hb.firma.net

Alle Objekte sind in hb.firma.net enthalten.

Ideal wäre es, wenn man dem AD-Takeover sagen könnte, dass er an der 2. Ebene einer Domain-Struktur beginnen soll und hb.firma.net und die neue UCS-Root-Domain (mit gleichem Namen) umwandeln soll.

Ansonsten müssen wir jeden Account manuell übertragen und die Services ändern, unter denen die Anwendungen (SQL, WSUS, etc.) laufen. :frowning:


#13

Hallo,

ich habe mit folgender Vorgehensweise mein Subdomain zur Tree-Root-Domain gemacht:
http://technet.microsoft.com/en-us/library/cc794793%28v=ws.10%29.aspx

Leider funktioniert die das AD-Takeover bzw. die AD-Connection noch immer nicht, weil die Forest-Root-Domain nicht geändert werden kann.

22.09.14 14:09:59.753  MODULE      ( PROCESS ) : Failed to get SID from AD: {'info': 'Referral:\nldap://testnetz.firma/DC=testnetz,DC=firma', 'desc': 'Referral'}
22.09.14 14:09:59.753  MODULE      ( ERROR   ) : well-known-sid-object-rename failed with 1 ()
22.09.14 14:09:59.754  MODULE      ( ERROR   ) : Join process failed [connectionFailed]: Connection to AD failed