Nachtrag → Fehler gefunden!
Hallo nochmal,
wir haben den “Fehler” gefunden und ich will hier kurz beschreiben was die Ursache für den nicht erfolgreichen Domänen-Join war.
1.)
Wir haben immer ein Domänen-Admin Konto für die Anmeldung im UCS Domänen-Join (“Active Directory-Verbindung”) genutzt.
Eigentlich logisch, warum sollte das auch nicht klappen.
Nun, im Log management-console-module-adconnector.log ist ja der Join-Prozess detailliert dokumentiert.
Dort stand dann folgendes:
18.01.17 09:49:40.745 MODULE ( PROCESS ) : Einrichten des Administrator-Kontos...
18.01.17 09:49:40.945 MODULE ( PROCESS ) : Prepare administrator account
18.01.17 09:49:41.321 MODULE ( PROCESS ) : Ausführen des Samba Join-Skripts...
18.01.17 09:49:41.525 MODULE ( PROCESS ) : Running samba join script
18.01.17 09:49:52.769 MODULE ( PROCESS ) : 2017-01-18 09:49:41.559282945+01:00 (in joinscript_init)
Create samba/role
Multifile: /etc/samba/smb.conf
INFO: ad/member is true, will join as memberserver into an AD domain
Create samba/domain/security
Multifile: /etc/samba/smb.conf
Setting samba/share/home
File: /etc/samba/base.conf
Multifile: /etc/samba/smb.conf
Setting samba/autostart
Multifile: /etc/samba/smb.conf
Not updating samba/autostart
Stopping the Winbind daemon: winbind.
Create samba/user
Create samba/user/pwdfile
Multifile: /etc/samba/smb.conf
Setting stored password for "cn=ucs-dc1,cn=dc,cn=computers,dc=local,dc=de" in secrets.tdb
setting idmap secret for '*' from /etc/machine.secret
Secret stored
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
Permission denied.
18.01.17 09:49:52.769 MODULE ( ERROR ) : 26univention-samba.inst failed with 3
18.01.17 09:49:52.769 MODULE ( ERROR ) : Join process failed [sambaJoinScriptFailed]: 26univention-samba.inst failedDer Punkt Permission denied. machte uns hier stutzig.
Eigentlich sollten die Berechtigungen kein Problem sein.
Wir haben dann als Test einen Domänen-Admin namens “Administrator” in unserer Domäne erstellt, dieser existierte nämlich vorher nicht
Wir haben andersnamigen Domänen-Admin Konten genutzt.
Da wir eine virtuelle Umgebung nutzen, haben wir den UCS DC per Snapshot wieder zurückgesetzt.
Beim nächsten Join-Versuch passierte dann folgendes:
18.01.17 09:58:05.079 MODULE ( PROCESS ) : Einrichten des Administrator-Kontos...
18.01.17 09:58:05.280 MODULE ( PROCESS ) : Prepare administrator account
18.01.17 09:58:05.666 MODULE ( PROCESS ) : Ausführen des Samba Join-Skripts...
18.01.17 09:58:05.870 MODULE ( PROCESS ) : Running samba join script
18.01.17 09:58:17.257 MODULE ( PROCESS ) : 2017-01-18 09:58:05.904157665+01:00 (in joinscript_init)
Create samba/role
Multifile: /etc/samba/smb.conf
INFO: ad/member is true, will join as memberserver into an AD domain
Create samba/domain/security
Multifile: /etc/samba/smb.conf
Setting samba/share/home
File: /etc/samba/base.conf
Multifile: /etc/samba/smb.conf
Setting samba/autostart
Multifile: /etc/samba/smb.conf
Not updating samba/autostart
Stopping the Winbind daemon: winbind.
Create samba/user
Create samba/user/pwdfile
Multifile: /etc/samba/smb.conf
Setting stored password for "cn=ucs-dc1,cn=dc,cn=computers,dc=local,dc=de" in secrets.tdb
setting idmap secret for '*' from /etc/machine.secret
Secret stored
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
Object modified: cn=ucs-dc1,cn=dc,cn=computers,dc=local,dc=de
Failed to join domain: Invalid configuration ("workgroup" set to 'local', should be 'LOCAL1') and configuration modification was not requested
ERROR: Failed to join to AD DC via net ads join. Please check your Samba DCs and your DNS and WINS configuration.
18.01.17 09:58:17.257 MODULE ( ERROR ) : 26univention-samba.inst failed with 1
18.01.17 09:58:17.257 MODULE ( ERROR ) : Join process failed [sambaJoinScriptFailed]: 26univention-samba.inst failedOha, kein Permission denied. mehr, also war wirklich ein Konto mit dem Namen “Administrator” notwendig.
- Fehler also gefunden.
2.
Failed to join domain: Invalid configuration (“workgroup” set to ‘local’, should be ‘LOCAL1’) and configuration modification was not requested
Eine schnelle Google Suche brachte mich zu einem Univention Bug Eintrag von 2015 → https://forge.univention.org/bugzilla/show_bug.cgi?id=37460#c3
Das sollte eigentlich gefixt sein, aber man kann es ja mal versuchen.
Wieder den UCS DC per Snapshot zurückgesetzt.
Und siehe da, es hat geklappt!
Der UCS konnte unserem AD erfolgreich joinen und synct jetzt alle Einträge ordnungsgemäß.