AD-Verbindung: Domänenname wird falsch interpretiert

MKunert · November 28, 2015, 1:18pm

Infrastruktur:
Virtueller AD-Master (WinServer2008R2) = windc1.local.mydomain.net, 192.168.0.4
Gateway-Server auf Debian-Basis (mit dnsmasq) = gate2.local.mydomain.net, 192.168.0.1
Neuer UCS (4.1) = ucsdc1.local.mydomain.net, 192.168.0.10

gate2 ist der Firewall-Server, er versorgt vier Subnetze mit DHCP und DNS. windc1 ist der “alte” Micosoft-AD-Master, von dem ich wegmigrieren möchte. ucsdc1 ist der UCS, zu dem ich hinmigrieren möchte.

DNS-Domänenname: local.mydomain.net
Netbios-Domänenname: MYDOMAIN
Kerberos-Domänename: LOCAL.MYDOMAIN.NET
LDAP-Basis-DN: dc=local,dc=mydomain,dc=net

Nach der Installation stelle ich jetzt mit Schrecken fest, dass der Servername nicht als “ucsdc1.local.mydomain.net” akzeptiert wurde, sondern einfach “der dritte Namensteil von hinten” als Server-Name verwendet wurde. Wenn ich versuche, der alten AD-Domäne beizutreten, erhalte ich die Fehlermeldung:[quote]Das Kommando ist fehlgeschlagen: der Domänenname des AD-Servers (local.mydomain.net) unterscheidet sich von der lokalen UCS-Domäne ((mydomain.net).Für den AD-Member-Modus ist es notwendig, ein UCS-System mit dem gleichen Domänenamen wie der AD-Server aufzusetzen.[/quote]…was ich definitiv getan habe.

Hat schon jemand ein ähnliches Problem gehabt? Kann ein UCS generell nicht mit “...” Namen umgehen?

CoffeePad · November 30, 2015, 9:52pm

[quote=“MKunert”]Infrastruktur:
Hat schon jemand ein ähnliches Problem gehabt? Kann ein UCS generell nicht mit “...” Namen umgehen?[/quote]

Ich hab eine Test-Installation mit Windows Server 2012 R2, einem UCS 4.0 mit opsi und AD-Verbindung, der Domäne “intern.example.org” und damit keine Probleme. Allerdings ist meine NETBIOS-Domäne auch “INTERN” und nicht “EXAMPLE”. Evtl. liegt da das Problem.

MKunert · December 1, 2015, 9:40pm

Danke für den Denkanstoß, CoffeePad. Ich werde mir jedenfalls mal Virtualbox schnappen und meine Optionen bei der UCS-Neuinstallation durchspielen… leider bin ich ja im Bezug auf die bereits existierende Domäne unflexibel

CoffeePad · December 2, 2015, 9:43pm

Hallo,

für den Fall, dass es das wirklich sein sollte, hilft evtl. das hier: sdb.univention.de/content/2/298/ … aller.html

MKunert · December 4, 2015, 2:34pm

So, habe jetzt mal den 2. Anlauf (mit VirtualBox) gestartet.

Der “falsche” Domänenname war mein Fehler: Bei der Installation gibt es einen Schritt im Wizard mit Titel “Rechnereinstellungen”, wo in das Feld “Vollqualifizierter Domänenname” nicht der vollqualifizierte Name der Domäne, sondern der vollqualifizierte Name des UCS-Servers in der Domäne eingetragen werden muss (also in meinem Fall: ucsdc1.local.mydomain.net). Dann generiert er auch automatisch die richtige LDAP-Basis im entsprechenden Feld direkt darunter (dc=local,dc=mydomain,dc=net).

Nach diesem Schritt und der Installation von “Active Directory-Verbindung” startet er auch ohne weitere Fehler in die Verbindung mit der AD-Domäne, bricht dann aber ab mit dem Fehler[quote]AD-Verbindung - Ein Fehler trat auf
Ein Fehler trat während des Beitritts von UCS zur Active Directory-Domäne auf. Die folgenden Informationen enthalten weitere Details über das genauere Problem.
Ein unerwarteter Fehler trat auf: 26univention-samba.inst failed[/quote]
Gut, die “weiteren Details” kann ich nicht wirklich deuten. Hat jemand eine Idee? Gibt es aussagekräftige Log-Dateien?

SirTux · December 4, 2015, 2:38pm

Ja was steht denn in /var/log/univention/join.log?

MKunert · December 4, 2015, 3:52pm

Hmm, die Datei ist nur 103 Zeilen lang und da sind keine Fehler drin. Nach dem Hinweis “univention-run-join-scripts started” kommen Zeilen, die mit “RUNNING” beginnen, jeweils gefolgt von einer Zeile “EXITCODE=already_executed”. Startet bei “RUNNING 01univention-ldap-server-init.inst” und endet mit “RUNNING 98univention-pkgdb-tools.inst”. Eine Zeile für 26univention-samba.inst fehlt, mit 26 startet nur “26univention-nagios-common.inst”. Nach 3 Sekunden meldet er “univention-run-join-scripts finished”.

MKunert · December 4, 2015, 4:17pm

Bin in /var/log/univention/management-console-module-adconnector.log fündig geworden:[code]#…viele Zeilen…
Starting Samba daemons: nmbd smbd.
Object modified: cn=ucsdc1,cn=dc,cn=computers,dc=local,dc=mydomain,dc=net
Failed to join domain: Invalid configuration (“workgroup” set to ‘LOCAL’, should be ‘MYDOMAIN’) and configuration modification was not requested
ERROR: Failed to join to AD DC via net ads join. Please check your Samba DCs and your DNS and WINS configuration.

04.12.15 15:10:00.000 MODULE ( ERROR ) : 26univention-samba.inst failed with 1
04.12.15 15:10:00.000 MODULE ( ERROR ) : Join process failed [sambaJoinScriptFailed]: 26univention-samba.inst failed
04.12.15 15:10:00.001 MODULE ( ERROR ) : Traceback:
Traceback (most recent call last):
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/adconnector/init.py”, line 488, in admember_join
admember.run_samba_join_script(username, password)
File “/usr/lib/pymodules/python2.7/univention/lib/admember.py”, line 1096, in run_samba_join_script
raise sambaJoinScriptFailed()
sambaJoinScriptFailed

04.12.15 15:10:00.001 MODULE ( PROCESS ) : Der Domänenbeitritt wurde mit Fehlern abgeschlossen.
04.12.15 15:10:00.202 MODULE ( PROCESS ) : Revert UCR settings
#…noch ein paar Zeilen (reverting…)
[/code]
Bin mir unschlüssig, ob ich seiner Meinung sein soll (“workgroup” set to ‘LOCAL’, should be ‘MYDOMAIN’): in der WIndows-AD-Domäne ist der Netbios-Domänenname “MYDOMAIN”, der Kerberos-Domänenname ist “LOCAL.MYDOMAIN.NET” …

SirTux · December 4, 2015, 4:35pm

Dann würde ich mal das probieren:

[quote=“CoffeePad”]Hallo,

für den Fall, dass es das wirklich sein sollte, hilft evtl. das hier: sdb.univention.de/content/2/298/ … aller.html[/quote]

MKunert · December 4, 2015, 4:36pm

Der Punkt geht -glaube ich- an CoffeePad: in meiner /etc/samba/smb.conf sollte die Zeileworkgroup = MYDOMAIN stehen. Dort steht aber ‘LOCAL’ als Workgroup. Leider führt eine nachträgliche Änderung zu neuen/anderen Fehlern.
Ist der Code im von CoffeePad verlinkten Artikel (How to define NETBIOS domain in installer) wörtlich zu nehmen? Ich stutze über das chroot-Ziel “/target”:chroot /target /bin/bash ucr set --force windows/domain="MYDOMAIN"
Ich würde jetzt exakt diese zwei Zeilen eingeben, wenn er mich bei einer erneuten Installation nach den “Rechnereinstellungen” fragt…

SirTux · December 4, 2015, 5:34pm

Das nehme ich wohl an, daß es genau so gemeint ist.

MKunert · December 4, 2015, 5:57pm

Verdammt - ich komme nicht mehr per CTRL-ALT-F1 zur grafischen Oberfläche zurück!!!???Fatal server error: Server is already active for display 0 If this server is no longer running, remove /tmp/.X0-lock and start again.

Och menno … und jetzt?

SirTux · December 4, 2015, 6:57pm

Ist das normalerweise nicht CTRL-ALT-F7?

MKunert · December 5, 2015, 6:38am

Habe den Installationsbildschirm wiedergefunden … mit CTRL-ALT-F5 … schräges Grinsen

MKunert · December 5, 2015, 10:10am

Join hat geklappt! Um zusammenzufassen:[ul][li]Bei der Installation im Schritt “Rechnereinstellungen” als “Vollqualifizierten Domänennamen” den Namen des UCS-Servers eingeben (ucsdc1.local.mydomain.net), LDAP-Basis generiert sich automatisch richtig (dc=local,dc=mydomain,dc=net)[/li]
[li]Mit CTRL-ALT-F2 zur Textkonsole wechseln und zwei Befehle absetzen:chroot /target /bin/bash ucr set --force windows/domain="MYDOMAIN"[/li]
[li]Mit CTRL-ALT-F5 zurück zum grafischen Installationsbildschirm, Installation wie gehabt zu Ende bringen[/li]
[li]Modul "Active Directory-Verbindung installieren und Domänen-Join durchführen[/li][/ul]

Vielen Dank an SirTux und CoffeePad!