AD-Verbindung und AD-Takeover: Verwirrender Systemzustand

UCS - Univention Corporate Server
#1

Infrastruktur:
Virtueller AD-Master (WinServer2008R2) = windc1.local.mydomain.net, 192.168.0.4
Gateway-Server auf Debian-Basis (mit dnsmasq) = gate2.local.mydomain.net, 192.168.0.1
Neuer UCS (4.1) = ucsdc1.local.mydomain.net, 192.168.0.10

gate2 ist der Firewall-Server, er versorgt vier Subnetze mit DHCP und DNS. windc1 ist der “alte” Micosoft-AD-Master, von dem ich wegmigrieren möchte. ucsdc1 ist der UCS, zu dem ich hinmigrieren möchte.

DNS-Domänenname: local.mydomain.net
Netbios-Domänenname: MYDOMAIN
Kerberos-Domänename: LOCAL.MYDOMAIN.NET
LDAP-Basis-DN: dc=local,dc=mydomain,dc=net

Die Active Directory-Verbindung hat geklappt! Das Modul meldet “Active Directory-Verbindungsdienst läuft aktuell.”

Als nächsten Schritt (so war mein Verständnis) habe ich das Modul “Active Directory Takeover” installiert. Hier kam es zu einer (Fehler-?)Meldung bezüglich des domaincontroller_master SRV-Eintrags. Diesen Eintrag habe ich ergänzt.

Trotzdem läuft nun das Join-Script nicht mehr durch. Die Meldung zu Schritt 96univention-samba4.inst lautetERROR: The domain is in AD Member Mode, cannot join as DC. EXITCODE=1Das finde ich gleichzeitig faszinierend und verwirrend.

Wie komme ich jetzt weiter? AD-Verbindungsdienst läuft (hurra!), Domänenbeitritt klappt nicht, drei Schritte fehlen (???). AD-Takeover traue ich mich nach den Meldungen nicht.

Ich will weg von Microsoft und den Windows-DC abschalten. Was muss ich noch tun?

OPSI clients installation
Frage zum UCS "AD kompatiblen Domänencontroller"
#2

Hallo,

laut Meldung scheinen Sie UCS als Mitglied einer Active Directory-Domäne konfiguriert zu haben. Für die Übernahme muß man m.E. erst den AD-Connector einrichten.

Viele Grüße,
Dirk Ahrnke

#3

Das trifft zu: ich habe per Modul “Active Directory-Verbindung” die Variante “UCS als Teil einer AD-Domäne” konfiguriert. Hatte mir mehrmals die Voraussetzungen für “Active Directory Takeover” durchgelesen und behaupte, diese Bedingung (“UCS-Server darf kein AD-Member sein!”) steht dort nicht. Insbesondere wird “Beitritt des UCS-Domänencontrollers in die Active Directory Domäne” als Schritt von AD-Takeover beschrieben. grummel
Ich versuche mal heute Abend, die Einstellung auf “Synchronisation von Kontendaten zwischen einer AD-Domäne und einer UCS-Domäne” umzustellen (hoffe, das geht jetzt noch).

#4

Wie kann ich “Active Directory-Verbindung” auf “Synchronisation von Kontendaten zwischen einer AD-Domäne und einer UCS-Domäne” umstellen, wenn bereits “UCS als Teil einer AD-Domäne” konfiguriert ist? Die Auswahl wird mir in der UMC nicht mehr angeboten.
Muss ich das Modul deinstallieren, um es dann gleich wieder neu zu installieren?

#5

Ich weiß es im Moment auch nicht und würde es probieren. Jedenfalls solange das System noch im Test-Status ist.

#6

:expressionless: Funktioniert nicht. Nach der Deinstallation von “Active Directory-Verbindung” bleibt eine Tonne von alten Domänen-Überbleibseln im System (unlöschbare Benutzer, Rechner, Gruppen). Ich befürchte, die Installation ist insgesamt gescheitert.

#7

Selbes Problem hier, vor Takeover

Mastodon