Again: Critical: Check Kerberos authenticated DNS update (after upgrading UCS to

infinit · April 9, 2019, 1:36pm

Nachdem ich alle Systemteile entsprechend den Empfehlungen des UCS auf den aktuallen Stand (2019-04-07) gebracht habe, liefert die UCS Systemdiagnose

Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/__init__.py", line 275, in execute
    result = execute(umc_module, **kwargs)
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/plugins/46_kerberos_ddns_update.py", line 157, in run
    server = get_dns_server(config_registry, active_services)
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/plugins/46_kerberos_ddns_update.py", line 109, in get_dns_server
    ad_domain_info = univention.lib.admember.lookup_adds_dc()
  File "/usr/lib/pymodules/python2.7/univention/lib/admember.py", line 805, in lookup_adds_dc
    raise failedADConnect(["Connection to AD Server %s failed (%s)" % (ad_server, ",".join(check_results))])
failedADConnect: ['Connection to AD Server wgk.example.com failed (CLDAP: 3221225653)']

Darüber hinaus kann meine Zarafa-Installation (eine separate VM) keine LDAP lookups mehr ausführen.

Wie in einem ähnlichen Thread vorgeschlagen habe ich folgendes ausgeführt:

[2019-04-09 14:34:38 root ~]# samba-tool domain exportkeytab dns.keytab.new --principal=DNS/$(hostname).$(ucr get domainname)
Export one principal to dns.keytab.new
[2019-04-09 14:35:58 root ~]# samba-tool domain exportkeytab dns.keytab.new --principal=dns-$(hostname)@$(ucr get kerberos/realm)
Export one principal to dns.keytab.new
[2019-04-09 14:38:05 root ~]# cp dns.keytab.new /var/lib/samba/private/dns.keytab
</code>
Danach habe ich die Diagnose wiederholt - ohne Erfolg.

Wie weiters vorgeschlagen habe ich dann folgendes ausgeführt:
<code>
[2019-04-09 14:39:04 root ~]# samba-tool domain exportkeytab test-keytab --principal=dns-$(ucr get hostname)@$(ucr get kerberos/realm)
Export one principal to test-keytab
[2019-04-09 14:41:38 root ~]# samba-tool domain exportkeytab test-keytab --principal=DNS/$(ucr get hostname).$(ucr get kerberos/realm)
Export one principal to test-keytab
[2019-04-09 14:41:53 root ~]# kinit -t test-keytab dns-$(ucr get hostname)@$(ucr get kerberos/realm)
[2019-04-09 14:42:08 root ~]# kinit -t test-keytab DNS/$(ucr get hostname).$(ucr get kerberos/realm)
kinit: krb5_get_init_creds: Client (DNS/UCS-Kopano.WGK.EXAMPLE.COM@WGK.EXAMPLE.COM) unknown

Hier bin ich nun mit meinem Latein am Ende.
Mit welchen anderen Diagnostics kann ich die Fehlerursache weiter eingrenzen?

Moritz_Bunkus · April 9, 2019, 1:42pm

Huhu,

Samba läuft nicht. Das scheint bei UCS 4.4 leider sehr häufig der Fall zu sein; Samba wird beim Booten anscheinend nicht zuverlässig gestartet. Mein Debugging hat bisher einen Zyklus in den Abhängigkeiten der Dienste gefunden, über den sich systemd beschwert, was eine Ursache sein kann.

Aktueller Workaround: Samba manuell starten (systemctl start samba-ad-dc).

m.

Moritz_Bunkus · April 9, 2019, 1:43pm

BTW: <code>-Tags gibt’s in diesem Forum bzw. bei Markdown nicht. Statt dessen nutzt man zwei Zeilen, in denen exakt drei Backticks stehen, und der Inhalt kommt dazwischen:

```
content goes here
```

Moritz_Bunkus · April 9, 2019, 2:09pm

Da ich noch mitten im Debuggen bin: kannst du mir bitte die Ausgabe von folgendem posten:

systemctl daemon-reload && systemd-analyze verify default.target
find /etc/systemd/system -iname 'nfs-server*' -o -iname 'rpc-statd*'

Das könnte meine Theorien bestätigen. Danke.

infinit · April 9, 2019, 2:21pm

Danke für die schnelle Reaktion.
Zuerst die gewünschten Ausgaben:

[UCS-Kopano 2019-04-09 15:58:21 root ~]# systemctl daemon-reload && systemd-analyze verify default.target
boot.mount: Unit is bound to inactive unit dev-disk-by\x2duuid-9be1278b\x2dfbd3\x2d48f9\x2db0bb\x2d7d2d72120f38.device. Stopping, too.
dev-mapper-vg_ucs\x2dswap_1.swap: Unit is bound to inactive unit dev-mapper-vg_ucs\x2dswap_1.device. Stopping, too.
rpc-svcgssd.service: Cannot add dependency job, ignoring: Unit rpc-svcgssd.service is masked.
[UCS-Kopano 2019-04-09 16:18:45 root ~]# find /etc/systemd/system -iname 'nfs-server*' -o -iname 'rpc-statd*'
/etc/systemd/system/multi-user.target.wants/nfs-server.service

Leider scheint mein System immer instabiler zu werden. Nach manuellem Neustart von Samba

[UCS-Kopano 2019-04-09 15:55:39 root ~]# systemctl restart samba-ad-dc
[UCS-Kopano 2019-04-09 15:55:57 root ~]# systemctl status samba-ad-dc
● samba-ad-dc.service - LSB: Samba daemons for the AD DC
   Loaded: loaded (/etc/init.d/samba-ad-dc; generated; vendor preset: enabled)
   Active: active (running) since Tue 2019-04-09 15:55:57 CEST; 34s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 14539 ExecStop=/etc/init.d/samba-ad-dc stop (code=exited, status=0/SUCCESS)
  Process: 14571 ExecStart=/etc/init.d/samba-ad-dc start (code=exited, status=0/SUCCESS)
    Tasks: 72 (limit: 4915)
   Memory: 437.9M
      CPU: 9.597s
   CGroup: /system.slice/samba-ad-dc.service
           ├─14581 samba: root process
           ├─14583 samba: task[s3fs_parent]
           ├─14584 samba: task[dcesrv]
           ├─14585 samba: task[wreplsrv]
           ├─14586 samba: task[ldapsrv]
           ├─14587 samba: task[cldapd]
           ├─14588 samba: conn[kdc_tcp] c[ipv4:192.168.178.212:54544] s[ipv4:192.168.178.1:88] server_id[14588.42]
           ├─14589 samba: task[dreplsrv]
           ├─14590 samba: task[winbindd_parent]
           ├─14591 samba: tfork waiter process
           ├─14592 samba: task[ntp_signd]
           ├─14593 samba: task[kccsrv]
           ├─14594 /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─14595 samba: tfork waiter process
           ├─14596 /usr/sbin/winbindd -D --option=server role check:inhibit=yes --foreground
           ├─14597 samba: task[dnsupdate]
           ├─14629 /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─14630 /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─14631 /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
           ├─14656 samba: conn[named_pipe] c[unix:] s[unix:/var/run/samba/ncalrpc/np/netlogon] server_id[14656]
           ├─14658 samba: conn[ldap] c[unix:] s[unix:/var/lib/samba/private/ldap_priv/ldapi] server_id[14658]

Apr 09 15:55:56 UCS-Kopano samba-ad-dc[14539]: Stopping Samba AD DC daemon: samba.
Apr 09 15:55:56 UCS-Kopano systemd[1]: Stopped LSB: Samba daemons for the AD DC.
Apr 09 15:55:56 UCS-Kopano systemd[1]: Starting LSB: Samba daemons for the AD DC...
Apr 09 15:55:57 UCS-Kopano samba-ad-dc[14571]: Starting Samba AD DC daemon: samba.
Apr 09 15:55:57 UCS-Kopano systemd[1]: Started LSB: Samba daemons for the AD DC.
Apr 09 15:56:04 UCS-Kopano PAM-univentionsambadomain[14641]: continuing as user FS2$
Apr 09 15:56:04 UCS-Kopano smbd[14641]: pam_unix(samba:session): session opened for user FS2$ by (uid=0)

sind jetzt folgende Systemdignosemeldungen hinzugekommen:

Problem: Überprüfe den Samba Replikations Status 

Traceback (most recent call last):
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/__init__.py", line 275, in execute
    result = execute(umc_module, **kwargs)
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/plugins/41_samba_tool_showrepl.py", line 149, in run
    drs = DRSUAPI()
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/plugins/41_samba_tool_showrepl.py", line 60, in __init__
    (self.load_param, self.credentials) = self.samba_credentials()
  File "/usr/lib/pymodules/python2.7/univention/management/console/modules/diagnostic/plugins/41_samba_tool_showrepl.py", line 82, in samba_credentials
    credentials.set_machine_account(load_param)
NTSTATUSError: (3221225690, 'Configuration information could not be read from the domain controller, either because the machine is unavailable or access has been denied.')

sowie

Warnung: Überprüfe die Samba SYSVOL ACL Einträge auf Fehler
`samba-tool ntacl sysvolreset` ist fehlgeschlagen.

STDOUT:
ERROR(): uncaught exception - 'NoneType' object has no attribute 'startswith'
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 184, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 283, in run
    resume_on_error=True)
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 1689, in setsysvolacl
    file = tempfile.NamedTemporaryFile(dir=os.path.abspath(sysvol))
  File "/usr/lib/python2.7/posixpath.py", line 360, in abspath
    if not isabs(path):
  File "/usr/lib/python2.7/posixpath.py", line 54, in isabs
    return s.startswith('/')

`samba-tool ntacl sysvolcheck` meldet ein Problem mit den SYSVOL ACL Eintr�gen.

Vielen Dank soweit.

Moritz_Bunkus · April 9, 2019, 2:24pm

Schade, das Problem ist ein anderes als mein Problem

Läuft der Dienst univention-s4-connector? Zeigt univention-s4connector-list-rejected irgendwelche Fehler?

infinit · April 9, 2019, 2:49pm

Der univention-s4-connector Dienst läuft, es werden abgelehnte S4 Objekte beanstandet. Dieses Problem existiert aber von Anfang an (seit dem Active Directory Takeover) und hatte bislang keine negativen Auswirkungen.