Ich habe eben meine Domain auf einen neuen Server umgezogen und für die Desktop-Profile am Client ForensiT profwiz benutzt.
Das war eigentlich kein Profil, nur dabei wurde immer angezeigt, dass der Backup-DC für Migration auf die neue Domain benutzt wurde. Das kam mir komisch vor.
Ich habe dcdiag als Test-Tool für den DC gefunden. Muss ein USC-Samba-Server diesen Test komplett bestehen?
Ich habe hier einige nicht bestandene Tests.
- Wie genau wurde der Umzug vorgenommen?
- Von was auf was wurde umgezogen?
- Welche Tests schlagen fehl?
Die Clients haben mit dem Tool die neue Domain betreten.
Es wurden nur die Profil lokal (Workstation) für die neue Domain migriert.
dcdiag /s:SERVER
hat den Test SysVolCheck nicht bestanden
hat den Test Replications nicht bestanden
hat den Test Services nicht bestanden
hat den Test VerifyReferences nicht bestanden
DomainDnsZones hat den Test CheckSDRefDom nicht bestanden
ForestDnsZones hat den Test CheckSDRefDom nicht bestanden
Fehler 5719 sehe ich auch ab und an bei den Clients.
ich kann leider noch nicht erkennen, was genau “Umzug” in Ihrem Kontext bedeutet und welches Tool verwendet wurde. Um zu testen ob ein Server seine Samba 4 Domänenfunktionalität korrekt ausführt würde ich die folgenden Tests auf dem Server durchführen:
Prüfung der DRS Replikation
# samba-tool drs showrepl
Prüfung der Listener/Notifier Replikation:
# /usr/lib/nagios/plugins/check_univention_replication
Prüfung Samba-Gesundheit
# samba-tool dbcheck --cross-ncs --check-for-conflicts
# samba-tool drs kcc
Prüfung Sysvol “Gesundheit”:
# samba-tool ntacl sysvolcheck
Prüfung Gesundheit DNS:
# /usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh
# ucr search dns/backend
Wenn hier alles okay ist aber Schwierigkeiten an den Windows Clients auftreten, würde ich bei den konkreten Problemen ansetzen.
- Richtigen DNS Server bei den Clients eintragen
- Prüfung ob die richtigen Logonserver verwendet werden (das kann mit mehreren Samba4 Servern auch unterschiedlich sein)
echo %LOGONSERVER%
Und sonst von konkreten vollständigen Fehlerbeschreibungen ausgehend weiter analysieren.
Der Umzug bezog sich auf die Desktop-Clients, also ein Wechsel zu dem neuen DC.
Das Tool heißt “ForensiT profwiz”.
Ich habe nun die weiteren Tests durchgefüht, in der Tat kamen einige Fehler zum Vorschein:
# samba-tool drs showrepl
Connection --
Connection name: 7ca6c7a1-f425-42c5-9076-b351aed4b6d8
Enabled : TRUE
Server DNS name : SERVER2.DOMAIN.zz
Server DN name : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=zz
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
# /usr/lib/nagios/plugins/check_univention_replication
OK: replication complete (nid=1689 lid=1689)
root@SERVER1:~# samba-tool dbcheck --cross-ncs --check-for-conflicts
Checking 3509 objects
ERROR: incorrect DN string component for lastKnownParent in object dc=14\0ADEL:d076d6e5-ae2a-4cdb-9eeb-79049137739e,CN=Deleted Objects,DC=DomainDnsZones,DC=DOMAIN,DC=zz - <GUID=6d2a11a6-909c-405f-9913-85d3f2b1c208>;DC=72.168.192.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=DOMAIN,DC=zz
Not fixing string component mismatch
ERROR: incorrect DN string component for lastKnownParent in object dc=19\0ADEL:3ccd95cd-93ba-4c52-b34f-52606873c655,CN=Deleted Objects,DC=DomainDnsZones,DC=DOMAIN,DC=zz - <GUID=6d2a11a6-909c-405f-9913-85d3f2b1c208>;DC=72.168.192.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=DOMAIN,DC=zz
Not fixing string component mismatch
ERROR: incorrect DN string component for lastKnownParent in object dc=199\0ADEL:7b79dac5-0f46-4484-b094-98cf4095a922,CN=Deleted Objects,DC=DomainDnsZones,DC=DOMAIN,DC=zz - <GUID=6d2a11a6-909c-405f-9913-85d3f2b1c208>;DC=72.168.192.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=DOMAIN,DC=zz
Not fixing string component mismatch
ERROR: incorrect DN string component for lastKnownParent in object dc=@\0ADEL:06442be6-7196-4ac0-bc5e-8781a46ac7a0,CN=Deleted Objects,DC=DomainDnsZones,DC=DOMAIN,DC=zz - <GUID=6d2a11a6-909c-405f-9913-85d3f2b1c208>;DC=72.168.192.in-addr.arpa,CN=MicrosoftDNS,DC=DomainDnsZones,DC=DOMAIN,DC=zz
Not fixing string component mismatch
ERROR: incorrect DN SID component for member in object CN=Domain Users,CN=Groups,DC=DOMAIN,DC=zz - <GUID=ba963e50-ffd1-4127-b77c-9ebb8e012d9e>;<RMD_ADDTIME=131335429700000000>;<RMD_CHANGETIME=131335429700000000>;<RMD_FLAGS=0>;<RMD_INVOCID=f5ee7bc4-3371-4040-baaf-c856954e0a69>;<RMD_LOCAL_USN=3729>;<RMD_ORIGINATING_USN=3729>;<RMD_VERSION=0>;CN=Administrator,CN=Users,DC=DOMAIN,DC=zz
Not fixing SID component mismatch
Please use --fix to fix these errors
Checked 3509 objects (5 errors)
# samba-tool ntacl sysvolcheck
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/DOMAIN.zz/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Scripts/Shutdown O:LAG:DAD:(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;;0x001f01ff;;;LA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/DOMAIN.zz/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/MACHINE/Scripts/Shutdown O:LAG:DAD:(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;;0x001f01ff;;;LA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: DB NTACL of GPO directory /var/lib/samba/sysvol/DOMAIN.zz/Policies/{5D4E6F0A-9A8F-40B2-A3C8-C09DD8641410} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/DOMAIN.zz/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Scripts/Shutdown O:LAG:DAD:(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;;0x001f01ff;;;LA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/DOMAIN.zz/Policies/{6AC1786C-016F-11D2-945F-00C04FB984F9}/MACHINE/Scripts/Shutdown O:LAG:DAD:(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;;0x001f01ff;;;LA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
ProvisioningError: VFS NTACL of GPO directory /var/lib/samba/sysvol/DOMAIN.zz/Policies/{5D4E6F0A-9A8F-40B2-A3C8-C09DD8641410} O:DAG:DAD:PAI(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) does not match value O:LAG:DAD:P(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;EA)(A;OICIIO;0x001f01ff;;;CO)(A;OICI;0x001f01ff;;;DA)(A;OICI;0x001f01ff;;;SY)(A;OICI;0x001200a9;;;AU)(A;OICI;0x001200a9;;;ED) expected from GPO object
Wieviele Server gibt es in der Umgebung? Haben die alle Samba4 installiert? “# samba-tool drs showrepl” auf dem S4 master ausgeführt sollte mindestens die Replikation mit dem S4 backup zeigen und umgekehrt (nochmal prüfen). Ich würde zusätzlich noch den folgenden Befehl ausführen:
# samba-tool dbcheck --cross-ncs --fix
und die Fehler mit “all” lösen lassen. Sind die Clients in die neue Domäne gejoint? Im Zweifel aus der alten Domäne austreten, Neustart und in die neue Domäne joinen. Zu dem Tool an sich kann ich aber leider keine Aussage machen.
Es sind 2 Server: PDC und BDC. Es sind beide USC 4.1 mit Samba 4.
Alle Clients sind in die neue Domain gejoint.
Was mich dann irritiert hatte waren die Fehleranzeigen von dcdiag /s:SERVER
Wenn ich das richtig sehe, kann man mit ForensiT einen Computer aus einer Domäne in eine andere verschieben unter Beibehaltung der Einstellungen. Wie erfolgreich das normalerweise ist, kann ich nicht abschätzen, aber die aufgabe scheint machbar genug. Ich denke/vermute das Tool sollte sich den PDC aus den service-records suchen - dieser sollte normalerweise auf den master lauten.
Ich würde (wie schon gesagt) die folgenden Schritte auf den UCS Servern und den Clients durchführen um die Gesundheit zu prüfen:
# samba-tool drs showrepl auf dem S4 master ausgeführt sollte mindestens die Replikation mit dem S4 backup zeigen und umgekehrt (nochmal prüfen).
# samba-tool dbcheck --cross-ncs --fix
# samba-tool ntacl sysvolreset
echo %LOGONSERVER% auf den Clients
DNS Server auf den Clients auf Richtigkeit prüfen
Und sonst von konkreten vollständigen Fehlerbeschreibungen ausgehend weiter analysieren.
Logon-Server passt auf Clients, habe ich an 4 Desktops getestet.
Der einzige Fehler, den das samba-tool jetzt noch auf PDC und BDC zeigt ist:
==== KCC CONNECTION OBJECTS ====
Connection –
Connection name: 7ca6c7a1-f425-42c5-9076-b351aed4b6d8
Enabled : TRUE
Server DNS name : SERVER2.DOMAIN.zz
Server DN name : CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=DOMAIN,DC=zz
TransportType: RPC
options: 0x00000001
Warning: No NC replicated for Connection!
Die Fehler, die dcdiag vom Client aus angezeigt hatte, sind laut Google normal gewesen. Samba4 ist eben noch nicht so weit.
Sambawiki sagt:
Warning: No NC replicated for Connection!
The warning appears because Samba incorrectly sets some flags when registering the DC for replication. The warning is harmless and can be ignored.