Join Scripts nach Update auf 3.2 schlägt fehl

s.nuxoll · November 21, 2013, 8:57pm

Hallo

Nach einen Upgrade auf 3.2 kommt es zu einer Fehlermeldung bei einem Join-Script:

...
RUNNING 96univention-samba4.inst
Multifile: /etc/samba/smb.conf
Object exists: cn=Builtin,dc=brinkmann-formenbau,dc=intern
WARNING: cannot append cn=bri-master,cn=dc,cn=computers,dc=brinkmann-formenbau,dc=intern to hosts, value exists
No modification: cn=Enterprise Domain Controllers,cn=groups,dc=brinkmann-formenbau,dc=intern
ldap_modify: Server is unwilling to perform (53)
additional info: no global superior knowledge
modifying entry "cn=Enterprise Domain Controllers,cn=groups,dc=brinkmann-formenbau,dc=inter"

EXITCODE=53
RUNNING 97univention-s4-connector.inst
EXITCODE=already_executed
RUNNING 98univention-pkgdb-tools.inst
EXITCODE=already_executed
RUNNING 98univention-samba4-dns.inst
EXITCODE=already_executed

Do 21. Nov 21:19:15 CET 2013
univention-run-join-scripts finished

univention-run-join-scripts started
Do 21. Nov 21:40:44 CET 2013

RUNNING 96univention-samba4.inst
Multifile: /etc/samba/smb.conf
Object exists: cn=Builtin,dc=xxx,dc=intern
WARNING: cannot append cn=bri-master,cn=dc,cn=computers,dc=xxx,dc=intern to hosts, value exists
No modification: cn=Enterprise Domain Controllers,cn=groups,dc=xxx,dc=intern
ldap_modify: Server is unwilling to perform (53)
additional info: no global superior knowledge
modifying entry "cn=Enterprise Domain Controllers,cn=groups,dc=xxx,dc=inter"

EXITCODE=53

Do 21. Nov 21:40:54 CET 2013
univention-run-join-scripts finished

In der Zeile [quote]
modifying entry “cn=Enterprise Domain Controllers,cn=groups,dc=xxx,dc=inter”
[/quote]

fehlt das “n” am Ende des letzten dc. xxx ist hier 19 Zeichen lang.

Könnte das an der Länge des Domainname liegen?

mfg
Stefan

greif · November 25, 2013, 11:49am

Hallo,

Wie ist es denn zu diesem Zustand gekommen? War Samba4 vor dem Update bereits installiert? Wenn ja, gab es da auch schon Probleme mit dem Join-Skript? Ist durch den Join-Skript-Fehler das Update nicht durchgelaufen? Oder wurde Samba4 nach dem 3.2 Upgrade erst installiert? Für das Eingrenzen der Fehlerursache würde eine kurze Aufzählung helfen, welche Schritte in welcher Reihenfolge gemacht wurden und bei welchem Schritt das Problem zum ersten Mal auftrat. In den Logs in /var/log/univention (updater.log, upgrade.log, join.log, check-join-status.log) müßte man das zusammensuchen können.

Ob das abgeschnittene letzte Zeichen wirklich von Belang ist, kann man nur in /usr/lib/univention-install/96univention-samba4.inst (und eventuell anderen beteiligten Skripten) nachlesen; aber die betrefende Stelle aus knapp 1000 Zeilen herauszufinden ist schon schwierig ohne genauere Information.

Wie ist denn momentan der Zustand des Systems? (kann man sich anmelden? welche Dinge gehen momentan nicht? Welche Pakete sind in halbinstalliertem Zustand? [dpkg -C])

viele Grüße
Frank Greif.

s.nuxoll · November 25, 2013, 6:46pm

Hallo

samba4 war schon vorher installiert. Das System lief stabil, ohne irgendwelche Besonderheiten ( wurde Anfang Oktober neu installiert ).
Das Update ist durchgelaufen, ich bekomme jedoch den Hinweis, das es ein ausstehendes Join-Script gibt.
Das Upgrdae auf 3.2 wurde regulär über das UDM installiert. Es traten keine Fehlermeldungen beim Update auf. Lediglich ein Hinweis ist mir aufgefallen:
[ul]

WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.
[/ul]
Diesen habe ich aber erstmal vernachlässigt.

Nach dem reboot kam der Hinweis, wegen dem ausstehenden join-script.
Ich habe dann erstmal den Backup-Server und die Slave-Server upgedatet und als alle auf dem Versionstand 3.2 waren habe ich die ausstehenden join-scripte ausgeführt. Die fehlermeldung kam erneut.
Ich habe dann nochmal getestet, alle join scripte erneut auszuführen, mit dem selber Ergebnis.
Das System läuft soweit, anderen Besonderheiten sind bislang nicht aufgetreten.

Falls noch Informationen notwendig sind, reiche ich sie gerne nach.

mfg
Stefan

greif · November 26, 2013, 9:15am

Hallo,

Die Warnung [quote]WARNING: No path in service IPC$ - making it unavailable!
NOTE: Service IPC$ is flagged unavailable.[/quote] wird bereits im [bug]29227[/bug] behandelt; es liest sich für mich, als würde sie ohnehin kein Problem verursachen.

Der andere Fehler

[quote]ldap_modify: Server is unwilling to perform (53)
additional info: no global superior knowledge
modifying entry “cn=Enterprise Domain Controllers,cn=groups,dc=brinkmann-formenbau,dc=inter”
[/quote]
ist wohl schlimmer. Laut http://www.openldap.org/faq/data/cache/1322.html bedeutet er, daß das anzulegende oder zu modifizierende LDAP Objekt nicht gefunden werden kann. Wenn ich mir den Skript anschaue, verwendet er überall die Variable $ldap_base und ich würde glauben, daß da nicht einfach ein Zeichen verschwinden kann, die Variable kommt direkt aus der UCR durch eval "$(univention-config-registry shell)"

Ich habe zwar keinen anderen Programmcode sehen können, der an irgendeiner Stelle eine andere Variable benutzt um den DN zusammenzubauen, aber vielleicht hat sich ja in der UCR ein Tippfehler eingeschlichen? DNs gibt es jede Menge in der UCR, schauen Sie mal mit ucr dump | grep -iF 'dc=' ob vielleicht ein DN falsch ist.

s.nuxoll · November 26, 2013, 9:57am

Hallo,

UCR dump gibt folgendes aus:

mfg

Stefan

ahrnke · November 26, 2013, 9:52pm

Hallo,

haben Sie denn schon mal nachgesehen, ob die Gruppe “Enterprise Domain Controllers” existiert?
Das ist eine spezielle Samba4/AD-Gruppe. Sie ist wohl nur im LDAP bzw “udm group/groups …” sichtbar.

Viele Grüße,
Dirk Ahrnke

s.nuxoll · November 27, 2013, 6:09am

Hallo

Über die UDM wird die Gruppe angezeigt.

Bei der Auflistung über die Konsole kommt folgendes Ergebnis:

root@bri-master:~# ldapsearch -D “cn=admin,ucr get ldap/base” -w cat /etc/ldap.secret -b ‘cn=Enterprise Domain Controllers,cn=groups,dc=brinkmann-formenbau,dc=intern’ ‘(&)’

extended LDIF

LDAPv3

base <cn=Enterprise Domain Controllers,cn=groups,dc=brinkmann-formenbau,dc=intern> with scope subtree

filter: (&)

requesting: ALL

Enterprise Domain Controllers, groups, brinkmann-formenbau.intern

dn: cn=Enterprise Domain Controllers,cn=groups,dc=brinkmann-formenbau,dc=inter
n
sambaGroupType: 5
objectClass: top
objectClass: posixGroup
objectClass: univentionGroup
objectClass: sambaGroupMapping
objectClass: univentionObject
memberUid: bri-master$
memberUid: bri-backup$
univentionObjectType: groups/group
sambaSID: S-1-5-9
gidNumber: 5037
uniqueMember: cn=bri-master,cn=dc,cn=computers,dc=brinkmann-formenbau,dc=inter
n
uniqueMember: cn=bri-backup,cn=dc,cn=computers,dc=brinkmann-formenbau,dc=inter
n
cn: Enterprise Domain Controllers

search result

search: 2
result: 0 Success

numResponses: 2

numEntries: 1

Ist also vorhanden.
Wegen dem nachgestelltem “n” vermute ich hier einen automatischen Zeilenumbruch in der Ausgabe.

mfg

Stefan

greif · November 27, 2013, 9:08am

Hallo,

das hätte mir auch eher auffallen können… Also in besagtem Skript gibt es zwei Stellen, an denen der DN nicht aus $ldap_base entnommen wird, und wenn an den Stellen die LDIF-Ausgabe so aussieht wie im vorherigen Beitrag, geht das ‘n’ wirklich verloren. Ich habe dazu [bug]33583[/bug] eröffnet.

viele Grüße
Frank Greif

s.nuxoll · November 27, 2013, 11:18am

Hallo,
Danke für die Info.
Ich warte dann mal auf nen Patch

mfg
Stefan

s.nuxoll · December 13, 2013, 6:26am

Hallo
Nach dem gestrigen Update auf errata 14 funktioniert alles wieder!

mfg
Stefan