So,
habe den AD Dienst mehrfach de-/neu installiert sodass jetzt Samba wieder auf dem DC Master läuft und keine Fehler mehr geloggt werden. Problem war, dass der Join von samba-dns nicht lief, weil er den samaccount=dns-ucs nicht angelegt hat. Dazu gibt’s einige Einträge hier, irgendwan lief es dann.
Jetzt habe ich bei weiteren Samba-Checks festgestellt, dass einige Rechner im DNS (backend=samba4) nicht aufgelöst werden, obwohl sie im LDAP vorhanden sind und vom dns (backend=ldap) aufgelöst werden, von den AD Controllern aber nicht.
Jetzt möchte ich folgende Anleitung “DNS-Probleme in Samba/AD Domänen” abarbeiten, welches genau dieses Problem behandelt.
Frage: welches sind denn die falschen Einträge sind, welche ich in Samba/AD löschen soll?
tail daemon.log
Feb 17 19:40:22 ucs named[16798]: Loading 'samba4.zone' using driver dlopen
Feb 17 19:40:23 ucs named[16798]: samba_dlz: started for DN DC=friedrichnet,DC=de
Feb 17 19:40:23 ucs named[16798]: samba_dlz: starting configure
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone '3.168.192.in-addr.arpa'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone '4.168.192.in-addr.arpa'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone 'box'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone '2.168.192.in-addr.arpa'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone 'friedrichnet.de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: pre-W2k3 zone found
Feb 17 19:40:23 ucs named[16798]: samba_dlz: Ignoring duplicate zone 'friedrichnet.de' from 'DC=@,DC=friedrichnet.de,CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: Ignoring dnsZone _msdcs.friedrichnet.de
Feb 17 19:40:23 ucs named[16798]: set up managed keys zone for view _default, file 'managed-keys.bind'
root@ucs:~# univention-s4search --cross-ncs objectClass=dNSZone dn | grep dn:|sort
dn: DC=2.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=3.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=4.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=box,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=friedrichnet.de,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=friedrichnet.de,CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de
dn: DC=_msdcs.friedrichnet.de,CN=MicrosoftDNS,DC=ForestDnsZones,DC=friedrichnet,DC=de
dn: DC=RootDNSServers,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de
root@ucs:~#
Heisst das jetzt, dass ich von Hand per ldbedit alle Einträge suchen/löschen soll?
alte zone (delete) 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
neue zone (leave): 'CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de'
Derzeit sind die Rechner in der alten Zone ‘CN=MicrosoftDNS,CN=System’ zu finden
root@ucs:~# univention-ldapsearch dn | grep dn: | grep -i ucs,
dn: relativeDomainName=ucs,zoneName=friedrichnet.de,cn=dns,dc=friedrichnet,dc=de
dn: cn=ucs,cn=dc,cn=computers,dc=friedrichnet,dc=de
dn: cn=ucs,cn=friedrichnet.de,cn=dhcp,dc=friedrichnet,dc=de
dn: cn=zmeetings4ucs,cn=apps,cn=univention,dc=friedrichnet,dc=de
dn: uid=dns-ucs,cn=users,dc=friedrichnet,dc=de
root@ucs:~#
root@ucs:~#
root@ucs:~# univention-s4search dn | grep dn: | grep -i ucs,
dn: CN=RID Set,CN=UCS,OU=Domain Controllers,DC=friedrichnet,DC=de
dn: CN=dns-ucs,CN=Users,DC=friedrichnet,DC=de
dn: CN=UCS,OU=Domain Controllers,DC=friedrichnet,DC=de
dn: DC=ucs,DC=friedrichnet.de,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
root@ucs:~#
Sind ja nur über 200 Objekte 
root@ucs:~# ldbsearch -H /var/lib/samba/private/sam.ldb dn | grep dn: | grep -i 'CN=MicrosoftDNS,CN=System' | wc -l
213
root@ucs:~#
wobei ich dann wohl 197 wieder einspielen würde
root@ucs:~# univention-ldapsearch -LLLo ldif-wrap=no -b cn=dns,$( ucr get ldap/base ) >ucs_dns_full.ldif
root@ucs:~# grep dn: ucs_dns_full.ldif | wc -l
197
root@ucs:~#
Habe ich das so richtig verstanden?