KDC und Samba4 läuft nicht mehr auf DC

Seit einem reboot heute läuft mein Samba Master-DC nicht mehr.
‘Samba-tool processes’ ist leer.
‘Systemctl status’ sagt, dass alle services laufen (degraded 0).

In den Logfiles habe ich irgendwie nix relevantes gefunden.

Hilfe.

root@ucs:~# samba-tool processes
 Service:                          PID
--------------------------------------
root@ucs:~#


Einziger Hinweis im Bootlog:
Feb  9 15:44:43 ucs samba4[1228]: rndc: connect failed: 127.0.0.1#953: connection refused


root@ucs:/var/log# grep erro *.log | grep -v container | grep -v named | grep -v docker | grep -v bootstrap
heimdal-kdc.log:2020-02-09T18:21:23 tgs-req: sending error: -1765328377 to client


root@ucs:~# ps -aux | grep samba | grep -v grep
root       958  0.7  1.7 874928 70040 ?        Ssl  18:46   0:03 /usr/sbin/named -c /etc/bind/named.conf.samba4 -f -d 0


root@ucs:~# samba-tool drs kcc
Failed to connect host 192.168.2.6 on port 135 - NT_STATUS_CONNECTION_REFUSED
Failed to connect host 192.168.2.6 (ucs.friedrichnet.de) on port 135 - NT_STATUS_CONNECTION_REFUSED.
ERROR(<class 'samba.drs_utils.drsException'>): DRS connection to ucs.friedrichnet.de failed - drsException: DRS connection to ucs.friedrichnet.de failed: (3221226038, 'The transport-connection attempt was refused by the remote system.')
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/drs.py", line 54, in drsuapi_connect
    (ctx.drsuapi, ctx.drsuapi_handle, ctx.bind_supported_extensions) = drs_utils.drsuapi_connect(ctx.server, ctx.lp, ctx.creds)
  File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 63, in drsuapi_connect
    raise drsException("DRS connection to %s failed: %s" % (server, e))
root@ucs:~#


root@ucs:~# nmap $(hostname)

Starting Nmap 7.40 ( https://nmap.org ) at 2020-02-10 10:04 CET
Nmap scan report for ucs (192.168.2.6)
Host is up (0.0000090s latency).
rDNS record for 192.168.2.6: ucs.friedrichnet.de
Not shown: 983 closed ports
PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
25/tcp    open  smtp
53/tcp    open  domain
80/tcp    open  http
111/tcp   open  rpcbind
443/tcp   open  https
465/tcp   open  smtps
514/tcp   open  shell
587/tcp   open  submission
749/tcp   open  kerberos-adm
873/tcp   open  rsync
2049/tcp  open  nfs
5432/tcp  open  postgresql
5666/tcp  open  nrpe
6669/tcp  open  irc
32768/tcp open  filenet-tms

Nmap done: 1 IP address (1 host up) scanned in 1.65 seconds


root@ucs:~# journalctl -xe | grep ldap
Feb 10 09:47:18 ucs nscd[393]: nss-ldap: do_open: do_start_tls failed:stat=-1
Feb 10 09:47:18 ucs nscd[393]: nss_ldap: reconnecting to LDAP server
Feb 10 09:47:18 ucs nscd[393]: nss-ldap: do_open: do_start_tls failed:stat=-1
Feb 10 09:47:18 ucs nscd[393]: nss_ldap: reconnecting to LDAP server (sleeping 1 seconds)...
Feb 10 09:47:19 ucs nscd[393]: nss-ldap: do_open: do_start_tls failed:stat=-1
Feb 10 09:47:19 ucs nscd[393]: nss_ldap: could not search LDAP server - Server is unavailable
                                         Debian OpenLDAP Maintainers <pkg-openldap-devel@lists.alioth.debian.org>
Feb 10 09:47:19 ucs slapd[1555]: /etc/ldap/slapd.conf: line 179: rootdn is always granted unlimited privileges.
Feb 10 09:47:19 ucs slapd[1029]: Starting ldap server(s): slapd .. done.


root@ucs:/etc/ldap# journalctl -xe | grep slap
-- Subject: Unit slapd.service has begun start-up
-- Unit slapd.service has begun starting up.
Feb 10 09:47:19 ucs root[1232]: /etc/init.d/slapd start (pid: 1029, ppid:    1 systemd)
Feb 10 09:47:19 ucs slapd[1029]: Check database: done.
Feb 10 09:47:19 ucs slapd[1555]: @(#) $OpenLDAP: slapd  (Nov 26 2019 12:59:58) $
Feb 10 09:47:19 ucs slapd[1555]: Loaded metadata from "/usr/share/univention-management-console/saml/idp/ucs-sso.friedrichnet.de.xml"
Feb 10 09:47:19 ucs slapd[1555]: /etc/ldap/slapd.conf: line 179: rootdn is always granted unlimited privileges.
Feb 10 09:47:19 ucs slapd[1561]: WARNING: No dynamic config support for overlay translog.
Feb 10 09:47:19 ucs slapd[1561]: slapd starting
Feb 10 09:47:19 ucs slapd[1029]: Starting ldap server(s): slapd ..done.
Feb 10 09:47:19 ucs slapd[1029]: Checking Schema ID: ..done.
-- Subject: Unit slapd.service has finished start-up
-- Unit slapd.service has finished starting up.
root@ucs:/etc/ldap#


root@ucs:~# systemctl status samba
● samba.service - LSB: ensure Samba daemons are started (nmbd and smbd)
   Loaded: loaded (/etc/init.d/samba; generated; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:systemd-sysv-generator(8)


root@ucs:~# systemctl start samba
root@ucs:~# systemctl status samba
● samba.service - LSB: ensure Samba daemons are started (nmbd and smbd)
   Loaded: loaded (/etc/init.d/samba; generated; vendor preset: enabled)
   Active: active (exited) since Sun 2020-02-09 18:49:24 CET; 1s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 10452 ExecStart=/etc/init.d/samba start (code=exited, status=0/SUCCESS)
      CPU: 61ms

Feb 09 18:49:24 ucs systemd[1]: Starting LSB: ensure Samba daemons are started (nmbd and smbd)...
Feb 09 18:49:24 ucs samba[10452]: Starting nmbd (via systemctl): nmbd.service.
Feb 09 18:49:24 ucs samba[10452]: Starting smbd (via systemctl): smbd.service.
Feb 09 18:49:24 ucs systemd[1]: Started LSB: ensure Samba daemons are started (nmbd and smbd).



root@ucs:~# systemctl status smbd
● smbd.service - LSB: Samba SMB/CIFS daemon (smbd)
   Loaded: loaded (/etc/init.d/smbd; generated; vendor preset: enabled)
   Active: active (exited) since Sun 2020-02-09 18:46:44 CET; 3min 9s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 1675 ExecStart=/etc/init.d/smbd start (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   Memory: 0B
      CPU: 0
   CGroup: /system.slice/smbd.service

Feb 09 18:46:43 ucs systemd[1]: Starting LSB: Samba SMB/CIFS daemon (smbd)...
Feb 09 18:46:44 ucs smbd[1675]: Samba is configured as AD DC, service smbd is controlled by the main samba daemon.
Feb 09 18:46:44 ucs systemd[1]: Started LSB: Samba SMB/CIFS daemon (smbd).


root@ucs:~# systemctl status nmbd
● nmbd.service - LSB: Samba NetBIOS nameserver (nmbd)
   Loaded: loaded (/etc/init.d/nmbd; generated; vendor preset: enabled)
   Active: active (running) since Sun 2020-02-09 18:46:41 CET; 3min 21s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 1013 ExecStart=/etc/init.d/nmbd start (code=exited, status=0/SUCCESS)
    Tasks: 2 (limit: 4915)
   Memory: 6.9M
      CPU: 239ms
   CGroup: /system.slice/nmbd.service
           ├─1356 /usr/sbin/nmbd -D
           └─1357 /usr/sbin/nmbd -D

Feb 09 18:46:40 ucs systemd[1]: Starting LSB: Samba NetBIOS nameserver (nmbd)...
Feb 09 18:46:41 ucs nmbd[1013]: Starting NetBIOS name server: nmbd.
Feb 09 18:46:41 ucs systemd[1]: Started LSB: Samba NetBIOS nameserver (nmbd).


root@ucs:~# systemctl status winbind
● winbind.service - LSB: Samba Winbind daemon
   Loaded: loaded (/etc/init.d/winbind; generated; vendor preset: enabled)
   Active: active (exited) since Sun 2020-02-09 18:46:41 CET; 3min 38s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 1017 ExecStart=/etc/init.d/winbind start (code=exited, status=0/SUCCESS)
    Tasks: 0 (limit: 4915)
   Memory: 0B
      CPU: 0
   CGroup: /system.slice/winbind.service

Feb 09 18:46:40 ucs systemd[1]: Starting LSB: Samba Winbind daemon...
Feb 09 18:46:41 ucs winbind[1017]: Samba is configured as AD DC, service winbind is controlled by the main samba daemon
Feb 09 18:46:41 ucs systemd[1]: Started LSB: Samba Winbind daemon.

Hallo neobiker,

könnte dieses hier evtl. helfen ?

https://help.univention.com/t/problem-samba-does-not-start/11548

Hi,
leider hat das nix gebracht.

root@ucs:~# systemctl stop samba4wins.service
Failed to stop samba4wins.service: Unit samba4wins.service not loaded.
root@ucs:~# systemctl disable samba4wins.service
Failed to disable unit: No such file or directory
root@ucs:~# systemctl start samba.service
root@ucs:~# psg samba
root       965  0.5  1.8 880908 77244 ?        Ssl  09:47   0:15 /usr/sbin/named -c /etc/bind/named.conf.samba4 -f -d 0
root@ucs:~#

Samba in UCS4 AUSSCHLIEßLICH so starten/ stoppen:

/etc/init.d/samba restart
(bzw. stop, start, status usw)

/CV

root@ucs:~# /etc/init.d/samba restart
[ ok ] Stopping smbd (via systemctl): smbd.service.
[ ok ] Stopping nmbd (via systemctl): nmbd.service.
[ ok ] Starting nmbd (via systemctl): nmbd.service.
[ ok ] Starting smbd (via systemctl): smbd.service.
root@ucs:~# psg samba
root       965  0.5  1.7 881168 72916 ?        Ssl  09:47   0:44 /usr/sbin/named -c /etc/bind/named.conf.samba4 -f -d 0
root@ucs:~#

Ich habe inzwischen die Fileserver-Shares alle auf den Backup-DC verschoben, der ebenfalls ein AD-DC ist und schon meinen Kopano-Mailserver hostet.

Kann ich jetzt auf dem Master-DC einfach die Active-Directory Funktionen de- und wieder installieren, damit Samba/KDC wieder läuft, oder sollte ich lieber den Backup-DC zum Master-DC erheben und einen neuen Backup-DC aufsetzen?

So,
habe den AD Dienst mehrfach de-/neu installiert sodass jetzt Samba wieder auf dem DC Master läuft und keine Fehler mehr geloggt werden. Problem war, dass der Join von samba-dns nicht lief, weil er den samaccount=dns-ucs nicht angelegt hat. Dazu gibt’s einige Einträge hier, irgendwan lief es dann.

Jetzt habe ich bei weiteren Samba-Checks festgestellt, dass einige Rechner im DNS (backend=samba4) nicht aufgelöst werden, obwohl sie im LDAP vorhanden sind und vom dns (backend=ldap) aufgelöst werden, von den AD Controllern aber nicht.

Jetzt möchte ich folgende Anleitung “DNS-Probleme in Samba/AD Domänen” abarbeiten, welches genau dieses Problem behandelt.

Frage: welches sind denn die falschen Einträge sind, welche ich in Samba/AD löschen soll?

tail daemon.log
Feb 17 19:40:22 ucs named[16798]: Loading 'samba4.zone' using driver dlopen
Feb 17 19:40:23 ucs named[16798]: samba_dlz: started for DN DC=friedrichnet,DC=de
Feb 17 19:40:23 ucs named[16798]: samba_dlz: starting configure
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone '3.168.192.in-addr.arpa'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone '4.168.192.in-addr.arpa'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone 'box'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone '2.168.192.in-addr.arpa'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: trying partition 'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: configured writeable zone 'friedrichnet.de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: pre-W2k3 zone found
Feb 17 19:40:23 ucs named[16798]: samba_dlz: Ignoring duplicate zone 'friedrichnet.de' from 'DC=@,DC=friedrichnet.de,CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de'
Feb 17 19:40:23 ucs named[16798]: samba_dlz: Ignoring dnsZone _msdcs.friedrichnet.de
Feb 17 19:40:23 ucs named[16798]: set up managed keys zone for view _default, file 'managed-keys.bind'


root@ucs:~# univention-s4search --cross-ncs objectClass=dNSZone dn | grep dn:|sort
dn: DC=2.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=3.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=4.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=box,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=friedrichnet.de,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=friedrichnet.de,CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de
dn: DC=_msdcs.friedrichnet.de,CN=MicrosoftDNS,DC=ForestDnsZones,DC=friedrichnet,DC=de
dn: DC=RootDNSServers,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
dn: DC=RootDNSServers,CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de
root@ucs:~#

Heisst das jetzt, dass ich von Hand per ldbedit alle Einträge suchen/löschen soll?

alte zone (delete)  'CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de'
neue zone (leave):  'CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de'

Derzeit sind die Rechner in der alten Zone ‘CN=MicrosoftDNS,CN=System’ zu finden

root@ucs:~# univention-ldapsearch dn | grep dn: | grep -i ucs,
dn: relativeDomainName=ucs,zoneName=friedrichnet.de,cn=dns,dc=friedrichnet,dc=de
dn: cn=ucs,cn=dc,cn=computers,dc=friedrichnet,dc=de
dn: cn=ucs,cn=friedrichnet.de,cn=dhcp,dc=friedrichnet,dc=de
dn: cn=zmeetings4ucs,cn=apps,cn=univention,dc=friedrichnet,dc=de
dn: uid=dns-ucs,cn=users,dc=friedrichnet,dc=de
root@ucs:~#
root@ucs:~#
root@ucs:~# univention-s4search dn | grep dn: | grep -i ucs,
dn: CN=RID Set,CN=UCS,OU=Domain Controllers,DC=friedrichnet,DC=de
dn: CN=dns-ucs,CN=Users,DC=friedrichnet,DC=de
dn: CN=UCS,OU=Domain Controllers,DC=friedrichnet,DC=de
dn: DC=ucs,DC=friedrichnet.de,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de
root@ucs:~#

Sind ja nur über 200 Objekte

root@ucs:~# ldbsearch -H /var/lib/samba/private/sam.ldb dn | grep dn: | grep -i 'CN=MicrosoftDNS,CN=System'  | wc -l
213
root@ucs:~#

wobei ich dann wohl 197 wieder einspielen würde

root@ucs:~# univention-ldapsearch -LLLo ldif-wrap=no -b cn=dns,$( ucr get ldap/base ) >ucs_dns_full.ldif
root@ucs:~# grep dn: ucs_dns_full.ldif | wc -l
197
root@ucs:~#

Habe ich das so richtig verstanden?

Hhmm, schade dass keine Antwort mehr kommt. Muss ich es halt ausprobieren.
Ich denke es macht Sinn, dass ich das mal weiter dokumentiere.

Ich habe vor, meinen DC-Master zu kopieren und in einem separaten, abgetrennten Subnetz zu starten. Dieses erzeuge ich durch eine zusätzliche virtualisierte Firewall, damit die IP-Adresse beibehalten werden kann, und trotzdem ein Zugriff möglich ist, inkl. Internetverbindung. Da alle Rechner virtualisiert sind, kann ich trotz der Subnetztrennung auf der Console arbeiten. Per routing oder einer zusätzlichen IP-Adresse (zusätzliches Subnetz auf dem Interface des DC-Master) sollte ich sogar auf das Webinterface über die zweite Firewall kommen.

Mein VM-Backup script zieht die Kopie des DC-Master als Snapshot

root@corsair:~/xen# snapshot-vm ucs -vb vm -bak ucs2
check / remove / create snapshot: ssd0_vm/ucs-snap:
  Logical volume "ucs-snap" created.
OK:      ucs-snap ssd0_vm swi-a-s--- 500.00m      ucs    0.00

setup backup: vm/ucs2
  Logical volume "ucs2" created.
OK:      ucs2 vm -wi-a----- 17.00g

taking snapshot (dd) ...
35651584+0 records in
35651584+0 records out
  Logical volume "ucs-snap" successfully removed
snapshot /dev/vm/ucs2 created.
root@corsair:~/xen#
root@corsair:~/xen# xen create ucs2
root@corsair:~/xen# xen console ucs2

login: root
password: 
root@ucs:~#

So, hier drinnen kann ich alle ldbdel -H /var/lib/samba/private/sam.ldb oder auch “Reprovision Samba from LDAP” Anleitungen nach Belieben auf dem Original-System in einer Sandbox ausprobieren. Vielleicht hänge ich meinen DC-Backup Server noch dazu, um die Replikation ebenfalls zu testen.

Stay tuned …

root@ucs:~# ldbsearch -H /var/lib/samba/private/sam.ldb dn | grep dn: | grep -i MicrosoftDNS,CN=System | cut -d\  -f2- > ldb_delete_MS_System.txt

root@ucs:~# wc -l ldb_delete_MS_System.txt
213 ldb_delete_MS_System.txt

root@ucs:~# service samba stop
root@ucs:~# for dn in `cat ldb_delete_MS_System.txt`; do ldbdel -H /var/lib/samba/private/sam.ldb $dn; done
Deleted 1 record
Deleted 1 record
Deleted 1 record
Deleted 1 record
delete of 'DC=2.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de' failed - (Not allowed on non-leaf) subtree_delete: Unable to delete a non-leaf node (it has 40 children)!
delete of 'DC=3.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de' failed - (Not allowed on non-leaf) subtree_delete: Unable to delete a non-leaf node (it has 15 children)!
Deleted 1 record
delete of 'DC=4.168.192.in-addr.arpa,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de' failed - (Not allowed on non-leaf) subtree_delete: Unable to delete a non-leaf node (it has 2 children)!
Deleted 1 record
delete of 'DC=friedrichnet.de,CN=MicrosoftDNS,CN=System,DC=friedrichnet,DC=de' failed - (Not allowed on non-leaf) subtree_delete: Unable to delete a non-leaf node (it has 87 children)!
Deleted 1 record


root@ucs:~# ldapadd -h localhost -p 7389 -D "cn=admin,$( ucr get ldap/base )" -y /etc/ldap.secret -f ucs_dns_full.ldif -c
adding new entry "cn=dns,dc=friedrichnet,dc=de"
ldap_add: Already exists (68)
root@ucs:~# service samba start
root@ucs:~# service bind9 restart
root@ucs:~# tail /var/log/daemon.log
Feb 19 22:39:52 ucs named[14689]: generating session key for dynamic DNS
Feb 19 22:39:52 ucs named[14689]: sizing zone task pool based on 1 zones
Feb 19 22:39:52 ucs named[14689]: Loading 'samba4.zone' using driver dlopen
Feb 19 22:39:53 ucs named[14689]: samba_dlz: started for DN DC=friedrichnet,DC=de
Feb 19 22:39:53 ucs named[14689]: samba_dlz: starting configure
Feb 19 22:39:53 ucs named[14689]: samba_dlz: trying partition 'CN=MicrosoftDNS,DC=DomainDnsZones,DC=friedrichnet,DC=de'
Feb 19 22:39:53 ucs named[14689]: samba_dlz: configured writeable zone 'friedrichnet.de'
Feb 19 22:39:53 ucs named[14689]: samba_dlz: trying partition 'CN=MicrosoftDNS,DC=ForestDnsZones,DC=friedrichnet,DC=de'
Feb 19 22:39:53 ucs named[14689]: samba_dlz: configured writeable zone '_msdcs.friedrichnet.de'
Feb 19 22:39:53 ucs named[14689]: set up managed keys zone for view _default, file 'managed-keys.bind'
Feb 19 22:39:53 ucs named[14689]: automatic empty zone: 10.IN-ADDR.ARPA

Na das sieht doch mal besser aus beim Start von bind9.

Es sind auch keine zwei Einträge mehr zu UCS vorhanden:

root@ucs:~# univention-s4search dn | grep dn: | grep -i ucs,
dn: CN=RID Set,CN=UCS,OU=Domain Controllers,DC=friedrichnet,DC=de
dn: CN=dns-ucs,CN=Users,DC=friedrichnet,DC=de
dn: CN=UCS,OU=Domain Controllers,DC=friedrichnet,DC=de
root@ucs:~#

Allerdings fehlen die Rechner (noch?) im Samba-DNS.
Liegt das an der Fehlermeldung beim Import des LDIF Backupfiles ucs_dns_full.ldif?

root@ucs:~# ucr get dns/backend
samba4
root@ucs:~# host owncloud
;; connection timed out; no servers could be reached
root@ucs:~# host ucs
ucs.friedrichnet.de has address 192.168.2.6
root@ucs:~#
root@ucs:~# ucr set dns/backend='ldap'
Setting dns/backend
File: /etc/systemd/system/bind9.service.d/10-configure-backend.conf
File: /etc/init.d/bind9
root@ucs:~# service bind9 restart
root@ucs:~# host owncloud
owncloud.friedrichnet.de has address 192.168.4.5

Also manpage raus, und Option -c hinzugefügt, aber die Einträge waren wohl trotzdem vorhanden.

root@ucs:~# ldapadd -h localhost -p 7389 -D "cn=admin,$( ucr get ldap/base )" -y /etc/ldap.secret -f ucs_dns_full.ldif -c
root@ucs:~# ucr set dns/backend='samba4'                                        
root@ucs:~# service bind9 restart

root@ucs:~# univention-ldapsearch -LLLo ldif-wrap=no dn -b cn=owncloud,$( ucr get ldap/base )
dn: cn=owncloud,dc=friedrichnet,dc=de
dn: cn=sysusers,cn=owncloud,dc=friedrichnet,dc=de
dn: uid=owncloudsystemuser,cn=sysusers,cn=owncloud,dc=friedrichnet,dc=de

root@ucs:~# host owncloud
Host owncloud not found: 2(SERVFAIL)
root@ucs:~#
root@ucs:~#  univention-s4search dn | grep dn: | grep -i owncloud
dn: CN=sysusers,CN=owncloud,DC=friedrichnet,DC=de
dn: CN=owncloud,CN=Computers,DC=friedrichnet,DC=de
dn: CN=owncloud,DC=friedrichnet,DC=de
root@ucs:~#

Break

Search for “ignoring duplicate zone” results to this.

The migrate_legacy_dns_zones.sh script did the trick, thank you very much.