Kein AD-Join des UCS-Masters möglich

german

#1

Hallo Allerseit,

ich habe soeben eine komplett nackte UCS Installation durchgeführt. Danach habe ich das AddOn “Active-Directory-Verbindung” hinzugefügt und wollte einer bestehenden AD Domäne auf einem Windows Server 2012 r2 beitreten. Nun bekomme ich immer diese Fehlermeldung:

[quote]Die Ausführung des Kommandos adconnector/check_domain ist fehlgeschlagen:

Traceback (most recent call last):
File “/usr/lib/pymodules/python2.7/univention/management/console/base.py”, line 282, in execute
function(self, request)
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/decorators.py”, line 188, in _response
return function(self, request)
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/decorators.py”, line 316, in _response
result = _multi_response(self, request)
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/decorators.py”, line 460, in _response
return list(function(self, iterator, *nones))
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/decorators.py”, line 282, in _fake_func
yield function(self, *args)
File “/usr/lib/pymodules/python2.7/univention/management/console/modules/adconnector/init.py”, line 377, in check_domain
admember.check_ad_account(ad_domain_info, username, password)
File “/usr/lib/pymodules/python2.7/univention/lib/admember.py”, line 235, in check_ad_account
lo_ad.lo.sasl_interactive_bind_s("", auth)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 892, in sasl_interactive_bind_s
res = self._apply_method_s(SimpleLDAPObject.sasl_interactive_bind_s,*args,**kwargs)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 860, in _apply_method_s
return func(self,*args,**kwargs)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 236, in sasl_interactive_bind_s
return self._ldap_call(self._l.sasl_interactive_bind_s,who,auth,RequestControlTuples(serverctrls),RequestControlTuples(clientctrls),sasl_flags)
File “/usr/lib/python2.7/dist-packages/ldap/ldapobject.py”, line 106, in _ldap_call
result = func(*args,**kwargs)
LOCAL_ERROR: {‘info’: ‘SASL(-1): generic failure: GSSAPI Error: Miscellaneous failure (see text) (Matching credential (ldap/dhcp.fritz.box@FRITZ.BOX) not found)’, ‘desc’: ‘Local error’}
[/quote]

Noch zum Verständnis des Netzwerkes:

Der Univention läuft auf einer Virtuellen Maschine auf einem VMWare. Der Windows-Server läuft ebenfalls auf dieser VMWare. Der WindowsServer vergibt DHCP Adressen und ist gleichzeitig DNS.
Beide laufen auf einer Fritzbox auf woran die Clients angeschlossen werden.
bei der Fritzbox ist DHCP DEAKTIVIERT!!!

Nun verstehe ich nicht warum er trotzdem versucht mit der Fritzbox zu arbeiten.

Könnt ihr mir weiterhelfen?


#2

Hallo,

ist die Fritzbox eventuell als DNS-Forwarder eingetragen und liefert dadurch ihre ganz eigene Sicht der Welt?

Viele Grüße,
Dirk Ahrnke


#3

Hallöchen,

als Forwarder ist die FritzBox eigentlich nicht eingetragen. Die Adresse der FritzBox wird durch den DHCP als alternativer DNS übertragen.

Jetzt fällt mir ein dass das eigentlich keinen Sinn macht, da die FritzBox ja als Gateway eingetragen wurde und sowieso der Windows DNS die Root-Server gelistet hat oder denke ich da jetzt falsch?


#4

Das würde ich schleunigst ändern. Sowas macht nur Probleme. Womöglich hat sich der UCS auf diese Weise den DNS der FirtzBox gekrallt.


#5

So,

ich habe nun den alternativen DNS raus genommen und den UCS Server neu installiert.

Trotzdem habe ich die gleiche Fehlermeldung, nur dass diesmal statt

diesmal

kommt.

Ich weis nun echt nicht mehr weiter.


#6

Hallöchen nochmal,

[SOLVED]

Habe noch einiges rumprobiert und herausgefunden dass es reicht einen Hosts Eintrag mit folgendem Kommando

hinzuzufügen. (Als IP und Name natürlich die des Windows DC)

Danach ist der Join möglich und er meckert auch nicht mehr über die FritzBox.

Allen Antwortenden trotzdem vielen Dank


#7

Bin über genau den gleichen Fehler gestolpert. Allerdings keine VMs, sondern echte Hardware…

Meine Lösung: Für die Installation die FritzBox abklemmen. Dann nimmt er den DNS Server von Windows…

Vielleicht sollte man in der Eingabemaske des AD Benutzer/Password auch die IP Adresse des gefundenen DNS Servers einfügen, damit man die evtl. ändern kann.
Außerdem könnte doch auch überprüft werden ob der DNS auch den AD-Servernamen richtig Auflösen kann, oder nicht?

EDIT: Nach der Installation werde ich auch auf sdb.univention.de/1299 Aufmerksam gemacht.


#8

Ich versuche auch auf diversen Systemen einer Windows Domäne beizutreten. Das hat beim ersten mal auch geklappt. Nun habe ich aber am den UCS so viel herumprobiert das ich ganz sauber neu starten will. Daher habe das UCS System gelöscht und neu istalliert.

Nun klappt das beitreten zur Windows Domäne nicht mehr. Wenn ich das aus der bestehenden UCS installation versuche ist es schon merkwürdig das er mir als Domänencontroller nicht den richtigen “vmserver.testdomaene.local” vorschlägt sondern “ucs.testdomaene.local” So hiess die erste UCS Installaton die ich gelöscht habe! Keine AHnung woher er diese Information holt? In der Windows Domäne habe ich das Computerkonto des alten UCS System gelöscht, ebenso in den DNS Einträgen.

Ich korrigiere also diesen Eintrag auf: vmserver.testdomaene.local

Nach einer Weile kommt dann immer:

“ssh-login for Administrator@vmserver.testdomaene.local failed. Maybe you entered a wrong password.”

Weitere Informationen können in der Logdatei /var/log/univention/join.log gefunden werden.
Bitte den Join-Vorgang nach Lösen aller Konflikte erneut durchführen.

Dort steht:

Wed Jan 20 15:14:20 CET 2016: starting /usr/share/univention-join/univention-join -dcaccount Administrator -dcpwd /tmp/tmp.lYaVjdSq5c
Wed Jan 20 15:14:30 CET 2016: finish /usr/share/univention-join/univention-join
Wed Jan 20 15:39:36 CET 2016: starting /usr/sbin/univention-join -dcname vmserver.testdomaene.local -dcaccount Administrator -dcpwd /tmp/tmpCiXzep
ssh: connect to host vmserver.testdomaene.local port 22: Connection timed out
Wed Jan 20 15:41:43 CET 2016: finish /usr/sbin/univention-join
Wed Jan 20 15:57:52 CET 2016: starting /usr/sbin/univention-join -dcname vmserver.testdomaene.local -dcaccount Administrator -dcpwd /tmp/tmpiUQq9X
ssh: connect to host vmserver.testdomaene.local port 22: Connection timed out
Wed Jan 20 15:59:59 CET 2016: finish /usr/sbin/univention-join

HILFE!


#9

Ach, schau mal an… Dann hast du anscheinend das selbe Problem wie ich, siehe ab: Netbios name zu lang :(


#10

Es hat geklappt! ENDLICH!

Fehler war das das alte UCS System sich in meinem DNS Server unter _tcp eingetragen hatte.
Siehe: sdb.univention.de/1299

Das habe ich gelöscht und dann den UCS komplett neu installiert. Dank VMWare ESXi ist das ja ziemlich easy.

Verbesserungsvorschlag: Bei einer UCS Installation und Domänenintegration sollte die Installation nicht unkorrigierbar diesen Eintrag aus dem DNS nehmen!

Wenn dort ein Eintrag für einen UCS Master gefunden wird dann sollte die Installatinsroutine fragen: “Es wurde ein vorhandener UCS Master gefunden, soll dieser genutzt werden oder überschrieben werden?”


#11

Du meinst _domaincontroller_master bei _tcp gelöscht?

Das hatte ich in einem zweiten Durchlauf auch gemacht. Dennoch wurde ein SSH Verbindung aufgebaut. Irgendwo muß noch die Information stecken, das der Windows Server angeblich ein UCS ist :frowning:


#12

Hast Du den UCS nach dem löschen aus den DNS nochmal komplett neu installiert?


#13

Ja, eigentlich schon…