Kein Member-Server mit gleichem Namen

UCS - Univention Corporate Server
#1

Hallo,

folgendes Problem:

  • es wurde zunächst ein UCS 2.4 Member-Server erfolgreich in die Domäne aufgenommen
  • im weiteren Verlauf wurde dieser “platt gemacht” und über den UDM als Computer gelöscht

Beim Versuch einen weiteren Member-Server mit gleichem Namen aufzusetzen bekommen wir folgenden Fehler:

error while modifying: LDAP Error Type or value exists: modify/add: memberUid: value #0 already exists

Ein slapcat auf dem Master zeigt auch, dass es noch “Reste” des alten Member-Servers im Verzeichnis
stehen müssen, wenn man jedoch im UDM nach dem Namen des Servers sucht, bekommt man keine Treffer.

Wie können wir das bereinigen?

Vielen Dank und Gruß
Andreas Donath

#2

Hallo,

anhand der Fehlermeldung würde ich annehmen dass der Rechneraccount noch als Mitglied einer Gruppe (memberUid) eingetragen ist. Die entsprechende Gruppe sollte sich durch eine LDAP-Abfrage ermitteln lassen:

ldapsearch -xLLL memberUid=<Rechneraccount>* dn

Mit freundlichen Grüßen
Janis Meybohm

#3

Hallo,

in der Tat bekomme ich zurück:

dn: cn=Computers,cn=groups,dc=my,dc=domain,dc=tld

Wenn ich über den UDM die Gruppe durchsuche kann ich den
entsprechenden Hostnamen leider nicht finden.

Wie kann ich den Rechneraccount aus dieser Gruppe entfernen?
Ein ldapmodify auf “gut Glück” schien mir zu riskant.

Hätte die entsprechende memberUid beim Löschen des
MemberServers über das UDM nicht mit entfernt werden müssen?
Sprich: Gibt es noch weitere Dinge zu beachten, wenn man
einen MemberServer sauber aus dem Verzeichnis entfernen will?

Danke und Gruß
Andreas Donath

#4

Hallo,

generell hätte der UDM das entsprechende memberUid-Attribut am Gruppenobjekt entfernen müssen, allerdings funktioniert dies in älteren UCS-Versionen unter bestimmten Umständen nicht immer zuverlässig. In aktuellen UCS-Versionen ist dieses Problem behoben.
Im UDM wird der Rechneraccount nicht mehr als Mitglied gelistet da in UCS intern nur das uniqueMember Attribut für die Gruppenzuordnung verwendet/ausgewertet wird.

Um betroffene Gruppen zu korrigieren haben wir ein Script bereitgestellt dass Sie am besten in der aktuellsten Version direkt aus unserem SVN beziehen: univention-sync-memberuid [DL]

Mit freundlichen Grüßen
Janis Meybohm

Mastodon