LDAP geht nicht

thhoe 2015-09-06 13:08:49 UTC #1

Hallo zusammen,

nach einen reboot funktioniert bei meinen DC-Master die Authentifizierung nicht mehr. 1.Hinweis ist das Windows sich nicht an der Domäne anmeldet und auch keine Netzlaufwerke zur Verfügung stehen.
In der Datei /var/log/univention/listener.log steht alle 30 Sekunden

... LISTENER    ( WARN    ) : chosen server: xxxxxxxx.xxxxx.xxx:7389
... LISTENER    ( ERROR   ) : failed to connect to any notifier
... LISTENER    ( WARN    ) : can not connect any server, retrying in 30 seconds

invoke-rc.d slapd restart hat keine Änderung gebracht.
Den Debuglevel von slapd hatte ich auch schon auf -1 geändert, konnte aber keine Fehlermeldungen im Syslog finden.
Wo kann ich nach den Fehler suchen?

Mit freundliche Grüßen,

Thomas

greif 2015-09-07 09:14:05 UTC #2

Hallo,

Die Debug-Ausgaben stehen in /var/log/debug, einige hundert Zeilen pro Sekunde. Bitte also Vorsicht mit Debuglevel -1 für längere Zeit.

Allerdings: "failed to connect to any notifier" da sollte man besser schauen, warum der Notifier selber nicht zu finden ist. Es ist ein Daemon "univention-directory-notifier", der auf der Wildcard-Adresse (* oder : Port 6669 hört. Seln Logfile ist /var/log/univention/notifier.log, der Loglevel kann mit der UCR-Variable "notifier/debug/level" auf Werte von 0 (nichts) bis 4 (alles) gestellt werden.

viele Grüße
Frank Greif.

thhoe 2015-09-07 10:26:27 UTC #3

Hallo,

Auf Port 6669 hört bei mir nichts (netstat | grep 6669). Den Debuglevel habe ich von 1 auf 4 geändert, und danach ein Reboot gemacht.
Die letzte Meldung im Logfile ist:
03.09.15 07:52:38.427 DEBUG_INIT
Das passt zum letzten Reboot bevor der Fehler auftrat.
Beim Start des Dienstes auf der Konsole kommt:

[info] Starting Univention Directory Notifier daemon.
timeout: down: univention-directory-notifier: 0s, want up
failed.

Im angebenen Logfile gibt es wieder keine Einträge.

Gruß
Thomas

greif 2015-09-07 11:31:11 UTC #4

Hallo,

Wirklich? die letzte Meldung des Notifiers in seinem Log ist vier Tage alt? Da würde ich glatt vermuten, daß die Platte voll ist. Oder hatten Sie nur eine gleichlautende Meldung kopiert? Wie alt sind denn die jüngsten Logfiles überhaupt?

cd /var/log
ls -rtl | tail -n 5

viele Grüße
Frank Greif.

thhoe 2015-09-07 11:54:27 UTC #5

Das hatte ich als ersters geprüft.

 df -h
Dateisystem                                            Größe Benutzt Verf. Verw% Eingehängt auf
rootfs                                                   24G    6,6G   16G   30% /
udev                                                     10M       0   10M    0% /dev
tmpfs                                                   801M     14M  788M    2% /run
/dev/disk/by-uuid/f4d92bc1-c7d3-476e-bc47-62df12a0893d   24G    6,6G   16G   30% /
tmpfs                                                   5,0M       0  5,0M    0% /run/lock
tmpfs                                                   3,2G       0  3,2G    0% /run/shm
/dev/sda1                                               487M    5,5M  481M    2% /boot/efi

:/var/log# ls -rtl | tail -n 5
-rw-r----- 1 root     adm       579839 Sep  7 13:47 syslog
-rw-r----- 1 root     adm      1330928 Sep  7 13:47 daemon.log
-rw-rw-r-- 1 root     utmp       90624 Sep  7 13:47 wtmp
-rw-r----- 1 root     root      587212 Sep  7 13:47 lastlog
-rw-r----- 1 root     adm       485223 Sep  7 13:47 auth.log

Gruß,

Thomas

thhoe 2015-09-07 14:11:22 UTC #6

Hallo,

Gerade habe ich festgestellt das die Datei /usr/sbin/univention-directory-notifier nicht existiert.
Das war aber nicht die Lösung. Welche dateien werden noch benödigt?
Ich vermude das weitere Dateien fehlen oder falsche Zugriffsrechte haben.

Gruß,

Thomas

greif 2015-09-07 14:50:16 UTC #7

Hallo,

Wenn Anmeldung nicht geht -> vielleicht mal als erstes schauen, ob LDAP überhaupt läuft?

viele Grüße
Frank Greif.

greif 2015-09-07 14:59:39 UTC #8

Hallo,

da haben sich unsere Beiträge überschnitten. Und mein Vorschlag trifft dann wohl auch nicht mehr zu...

Wie bitte? /usr/sbin/univention-directory-notifier existiert nicht? Das muß erst mal einer schaffen, ein Programm verschwinden zu lassen, was systemseitig als "essentiell" geflaggt ist. Was war denn vor dem Reboot so alles gemacht worden?

Ist der Zustand der Pakete stimmig?

dpkg -C

Sind alle Join-Skripte durchgelaufen?

univention-check-join-status

Eine Kommandozeile zum Suchen der wirklich substantiellen Fehler kann ich nicht auf Anhieb sagen, aber der Notifier ist wahrscheinlich nicht die Ursache, sondern eine der Wirkungen.

viele Grüße
Frank Greif.

thhoe 2015-09-07 15:11:11 UTC #9

Hallo

ein Prozeß slapd läuft, oder was muss ichh prüfen?

Gruß

Thomas

thhoe 2015-09-07 15:49:00 UTC #10

Hallo Herr Greif

Es gibt seit längeren 2 Probleme. Der Bootsektor ist verschwunden, und EFI fuktioniert nicht. Das habe ich versucht zu reparieren.
Als letztes habe ich das Update auf Version 4.0-3 errata302 gemacht.

Die folgenden Pakete wurden entpackt, aber noch nicht konfiguriert.
Sie müssen mit dpkg --configure oder dem Konfigurations-Menüeintrag in
dselect konfiguriert werden, damit sie ordnungsgemäß funktionieren:
 grub-efi-amd64-signed GRand Unified Bootloader, version 2 (EFI-AMD64 version,
Die folgenden Pakete sind nur halb konfiguriert, wahrscheinlich durch
Probleme während der ersten Konfiguration. Die Konfiguration sollte mit
dpkg --configure <Paket> oder mit dem Konfigurations-Menüeintrag in
dselect erneut versucht werden:
 grub-efi-amd64       GRand Unified Bootloader, version 2 (EFI-AMD64 version)

Joined successfully

Davon gehe ich auch aus. Das Problem liegt irgentwo beim LDAP. Bind hat konnte sich auch nicht verbinden.
Gibt es hier Möglichkeiten zum testen?

viele Grüße,
Thomas

ahrnke 2015-09-07 16:44:27 UTC #11

Die einfachste Testmöglichkeit für LDAP ist das Skript "univention-ldapsearch", im Prinzip ein Wrapper für ldapsearch welches das Maschinenkonto zur Authentifizierung benutzt, sich aber ansonsten wie ein normales ldapsearch verhält.

thhoe 2015-09-08 07:12:54 UTC #12

Hallo

Das scheint zu funktionieren.
Der Notifier startet auch wieder. In /etc/runit/ haben Links und Dateien gefählt. Davon ist auch bind9 betroffen.
Ich glaube mitlerwile das hier auch mein Problem liegt. Der DNS läuft auf deen Server, liefert aber keine Informationen zu meiner Domäne.
Kann ich bind und alles was dazu gehört irgendwie neu installieren? Welche Pakete sind das genau?

Gruß,

Thomas

ahrnke 2015-09-08 08:55:38 UTC #13

Hallo,

im Allgemeinen sollte man "apt-get install --reinstall paket" machen können, das wird zum Beispiel beim Erneuern der kompletten SSL-Zertifikatskette so gemacht.
Für Bind gibt es ein Meta-Paket univention-bind

root@s:~# apt-cache depends univention-bind
univention-bind
  Hängt ab von: univention-config
  Hängt ab von: univention-base-files
  Hängt ab von: bind9
  Hängt ab von: univention-directory-manager-tools
  Hängt ab von: univention-runit
  Hängt ab von: shell-univention-lib
  Hängt ab von: univention-ipcalc
  Kollidiert mit: univention-bind-proxy
  Kollidiert mit: <univention-dns>
  Ersetzt: univention-bind-proxy
  Ersetzt: <univention-dns>
root@s:~# apt-cache rdepends univention-bind
univention-bind
Reverse Depends:
  univention-server-slave
  univention-server-master
  univention-server-backup
  univention-network-common
  univention-bind-proxy
  univention-bind-proxy
  univention-server-slave
  univention-server-master
  univention-server-backup
  univention-bind-proxy

Viele Grüße,
Dirk Ahrnke

thhoe 2015-09-09 06:55:15 UTC #14

Hallo,

die Namensauflösung hat auch nach der Installation von bind nicht Funktioniert. Ich bin mir sicher das weitere Dateien "verschwunden"sind. Die alle zu suchen ist ein Fass ohne Boden und lohnt nicht.
Ich habe jetzt meinen DC-Backup zum Master gemacht.

 /usr/lib/univention-ldap/univention-backup2master -f

hat hier super funktioniert. Die vermurkste Kiste installiere ich neu.

Vielen Dank für die Unterstützung bis hierher.

Gruß,
Thomas