LDAP geht nicht

thhoe · 2015-09-06 13:08:49 UTC

Hallo zusammen,

nach einen reboot funktioniert bei meinen DC-Master die Authentifizierung nicht mehr. 1.Hinweis ist das Windows sich nicht an der Domäne anmeldet und auch keine Netzlaufwerke zur Verfügung stehen.
In der Datei /var/log/univention/listener.log steht alle 30 Sekunden

... LISTENER    ( WARN    ) : chosen server: xxxxxxxx.xxxxx.xxx:7389
... LISTENER    ( ERROR   ) : failed to connect to any notifier
... LISTENER    ( WARN    ) : can not connect any server, retrying in 30 seconds

invoke-rc.d slapd restart hat keine Änderung gebracht.
Den Debuglevel von slapd hatte ich auch schon auf -1 geändert, konnte aber keine Fehlermeldungen im Syslog finden.
Wo kann ich nach den Fehler suchen?

Mit freundliche Grüßen,

Thomas

greif · 2015-09-07 09:14:05 UTC

Hallo,

Die Debug-Ausgaben stehen in /var/log/debug, einige hundert Zeilen pro Sekunde. Bitte also Vorsicht mit Debuglevel -1 für längere Zeit.

Allerdings: “failed to connect to any notifier” da sollte man besser schauen, warum der Notifier selber nicht zu finden ist. Es ist ein Daemon “univention-directory-notifier”, der auf der Wildcard-Adresse (* oder : Port 6669 hört. Seln Logfile ist /var/log/univention/notifier.log, der Loglevel kann mit der UCR-Variable “notifier/debug/level” auf Werte von 0 (nichts) bis 4 (alles) gestellt werden.

viele Grüße
Frank Greif.

thhoe · 2015-09-07 10:26:27 UTC

Hallo,

[quote=“greif”]Hallo,
Allerdings: “failed to connect to any notifier” da sollte man besser schauen, warum der Notifier selber nicht zu finden ist. Es ist ein Daemon “univention-directory-notifier”, der auf der Wildcard-Adresse (* oder : Port 6669 hört. Seln Logfile ist /var/log/univention/notifier.log, der Loglevel kann mit der UCR-Variable “notifier/debug/level” auf Werte von 0 (nichts) bis 4 (alles) gestellt werden.
[/quote]

Auf Port 6669 hört bei mir nichts (netstat | grep 6669). Den Debuglevel habe ich von 1 auf 4 geändert, und danach ein Reboot gemacht.
Die letzte Meldung im Logfile ist:
03.09.15 07:52:38.427 DEBUG_INIT
Das passt zum letzten Reboot bevor der Fehler auftrat.
Beim Start des Dienstes auf der Konsole kommt:

[info] Starting Univention Directory Notifier daemon. timeout: down: univention-directory-notifier: 0s, want up failed.
Im angebenen Logfile gibt es wieder keine Einträge.

Gruß
Thomas

greif · 2015-09-07 11:31:11 UTC

Hallo,

Wirklich? die letzte Meldung des Notifiers in seinem Log ist vier Tage alt? Da würde ich glatt vermuten, daß die Platte voll ist. Oder hatten Sie nur eine gleichlautende Meldung kopiert? Wie alt sind denn die jüngsten Logfiles überhaupt?

cd /var/log
ls -rtl | tail -n 5

viele Grüße
Frank Greif.

thhoe · 2015-09-07 11:54:27 UTC

[quote=“greif”]Hallo,

Ja, so ist es.

[quote]
Da würde ich glatt vermuten, daß die Platte voll ist.
[/quote][/quote]
Das hatte ich als ersters geprüft.

df -h Dateisystem Größe Benutzt Verf. Verw% Eingehängt auf rootfs 24G 6,6G 16G 30% / udev 10M 0 10M 0% /dev tmpfs 801M 14M 788M 2% /run /dev/disk/by-uuid/f4d92bc1-c7d3-476e-bc47-62df12a0893d 24G 6,6G 16G 30% / tmpfs 5,0M 0 5,0M 0% /run/lock tmpfs 3,2G 0 3,2G 0% /run/shm /dev/sda1 487M 5,5M 481M 2% /boot/efi

:/var/log# ls -rtl | tail -n 5 -rw-r----- 1 root adm 579839 Sep 7 13:47 syslog -rw-r----- 1 root adm 1330928 Sep 7 13:47 daemon.log -rw-rw-r-- 1 root utmp 90624 Sep 7 13:47 wtmp -rw-r----- 1 root root 587212 Sep 7 13:47 lastlog -rw-r----- 1 root adm 485223 Sep 7 13:47 auth.log

Gruß,

Thomas

thhoe · 2015-09-07 14:11:22 UTC

Hallo,

Gerade habe ich festgestellt das die Datei /usr/sbin/univention-directory-notifier nicht existiert.
Das war aber nicht die Lösung. Welche dateien werden noch benödigt?
Ich vermude das weitere Dateien fehlen oder falsche Zugriffsrechte haben.

Gruß,

Thomas

greif · 2015-09-07 14:50:16 UTC

Hallo,

Wenn Anmeldung nicht geht -> vielleicht mal als erstes schauen, ob LDAP überhaupt läuft?

viele Grüße
Frank Greif.

greif · 2015-09-07 14:59:39 UTC

Hallo,

da haben sich unsere Beiträge überschnitten. Und mein Vorschlag trifft dann wohl auch nicht mehr zu…

Wie bitte? /usr/sbin/univention-directory-notifier existiert nicht? Das muß erst mal einer schaffen, ein Programm verschwinden zu lassen, was systemseitig als “essentiell” geflaggt ist. Was war denn vor dem Reboot so alles gemacht worden?

Ist der Zustand der Pakete stimmig?

dpkg -C

Sind alle Join-Skripte durchgelaufen?

univention-check-join-status

Eine Kommandozeile zum Suchen der wirklich substantiellen Fehler kann ich nicht auf Anhieb sagen, aber der Notifier ist wahrscheinlich nicht die Ursache, sondern eine der Wirkungen.

viele Grüße
Frank Greif.

thhoe · 2015-09-07 15:11:11 UTC

Hallo

[quote=“greif”]Hallo,

Wenn Anmeldung nicht geht -> vielleicht mal als erstes schauen, ob LDAP überhaupt läuft?

viele Grüße
Frank Greif.[/quote]

ein Prozeß slapd läuft, oder was muss ichh prüfen?

Gruß

Thomas

thhoe · 2015-09-07 15:49:00 UTC

Hallo Herr Greif

Es gibt seit längeren 2 Probleme. Der Bootsektor ist verschwunden, und EFI fuktioniert nicht. Das habe ich versucht zu reparieren.
Als letztes habe ich das Update auf Version 4.0-3 errata302 gemacht.

nein

Die folgenden Pakete wurden entpackt, aber noch nicht konfiguriert.
Sie müssen mit dpkg --configure oder dem Konfigurations-Menüeintrag in
dselect konfiguriert werden, damit sie ordnungsgemäß funktionieren:
 grub-efi-amd64-signed GRand Unified Bootloader, version 2 (EFI-AMD64 version,

Die folgenden Pakete sind nur halb konfiguriert, wahrscheinlich durch
Probleme während der ersten Konfiguration. Die Konfiguration sollte mit
dpkg --configure <Paket> oder mit dem Konfigurations-Menüeintrag in
dselect erneut versucht werden:
 grub-efi-amd64       GRand Unified Bootloader, version 2 (EFI-AMD64 version)

Joined successfully

Davon gehe ich auch aus. Das Problem liegt irgentwo beim LDAP. Bind hat konnte sich auch nicht verbinden.
Gibt es hier Möglichkeiten zum testen?

viele Grüße,
Thomas

ahrnke · 2015-09-07 16:44:27 UTC

Die einfachste Testmöglichkeit für LDAP ist das Skript “univention-ldapsearch”, im Prinzip ein Wrapper für ldapsearch welches das Maschinenkonto zur Authentifizierung benutzt, sich aber ansonsten wie ein normales ldapsearch verhält.

thhoe · 2015-09-08 07:12:54 UTC

Hallo

Das scheint zu funktionieren.
Der Notifier startet auch wieder. In /etc/runit/ haben Links und Dateien gefählt. Davon ist auch bind9 betroffen.
Ich glaube mitlerwile das hier auch mein Problem liegt. Der DNS läuft auf deen Server, liefert aber keine Informationen zu meiner Domäne.
Kann ich bind und alles was dazu gehört irgendwie neu installieren? Welche Pakete sind das genau?

Gruß,

Thomas

ahrnke · 2015-09-08 08:55:38 UTC

Hallo,

im Allgemeinen sollte man “apt-get install --reinstall paket” machen können, das wird zum Beispiel beim Erneuern der kompletten SSL-Zertifikatskette so gemacht.
Für Bind gibt es ein Meta-Paket univention-bind

root@s:~# apt-cache depends univention-bind univention-bind Hängt ab von: univention-config Hängt ab von: univention-base-files Hängt ab von: bind9 Hängt ab von: univention-directory-manager-tools Hängt ab von: univention-runit Hängt ab von: shell-univention-lib Hängt ab von: univention-ipcalc Kollidiert mit: univention-bind-proxy Kollidiert mit: <univention-dns> Ersetzt: univention-bind-proxy Ersetzt: <univention-dns> root@s:~# apt-cache rdepends univention-bind univention-bind Reverse Depends: univention-server-slave univention-server-master univention-server-backup univention-network-common univention-bind-proxy univention-bind-proxy univention-server-slave univention-server-master univention-server-backup univention-bind-proxy

Viele Grüße,
Dirk Ahrnke

thhoe · 2015-09-09 06:55:15 UTC

Hallo,

die Namensauflösung hat auch nach der Installation von bind nicht Funktioniert. Ich bin mir sicher das weitere Dateien "verschwunden"sind. Die alle zu suchen ist ein Fass ohne Boden und lohnt nicht.
Ich habe jetzt meinen DC-Backup zum Master gemacht. /usr/lib/univention-ldap/univention-backup2master -f hat hier super funktioniert. Die vermurkste Kiste installiere ich neu.

Vielen Dank für die Unterstützung bis hierher.

Gruß,
Thomas