Mehrfache Einträge im LDAP-DNS

UCS - Univention Corporate Server
, ,
#1

Auf der Suche nach einer Lösung für mein Replikationsproblem, ist mir folgendes aufgefallen:

Im UCS-LDAP unter der Rubrik: dns - <domänenname> finden sich mehr Alias- und Service Records, als ich mir erklären kann.

So sind nur 2 Rechner in der Domäne, aber ich habe 5 Alias-Einträge. Einer ist definitiv falsch, weil er aus dem Takeover zu kommen scheint und beinhaltet den alten DC-Namen.

Dann gibt es noch einen Eintrag vom BackupDC (der scheint schon gejoint, aber die Replikation geht ja nicht). Dieser Eintrag ist daher plausibel.

Was bleibt, sind 3 Einträge auf den DC. Alle mit unterschiedlicher GUID als Namen. Welchen muss ich “aufheben” bzw. wie bekomme ich raus, wo die anderen verwendet werden oder muss ich die alle behalten

Ein ähnliches bei den Service Records. Da habe ich 3 Einträge für “_ldap._tcp.xxxxxx”. 2 davon, zeigen nur auf den DC. Ein Eintrag verweist auf den DC und den BackupDC. Was kann hier “gelöscht” werden?

#2

Die Service Records sind extrem wichtig, ich würde da sehr vorsichtig sein. Können Sie mal einen Screenshot der Service Records aufzeigen, damit wir schauen können ob die wirklich obsolet sind oder ggf. geändert werden sollten?

Zusätzlich bitte auf dem master mal das Folgende ausführen:

# /usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh

#3 
root@ucs100091:~# /usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh
gc._msdcs.laprinta.lan has address 192.168.100.92
gc._msdcs.laprinta.lan has address 192.168.100.91
_gc._tcp.laprinta.lan has SRV record 0 100 3268 ucs100091.laprinta.lan.
_gc._tcp.laprinta.lan has SRV record 0 100 3268 ucs100092.laprinta.lan.
_ldap._tcp.gc._msdcs.laprinta.lan has SRV record 0 100 3268 ucs100092.laprinta.lan.
_ldap._tcp.gc._msdcs.laprinta.lan has SRV record 0 100 3268 ucs100091.laprinta.lan.
_ldap._tcp.laprinta.lan has SRV record 0 100 389 ucs100091.laprinta.lan.
_ldap._tcp.laprinta.lan has SRV record 0 100 389 ucs100092.laprinta.lan.
_ldap._tcp.dc._msdcs.laprinta.lan has SRV record 0 100 389 ucs100092.laprinta.lan.
_ldap._tcp.dc._msdcs.laprinta.lan has SRV record 0 100 389 ucs100091.laprinta.lan.
_ldap._tcp.pdc._msdcs.laprinta.lan has SRV record 0 100 389 ucs100091.laprinta.lan.
_ldap._tcp.7f5d360f-fb68-41fe-bba8-0d4d430224c3.domains._msdcs.laprinta.lan has SRV record 0 100 389 ucs100092.laprinta.lan.
_ldap._tcp.7f5d360f-fb68-41fe-bba8-0d4d430224c3.domains._msdcs.laprinta.lan has SRV record 0 100 389 ucs100091.laprinta.lan.
_kerberos._tcp.dc._msdcs.laprinta.lan has SRV record 0 100 88 ucs100092.laprinta.lan.
_kerberos._tcp.dc._msdcs.laprinta.lan has SRV record 0 100 88 ucs100091.laprinta.lan.
_kerberos._tcp.laprinta.lan has SRV record 0 100 88 ucs100092.laprinta.lan.
_kerberos._tcp.laprinta.lan has SRV record 0 100 88 ucs100091.laprinta.lan.
_kerberos._udp.laprinta.lan has SRV record 0 100 88 ucs100092.laprinta.lan.
_kerberos._udp.laprinta.lan has SRV record 0 100 88 ucs100091.laprinta.lan.
_kpasswd._tcp.laprinta.lan has SRV record 0 100 464 ucs100091.laprinta.lan.
_kpasswd._tcp.laprinta.lan has SRV record 0 100 464 ucs100092.laprinta.lan.
_kpasswd._udp.laprinta.lan has SRV record 0 100 464 ucs100091.laprinta.lan.
_kpasswd._udp.laprinta.lan has SRV record 0 100 464 ucs100092.laprinta.lan.
Located DC 'ucs100091' in site 'Default-First-Site-Name'
Located DC 'ucs100092' in site 'Default-First-Site-Name'
8f2d7bb4-44a3-40ff-830d-eeae4a72e2f6._msdcs.laprinta.lan is an alias for ucs100091.laprinta.lan.
775a0dbe-329a-4e10-999a-4a9af5bb07a9._msdcs.laprinta.lan is an alias for ucs100092.laprinta.lan.
## Records for site Default-First-Site-Name:
_ldap._tcp.Default-First-Site-Name._sites.laprinta.lan has SRV record 0 100 389 ucs100092.laprinta.lan.
_ldap._tcp.Default-First-Site-Name._sites.laprinta.lan has SRV record 0 100 389 ucs100091.laprinta.lan.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.laprinta.lan has SRV record 0 100 389 ucs100091.laprinta.lan.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.laprinta.lan has SRV record 0 100 389 ucs100092.laprinta.lan.
_kerberos._tcp.Default-First-Site-Name._sites.laprinta.lan has SRV record 0 100 88 ucs100091.laprinta.lan.
_kerberos._tcp.Default-First-Site-Name._sites.laprinta.lan has SRV record 0 100 88 ucs100092.laprinta.lan.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.laprinta.lan has SRV record 0 100 88 ucs100092.laprinta.lan.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.laprinta.lan has SRV record 0 100 88 ucs100091.laprinta.lan.
## Optional GC Records for site Default-First-Site-Name:
_gc._tcp.Default-First-Site-Name._sites.laprinta.lan has SRV record 0 100 3268 ucs100091.laprinta.lan.
_gc._tcp.Default-First-Site-Name._sites.laprinta.lan has SRV record 0 100 3268 ucs100092.laprinta.lan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.laprinta.lan has SRV record 0 100 3268 ucs100091.laprinta.lan.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.laprinta.lan has SRV record 0 100 3268 ucs100092.laprinta.lan.
_kerberos.laprinta.lan descriptive text "LAPRINTA.LAN"

Der Screenshoot ist wie folgt:

#4

Die Ausgabe des Scripts sieht soweit okay aus. Der “ucs100092” ist der Backup? Ein Alias, der von dem Zentyal auf den UCS zeigt ist meiner Meinung nach okay. Alias Einträge die auf den Zentyal zeigen würde ich bereinigen.

Die Ausgabe des Scripts check_essential_dns_records löst die GUID zum Namen auf:

root@ucs-6194:~# /usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh
gc._msdcs.acheron.hel has address 10.200.6.100
_gc._tcp.acheron.hel has SRV record 0 100 3268 ucs-6194.acheron.hel.
_ldap._tcp.gc._msdcs.acheron.hel has SRV record 0 100 3268 ucs-6194.acheron.hel.
_ldap._tcp.acheron.hel has SRV record 0 100 389 ucs-6194.acheron.hel.
_ldap._tcp.dc._msdcs.acheron.hel has SRV record 0 100 389 ucs-6194.acheron.hel.
_ldap._tcp.pdc._msdcs.acheron.hel has SRV record 0 100 389 ucs-6194.acheron.hel.
_ldap._tcp.db7b0013-f6cd-44b4-883c-be4aa3a4b5b3.domains._msdcs.acheron.hel has SRV record 0 100 389 ucs-6194.acheron.hel.
_kerberos._tcp.dc._msdcs.acheron.hel has SRV record 0 100 88 ucs-6194.acheron.hel.
_kerberos._tcp.acheron.hel has SRV record 0 100 88 ucs-6194.acheron.hel.
_kerberos._udp.acheron.hel has SRV record 0 100 88 ucs-6194.acheron.hel.
_kpasswd._tcp.acheron.hel has SRV record 0 100 464 ucs-6194.acheron.hel.
_kpasswd._udp.acheron.hel has SRV record 0 100 464 ucs-6194.acheron.hel.
Located DC 'ucs-6194' in site 'Default-First-Site-Name'
**8e15a9ab-f803-48e4-9a8a-5f5b6498bc3c._msdcs.acheron.hel is an alias for ucs-6194.acheron.hel.**
## Records for site Default-First-Site-Name:
_ldap._tcp.Default-First-Site-Name._sites.acheron.hel has SRV record 0 100 389 ucs-6194.acheron.hel.
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.acheron.hel has SRV record 0 100 389 ucs-6194.acheron.hel.
_kerberos._tcp.Default-First-Site-Name._sites.acheron.hel has SRV record 0 100 88 ucs-6194.acheron.hel.
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.acheron.hel has SRV record 0 100 88 ucs-6194.acheron.hel.
## Optional GC Records for site Default-First-Site-Name:
_gc._tcp.Default-First-Site-Name._sites.acheron.hel has SRV record 0 100 3268 ucs-6194.acheron.hel.
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.acheron.hel has SRV record 0 100 3268 ucs-6194.acheron.hel.
_kerberos.acheron.hel descriptive text "ACHERON.HEL"

Im ersten Screenshot gibt es einen Eintrag mit einer GUID __ldap.tcp.ddbed54b-… das scheint überflüssig zu sein. Die Alias Records, die definitiv auf Systeme zeigen die nicht in der Umgebung vorhanden sind würde ich ebenfalls bereinigen.

#5

OK, ich denke ich verstehe den Zusammenhang zwischen der Ausgabe des Scripts und meines DNS.

Löschen werde ich daher folgende Alias-Einträge

Der “62ce…” ist ein Verweis auf den Zentyal-Server, den es nicht mehr gibt
Der “95d7…” und “e2ab…” sind weiterere Verweis auf den aktuellen MasterDC (“ucs100091”). Da “8f2d…” das selbe Ziel hat, muss es ja nicht mehrfach sein

Analog werde ich folgende Service-Records löschen:

Der Verbleibende hat dann einen Verweis auf beide ucs-Server

Damit sollte dann der DNS bereinigt sein

#6

Bevor ich den Rejoin machen konnte, musste ich noch das Rechener-Konto löschen. Danach lief der Script zwar weiter, blieb aber wieder bei

2017-05-04 18:00:04.367757991+02:00 (in joinscript_init)
Waiting for RID Pool replication: ...................................................................................................................................................................................
Error no rIDSetReferences replicated for ucs100092
EXITCODE=1

hängen. Darum nur leider ein Teilerfolg (aber die Frage wurde hier beantwortet, darum das “Gelöst” für diesen Teil hier)

Mastodon