Nach einer zyklischen Änderung des Maschinenpassworts, funktionieren die Samba Anmeldungen an den Memberservern nicht mehr

UCS - Univention Corporate Server
#1

Mahlzeit liebe Univention Freunde,

wir haben an einer relativ frischen Produktivdomäne und an zwei Test Domänen das folgende Problem festgestellt und finden bisher keinen Weg dieses zu beheben.

Einmal kurz zum Aufbau…

Jede dieser Domänen besteht im Kern aus vier Systemen, einem Primären Domänen Controller (hier: pdcTigo), einem Backup Domänen Controller (hier: bdcTigo01) und zwei Memberservern (hier: fileTigo01 und fileTigo02).

Alle Systeme haben den Stand 4.4-3 errata454.

Auf den beiden Domänen Controllern ist die App “Active Directory-kompatibler Domänencontroller” und auf den beiden Memberservern die App “Windows-kompatibler Memberserver” installiert.

Wenn sich nun ein Windows-Client an der Domäne anmeldet, läuft das Netlogon Script an und mounted automatisch die dort hinterlegten Freigaben der beiden Fileserver (Memberserver) auf dem Client, sprich alles ist toll.

Nun zum Problem…

Standardmäßig werden in der UCS Domäne alle 21 Tage die jeweiligen Maschinenpasswörter geändert. Jedes Mal, wenn dies auf einem der Memberserver geschieht, scheint auch alles richtig abzulaufen, an keinem Punkt werden Fehler gemeldet, aber im Anschluss können die Windows-Clients keine Fileserver (Memberserver) Freigaben mehr mounten.

Die Domänen User sind den Fileservern dann einfach nicht mehr bekannt.

Wenn das Netlogonscript anläuft, wird dann nach dem Benutzernamen und dem Kennwort verlangt, eine manuelle Eingabe bringt hierbei auch keinen Erfolg.

Sprich, wie es scheint, verlieren die Memberserver die Sambakonnektivität nachdem das Maschinenpasswort geändert wurde.

Um dieses Problem wieder zu beheben, müssen wir zur Zeit das Domänen Joinscript “26univention-samba” manuell auf den jeweiligen Memberservern ausführen, danach ist die Konnektivität wieder hergestellt.

Hinweise…

  • Eine Anmeldung an der UMC aller vier Systeme ist jederzeit möglich, das Problem beschränkt sich rein auf Samba
  • UMC Systemdiagnose auf allen vier Systemen > keine Fehler
  • ‘samba-tool drs showrepl’ auf beiden Domänen Controllern > keine Fehler
  • ‘samba-tool dbcheck --cross-ncs’ auf beiden Domänen Controllern > keine Fehler
  • In der zweiten Testdomäne (ganz frisch aufgesetzt) haben wir die Änderung der Maschinenpasswörter mauell durch den folgenden Befehl ausgeführt ‘ucr set server/password/interval=-1 && /usr/lib/univention-server/server_password_change && ucr set server/password/interval=21’
  • In der Produktivdomäne und der ersten Testdomäne haben wir die 21 Tage tatsächlich verstreichen lassen
  • In einer dritten Testdomäne mit gleichem Aufbau, jedoch sind hierbei die Memberserver durch Slave Domänen Controller ersetzt, tritt dieses Problem nicht auf.

Es wäre toll, wenn jemand hierzu eine Idee hätte.
Vielen Dank schon einmal für Eure Mühen…

Schöne Grüße aus dem Rheinland,
Migo

#2

Habt ihr schon mal versucht das System nach einem Paßwortwechsel nur zu rebooten? Steht was auffälliges in /var/log/univention/server_password_change.log?

#3

Mahlzeit SirTux,

ein Reboot, sogar der gesamten Domäne (der Reihe nach PDC, BDC, Flie01, File02, usw.) bringt leider keine Veränderung.

Die Logfiles /var/log/univention/server_password_change.log sehen zumindest meines Erachtens nach auch gut aus, zumindest wird auf dem Fileserver in Zeile 12 und Zeile 38 das Script /usr/lib/univention-server/server_password_change.d/univention-samba … ausgeführt.

Aber wie gesagt, vielleicht ist meine Einschätzung hier auch einfach falsch.

/var/log/univention/server_password_change.log auf dem PDC
###########################################################

  3 Starting server password change (Do 27. Feb 13:07:28 CET 2020)
  4 Proceeding with regular server password change scheduled for today
  5 run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server prechange
  6 run-parts: executing /usr/lib/univention-server/server_password_change.d/portal-server-password-rotate prechange
  7 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-admin-diary prechange
  8 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind prechange
  9 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap prechange
 10 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd prechange
 11 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-postgresql-password prechange
 12 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-s4-connector prechange
 13 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba4 prechange
 14 Object modified: cn=pdcTigo,cn=dc,cn=computers,dc=tigo,dc=ucs
 15 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba4 localchange
 16 Modified 1 records successfully
 17 Changed password OK
 18 Stopping samba-ad-dc (via systemctl): samba-ad-dc.service.
 19 Stopping smbd (via systemctl): smbd.service.
 20 Stopping nmbd (via systemctl): nmbd.service.
 21 Starting nmbd (via systemctl): nmbd.service.
 22 Starting smbd (via systemctl): smbd.service.
 23 Starting samba-ad-dc (via systemctl): samba-ad-dc.service.
 24 run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server postchange
 25 File: /etc/listfilter.secret
 26 Multifile: /etc/postfix/ldap.distlist
 27 Multifile: /etc/postfix/ldap.groups
 28 Multifile: /etc/postfix/ldap.external_aliases
 29 Multifile: /etc/postfix/ldap.sharedfolderlocal
 30 Multifile: /etc/postfix/ldap.virtualwithcanonical
 31 Multifile: /etc/postfix/ldap.virtual_mailbox
 32 Multifile: /etc/postfix/ldap.sharedfolderremote
 33 Multifile: /etc/postfix/ldap.sharedfolderlocal_aliases
 34 Multifile: /etc/postfix/ldap.virtual
 35 Multifile: /etc/postfix/ldap.canonicalrecipient
 36 Multifile: /etc/postfix/ldap.transport
 37 Multifile: /etc/postfix/ldap.canonicalsender
 38 Multifile: /etc/postfix/ldap.saslusermapping
 39 Multifile: /etc/postfix/ldap.virtualdomains
 40 run-parts: executing /usr/lib/univention-server/server_password_change.d/portal-server-password-rotate postchange
 41 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-admin-diary postchange
 42 c16a5c08-83f7-4d38-93a5-96f2a9b2ce87
 43 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind postchange
 44 run-parts: /usr/lib/univention-server/server_password_change.d/univention-bind exited with return code 1
 45 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap postchange
 46 File: /etc/libnss-ldap.conf
 47 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd postchange
 48 Restarting nscd (via systemctl): nscd.service.
 49 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-postgresql-password postchange
 50 File: /etc/postgresql/pam_ldap.conf
 51 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-s4-connector postchange
 52 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba4 postchange
 53 done (Do 27. Feb 13:07:53 CET 2020)

###########################################################

/var/log/univention/server_password_change.log des ersten Fileservers (Memberservers)
###########################################################

  5 Starting server password change (Do 27. Feb 13:09:28 CET 2020)
  6 Proceeding with regular server password change scheduled for today
  7 run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server prechange
  8 run-parts: executing /usr/lib/univention-server/server_password_change.d/portal-server-password-rotate prechange
  9 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-admin-diary prechange
 10 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap prechange
 11 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd prechange
 12 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba prechange
 13 Object modified: cn=fileTigo01,cn=memberserver,cn=computers,dc=tigo,dc=ucs
 14 Restarting univention-directory-listener (via systemctl): univention-directory-listener.service.
 15 run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server postchange
 16 File: /etc/listfilter.secret
 17 Multifile: /etc/postfix/ldap.distlist
 18 Multifile: /etc/postfix/ldap.groups
 19 Multifile: /etc/postfix/ldap.external_aliases
 20 Multifile: /etc/postfix/ldap.sharedfolderlocal
 21 Multifile: /etc/postfix/ldap.virtualwithcanonical
 22 Multifile: /etc/postfix/ldap.virtual_mailbox
 23 Multifile: /etc/postfix/ldap.sharedfolderremote
 24 Multifile: /etc/postfix/ldap.sharedfolderlocal_aliases
 25 Multifile: /etc/postfix/ldap.virtual
 26 Multifile: /etc/postfix/ldap.canonicalrecipient
 27 Multifile: /etc/postfix/ldap.transport
 28 Multifile: /etc/postfix/ldap.canonicalsender
 29 Multifile: /etc/postfix/ldap.saslusermapping
 30 Multifile: /etc/postfix/ldap.virtualdomains
 31 run-parts: executing /usr/lib/univention-server/server_password_change.d/portal-server-password-rotate postchange
 32 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-admin-diary postchange
 33 3f32f055-816a-4286-9a61-f13add8151e7
 34 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap postchange
 35 File: /etc/libnss-ldap.conf
 36 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd postchange
 37 Restarting nscd (via systemctl): nscd.service.
 38 run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba postchange
 39 machine password stored successfully in secrets.tdb
 40 Setting stored password for "cn=fileTigo01,cn=memberserver,cn=computers,dc=tigo,dc=ucs" in secrets.tdb
 41 setting idmap secret for '*' from /etc/machine.secret
 42 Secret stored
 43 Stopping smbd (via systemctl): smbd.service.
 44 Stopping nmbd (via systemctl): nmbd.service.
 45 Starting nmbd (via systemctl): nmbd.service.
 46 Starting smbd (via systemctl): smbd.service.
 47 Restarting winbind (via systemctl): winbind.service.
 48 done (Do 27. Feb 13:10:00 CET 2020)

###########################################################

LG, Migo

#4

Die Logs sehen soweit normal aus. Ich nehme an es gibt auf dem Master keine Rejects nach dem Paßwortwechsel am Memberserver?

univention-s4connector-list-rejected
Mastodon