Nach SBS2011 AD-Takeover: Windows Client Domain Join nicht möglich

Hallo allerseits,

nun habe ich endlich meinen 1. AD-Takeover hinter mich gebracht und es sieht ganz gut aus. Aber ein Problem bekomme ich nicht gelöst, obwohl es hierzu schon mehrere Artikel im Forum gibt.

Beim Versuch einen Windows Client zu joinen, kommt diese Fehlermeldung:

Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)

Es handelt sich um die Abfrage des Dienstidentifizierungseintrags (SRV) für _ldap._tcp.dc._msdcs.rgw.local.

Output von
/usr/share/univention-samba4/scripts/check_essential_samba4_dns_records.sh

Host gc._msdcs.rgw.local not found: 3(NXDOMAIN)
_gc._tcp.rgw.local has SRV record 0 100 3268 srvucs01.rgw.local.
_gc._tcp.rgw.local has SRV record 0 100 3268 sbs.rgw.local.
Host _ldap._tcp.gc._msdcs.rgw.local not found: 3(NXDOMAIN)
_ldap._tcp.rgw.local has SRV record 0 100 389 srvucs01.rgw.local.
_ldap._tcp.rgw.local has SRV record 0 100 389 sbs.rgw.local.
Host _ldap._tcp.dc._msdcs.rgw.local not found: 3(NXDOMAIN)
Host _ldap._tcp.pdc._msdcs.rgw.local not found: 3(NXDOMAIN)
Host _ldap._tcp.115072f9-c821-4256-b191-5289ea340f7e.domains._msdcs.rgw.local not found: 3(NXDOMAIN)
Host _kerberos._tcp.dc._msdcs.rgw.local not found: 3(NXDOMAIN)
_kerberos._tcp.rgw.local has SRV record 0 100 88 srvucs01.rgw.local.
_kerberos._tcp.rgw.local has SRV record 0 100 88 sbs.rgw.local.
_kerberos._udp.rgw.local has SRV record 0 100 88 srvucs01.rgw.local.
_kerberos._udp.rgw.local has SRV record 0 100 88 sbs.rgw.local.
_kpasswd._tcp.rgw.local has SRV record 0 100 464 sbs.rgw.local.
_kpasswd._tcp.rgw.local has SRV record 0 100 464 srvucs01.rgw.local.
_kpasswd._udp.rgw.local has SRV record 0 100 464 srvucs01.rgw.local.
_kpasswd._udp.rgw.local has SRV record 0 100 464 sbs.rgw.local.
Located DC 'srvucs01' in site 'Default-First-Site-Name'
Host fc0750f6-a594-47ee-be56-93faea36445e._msdcs.rgw.local not found: 3(NXDOMAIN)

## Records for site Default-First-Site-Name:
_ldap._tcp.Default-First-Site-Name._sites.rgw.local has SRV record 0 100 389 srvucs01.rgw.local.
_ldap._tcp.Default-First-Site-Name._sites.rgw.local has SRV record 0 100 389 sbs.rgw.local.
Host _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.rgw.local not found: 3(NXDOMAIN)
_kerberos._tcp.Default-First-Site-Name._sites.rgw.local has SRV record 0 100 88 sbs.rgw.local.
_kerberos._tcp.Default-First-Site-Name._sites.rgw.local has SRV record 0 100 88 srvucs01.rgw.local.
Host _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.rgw.local not found: 3(NXDOMAIN)


## Optional GC Records for site Default-First-Site-Name:
_gc._tcp.Default-First-Site-Name._sites.rgw.local has SRV record 0 100 3268 srvucs01.rgw.local.
_gc._tcp.Default-First-Site-Name._sites.rgw.local has SRV record 0 100 3268 sbs.rgw.local.
Host _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.rgw.local not found: 3(NXDOMAIN)
No _kerberos TXT record (ok)

Als Abhilfe wird im Forum des öfteren eine Samba4 Re-Provisioning vorgeschlagen…

Dieses Vorgehen habe ich an einem Klon durchgearbeitet, dann sind die DNS Probleme auch weg und Domain Join funktioniert wieder, aber alle bestehenden Benutzerkonten haben leider eine neue SID bekommen, was bedeutet, beim Login an einem Windows PC wird ein neues Windows Benutzerprofil angelegt. Das ist nicht gut und würde nochmals eine Menge Aufwand generieren.

z.B.:
univention-s4search sAMAccountName=buero
vorher:
objectSid: S-1-5-21-1976999403-2369039892-3478656655-1216

nachher:
objectSid: S-1-5-21-1976999403-2369039892-3478656655-3632

Daher meine Frage: Ist es normal, dass beim Samba4 Re-Provisioning eine neue Benutzer-SID erzeugt wird? Kann ich das verhalten ändern oder habe ich etwas übersehen? Wie in dem Artikel geschrieben habe ich die 3 genannten Parameter angepasst:

rIDAllocationPool
rIDPreviousAllocationPool
rIDNextRID

#cat /root/ridpool.ldif

record 1
dn: CN=RID Set,CN=SRVUCS01,OU=Domain Controllers,DC=rgw,DC=local
objectClass: top
objectClass: rIDSet
cn: RID Set
instanceType: 4
whenCreated: 20200710221548.0Z
whenChanged: 20200710221548.0Z
uSNCreated: 8637
uSNChanged: 8637
showInAdvancedViewOnly: TRUE
name: RID Set
objectGUID: bfa87d3c-371e-4b40-90cd-f996be997973
rIDAllocationPool: 3614-4113
rIDUsedPool: 0
objectCategory: CN=RID-Set,CN=Schema,CN=Configuration,DC=rgw,DC=local
rIDPreviousAllocationPool: 3614-4113
rIDNextRID: 3616
distinguishedName: CN=RID Set,CN=SRVUCS01,OU=Domain Controllers,DC=rgw,DC=local

Gruß,
Dirk

Hi

ich würde folgendes script testen

Can't join Domain after Takeover - Small Business Server (SBS)?

lg

Hallo Christian,

was soll ich sagen? YOU MADE MY DAY
Ich hatte den genannten Artikel auch gefunden, konnte mir aber nicht vorstellen, dass ein SBS 2011 eine pre-W2k3 zone hat und habe es daher ignoriert. Dabei wären es nur wenige Minuten gewesen es auszuprobieren.

Herzlichen Dank!
Dirk

Moin @externa1,
ich habe extra für dich - nach längerer Abwesenheit - mein Univention Help-Konto ausgegraben um dir ein riesengroßes DANKE da zu lassen!
Auch meinen Tag hast du gerettet
LG
Jeroen