Neue Kopano installation - Failure connecting any of the LDAP servers

BJ48945 · October 26, 2020, 1:28pm

Hallo,

ich nutze UCS und Kopano zum ersten mal. Für meine private Umgebung(4 Benutzer) wollte ich es mal einrichten und habe dazu 2 UCS Server installiert. Einer ist der Master und auf dem anderen habe ich Kopano installiert. Das hat zunächst geklappt. Dann habe ich die pst Dateien vom Hosted Exchange importiert. Auch das war soweit in Ordnung. Allerdings ist mir aufgefallen, dass ich mit meinem Mailclient (MacOS) manchmal die Verbindung verliere. In der mail.log steht dann

ucs-mail kopano-server[1654]: Authentication by plugin failed for user “xxx”: Trying to authenticate failed: Failure connecting any of the LDAP servers; username = xxx

Auch habe ich diese Zeile entdeckt:

kopano-gateway[454]: Connection error

Die anderen Benutzer habe ich noch gar nicht eingerichtet. Ich habe die Threads in der server.cfg auf 16 erhöht, wie im tuning beschrieben. Ich habe das wieder auf 8 reduziert und habe das Gefühl, dass der Fehler dadurch seltener auftritt. Wenn der Fehler auftritt funktioniert am server selbst ein ldapsearch. Nach einem Neustart von kopana-server scheint es auch erstmal wieder zu klappen. Die Uhrzeit auf beiden Systemen ist auch gleich.

Vielleicht hat jemand eine Idee woran das liegen kann?

Schöne Grüße

Alexander

fbartels · October 26, 2020, 2:00pm

Hallo @BJ48945,

das ist kein bekanntes Problem der Univention App. Bitte poste die Ausgabe der in https://wiki.z-hub.io/display/K4U/Debugging+Kopano+on+Univention erwähnten Kommandos.

BJ48945 · October 26, 2020, 2:38pm

Danke für die schnelle Rückmeldung. Der Fehler ist wieder aufgetaucht, diesmal mit einem weiteren Fehler:

Oct 26 18:28:17 ucs-mail kopano-server[1648]: LDAP (simple) bind on uid=xxx,cn=users,dc=xxx,dc=xxx failed: Can't contact LDAP server
Oct 26 18:28:17 ucs-mail kopano-server[1648]: Authentication by plugin failed for user "xxx": Trying to authenticate failed: Failure connecting any of the LDAP servers; username = xxx
Oct 26 18:28:17 ucs-mail kopano-gateway[456]: virtual HRESULT M4LMAPISession::OpenMsgStore(ULONG_PTR, ULONG, const ENTRYID*, LPCIID, ULONG, IMsgStore**): msp->Logon failed: unconfigured (8004011c)
Oct 26 18:28:17 ucs-mail kopano-gateway[456]: virtual HRESULT M4LMAPISession::OpenEntry(ULONG, const ENTRYID*, const IID*, ULONG, ULONG*, IUnknown**): OpenMsgStore failed: unconfigured (8004011c)

ii  kopano-server-packages                              8.7.1.0-0+9.1                                                       all          Metapackage to install the entire Kopano Core stack
ii  kopano4ucs                                          1.6.2                                                               all          Kopano4ucs integration package for Univention Corporate Server
ii  kopano4ucs-app                                      1.6.2                                                               all          Package for UCS app specific logic
ii  kopano4ucs-lib                                      1.6.2                                                               all          Library package for common Kopano4ucs functions
ii  kopano4ucs-schema                                   1.6.2                                                               all          LDAP schema for the Kopano4ucs integration
ii  kopano4ucs-udm                                      1.6.2                                                               all          UDM extensions for the Kopano4ucs integration
ii  kopano4ucs-z-push                                   1.5.33                                                              all          Meta package for Z-Push installation
ii  z-push-kopano                                       2.4.5+0-0                                                           all          Z-Push for Kopano
ii  z-push-kopano-gabsync                               2.4.5+0-0                                                           all          GAB sync for Kopano

UCS: 4.4-6 errata780
Installed: kopano-core=8.7.1.0-1 z-push-kopano=2.4.5
Upgradable:

kopano/cfg/admin/default_store_locale: de_DE.UTF-8
kopano/cfg/dagent/lmtp_listen: 127.0.0.1:2003
kopano/cfg/gateway/pop3s_listen: *:995
kopano/cfg/gateway/ssl_certificate_file: /etc/kopano/ssl/cert.pem
kopano/cfg/gateway/ssl_private_key_file: /etc/kopano/ssl/private.key
kopano/cfg/ical/icals_listen: *:8443
kopano/cfg/ical/server_timezone: @&@/etc/timezone@&@
kopano/cfg/ical/ssl_certificate_file: /etc/kopano/ssl/cert.pem
kopano/cfg/ical/ssl_private_key_file: /etc/kopano/ssl/private.key
kopano/cfg/ldap.propmap/0x3004001E: description
kopano/cfg/ldap.propmap/0x3A06001E: givenName
kopano/cfg/ldap.propmap/0x3A08001E: telephoneNumber
kopano/cfg/ldap.propmap/0x3A09001E: homePhone
kopano/cfg/ldap.propmap/0x3A11001E: sn
kopano/cfg/ldap.propmap/0x3A16001E: o
kopano/cfg/ldap.propmap/0x3A17001E: title
kopano/cfg/ldap.propmap/0x3A18001E: departmentNumber
kopano/cfg/ldap.propmap/0x3A19001E: roomNumber
kopano/cfg/ldap.propmap/0x3A1C001E: mobile
kopano/cfg/ldap.propmap/0x3A21001E: pager
kopano/cfg/ldap.propmap/0x3A27001E: l
kopano/cfg/ldap.propmap/0x3A29001E: street
kopano/cfg/ldap.propmap/0x3A2A001E: postalCode
kopano/cfg/ldap/ldap_authentication_method: bind
kopano/cfg/ldap/ldap_bind_user: @%@ldap/hostdn@%@
kopano/cfg/ldap/ldap_emailaddress_attribute: mailPrimaryAddress
kopano/cfg/ldap/ldap_emailaliases_attribute: mailAlternativeAddress
kopano/cfg/ldap/ldap_group_search_filter: (&(kopanoAccount=1)(objectClass=kopano-group))
kopano/cfg/ldap/ldap_groupmembers_attribute: uniqueMember
kopano/cfg/ldap/ldap_groupmembers_attribute_type: dn
kopano/cfg/ldap/ldap_groupmembers_relation_attribute: 
kopano/cfg/ldap/ldap_nonactive_attribute: kopanoSharedStoreOnly
kopano/cfg/ldap/ldap_quota_multiplier: 1048576
kopano/cfg/ldap/ldap_search_base: @%@ldap/base@%@
kopano/cfg/ldap/ldap_sendas_relation_attribute: uidNumber
kopano/cfg/ldap/ldap_uri: ldap://@%@ldap/server/name@%@:@%@ldap/server/port@%@/
kopano/cfg/ldap/ldap_user_search_filter: (kopanoAccount=1)
kopano/cfg/ldap/ldap_user_type_attribute_value: kopano-user
kopano/cfg/ldap/ldap_user_unique_attribute: entryUUID
kopano/cfg/server/createcompany_script: /usr/lib/kopano/userscripts/createcompany
kopano/cfg/server/creategroup_script: /usr/lib/kopano/userscripts/creategroup
kopano/cfg/server/createuser_script: /usr/lib/kopano/userscripts/createuser
kopano/cfg/server/deletecompany_script: /usr/lib/kopano/userscripts/deletecompany
kopano/cfg/server/deletegroup_script: /usr/lib/kopano/userscripts/deletegroup
kopano/cfg/server/deleteuser_script: /usr/lib/kopano/userscripts/deleteuser
kopano/cfg/server/local_admin_users: root kopano
kopano/cfg/server/mysql_database: kopano
kopano/cfg/server/mysql_host: localhost
kopano/cfg/server/mysql_port: 3306
kopano/cfg/server/mysql_user: kopanoDbUser
kopano/cfg/server/run_as_group: kopano
kopano/cfg/server/run_as_user: kopano
kopano/cfg/server/server_listen: *:236
kopano/cfg/server/server_listen_tls: *:237
kopano/cfg/server/server_name: ucs-mail
kopano/cfg/server/server_ssl_ca_file: /etc/univention/ssl/ucsCA/CAcert.pem
kopano/cfg/server/server_ssl_key_file: /etc/kopano/ssl/server.pem
kopano/cfg/server/sync_gab_realtime: no
kopano/cfg/server/user_plugin: ldap

##############################################################
# GATEWAY SETTINGS

# Space-separated list of address:port specifiers for where the server should
# listen for connections.
#
#    "*:143" — port 143, all protocols
#    "[::]:143" — port 143 on IPv6 only
#    "[2001:db8::1]:143" — port 143 on specific address only
#
# imaps is normally on 993, pop3s on 995.
#
#pop3_listen = *:110
# Warning: the value "pop3s_listen" has been set via UCR variable "kopano/cfg/gateway/pop3s_listen"
pop3s_listen = *:995
#imap_listen = *:143
#imaps_listen = *:993

# Connection to the storage server.
# Please refer to the administrator manual or manpage why HTTP is used rather than the UNIX socket.
#server_socket = http://localhost:236/

# Set this value to a name to show in the logon greeting to clients.
# Leave empty to use DNS to find this name.
#server_hostname =

# Whether to show the hostname in the logon greeting to clients.
#server_hostname_greeting = no

# drop privileges and run the process as this user
#run_as_user = kopano

# drop privileges and run the process as this group
#run_as_group = kopano

# create a pid file for stopping the service via the init.d scripts
#pid_file = /var/run/kopano/gateway.pid

# run server in this path (when not using the -F switch)
#running_path = /var/lib/kopano/empty

# create memory coredumps upon crash [no, systemdefault, yes]
#coredump_enabled = systemdefault

# Only mail folder for IMAP or all subfolders (calendar, contacts, tasks, etc. too)
#imap_only_mailfolders = yes

# Show Public folders for IMAP
#imap_public_folders = yes

# IMAP clients may use IDLE command
#imap_capability_idle = yes

# The maximum size of an email that can be uploaded to the gateway
#imap_max_messagesize = 128M

# Internally issue the expunge command to directly delete e-mail marked for deletion in IMAP.
#imap_expunge_on_delete = no

# Maximum count of allowed failed IMAP command counts per client
#imap_max_fail_commands = 10

# Some MUAs are sending commands via idle causing the connection
# to reach imap_max_fail_commands and leaves the client in a
# broken state. The clients include Apple Mail. If you experience
# problems or uses Apple Mail set this option to yes
#imap_ignore_command_idle = no

# Disable all plaintext authentications unless SSL/TLS is used
#disable_plaintext_auth = no

# File with RSA key for SSL
# Warning: the value "ssl_private_key_file" has been set via UCR variable "kopano/cfg/gateway/ssl_private_key_file"
ssl_private_key_file = /etc/kopano/ssl/private.key

#File with certificate for SSL
# Warning: the value "ssl_certificate_file" has been set via UCR variable "kopano/cfg/gateway/ssl_certificate_file"
ssl_certificate_file = /etc/kopano/ssl/cert.pem

# Verify client certificate
#ssl_verify_client = no

# Client verify file and/or path
#ssl_verify_file =
#ssl_verify_path =

# SSL protocols to use, space-separated list of protocols
# (SSLv3 TLSv1 TLSv1.1 TLSv1.2); prefix with ! to lock out a protocol.
#ssl_protocols =

# SSL ciphers to use, set to 'ALL' for backward compatibility
#ssl_ciphers = ALL:!LOW:!SSLv2:!EXP:!aNULL

# Prefer the server's order of SSL ciphers over client's
#ssl_prefer_server_ciphers = no

# Process model, using pthreads (thread) or processes (fork)
# Processes are potentially safer from a security point of view.
#process_model = thread

# For temporary files.
#tmp_path = /tmp

# Whether Gateway should filter HTML messages or not. Usually, WebApp
# takes care of this. Letting the gateways do this improves the user latency a
# bit, but uses more disk space. (yes/no)
#html_safety_filter = no

##############################################################
# GATEWAY LOG SETTINGS

# Logging method (syslog, file)
#log_method = file

# Loglevel (0(none), 1(crit), 2(err), 3(warn), 4(notice), 5(info), 6(debug))
#log_level = 3

# Logfile for log_method = file, use '-' for stderr
# Default: -
#log_file = /var/log/kopano/gateway.log

# Log timestamp - prefix each log line with timestamp in 'file' logging mode
#log_timestamp = yes

# Buffer logging in what sized blocks. 0 for line-buffered (syslog-style).
#log_buffer_size = 0

# Bypass authentification when connecting as an administrator to the UNIX socket.
#bypass_auth = no

#pop3s_enable = yes

#imaps_enable = yes

-- Reboot --
Okt 26 13:56:32 ucs-mail systemd[1]: Started Kopano Groupware Core Storage Server.
Okt 26 13:56:32 ucs-mail kopano-server[1654]: Starting kopano-server version 8.7.1 (pid 1654 uid 0)
Okt 26 13:56:32 ucs-mail kopano-server[1654]: Starting kopano-server version 8.7.1 (pid 1654 uid 998)
Okt 26 14:09:03 ucs-mail kopano-server[1654]: LDAP (simple) bind on uid=xxx,cn=users,dc=xxx,dc=xxx failed: Can't contact LDAP server
Okt 26 14:09:03 ucs-mail kopano-server[1654]: Authentication by plugin failed for user "xxx": Trying to authenticate failed: Failure connecting any of the LDAP servers; username = xxx

-- Reboot --
Okt 26 12:15:15 ucs-mail systemd[1]: Started Kopano Groupware Core IMAP/POP3 Gateway.
Okt 26 12:15:15 ucs-mail kopano-gateway[462]: Starting kopano-gateway version 8.7.1 (pid 462 uid 0)
Okt 26 12:15:15 ucs-mail kopano-gateway[462]: Starting kopano-gateway version 8.7.1 (pid 462 uid 998)
Okt 26 12:20:46 ucs-mail kopano-gateway[462]: Client disconnected
Okt 26 12:21:16 ucs-mail kopano-gateway[462]: virtual HRESULT M4LMAPISession::OpenMsgStore(ULONG_PTR, ULONG, const ENTRYID*, LPCIID, ULONG, IMsgStore**): msp->Logon failed: unconfigured (8004011c)
Okt 26 12:21:16 ucs-mail kopano-gateway[462]: Failed to open public store

Auch mit log_level 6 wird der Fehler nicht genauer ausgegeben.

fbartels · October 27, 2020, 12:40am

Vom Logging sieht es einfach so aus, als wäre das Ldap kurzzeitig nicht erreichbar (Packetloss o.ä.).

Auf welcher Rolle ist denn die Kopano app installiert?

BJ48945 · October 27, 2020, 8:24am

Auf einem Member Server. Ich habe soweit im Netzwerk keine Fehler finden können. Beide Server laufen als VM auf dem Selben Hypervisor. Ich habe jetzt mal die Maschine gelöscht und einen neuen Server als Slave aufgesetzt und Kopano installiert (Den Master habe ich beibehalten). Zunächst habe ich den Fehler nicht mehr. Ich migriere gerade noch die Daten und schaue dann einmal ob noch Probleme auftreten sobald ich alle Endgeräte verbunden habe. Schonmal Danke für die Hilfe. Ich gebe später noch eine Rückmeldung.

BJ48945 · October 29, 2020, 9:25am

Auf einem Slave Server scheint Kopano nun fehlerfrei zu laufen. Ich habe auf Anhieb keine Anleitung gefunden, wie ich nun das System umstellen konnte. Für den Fall, dass jemand auch mal vor so einem problem steht folgendes habe ich gemacht. Ich hoffe das war soweit richtig.

Problem: UCS Member Server mit kopano soll auf einen UCS Slave Server mit Kopano migriert werden. Dabei möchte ich den Hostname behalten.

Kopano Version 8.7.1.0-0+9.1
UCS Version 4.4-6 errata780

Lösung:
Auf dem alten Server:

Kopano-core stoppen
Datenbankbackup
Sicherung der Mailanhänge

In der Datei /etc/kopano/server.cfg findet man die Datenbank Zugangsdaten
mysql_user = kopanoDbUser
mysql_password = ***

mkdir /root/kopanobackup
systemctl stop kopano-core
mysqldump -u kopanoDbUser -p kopano > /root/kopanobackup/kopanodb.sql
tar cfvz /root/kopanobackup/kopanoattachments.tar.gz /var/lib/kopano/attachments

Den Inhalt des Ordners /root/kopanobackup sichern (Netzwerklaufwerk, USB-Stick, per SCP, etc.)
Den alten Server ausschalten
Am UCS Master unter Geräte den alten Server löschen
Neuen Server installieren und als UCS Slave konfigurieren
Kopano installieren
Die zuvor gesichteten Dateien (kopanodb.sql und kopanoattachments.tar.gz) auf den neuen Server kopieren (z.B. wieder in /root/kopanobackup, Ordner vorher erstellen!)

Auf dem neuen Server:

Kopano-core stoppen
Datenbank wiederherstellen
Mailanhänge wiederherstellen
Berechtigung anpassen

Wieder der Hinweis:
In der Datei /etc/kopano/server.cfg findet man die Datenbank Zugangsdaten
mysql_user = kopanoDbUser
mysql_password = ***

systemctl stop kopano-core
mysql -u kopanoDbUser -p kopano < /root/kopanobackup/kopanodb.sql
tar -xzvf /root/kopanobackup/kopanoattachments.tar.gz -C /var/lib/kopano/attachments
chown kopano:kopano -R /var/lib/kopano/attachments
systemctl start kopano-core

Nach einiger Zeit ist die Systemauslastung gestiegen und ich habe in der mail.info par Fehlermeldung bzgl. kopano-search entdeckt:

kopano-server[1866]: Error while connecting to search on "file:///var/run/kopano/search.sock"

Das liegt daran, das kopano den Index für die neuen Daten aktualisiert. Das kann je nach Datenmenge bisschen dauern. Danach taucht die Fehlermeldung nicht mehr auf und die Systemauslastung sinkt wieder.

Joerg.Baltschun · December 29, 2022, 6:55am

Hallo,
ich hatte bei einer neuen Installation UCS 5.02 mit PDC, dazu Kopano auf BDC das identische Problem, sobald ein Benutzer sein Passwort geändert hat:
“Authentication by plugin failed for user heinz.schenk: Trying to authenticate failed: Failure connecting any of the LDAP servers; username = heinz.schenk”

Habe also den BDC aus dem LDAP gelöscht, weil ich den DNS Namen unbedingt beibehalten wollte.
Danach eine neue Maschine mit UCS 5.02 als Replica Directory Node aufgesetzt.
Umgehend habe ich dann für einen vorhandenen User auf dieser neuen Maschine das Passwort
selbst als dieser User geändert und siehe da:
Es funktioniert!

Moral: Kopano auf UCS läuft als Replica Directory Node am besten.
Was auch geht, das ist auf einem PDC, standalone.
Hier habe ich das gleiche gemacht:
User meldet sich am Portal an, ändert sein PW und ab nach Kopano Web App (neues PW).
Läuft