Nicht synchronisierte S4 Connector Objekte (wg sambaHomeDrive vs. HomeDrive)

ad-connection
ldap
openldap
samba-ad
samba4

#1

Mein System ist ein AD-Domain Controller, der durch den Active Directory Takeover eingerichtet wurde (seinerzeit unter 4.2, jetzt 4.4-0 err41).
Die Systemdiagnose beanstandet hartnäckig “Nicht synchronisierte S4 Connector Objekte”.
Bei allen beanstandeten Einträgen handelt es sich um User, welche im Zuge des Active Directory Takeover übernommen wurden.
Bei neu angelegten Usern fällt auf, dass diese einen ldap Eintrag ‘SambaHomeDrive’ haben, welchen die beanstandeten User nicht haben.
Ausserdem sind im UMC Verwaltung:Benutzer:Konto:Windows bei den beanstandeten Benutzern keine Eingaben möglich, bei neu angelegten Benutzern schon. Es sollte erwähnt werden, dass neue Benutzer von der S4-Seite her angelegt werden (mit MS-Windows ADUC).

(Liste gekürzt)

[UCS-Kopano 2019-04-10 17:41:15 root ~]# univention-s4connector-list-rejected
                                                                                                                                           
UCS rejected

S4 rejected

    6:    S4 DN: CN=testiheinz,CN=Users,DC=wgk,DC=example,DC=com
         UCS DN: uid=testiheinz,cn=users,dc=wgk,dc=example,dc=com

Das Logfile liefert (Ausgabe gekürzt) /var/log/univention/connector-s4.log:

08.04.2019 07:28:24,336 LDAP        (ERROR  ): Value may not change: key=homedrive old=None new=X: (uid=testiheinz,cn=users,dc=wgk,dc=example,dc=com)

Die beanstandeten Einträge:

[UCS-Kopano 2019-04-10 19:38:17 root ~]# univention-s4search -b "CN=testiheinz,CN=Users,DC=wgk,DC=example,DC=com"
# record 1
dn: CN=testiheinz,CN=Users,DC=wgk,DC=example,DC=com
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: testiheinz
sn: testiheinz
instanceType: 4
whenCreated: 20190103154802.0Z
displayName: testiheinz
uSNCreated: 3924
name: testiheinz
objectGUID: 491eccf9-5906-4fae-aadf-3c90d434ddb9
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 513
objectSid: S-1-5-21-1049956967-144204568-1499177893-1602
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: testiheinz
sAMAccountType: 805306368
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=wgk,DC=example,DC=com
userAccountControl: 512
userPrincipalName: testiheinz@WGK.EXAMPLE.COM
pwdLastSet: 131604959670000000
lockoutTime: 0
homeDrive: X:
homeDirectory: \\fs2\home\testiheinz
whenChanged: 20190125164251.0Z
uSNChanged: 9657
distinguishedName: CN=testiheinz,CN=Users,DC=wgk,DC=example,DC=com

# returned 1 records
# 1 entries
# 0 referrals
[UCS-Kopano 2019-04-10 19:48:50 root ~]# univention-ldapsearch -b "uid=testiheinz,cn=users,dc=wgk,dc=example,dc=com"
# extended LDIF
#
# LDAPv3
# base <uid=testiheinz,cn=users,dc=wgk,dc=example,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# testiheinz, users, wgk.example.com
dn: uid=testiheinz,cn=users,dc=wgk,dc=example,dc=com
kopanoAccount: 0
uid: testiheinz
krb5PrincipalName: testiheinz@WGK.EXAMPLE.COM
uidNumber: 2017
sambaAcctFlags: [U          ]
sambaPasswordHistory: 1D31BE2DD429D7EDBFEEB099DBE8B0EAE967657E57C5F4C1E20E9011B980C0EC
kopanoAdmin: 0
krb5MaxLife: 86400
cn: testiheinz
krb5Key:: ME+hGzAZoAMCARehEgQQpYrDaewDKjVF4E55XL/8zaIwMC6gAwIBA6EnBCVXR0suV0FHRVItR0FFUlRORVItS05PQ0guREV0ZXN0aWhlaW56
krb5MaxRenew: 604800
krb5KeyVersionNumber: 1
loginShell: /bin/bash
univentionObjectType: users/user
krb5KDCFlags: 126
kopano4ucsRole: none
sambaPwdLastSet: 1516022367
displayName: testiheinz
sambaSID: S-1-5-21-744947771-754224425-4162176865-5034
kopanoSharedStoreOnly: 0
gecos: testiheinz
sn: testiheinz
pwhistory: $6$cMS67itHvlTH7ymC$MSPhjlSNN2f84pxVomqRtNxbVP9weJYynuUcXMOjXbDK72SXQdkLQwmX8ZBd8g2mbwva5FzvkE54NC.ZC0C8P0
homeDirectory: /home/testiheinz
gidNumber: 5001
userPassword:: e0tJTklUfQ==
sambaNTPassword: NO PASSWORD*********************
univentionObjectFlag: synced
sambaPrimaryGroupSID: S-1-5-21-1049956967-144204568-1499177893-513
univentionFetchmailProtocol: IMAP
objectClass: krb5KDCEntry
objectClass: univentionFetchmail
objectClass: automount
objectClass: top
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: person
objectClass: univentionPWHistory
objectClass: univentionMail
objectClass: kopano-user
objectClass: shadowAccount
objectClass: krb5Principal
objectClass: organizationalPerson
objectClass: posixAccount
objectClass: univentionObject

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

Wie kann man die ldap-Einträge (oder doch S4?) auf die Höhe der Zeit bringen?
(Den knowledgebase Artikel “How to deal with s4-connector rejects” sowie alle anderen Artikel zu diesem Thema habe ich gelesen und - soweit zutreffend - auch beachtet)