No DRS replication after succesful setup and domain join

ad-connection

#1

Hi there,

I’ve set up my first univention server to give them a try against new MS Server 2016 setup.

After the setup completed with a sucessful ? domain join to a existing Windows Server 2008 R2 AD
join protocol:
5a7c5021 OVER: Loading Translog Overlay
5a7c5021 Loading shadowbind Overlay.OVER: db_init
5a7c5021 OVER: Configuring Translog Overlay
5a7c5021 OVER: Configured Translog Overlay to use file “/var/lib/univention-ldap/listener/listener”
5a7c5021 shadowbind_db_init
5a7c5021 shadowbind_db_config
5a7c5021 shadowbind_db_open
5a7c5021 OVER: db_close
5a7c5021 shadowbind_db_destroy
5a7c5021 OVER: db_destroy
08.02.18 14:27:31.051 DEBUG_INIT
08.02.18 14:31:06.792 DEBUG_INIT

I can see our AD users. That’s all.
But no DNS information.

samba-tool drs showrepl
error: Failed to connect host 10.10.35.5 on port 135 - NT_STATUS_CONNECTION_REFUSED
Failed to connect host 10.10.35.5 (dd-s-dc-1.enet.intra) on port 135 - NT_STATUS_CONNECTION_REFUSED.
ERROR(<class ‘samba.drs_utils.drsException’>): DRS connection to dd-s-dc-1.enet.intra failed - drsException: DRS connection to dd-s-dc-1.enet.intra failed: (-1073741258, ‘The connection was refused’)
File “/usr/lib/python2.7/dist-packages/samba/netcmd/drs.py”, line 41, in drsuapi_connect
(ctx.drsuapi, ctx.drsuapi_handle, ctx.bind_supported_extensions) = drs_utils.drsuapi_connect(ctx.server, ctx.lp, ctx.creds)
File “/usr/lib/python2.7/dist-packages/samba/drs_utils.py”, line 54, in drsuapi_connect
raise drsException(“DRS connection to %s failed: %s” % (server, e))

cat /var/log/univention/listener.log
11.02.18 06:25:15.114 DEBUG_INIT
11.02.18 06:25:15.124 LISTENER ( ERROR ) : failed to connect to any notifier
11.02.18 06:25:15.124 LISTENER ( WARN ) : can not connect any server, retrying in 30 seconds
11.02.18 06:25:45.124 LISTENER ( WARN ) : chosen server: DD-S-DC-1.enet.intra:7389
UNIVENTION_DEBUG_BEGIN : uldap.__open host=DD-S-DC-1.enet.intra port=7389 base=dc=enet,dc=intra
UNIVENTION_DEBUG_END : uldap.__open host=DD-S-DC-1.enet.intra port=7389 base=dc=enet,dc=intra

In addition I can see that the UCS server only put an entry to “computers” in the AD, not in “domain controllers”
It’s not really a “successful setup” as notified by UCS setup script.
But all scripts ended successfully.

So where I should start to solve the problems?
I didn’t configured any firewalls on the new server - seems the port is closed?

Thanks in advance.


#2

Hey,

running Samba as an AD DC together with a Windows-based AD DC is not supported. Univention supports running an UCS system as an AD member server with a Windows-based AD DC, or running a separate UCS domain with the Univention AD Connector component for synchronizing users/groups/computer accounts between the two domains. The latter isn’t using DRS either.

Kind regards,
mosu


#3

Ok,

I didn’t know the difference.
So I have to set it up complety new from scratch and choose another option in the setup menu?

It’s better to ask in German here or doesn’tr matter (I’m from Dresden, Germany)?


#4

Hey,

It depends on what you plan to do with your Univention server. If you plan on having more than one Univention server in your domain, then the second mode is the way to go. Can you describe what your goals are? Then we’d be better able to help.

You should probably read the corresponding documentation carefully.

Well, I’d say the majority of users here is still German, and some of them seem to prefer to communicate in German. In general it shouldn’t matter all that much, though. (Greetings from Braunschweig, BTW)

Kind regards,
mosu


#5

Danke für die schnelle Antwort.

Na dann erklär ich mal was ich vorhabe bzw. wo die Probleme liegen…

Wir haben 3 Standorte in D und möchten jeweils ein DC betreiben, die Standorte sind per VPN verknüpft.
Hauptsächlich werden Windows-Clients benutzt, es gibt aber auch 5 Macs sowie einige Linux-Maschinen bzw. VMs.

Ich soll in DD einen neuen DC aufsetzen, möglichst als Windows Server 2016. Aber im anderen Standort werkelt ein Win 2008 R2 DC auf Windows 2000er Domänenstruktur mit einer Vertrauenstellung zu einer noch älteren Domäne.
Daher kann ich aktuell keinen 2016er Server damit koppeln - inkompatibel laut Setup-Benachrichtigungen.

Nun könnte man ggf.? die Win2000er-Struktur upgraden, um Kompatibilität herzustellen?
Aber dazu müsste wohl die alte Vertrauensstruktur aufgelöst werden. Da traut sich im anderen Büro niemand dran wegen ggf. dranhängender Altlasten.

Aber ich dachte, ich gebe Linux eine Chance und probiere, einen Samba-DC aufzusetzen, der mit den anderen DCs kommuniziert, meinetwegen auch nur lesend.

Dafür würde der univention Member Server ja in Betracht kommen, soweit ich das verstanden habe.
Allerdings habe ich die Manuals bisher so verstanden, dass er alle Anfragen nur an einen anderen DC weiterleitet - dann könnte ich mir den eigentlich auch sparen?
D.h. wenn die Verbindung zum anderen DC ausfällt, ist auch keine lokale Anmeldung am AD gegeben?

Ich hätte gern das MS AD lokal gespiegelt - damit wäre ich zufrieden.

An welcher Stelle im univention Setup habe ich das zu entscheiden?

Danke.

Grüße aus Dresden


#6

Huhu,

autsch, das ist eine widerliche Situation, und ich fürchte, dass Univention hier nicht so einfach helfen kann.

Wie erwähnt, unterstützt Univention (Samba?) den Kombi-Betrieb von Samba-basierten AD-DCs und Windows-basierten AD-DCs in einer einzigen AD-Domäne nicht.

Was bliebe, wäre die Variante, mit Univention eine eigene AD-Domäne aufzusetzen (in der dann ausschließlich Samba-basierte AD-DCs zum Einsatz kämen) und beide ADs mit dem Univention-AD-Connector zu koppeln. Das ist allerdings natürlich kein Spiegel vom AD, da nur Benutzer-/Computeraccounts und Gruppen synchronisiert werden — nicht aber alles andere, was man in einem AD so hat: DNS, DHCP-Einstellungen, Gruppenrichtlinien.

Generell ist Univention für genau so eine verteilte Standortstruktur sehr gut geeignet, allerdings halt nur im Setup, dass ausschließlich Univention-(Samba-)AD-DCs zum Einsatz kommen. Windows-Server können selbstverständlich als Member-Server in dieses Univention-/Samba-AD joinen, keine Frage.

Um eine bestehende, Windows-basierende AD-Domäne auf eine Univention-/Samba-basierende AD-Domäne umzuziehen, gibt es von Univention das AD Takeover-Modul. Am Ende würde man die Windows-basierenden AD-DCs durch Univention-Server ersezt haben.

Jetzt kommt auch für dieses Szenario das große aber in Form einer allgemeinen Einschränkungen: Samba 4 kann zwar Vertrauensstellungen eingehen, aber es funktioniert schlicht noch nicht fehlerfrei (z.B. werden Gruppenrichtlinien dann plötzlich nicht mehr ausgeführt). Das ist eine allgemeine Einschränkung von Samba, nicht von Univention.

Daher sehe ich momentan keine gute & einfache Lösung für Ihr Szenario.

Gruß
mosu


#7

Hmmm,

vielen Dank für ihre offene Darstellung und Problemanalyse.

Schade, ich hatte meine Hoffnung nun auf den AD-Connector gesetzt, aber wenn er keine DNS- oder DHCP-Einstellungen überträgt, nützt mir dastatsächlich wenig.

Da komme ich wohl erstmal nicht weiter und übergebe den Staffelstab wieder an die andere Filiale…

Vielen Dank trotzdem. Damit ist einiges sofort klarer geworden.