Probleme beim Anlegen neuer Benutzer

vmayer · August 5, 2014, 12:24pm

Liebes Forum,

beim Domänenbeitritt eines Rechner und auch beim Anlegen eines neuen Benutzers tritt in letzer Zeit folgendes Problem auf: Der Vorgang an sich geht problemlos über die Bühne. Anschließend werden aber weder Rechner noch Benutzer als Mitglieder der Domäne akzeptiert. Ursache scheint ein zweiter Eintrag mit dem gleichen Namen zu sein, ergänzt um eine anscheinend zufällig erzeugte Zeichenkette wie folgt:

muster
musterCNF:f47f4fd3-de31-45cc-ac9e-c0d1118148ed.

Diesen zweiten Eintrag kann man nur im AD-Verwaltungstool für Benutzer und Computer auf einem Windows-Rechner sehen, in der UMC wird er nicht angezeigt, weder unter Benutzer noch unter LDAP-Verzeichnis. Löscht man den Benutzer in der UMC, verschwindet nur der erste Eintrag, den zweiten muss man zusätzlich im AD-Verwaltungstool löschen. Löscht man nur im AD-Verwaltungstool den zweiten Eintrag, ist alles gut und Rechner bzw. Benutzer werden jetzt als Mitglieder der Domäne akzeptiert.

Hat jemand dafür eine Erklärung?

Das oben geschilderte Verhalten trat das erste Mal nach dem Join des ersten DC-Backup auf. Das kann aber Zufall sein, da längere Zeit davor keine neuen Rechner bzw. Benutzer hinzugefügt wurden.

Gruß, Valentin

Meybohm · August 6, 2014, 6:30am

Hallo,

dabei handelt es sich um sog. Name Collision Objekte. Diese werden z.B. angelegt wenn zwei oder mehr DCs gleichzeitig (bzw. innerhalb eines Replikationsintervalls) das selbe Objekt angelegen wollen (was aufgrund der Multi-Master Struktur des AD generell möglich ist).
In diesem Fall wird das zuletzt angelegte Objekt behalten, das bzw. die anderen werden nach " CNF: " umbenannt.

Sehen Sie hierzu z.B. auch:
[ul]
[li]I have objects in my Active Directory (AD) domain that have CNF in their name followed by a globally unique identifier (GUID). What are these objects?[/li]
[li]Name Collision in Active Directory Causes Replication Errors[/li][/ul]

Mit Errata 81 haben wir “samba-tool dbcheck” um einen Schalter erweitert um diese Objekte zu finden und ggf. zu entfernen:samba-tool dbcheck --check-for-conflicts

Mit freundlichen Grüßen
Janis Meybohm

vmayer · August 6, 2014, 10:07am

[quote=“Meybohm”]…
dabei handelt es sich um sog. Name Collision Objekte. Diese werden z.B. angelegt wenn zwei oder mehr DCs gleichzeitig (bzw. innerhalb eines Replikationsintervalls) das selbe Objekt angelegen wollen (was aufgrund der Multi-Master Struktur des AD generell möglich ist).
In diesem Fall wird das zuletzt angelegte Objekt behalten, das bzw. die anderen werden nach " CNF: " umbenannt.
…[/quote]

Danke für die Erklärung! Dann haben wir ja “intuitiv” das Richtige gemacht.

Gruß, Valentin Mayer