S4CONNECTOR WARNING: Found 71 reject(s)!

german

#1

Hallo,

seit einigenTagen bekomme ich alle drei Std. diese Systemmail:

[code]***** Nagios *****

Notification Type: PROBLEM

Service: UNIVENTION_S4CONNECTOR
Host: modsrv.hermandung.lan
Address: 192.168.0.10
State: WARNING

Date/Time: Thu Jan 19 18:36:23 CET 2017

Additional Info:

S4CONNECTOR WARNING: Found 71 reject(s)! Please check output of univention-s4connector-list-rejected.[/code]
univention-s4connector-list-rejected:
Diesen Eintrag gibt es 76mal mit unterschiedlicher Ziffernfolge hinter …/s4/

1: UCS DN: cn=W7X64,cn=Client-PC,cn=Computers,dc=hermandung,dc=lan S4 DN: <not found> Filename: /var/lib/univention-connector/s4/1483720373.166554
Das gibt’s einmal:

40: UCS DN: cn=Client-PC,cn=computers,dc=hermandung,dc=lan S4 DN: cn=client-pc,cn=computers,DC=hermandung,DC=lan Filename: /var/lib/univention-connector/s4/1483721880.377211
Und am Ende steht:

[code]S4 rejected

1:    S4 DN: CN=W7X64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan
     UCS DN: <not found>

    last synced USN: 7455[/code]

CN=W7X64 und CN=Client-PC sind Objekte, die ich nach der Installation testhalber angelegt und wieder gelöscht hatte.
Wenn ich mich recht erinnere, hatte ich dabei direkt im LDAP-Modul der UCM rumgefummelt - offensichtlich eine schlechte Idee…

In der connector-s4.log finde ich blockweise erst etliche dieser Einträge:

19.01.2017 19:23:15,629 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1483720307.632478 19.01.2017 19:23:15,641 LDAP (PROCESS): sync from ucs: [windowscomputer] [ delete] cn=W7X64,cn=Client-PC,cn=Computers,DC=hermandung,DC=lan 19.01.2017 19:23:15,672 LDAP (PROCESS): Unable to sync cn=W7X64,cn=Client-PC,cn=Computers,DC=hermandung,DC=lan (GUID: b516c3a9-8e1c-4526-8194-09eaae2f3c2a). The object is currently locked. 19.01.2017 19:23:15,813 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1483720372.575060 19.01.2017 19:23:15,826 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] cn=W7X64,cn=Client-PC,cn=computers,DC=hermandung,DC=lan 19.01.2017 19:23:15,857 LDAP (PROCESS): Unable to sync cn=W7X64,cn=Client-PC,cn=computers,DC=hermandung,DC=lan (GUID: b516c3a9-8e1c-4526-8194-09eaae2f3c2a). The object is currently locked.
dann folgt:

19.01.2017 19:23:15,980 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=W7X64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan 19.01.2017 19:23:15,989 LDAP (PROCESS): sync to ucs: [windowscomputer] [ add] cn=W7X64,CN=Client-PC,CN=Computers,dc=hermandung,dc=lan 19.01.2017 19:23:16,977 LDAP (ERROR ): Unknown Exception during sync_to_ucs 19.01.2017 19:23:16,978 LDAP (ERROR ): Traceback (most recent call last): File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 1475, in sync_to_ucs result = self.add_in_ucs(property_type, object, module, position) File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 1262, in add_in_ucs return ucs_object.create() and self.__modify_custom_attributes(property_type, object, ucs_object, module, position) File "/usr/lib/pymodules/python2.7/univention/admin/handlers/__init__.py", line 306, in create return self._create() File "/usr/lib/pymodules/python2.7/univention/admin/handlers/__init__.py", line 722, in _create al = self._ldap_addlist() File "/usr/lib/pymodules/python2.7/univention/admin/handlers/computers/windows.py", line 456, in _ldap_addlist self.machineSid = self.getMachineSid(self.lo, self.position, self.uidNum, self.get('sambaRID')) File "/usr/lib/pymodules/python2.7/univention/admin/handlers/__init__.py", line 1147, in getMachineSid univention.admin.allocators.request(self.lo, self.position, 'sid', sid) File "/usr/lib/pymodules/python2.7/univention/admin/allocators.py", line 196, in request return acquireUnique(lo, position, type, value, _type2attr[type], scope=_type2scope[type]) File "/usr/lib/pymodules/python2.7/univention/admin/allocators.py", line 185, in acquireUnique univention.admin.locking.lock(lo, position, type, value, scope=scope) File "/usr/lib/pymodules/python2.7/univention/admin/locking.py", line 98, in lock raise univention.admin.uexceptions.noLock(_('The attribute %r could not get locked.') % (type,)) noLock: The attribute 'sid' could not get locked.
Und das wiederholt sich dann im Sekundentakt. Die Log-Datei ist inzwischen über 200 MiB groß!

univention-ldapsearch -b “cn=W7X64,cn=Client-PC,cn=Computers,dc=hermandung,dc=lan”:

[code]# extended LDIF

LDAPv3

base <cn=W7X64,cn=Client-PC,cn=Computers,dc=hermandung,dc=lan> with scope subtree

filter: (objectclass=*)

requesting: ALL

search result

search: 3
result: 32 No such object
matchedDN: cn=computers,dc=hermandung,dc=lan

numResponses: 1[/code]

univention-s4search -b “cn=W7X64,cn=Client-PC,cn=Computers,dc=hermandung,dc=lan”

[code]# record 1
dn: CN=W7X64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: computer
instanceType: 4
whenCreated: 20170106150228.0Z
uSNCreated: 4101
objectGUID: b516c3a9-8e1c-4526-8194-09eaae2f3c2a
userAccountControl: 4096
badPwdCount: 0
codePage: 0
countryCode: 0
badPasswordTime: 0
lastLogoff: 0
lastLogon: 0
primaryGroupID: 515
objectSid: S-1-5-21-280987424-3587840878-2925083125-1115
accountExpires: 9223372036854775807
logonCount: 0
sAMAccountName: W7X64.hermandung.lan$
sAMAccountType: 805306369
objectCategory: CN=Computer,CN=Schema,CN=Configuration,DC=hermandung,DC=lan
isCriticalSystemObject: FALSE
lockoutTime: 0
cn: W7X64
name: W7X64
whenChanged: 20170106160323.0Z
userPrincipalName: host/W7X64.hermandung.lan@HERMANDUNG.LAN
pwdLastSet: 131281816990000000
uSNChanged: 7246
distinguishedName: CN=W7X64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan

returned 1 records

1 entries

0 referrals[/code]

Was läuft da falsch, wie kann ich das stoppen?
Bitte um Hilfe, ehe mir die Log-Datei meine Festplatte vollgeschrieben hat :wink: - gibt es da keine Größenbeschränkung?

TIA und Gruß,
Dirk Hermandung


#2

Haben Sie hier schon einen Blick rein geworfen? http://sdb.univention.de/content/6/294/en/how-to-deal-with-s4_connector-rejects.html

Der manuell getriggerte Resync wird vermutlich nicht funktionieren (könnte man aber noch versuchen), Frage ist dann ob das Objekt an sich benötigt wird? Es ist ja im S4 vorhanden aber im UCS scheinbar nicht mehr. Ggf. ist es dann auch zielführend das Objekt direkt aus dem S4 zu entfernen, da sollte man aber sehr vorsichtig sein. In dem folgenden Artikel ist das beschrieben unter “LDB Tools” http://sdb.univention.de/content/6/222/en/samba-4-troubleshooting.html


#3

Das Objekt kann weg! Es ist entstanden beim Versuch, den ersten Client-PC (Win7) in die frisch installierte Domain zu bringen. Das hatte auf UCS-Seite nicht funktioniert: Der Rechner wurde u.a. nicht unter Geräte/Rechner angezeigt. Inzwischen ist dieser PC unter anderem Namen erneut der Domain beigetreten und wurde - soweit ich das sehe - auch sauber eingebunden.

BTW: Kann es sein, dass der Domain-Beitritt scheitert, wenn der Client-PC nicht auf DHCP steht sondern die IPs fest eingetragen hat?
Jedenfalls hat es bei diesem PC erst nach der Umstellung auf DHCP funktioniert und die anderen Clients hatte ich dann vor dem Join umgestellt…
Man ist ja lernfähig und will vorwärtskommen :wink:

Also:

ldbsearch -H /var/lib/samba/private/sam.ldb --cross-ncs -b CN=W7X64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan
hat einen Record ergeben

den habe ich gelöscht mit
ldbdel -H /var/lib/samba/private/sam.ldb CN=W7X64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan

samba-tool dbcheck --cross-ncs
ergab danach 20 Fehler (vorher o):

ERROR: incorrect DN string component for lastKnownParent in object cn=w7x64\0ADEL:9f5b77cf-ba4e-493f-b466-763664dacd46,CN=Deleted Objects,DC=hermandung,DC=lan - <GUID=ed6aff14-d29c-4892-bdfb-dc179ae3e475>;CN=Client-PC,CN=Computers,DC=hermandung,DC=lan

die sich nur in den String nach OADEL unterschieden haben
-> mit –fix reparieren lassen:

Change DN to <GUID=ed6aff14-d29c-4892-bdfb-dc179ae3e475>;cn=client-pc\0ADEL:ed6aff14-d29c-4892-bdfb-dc179ae3e475,CN=Deleted Objects,DC=hermandung,DC=lan? Fixed incorrect DN string on attribute lastKnownParent

Jetzt zeigt die connector-s4.log:

20.01.2017 11:16:22,258 MAIN (------ ): DEBUG_INIT 20.01.2017 11:16:28,226 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1483719219.185462 20.01.2017 11:16:28,245 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 11:16:28,378 LDAP (ERROR ): sync_from_ucs: traceback during add object: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 11:16:28,378 LDAP (ERROR ): sync_from_ucs: traceback due to addlist: [('objectClass', ['top', 'computer']), ('userAccountControl', ['4096']), (u'cn', [u'W7X64']), ('sAMAccountName', [u'W7X64$'])] 20.01.2017 11:16:28,526 LDAP (WARNING): sync failed, saved as rejected /var/lib/univention-connector/s4/1483719219.185462 20.01.2017 11:16:28,526 LDAP (WARNING): Traceback (most recent call last): File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 843, in __sync_file_from_ucs if ((old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, unicode(old_dn, 'utf8'), old, new)) or (not old_dn and not self.sync_from_ucs(key, object, premapped_ucs_dn, old_dn, old, new))): File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 2410, in sync_from_ucs self.lo_s4.lo.add_ext_s(compatible_modstring(object['dn']), compatible_addlist(addlist), serverctrls=ctrls) # FIXME encoding File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 187, in add_ext_s resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 476, in result3 resp_ctrl_classes=resp_ctrl_classes File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 483, in result4 ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop) File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call result = func(*args,**kwargs) NO_SUCH_OBJECT: {'info': '00002030: objectclass: Cannot add cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan, parent does not exist!', 'desc': 'No such object'}
Dieser Eintrag kommt 19mal hintereinander mit unterschiedlichen Files bei Resync rejected file: /var/lib/univention-connector/s4/xxxxxxxxxx.xxxxxx
und nach einer Minute wiederholt sich das.
(Ich nehme mal an, die korrespodierenden 19 Files in /var/lib/univention-connector/s4/ einfach zu löschen ist nicht zielführend?)

univention-s4connector-list-rejected ergibt 19mal:

1: UCS DN: cn=W7X64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan Filename: /var/lib/univention-connector/s4/1483719219.185462

Ist es evt. noch problematisch, dass ja auch das Objekt cn=client-pc nicht existiert?
Was kann ich noch tun?


#4

Ich sehe da mehrere Möglichkeiten. Entweder den parent im LDAP Baum anlegen “cn=client-pc,cn=computers,cn=…,cn=…” - dann müsste sich der reject auflösen, das Objekt kann danach ja gelöscht werden. Oder versuchen den reject zu entfernen:

root@master:~# /usr/share/univention-s4-connector/remove_s4_rejected.py CN=...,CN=...CN=Computers,DC=domain,DC=de

Ich bin aber eher ein Fan davon die rejects “natürlich” aufzulösen.


#5

Sicherheitshalber nachgefragt:
Lege ich das Objekt in der UMC unter Domäne/LDAP-Verzeichnis an?
Unter “computers” -> ein neues LDAP-Objekt vom Typ “Rechner:” anlegen - aber welches? Ich glaube, es war damals “Rechner: IP-Managed-Client”.
Oder ist das egal?

Als Name dann “Client-PC” oder “client-pc”?
Denn anscheinend gibt es sowohl die kleingeschriebene Variante als auch die in Großschrift:

1: UCS DN: cn=W7X64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan Filename: /var/lib/univention-connector/s4/1483719219.185462
Oder ist das egal?

Es tut mir wirklich leid, so penetrant nachzuhaken, aber mir fehlt da (noch!) Hintergrundwissen, und ich möchte nichts “verschlimmbessern”.


#6

Wenn ich die DN richtig lese, ist “cn=Client-PC” ein Unterordner unter “cn=computer” gewesen, daher würde ich den im LDAP Baum dort wieder anlegen. Ein Beispiel aus meiner Testumgebung:

[code]root@ucs-1380:~# univention-ldapsearch cn=test3 dn

extended LDIF

LDAPv3

base <dc=acheron,dc=intranet> (default) with scope subtree

filter: cn=test3

requesting: dn

test3, shares, acheron.intranet

dn: cn=test3,cn=shares,dc=acheron,dc=intranet

test3, client-pc, computers, acheron.intranet

dn: cn=test3,cn=client-pc,cn=computers,dc=acheron,dc=intranet

test3, printers, acheron.intranet

dn: cn=test3,cn=printers,dc=acheron,dc=intranet

search result

search: 3
result: 0 Success

numResponses: 4

numEntries: 3[/code]

Ich habe im LDAP Baum unter “cn=computers” einen neuen Container angelegt “container/containers” und diesen “client-pc” genannt. In Ihrem Fall würde ich das mit “Client-PC” machen. Dann habe ich zum Test einen meiner Clients dahin verschoben. Die Ausgabe des LDAPSearch sieht nun analog zu Ihrer Ausgabe aus.


#7

Nach Anlegen des Objekts “Client-PC” zeigt jetzt connector-s4.log:

20.01.2017 17:13:23,103 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1484928627.558717 20.01.2017 17:13:23,109 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 17:13:23,111 LDAP (PROCESS): Unable to sync cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan (GUID: 25a61ead-024c-4b71-a09d-f5803910dff8). The object is currently locked. 20.01.2017 17:13:23,210 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1484928628.388085 20.01.2017 17:13:23,216 LDAP (PROCESS): sync from ucs: [windowscomputer] [ modify] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 17:13:23,218 LDAP (PROCESS): Unable to sync cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan (GUID: 25a61ead-024c-4b71-a09d-f5803910dff8). The object is currently locked. 20.01.2017 17:13:23,320 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=w7x64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan 20.01.2017 17:13:23,329 LDAP (PROCESS): sync to ucs: [windowscomputer] [ modify] cn=w7x64,cn=client-pc,cn=computers,dc=hermandung,dc=lan 20.01.2017 17:13:23,512 LDAP (PROCESS): con_check_rename: Renaming client from w7x64 to W7X64 20.01.2017 17:13:23,517 LDAP (ERROR ): failed in post_con_modify_functions 20.01.2017 17:13:23,517 LDAP (ERROR ): Traceback (most recent call last): File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 1505, in sync_to_ucs f(self, property_type, object) File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/computer.py", line 122, in windowscomputer_sync_s4_to_ucs_check_rename ucs_admin_object.modify() File "/usr/lib/pymodules/python2.7/univention/admin/handlers/__init__.py", line 317, in modify return self._modify(modify_childs, ignore_license=ignore_license) File "/usr/lib/pymodules/python2.7/univention/admin/handlers/__init__.py", line 805, in _modify ml = self._ldap_modlist() File "/usr/lib/pymodules/python2.7/univention/admin/handlers/computers/windows.py", line 546, in _ldap_modlist raise univention.admin.uexceptions.uidAlreadyUsed(': %s' % requested_uid) uidAlreadyUsed: : W7X64$
und univention-s4connector-list-rejected

[code]UCS rejected

1:   UCS DN: cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan
      S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan
     Filename: /var/lib/univention-connector/s4/1484928627.558717

2:   UCS DN: cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan
      S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan
     Filename: /var/lib/univention-connector/s4/1484928628.388085

S4 rejected

1:    S4 DN: CN=w7x64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan
     UCS DN: cn=w7x64,cn=client-pc,cn=computers,dc=hermandung,dc=lan

    last synced USN: 7516[/code]

Soll ich noch das Objekt “w7x64” in “Client-PC” anlegen?


#8

Der ist jetzt von alleine wieder aufgetaucht im UCM-LDAP-Verzeichnis als Unterobjekt von “Client-PC” und auch unter “Geräte”.


#9

Der Reject ist aber noch da?


#10

Leider ja.
Mir fällt grade auf:

20.01.2017 17:13:23,512 LDAP (PROCESS): con_check_rename: Renaming client from w7x64 to W7X64

aus connector-s4.log

Er versucht “w7x64” in W7X64" umzubenennen? Sind das unterschiedliche Objekte, wenn sie mal groß und mal klein geschrieben sind (case sensitive)?


#11

Ich habe es lösen können!
Vielen Dank für die Unterstützung und Geduld!

Falls es noch interessiert, hier die Lösung:
Zuletzt zeigte univention-s4connector-list-rejected

[code]UCS rejected

1:   UCS DN: cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan
      S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan
     Filename: /var/lib/univention-connector/s4/1484928627.558717

2:   UCS DN: cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan
      S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan
     Filename: /var/lib/univention-connector/s4/1484928628.388085

3:   UCS DN: cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan
      S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan
     Filename: /var/lib/univention-connector/s4/1484943118.451673

4:   UCS DN: cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan
      S4 DN: cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan
     Filename: /var/lib/univention-connector/s4/1484943180.968649

S4 rejected

1:    S4 DN: CN=w7x64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan
     UCS DN: cn=w7x64,cn=client-pc,cn=computers,dc=hermandung,dc=lan

[/code]
was in connector-s4.log so aussah:

20.01.2017 21:54:17,937 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1484928627.558717 20.01.2017 21:54:17,943 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 21:54:17,944 LDAP (PROCESS): Unable to sync cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan (GUID: 25a61ead-024c-4b71-a09d-f5803910dff8). The object is currently locked. 20.01.2017 21:54:18,82 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1484928628.388085 20.01.2017 21:54:18,87 LDAP (PROCESS): sync from ucs: [windowscomputer] [ modify] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 21:54:18,88 LDAP (PROCESS): Unable to sync cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan (GUID: 25a61ead-024c-4b71-a09d-f5803910dff8). The object is currently locked. 20.01.2017 21:54:18,216 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1484943118.451673 20.01.2017 21:54:18,221 LDAP (PROCESS): sync from ucs: [windowscomputer] [ delete] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 21:54:18,222 LDAP (PROCESS): Unable to sync cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan (GUID: 25a61ead-024c-4b71-a09d-f5803910dff8). The object is currently locked. 20.01.2017 21:54:18,358 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1484943180.968649 20.01.2017 21:54:18,364 LDAP (PROCESS): sync from ucs: [windowscomputer] [ add] cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan 20.01.2017 21:54:18,365 LDAP (PROCESS): Unable to sync cn=w7x64,cn=client-pc,cn=computers,DC=hermandung,DC=lan (GUID: 25a61ead-024c-4b71-a09d-f5803910dff8). The object is currently locked. 20.01.2017 21:54:18,500 LDAP (PROCESS): sync to ucs: Resync rejected dn: CN=w7x64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan 20.01.2017 21:54:18,508 LDAP (PROCESS): sync to ucs: [windowscomputer] [ modify] cn=w7x64,cn=client-pc,cn=computers,dc=hermandung,dc=lan 20.01.2017 21:54:18,668 LDAP (PROCESS): con_check_rename: Renaming client from w7x64 to W7X64 20.01.2017 21:54:18,673 LDAP (ERROR ): failed in post_con_modify_functions 20.01.2017 21:54:18,673 LDAP (ERROR ): Traceback (most recent call last):

univention-s4search -b “cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan” und
univention-ldapsearch -b “cn=w7x64,cn=Client-PC,cn=computers,dc=hermandung,dc=lan” zeigten beide das gleiche Objekt.

Ich habe das so verstanden:
UCS versucht vier Syncs an Samba zu schicken, was aber scheitert, weil das betroffene Objekt gesperrt ist (The object is currently locked.).
Gesperrt ist es, weil Samba wiederum versucht, das gleiche Objekt zu UCS zu syncen, was aber auch scheitert.
Es sieht so aus, dass Samba das Objekt umbenennen will (Renaming client from w7x64 to W7X64), womit UCS nichts anfangen kann (vielleicht weil UCS zwischen Groß- und Kleinschreibung keinen Unterschied sieht?)
Also musste nur der S4 reject weg: ldbdel -H /var/lib/samba/private/sam.ldb CN=w7x64,CN=Client-PC,CN=Computers,DC=hermandung,DC=lan
Et voila: Erst hat sich der S4-Reject aufgelöst und kurz darauf konnte dann auch UCS syncen, da das Objekt dann nicht mehr gesperrt war.

Alle Rejects sind weg und das Wochenende ist gerettet!