samba.NTSTATUSError: (3221225581, 'The attempted logon is invalid. This is either due to a bad username or authentication information.')

Allyfied · December 21, 2023, 11:41am

Hi,
after a complete restore followin that guide Univention Wiki has been deactivated and is offline

the system is still a bit out of range.
Systemdiagnosis:

Problem: Überprüfe den Samba Replikationsstatus:
Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/samba/drs_utils.py", line 68, in drsuapi_connect
    drsuapiBind = drsuapi.drsuapi(binding_string, lp, creds)
samba.NTSTATUSError: (3221225581, 'The attempted logon is invalid. This is either due to a bad username or authentication information.')

During handling of the above exception, another exception occurred:

Traceback (most recent call last):
  File "/usr/lib/python3/dist-packages/univention/management/console/modules/diagnostic/__init__.py", line 277, in execute
    ret = execute(umc_module, **kwargs)
  File "/usr/lib/python3/dist-packages/univention/management/console/modules/diagnostic/plugins/41_samba_tool_showrepl.py", line 149, in run
    drs = DRSUAPI()
  File "/usr/lib/python3/dist-packages/univention/management/console/modules/diagnostic/plugins/41_samba_tool_showrepl.py", line 64, in __init__
    drs_tuple = drs_utils.drsuapi_connect(self.server, self.load_param, self.credentials)
  File "/usr/lib/python3/dist-packages/samba/drs_utils.py", line 71, in drsuapi_connect
    raise drsException("DRS connection to %s failed: %s" % (server, e))
samba.drs_utils.drsException: drsException: DRS connection to tuxserver.burglenzen.local failed: (3221225581, 'The attempted logon is invalid. This is either due to a bad username or authentication information.') "

I further follwed this guide: Problem: Unable to (re-)join: 03univention-directory-listener.inst failed
what does not solve the problem.

Using the commands here Problem: Join Gives Error or Users Can Not Login Sometimes or Join Fails
result in

root@tuxserver:~# univention-s4search CN=MicrosoftDNS --cross-ncs dn | grep -i "cn=system"
Wrong username or password: kinit for tuxserver$@BURGLENZEN.LOCAL failed (Client not found in Kerberos database)

Failed to bind - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 54e, v1db1> <>
Failed to connect to 'ldaps://tuxserver.burglenzen.local' with backend 'ldaps': LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 54e, v1db1> <>
Failed to connect to ldaps://tuxserver.burglenzen.local - LDAP error 49 LDAP_INVALID_CREDENTIALS -  <8009030C: LdapErr: DSID-0C0904DC, comment: AcceptSecurityContext error, data 54e, v1db1> <>

Which user is used for samba replication?
Yes, DNS is ok. Ich bin mit meinem Latain restlos am Ende…

Allyfied · December 21, 2023, 6:02pm

So, ich schreibe mal auf Deutsch weiter.
Das Logon, dass die Samba Replikation in der Systemdiagnose anmeckert, müsste doch auf eine bestimmte Secret-Datei zurückgehen?
Wenn ich aber

cp /mnt/backup/etc/backup-join.secret /etc/
cp /mnt/backup/etc/idp-ldap-user.secret /etc/
cp /mnt/backup/etc/ldap-backup.secret /etc/
cp /mnt/backup/etc/ldap.secret /etc/
cp /mnt/backup/etc/libnss-ldap.secret /etc/
cp /mnt/backup/etc/listfilter.secret /etc/
cp /mnt/backup/etc/machine.secret /etc/
cp /mnt/backup/etc/pam_ldap.secret /etc/
cp /mnt/backup/etc/slave-join.secret /etc/

alle Dateien vom Backup ins System kopiert habe, muss der Logon doch funktionieren?! Oder gibt es noch weitere secret-Dateien, die speziell von Samba benöigt werden?

Mittlerweile sitze ich zwei, drei Nächte an diesem Server. Ich habe Angst, wenn ich ihn mit einem Rettungssystem hochfahre und alle Verzeichnisse aus dem Backup auf den Server kopiere, dann gar nichts mehr geht.

Und bitte @univention: Die Anleitungen/Beiträge in diesem Forum sind teilweise steinalt, teilweise fehlerhaft und unvollständig. Nehmt Euch doch bitte mal ein Beispiel am Wiki ubuntuusers.

MiracErde · December 21, 2023, 9:52pm

Hi Allyfied,

vielleicht hilft dir dieser Artikel bei dem Fehler.

Allyfied · December 22, 2023, 6:13am

Guten Morgen,
danke für den Link.

root@tuxserver:~# ktutil -k /etc/krb5.keytab list
/etc/krb5.keytab:

Vno  Type                     Principal                                         Aliases
 78  aes256-cts-hmac-sha1-96  HOST/tuxserver@BURGLENZEN.LOCAL                   
 78  aes256-cts-hmac-sha1-96  HOST/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  aes256-cts-hmac-sha1-96  host/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  aes256-cts-hmac-sha1-96  ldap/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  aes256-cts-hmac-sha1-96  TUXSERVER$@BURGLENZEN.LOCAL                       
 78  aes128-cts-hmac-sha1-96  HOST/tuxserver@BURGLENZEN.LOCAL                   
 78  aes128-cts-hmac-sha1-96  HOST/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  aes128-cts-hmac-sha1-96  host/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  aes128-cts-hmac-sha1-96  ldap/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  aes128-cts-hmac-sha1-96  TUXSERVER$@BURGLENZEN.LOCAL                       
 78  arcfour-hmac-md5         HOST/tuxserver@BURGLENZEN.LOCAL                   
 78  arcfour-hmac-md5         HOST/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  arcfour-hmac-md5         host/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  arcfour-hmac-md5         ldap/tuxserver.burglenzen.local@BURGLENZEN.LOCAL  
 78  arcfour-hmac-md5         TUXSERVER$@BURGLENZEN.LOCAL

mich wundert bei der Ausgabe die Einträge tuxserver.burglenzen.local@burglenzen.local. Sollte nicht nur tuxserver dort stehen?

Der Vergleich:

root@tuxserver:~# ldbsearch -H /var/lib/samba/private/secrets.ldb 'samAccountName=tuxserver$' secret msDS-KeyVersionNumber | ldapsearch-wrapper
# record 1
dn: flatname=BURGLENZEN,cn=Primary Domains
secret: *************************
msDS-KeyVersionNumber: 78

# returned 1 records
# 1 entries
# 0 referrals
root@tuxserver:~# ldbsearch -H /var/lib/samba/private/sam.ldb 'samAccountName=tuxserver$' secret msDS-KeyVersionNumber | ldapsearch-wrapper
No encrypted secrets key file. Secret attributes will not be encrypted or decrypted

# record 1
dn: CN=TUXSERVER,OU=Domain Controllers,DC=burglenzen,DC=local
msDS-KeyVersionNumber: 78

# Referral
ref: ldap://burglenzen.local/CN=Configuration,DC=burglenzen,DC=local

# Referral
ref: ldap://burglenzen.local/DC=DomainDnsZones,DC=burglenzen,DC=local

# Referral
ref: ldap://burglenzen.local/DC=ForestDnsZones,DC=burglenzen,DC=local

# returned 4 records
# 1 entries
# 3 referrals

Ich werde den Server heute Nachmittag noch einmal neu installieren und den Restore nach der o.g. Anleitung vornehmen.

MiracErde · December 22, 2023, 6:59am

Guten Morgen Allyfied,

welchen KnowledgeBase Artikel meinst du um einen Restore auf dem Replica durchzuführen?
Warum möchtest du überhaupt einen restore am frisch installierten Replica durchführen?

Viele Grüße
Mirac

Allyfied · December 22, 2023, 12:15pm

Hallo,
ich meine diesen Artikel: Backup und Wiederherstellung eines UCS-Systems

Die Vorgeschichte des Servers kenne ich nicht genau. Jemand hat versucht ein abgelaufenes Zertifikat zu erneuern und was auch immer dafür gemacht. Nach einem Neustart des Servers war kein Login mehr möglich.
Nach dem Zurücksichern der LDAP-Daten usw. trat der o.g. Zustand ein.

Jetzt lasse ich gerade noch einmal das /home kopieren und anschließend setze ich den Server neu auf.