Moin Moin,
derzeit schlage ich mich wieder einmal mit einem DC-Backup herum, der nicht als Fallback-Anmeldeserver funktionieren will.
Bei irgendeinem Update muss es wohl Samba uf dem DC-BU zerschossen haben und er taucht nicht unter Netzwerk bei den Win7-Clients auf.
Über den Browser und über SSH ist er ansprechbar. /var/log/samba/ ist leer.
Parallel dazu gibt Nagios folgende Warnung für den DC-Master aus:
UNIVENTION_S4CONNECTOR
WARNING 2018-09-24 12:40:22 145d 17h 40m 3s 10/10 S4CONNECTOR WARNING: Found 1 reject(s)! Please check output of univention-s4connector-list-rejected.
Dort steht:
UCS rejected
1: UCS DN: uid=krbtgt,cn=users,dc=hipsy,dc=intranet
S4 DN: cn=krbtgt,cn=users,DC=hipsy,DC=intranet
Filename: /var/lib/univention-connector/s4/1524079606.261122
S4 rejected
last synced USN: 38876
Gibt es einen Zusammenhang zwischen diesem Fehler und dem Veschwinden von Samba auf dem DC-BU (kenne die Funktion von krbtgt nicht)?
Das connector-s4.log sagt:
24.09.2018 19:24:00,558 LDAP (PROCESS): sync from ucs: Resync rejected file: /var/lib/univention-connector/s4/1524079606.261122
24.09.2018 19:24:00,563 LDAP (PROCESS): sync from ucs: [ user] [ delete] cn=krbtgt,cn=users,DC=hipsy,DC=intranet
24.09.2018 19:24:00,632 LDAP (WARNING): sync failed, saved as rejected
/var/lib/univention-connector/s4/1524079606.261122
24.09.2018 19:24:00,632 LDAP (WARNING): Traceback (most recent call last):
File "/usr/lib/pymodules/python2.7/univention/s4connector/__init__.py", line 898, in __sync_file_from_ucs
if ((old_dn and not self.sync_from_ucs(key, mapped_object, pre_mapped_ucs_dn, unicode(old_dn, 'utf8'), old, new)) or (not old_dn and not self.sync_from_ucs(key, mapped_object, pre_mapped_ucs_dn, old_dn, old, new))):
File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 2754, in sync_from_ucs
self.delete_in_s4(object, property_type)
File "/usr/lib/pymodules/python2.7/univention/s4connector/s4/__init__.py", line 2783, in delete_in_s4
self.lo_s4.lo.delete_s(compatible_modstring(object['dn']))
File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 333, in delete_s
return self.delete_ext_s(dn,None,None)
File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 326, in delete_ext_s
resp_type, resp_data, resp_msgid, resp_ctrls = self.result3(msgid,all=1,timeout=self.timeout)
File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 514, in result3
resp_ctrl_classes=resp_ctrl_classes
File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 521, in result4
ldap_result = self._ldap_call(self._l.result4,msgid,all,timeout,add_ctrls,add_intermediates,add_extop)
File "/usr/lib/python2.7/dist-packages/ldap/ldapobject.py", line 106, in _ldap_call
result = func(*args,**kwargs)
OTHER: {'info': 'error in module samldb: Other during LDB_DELETE (80)', 'desc': 'Other (e.g., implementation specific) error'}
Soviel zum Master-DC.
Auf dem Backup ergibt die Eingabe von samba-tool drs showrepl Folgendes:
root@hipsctrl-3:~# samba-tool drs showrepl
ldb: unable to stat module /usr/lib/x86_64-linux-gnu/samba/ldb : No such file or directory
ERROR(<class 'samba.drs_utils.drsException'>): DRS connection to hipsctrl-3. failed - drsException: DRS connection to hipsctrl-3. failed: (-1073741772, 'The object name is not found.')
File "/usr/lib/python2.7/dist-packages/samba/netcmd/drs.py", line 44, in drsuapi_connect
(ctx.drsuapi, ctx.drsuapi_handle, ctx.bind_supported_extensions) = drs_utils.drsuapi_connect(ctx.server, ctx.lp, ctx.creds)
File "/usr/lib/python2.7/dist-packages/samba/drs_utils.py", line 56, in drsuapi_connect
raise drsException("DRS connection to %s failed: %s" % (server, e))
Da meine Analyse- und Reparatur-Fähigkeiten begrenzt sind, erwog ich, den DC-BU komplett aus der Domäne zu entfernen und einen neuen aufzusetzen. Ist das sinnvoll, oder erzeuge ich damit eher neue Probleme? Besser stattdessen Samba auf dem BakupDC neu installieren?
Diese Anleitung zum Entfernen
https://docs.software-univention.de/windows-4.1.html#ext-win-s4-uninstall
habe ich gefunden.
Das klingt, als müsse lediglich das besagte Skript auf dem DC-BU aufgerufen und hinterher noch das 97univention-s4-connector Script auf dem Master ausgeführt werden. Hat denn das S4-purge-Skript, wenn es auf dem DC-BU ausgeführt wird, Auswirkungen auf den Master?
Kann ich danach einfach den DC-BU aus dem Rechner-Container bzw. dem LDAP-Verzeichnis löschen und ihn abschalten?
Fragen über Fragen …
Vielen Dank schon mal
Bernhard