Status S4CONNECTOR in Nagios:Could not connect to samba serv

german

#1

Hallo zusammen,

nach einem Update auf UCS 4.1-2 errata176 von 4.1.1 bekomme ich in Nagios folgende Meldung zum S4Connector angezeigt:
"S4CONNECTOR CRITICAL: Could not connect to samba server! "

Nach Überprüfung von Samba und auch LDAP konnte ich keinen Fehler feststellen, auch die Fehler Logs sind entsprechend leer. Alle Sambafreigabe des Servers sind einwandfrei zu erreichen und auch der Windows DC der darauf läuft funktioniert soweit.

Mir fehlen im Moment die Anhaltspunkte wo ich weiter nach dem Ursprung der Fehlermeldung suchen kann ?

Viele Grüße,
Ludwig


#2

Hallo,

die Fehlermeldung passt zu der Stelle im Nagios-Check wo im Samba/AD nach “cn=users” gesucht wird. Das sollte mindestens die Builtin-Gruppe “CN=Users,CN=Builtin,DC=EXAMPLE,DC=ORG” zurückgeben, im Regelfall auch noch den Container “CN=Users,DC=EXAMPLE,DC=ORG”. Wenn diese Abfrage nicht funktioniert, kommt die genannte Fehlermeldung. Ich vermute mal es gibt drei Möglichkeiten:

  1. univention-s4search hat ein Problem. Können Sie einmal “univention-s4search cn=users cn=users” ausführen und die Ausgabe hier ranschreiben?
  2. Samba läuft doch nicht (Prüfen mit “ps auxf | grep [s]amba”)
  3. Es gibt bei Ihnen weder “CN=Users,DC=EXAMPLE,DC=ORG” noch “CN=Users,CN=Builtin,DC=EXAMPLE,DC=ORG” - wurde hier evtl. mal ein AD-Takeover gemacht?

Die genaue UCS-Version wäre auch noch interessant (“ucr search --brief ^version”)

Schönen Gruß,
Michael Grandjean


#3

Hallo,

Entschuldigung für die späte Rückmeldung.

Ausgabe von “univention-s4search cn=users cn=users” ist:

Failed to connect to ldap URL 'ldaps://server.intern.domain.com' - LDAP client internal error: NT_STATUS_CONNECTION_DISCONNECTED Failed to connect to 'ldaps://server.intern.domain.com' with backend 'ldaps': (null) Failed to connect to ldaps://server.intern.domain.com - (null)

Trotzdem meldet weder die Fehlerdiagnose in der Management Console einen Fehler bei Prüfung noch gibt es Problem bei der LDAP Anmeldung von Clients…

UCS Version ist:
version/erratalevel: 176
version/patchlevel: 2
version/releasename: Vahr
version/version: 4.1

Grüße,
Ludwig


#4

Hallo zusammen,

ich bin mit dem Thema leider noch keine Schritt weiter gekommen.
Auch ein Re-Provisionieren von Samba4 brachte keine Änderung. (sdb.univention.de/content/6/274/ … aster.html)

Beide S4 logs zeigen keinen Fehler.

Viele Grüße,
Ludwig


#5

Moin,

es ist möglich, dass es ein Problem mit Kerberos ist. Bitte posten Sie mal die Ausgabe der folgenden Sachen:

[ol][li]Vorhandene Kerberos-Principals in der System-Tabelle:

ktutil --keytab=/etc/krb5.keytab list

[/li]
[li]Vorhandene Kerberos-Principals in der Samba-Kerberos-Tabelle:

samba-tool domain exportkeytab /tmp/samba-keys ktutil --keytab=/tmp/samba-keys list rm /tmp/samba-keys[/li][/ol]

Weiterhin wäre ein Logfile von Samba mit hohem Loglevel interessant, während versucht wird, auf das Samba-LDAP zuzugreifen. Dazu:

ucr set samba/debug/level=10 service samba-ad-dc restart univention-s4search

Anschließend die relevanten Logs aus »/var/log/samba« hier anhängen. Sinnvollerweise das Debug-Level anschließend wieder zurück stellen und Samba erneut neu starten; andernfalls werden die Logs schnell riesig.

Gruß,
mosu


#6

Hallo mosu,

die beiden Ausgaben:

krb5.keytab

/etc/krb5.keytab:

Vno  Type                     Principal                                     Aliases
  1  des-cbc-crc              HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  des-cbc-crc              HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  des-cbc-crc              UCSDC$@INTERN.DOMAIN.COM                       
  1  des-cbc-md5              HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  des-cbc-md5              HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  des-cbc-md5              UCSDC$@INTERN.DOMAIN.COM                       
  1  arcfour-hmac-md5         HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  arcfour-hmac-md5         HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  arcfour-hmac-md5         UCSDC$@INTERN.DOMAIN.COM                       
  1  aes128-cts-hmac-sha1-96  HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  aes128-cts-hmac-sha1-96  HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes128-cts-hmac-sha1-96  UCSDC$@INTERN.DOMAIN.COM                       
  1  aes256-cts-hmac-sha1-96  HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  aes256-cts-hmac-sha1-96  HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes256-cts-hmac-sha1-96  UCSDC$@INTERN.DOMAIN.COM                       
  1  des-cbc-crc              HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  des-cbc-crc              host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  des-cbc-crc              ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  des-cbc-crc              UCSDC$@INTERN.DOMAIN.COM                       
  1  des-cbc-md5              HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  des-cbc-md5              HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  des-cbc-md5              host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM                                                                                                                                              
  1  des-cbc-md5              ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM                                                                                                                                              
  1  des-cbc-md5              UCSDC$@INTERN.DOMAIN.COM                                                                                                                                                                   
  1  arcfour-hmac-md5         HOST/ucsDC@INTERN.DOMAIN.COM                                                                                                                                                               
  1  arcfour-hmac-md5         HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM                                                                                                                                              
  1  arcfour-hmac-md5         host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  arcfour-hmac-md5         ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  arcfour-hmac-md5         UCSDC$@INTERN.DOMAIN.COM                       
  1  aes128-cts-hmac-sha1-96  HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  aes128-cts-hmac-sha1-96  HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes128-cts-hmac-sha1-96  host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes128-cts-hmac-sha1-96  ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes128-cts-hmac-sha1-96  UCSDC$@INTERN.DOMAIN.COM                       
  1  aes256-cts-hmac-sha1-96  HOST/ucsDC@INTERN.DOMAIN.COM                   
  1  aes256-cts-hmac-sha1-96  HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes256-cts-hmac-sha1-96  host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes256-cts-hmac-sha1-96  ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  1  aes256-cts-hmac-sha1-96  UCSDC$@INTERN.DOMAIN.COM                       
  2  des-cbc-crc              HOST/ucsDC@INTERN.DOMAIN.COM                   
  2  des-cbc-crc              HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  des-cbc-crc              host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  des-cbc-crc              ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  des-cbc-crc              UCSDC$@INTERN.DOMAIN.COM                       
  2  des-cbc-md5              HOST/ucsDC@INTERN.DOMAIN.COM                   
  2  des-cbc-md5              HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  des-cbc-md5              host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  des-cbc-md5              ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  des-cbc-md5              UCSDC$@INTERN.DOMAIN.COM                       
  2  arcfour-hmac-md5         HOST/ucsDC@INTERN.DOMAIN.COM                   
  2  arcfour-hmac-md5         HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  arcfour-hmac-md5         host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  arcfour-hmac-md5         ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  arcfour-hmac-md5         UCSDC$@INTERN.DOMAIN.COM                       
  2  aes128-cts-hmac-sha1-96  HOST/ucsDC@INTERN.DOMAIN.COM                   
  2  aes128-cts-hmac-sha1-96  HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  aes128-cts-hmac-sha1-96  host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  aes128-cts-hmac-sha1-96  ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  aes128-cts-hmac-sha1-96  UCSDC$@INTERN.DOMAIN.COM                       
  2  aes256-cts-hmac-sha1-96  HOST/ucsDC@INTERN.DOMAIN.COM                   
  2  aes256-cts-hmac-sha1-96  HOST/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  aes256-cts-hmac-sha1-96  host/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  aes256-cts-hmac-sha1-96  ldap/ucsDC.intern.domain.com@INTERN.DOMAIN.COM  
  2  aes256-cts-hmac-sha1-96  UCSDC$@INTERN.DOMAIN.COM 

samba-keys:

[code]/tmp/samba-keys:

Vno Type Principal Aliases
2 arcfour-hmac-md5 UCSDC$@INTERN.DOMAIN.COM
2 aes256-cts-hmac-sha1-96 UCSDC$@INTERN.DOMAIN.COM
2 aes128-cts-hmac-sha1-96 UCSDC$@INTERN.DOMAIN.COM
2 des-cbc-md5 UCSDC$@INTERN.DOMAIN.COM
2 des-cbc-crc UCSDC$@INTERN.DOMAIN.COM
3 arcfour-hmac-md5 Administrator@INTERN.DOMAIN.COM
3 aes256-cts-hmac-sha1-96 Administrator@INTERN.DOMAIN.COM
3 aes128-cts-hmac-sha1-96 Administrator@INTERN.DOMAIN.COM
3 des-cbc-md5 Administrator@INTERN.DOMAIN.COM
3 des-cbc-crc Administrator@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 ucsBackup$@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 ucsBackup$@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 ucsBackup$@INTERN.DOMAIN.COM
1 des-cbc-md5 ucsBackup$@INTERN.DOMAIN.COM
1 des-cbc-crc ucsBackup$@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 join-backup@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 join-backup@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 join-backup@INTERN.DOMAIN.COM
1 des-cbc-md5 join-backup@INTERN.DOMAIN.COM
1 des-cbc-crc join-backup@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 join-slave@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 join-slave@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 join-slave@INTERN.DOMAIN.COM
1 des-cbc-md5 join-slave@INTERN.DOMAIN.COM
1 des-cbc-crc join-slave@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 dns-ucsdc@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 dns-ucsdc@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 dns-ucsdc@INTERN.DOMAIN.COM
1 des-cbc-md5 dns-ucsdc@INTERN.DOMAIN.COM
1 des-cbc-crc dns-ucsdc@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 user1@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 user1@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 user1@INTERN.DOMAIN.COM
1 des-cbc-md5 user1@INTERN.DOMAIN.COM
1 des-cbc-crc user1@INTERN.DOMAIN.COM
3 arcfour-hmac-md5 krbtgt@INTERN.DOMAIN.COM
3 aes256-cts-hmac-sha1-96 krbtgt@INTERN.DOMAIN.COM
3 aes128-cts-hmac-sha1-96 krbtgt@INTERN.DOMAIN.COM
3 des-cbc-md5 krbtgt@INTERN.DOMAIN.COM
3 des-cbc-crc krbtgt@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 user2@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 user2@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 user2@INTERN.DOMAIN.COM
1 des-cbc-md5 user2@INTERN.DOMAIN.COM
1 des-cbc-crc user2@INTERN.DOMAIN.COM
1 arcfour-hmac-md5 Guest@INTERN.DOMAIN.COM
1 aes256-cts-hmac-sha1-96 Guest@INTERN.DOMAIN.COM
1 aes128-cts-hmac-sha1-96 Guest@INTERN.DOMAIN.COM
1 des-cbc-md5 Guest@INTERN.DOMAIN.COM
1 des-cbc-crc Guest@INTERN.DOMAIN.COM
[/code]

Auch log Level 10 bei Samba ergab im samba.log auch nur positiv Ausgaben in der Form:

[code][2016/06/08 18:38:15.835798, 10, pid=6379, effective(0, 0), real(0, 0)] …/source4/ldap_server/ldap_backend.c:704(ldapsrv_SearchRequest)
SearchRequest: results: [0]
[2016/06/08 18:38:15.835957, 10, pid=6379, effective(0, 0), real(0, 0)] …/source4/ldap_server/ldap_backend.c:525(ldapsrv_SearchRequest)
SearchRequest basedn: DC=DomainDnsZones,DC=intern,DC=domain,DC=com filter: (uSNCreated>=3809)
[2016/06/08 18:38:15.835973, 10, pid=6379, effective(0, 0), real(0, 0)] …/source4/ldap_server/ldap_backend.c:535(ldapsrv_SearchRequest)
SearchRequest: basedn: [DC=DomainDnsZones,DC=intern,DC=domain,DC=com]
[2016/06/08 18:38:15.835980, 10, pid=6379, effective(0, 0), real(0, 0)] …/source4/ldap_server/ldap_backend.c:536(ldapsrv_SearchRequest)
SearchRequest: filter: [(uSNCreated>=3809)]
[2016/06/08 18:38:15.835987, 10, pid=6379, effective(0, 0), real(0, 0)] …/source4/ldap_server/ldap_backend.c:562(ldapsrv_SearchRequest)
SearchRequest: scope: [SUB]
[2016/06/08 18:38:15.835994, 5, pid=6379, effective(0, 0), real(0, 0)] …/source4/ldap_server/ldap_backend.c:576(ldapsrv_SearchRequest)
ldb_request SUB dn=DC=DomainDnsZones,DC=intern,DC=domain,DC=com filter=(uSNCreated>=3809)
[2016/06/08 18:38:15.836015, 10, pid=6379, effective(0, 0), real(0, 0), class=ldb] …/lib/ldb-samba/ldb_wrap.c:72(ldb_wrap_debug)
ldb: ldb_trace_request: SEARCH
dn: DC=DomainDnsZones,DC=intern,DC=domain,DC=com
scope: sub
expr: (uSNCreated>=3809)
attr:
control: 1.2.840.113556.1.4.319 crit:1 data:yes
control: 1.2.840.113556.1.4.1339 crit:0 data:no
control: 1.2.840.113556.1.4.417 crit:1 data:no
control: 1.3.6.1.4.1.7165.4.3.17 crit:0 data:no

[2016/06/08 18:38:15.836038, 10, pid=6379, effective(0, 0), real(0, 0), class=ldb] …/lib/ldb-samba/ldb_wrap.c:72(ldb_wrap_debug)
ldb: ldb_trace_request: (resolve_oids)->search

[…]

ldb: ldb_trace_next_request: (tdb)->search
[2016/06/08 18:38:15.837833, 10, pid=6379, effective(0, 0), real(0, 0), class=ldb] …/lib/ldb-samba/ldb_wrap.c:72(ldb_wrap_debug)
ldb: ldb_trace_response: DONE
error: 0
[/code]

Grüße,
Ludwig


#7

Moin,

danke. Da sehe ich noch nichts, was mich auf die richtige Spur führt. Daher bitte noch ein paar mehr Tests und Infos:

[ol][li]Die Ausgabe von

ucr search --brief kerberos

[li]Versuchen, ein Kerberos-Ticket für den User »administrator« zu erzeugen:

kinit administrator@$(ucr get kerberos/realm) klist kdestroy[/li]
[li]Versuchen, ein Kerberos-Ticket für den Maschinen-Account des UCS DC Master zu erzeugen (das hier muss auf dem DC Master selber ausgeführt werden):

kinit --password-file=/etc/machine.secret $(hostname)\$@$(ucr get kerberos/realm) klist kdestroy[/li][/ol]

Danke sehr.

LG,
mosu


#8

Hallo,

hier die entsprechenden Ausgaben:

ucr search --brief kerberos

ucr search --brief kerberos kerberos/adminserver: ucsdc.intern.domain.com kerberos/adminusers: <empty> kerberos/afscell: <empty> kerberos/allow/weak/crypto: <empty> kerberos/autostart: no kerberos/defaults/debug: <empty> kerberos/defaults/dns_lookup_kdc: <empty> kerberos/defaults/dns_lookup_realm: <empty> kerberos/defaults/enctypes/permitted: <empty> kerberos/defaults/enctypes/tgs: <empty> kerberos/defaults/enctypes/tkt: <empty> kerberos/defaults/forwardable: <empty> kerberos/defaults/kdc_timesync: <empty> kerberos/defaults/proxiable: <empty> kerberos/domain_realms: <empty> kerberos/kadmin/default/keys: <empty> kerberos/kdc: 127.0.0.1 kerberos/kpasswdserver: 127.0.0.1 kerberos/password/quality/check: yes kerberos/realm: INTERN.DOMAIN.COM

[code]klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: administrator@INTERN.DOMAIN.COM

Issued Expires Principal
Jun 9 18:28:37 2016 Jun 10 04:28:32 2016 krbtgt/INTERN.DOMAIN.COM@INTERN.DOMAIN.COM[/code]

[code]klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ucsdc$@INTERN.DOMAIN.COM

Issued Expires Principal
Jun 9 18:29:20 2016 Jun 10 04:29:20 2016 krbtgt/INTERN.DOMAIN.COM@INTERN.DOMAIN.COM[/code]

Hat also augenscheinlich auch geklappt.

Grüße,
Ludwig


#9

Moin,

hmm, das war’s dann mit meinen Ideen, wo das Problem liegen könnte, vor allem da ja auch das Neuprovisionieren nicht geholfen hat. Ich fürchte, dass damit das Ende der Fahnenstange für den kostenlosen Support hier im Forum erreicht ist. Weiteres erfordert vermutlich deutlich aufwändigere Analysen (Loglevel diverser Komponenten hochdrehen, Logdateien analysieren, mit strace nachvollziehen, was Samba-seitig in dem Moment passiert etc.).

Gruß,
mosu


#10

Morgen,

für mich stellt sich das Ganze auch als ein großes Rätsel dar, denn ich habe mir vergangene Woche noch kurz die Mühe gemacht und die virtuelle Maschine geklont und die Active Directory Unterstützung samt Samba/S4 über das App Center deinstalliert.
Anschließend nach Neustart über App Center wieder installiert -> exakt gleiches Problem. Laut univention log files ist die Installation aber problemlos durchgelaufen.

Trotzdem vielen Dank für die Unterstützung bei der Analyse und die Geduld.

Grüße,
Ludwig