System-Fehlerdiagnose Überprüfe Kerberos authentifizierte DNS Updates[gelöst]

german

#1

Ich bekomme heute zusätzlich die Meldung “Kritisch: Überprüfe Kerberos authentifizierte DNS Updates”

Fehler traten auf bei der Ausführung von kinit oder nsupdate.
nsupdate Prüfung für die Domänne beka.lan ist fehlgeschlagen.
nsupdate Prüfung für die Domänne beka.lan ist fehlgeschlagen.

Werden die Fehler irgendwo detailierter gespeichert ?
In den Logs habe ich keine Fehler gefunden. Es klappt auch alles.
Ich würde das nur gerne vor dem Update auf 4.2-3 beseitigen.
Danke
Rainer


S4 Connector issue [solved]
S4 Connector issue [solved]
#2

Moin,

tritt das Problem auf dem DC Master oder einem anderen Server auf?

Zeigen Sie bitte die Ausgabe des folgenden Befehls auf dem betroffenen Server:

kinit --password-file=/etc/machine.secret $(hostname)\$@$(ucr get kerberos/realm)

Gruß
mosu


#3

Guten Morgen,

Es gibt nur einen Server .
Das Kommando liefert keine Ausgabe / Fehler.
“ucr get kerberos/realm” und “echo $(hostname)” liefern korrekte Ergebnisse.
Kinit ohne Argument erfragt das Passwort des Servers.
Danke für die Hilfe.


#4

Moin,

wenn kinit keinen Fehler zeigt, zeigt dann ein anschließendes klist ein gültiges Kerberos-Ticket für den Host?

Gruß
mosu


#5

Ja das funktioniert:

root@ucs-1:~# kinit --password-file=/etc/machine.secret $(hostname)\$@$(ucr get kerberos/realm)
root@ucs-1:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ucs-1$@BEKA.LAN

  Issued                Expires               Principal
Dec 11 11:30:51 2017  Dec 11 21:30:51 2017  krbtgt/BEKA.LAN@BEKA.LAN

Das Probem scheint aber doch laut Fehlermeldung (siehe ganz oben) eher bei nsupdate zu liegen oder ?


#6

Moin,

jein, das ist eine Kombi-Fehlermeldung, die verschiedene Ursachen haben kann. Die häufigere Ursache scheint mir bisher zu sein, dass das Passwort in /etc/machine.secret nicht mehr zum Maschinenaccount passt. Daher der Test mit kinit.

Für dein jetziges Problem habe ich bisher leider noch keine Idee, wie das zu fixen ist.

Gruß
mosu


#7

Hi,

was tut man denn, wenn der slave dabei ne Fehlermeldung wirft?

root@slave:~# kinit --password-file=/etc/machine.secret $(hostname)\$@$(ucr get kerberos/realm)
kinit: krb5_get_init_creds: Client (slave$@MEIN.REALM) unknown

Wie bekommt man den Maschinenaccount wieder synchron?

Grüße
/thorsten Strusch

Edit:
Das Kennwort aus /etc/machine.secret habe ich genommen und in der UMC am Objekt als Kennwort gesetzt. Daraufhin wurde auch die /etc/krb5.keytab neu geschrieben. Aber der o.g. kinit Befehl schlägt noch immer fehl.


#8

@ Thorsten Strusch Bei dem Problem gibt es doch sicher eine anders lautende Fehlermeldung sowie einen unterschiedlichen Aufbau.
Daher bitte einen eigenen Thread aufmachen. Danke.

Ich habe mal weiter gesucht und folgenden Test gemacht :

samba_dnsupdate --verbose --all-names

UCS1 :

27 DNS updates and 0 DNS deletes needed
Successfully obtained Kerberos ticket to DNS/ucs-1.beka.lan as UCS-1$
update(nsupdate): A ucs-1.beka.lan 192.168.99.1
Calling nsupdate for A ucs-1.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
ucs-1.beka.lan.         900     IN      A       192.168.99.1

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1

Bei einem 2. Test Server, der allerdings noch keine Clients hat, tritt der Fehler nicht auf .


#9

@RainerB Bitte probieren Sie folgenden Workaround:

  1. Samba DNS Backend umstellen auf Samba Intern,
  2. Samba DNS Backend wieder zurück auf BIND stellen,
  3. Samba DNS aktualisieren

Die korrespondierenden Befehle lauten:

samba_upgradedns --dns-backend=SAMBA_INTERNAL
samba_upgradedns --dns-backend=BIND9_DLZ
samba_dnsupdate --verbose --all-names

Anschließend bitte den Systemdiagnose-Test erneut ausführen.

@ThorstenS Das ist ein ganz anderes Fehlerbild mit ganz anderern Ursachen. Können Sie bitte dafür ein eigenes Thema eröffnen? Danke.

Gruß
mosu


#10
 samba_upgradedns --dns-backend=SAMBA_INTERNAL
Reading domain information
Traceback (most recent call last):
  File "/usr/sbin/samba_upgradedns", line 262, in <module>
    paths, lp.configfile, lp)
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 334, in find_provision_key_parameters
    dns_admins_sid = get_dnsadmins_sid(samdb, names.domaindn)
  File "/usr/lib/python2.7/dist-packages/samba/provision/sambadns.py", line 69, in get_dnsadmins_sid
    attrs=["objectSid"])
_ldb.LdbError: (32, 'No such Base DN: CN=DnsAdmins,CN=Groups,DC=beka,DC=lan')

samba_upgradedns --dns-backend=BIND9_DLZ
Reading domain information
Traceback (most recent call last):
  File "/usr/sbin/samba_upgradedns", line 262, in <module>
    paths, lp.configfile, lp)
  File "/usr/lib/python2.7/dist-packages/samba/provision/__init__.py", line 334, in find_provision_key_parameters
    dns_admins_sid = get_dnsadmins_sid(samdb, names.domaindn)
  File "/usr/lib/python2.7/dist-packages/samba/provision/sambadns.py", line 69, in get_dnsadmins_sid
    attrs=["objectSid"])
_ldb.LdbError: (32, 'No such Base DN: CN=DnsAdmins,CN=Groups,DC=beka,DC=lan')

samba_dnsupdate --verbose --all-names
Exclude the following interfaces: docker0
Exclude the following IP addresses: ['172.17.42.1']
IPs: ['192.168.99.1']
force update: A ucs-1.beka.lan 192.168.99.1
force update: A beka.lan 192.168.99.1
force update: SRV _ldap._tcp.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan ucs-1.beka.lan 389
force update: SRV _kerberos._tcp.beka.lan ucs-1.beka.lan 88
force update: SRV _kerberos._udp.beka.lan ucs-1.beka.lan 88
force update: SRV _kerberos._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 88
force update: SRV _kpasswd._tcp.beka.lan ucs-1.beka.lan 464
force update: SRV _kpasswd._udp.beka.lan ucs-1.beka.lan 464
force update: CNAME 85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan ucs-1.beka.lan
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 389
force update: SRV _kerberos._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 88
force update: SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 88
force update: SRV _ldap._tcp.pdc._msdcs.beka.lan ucs-1.beka.lan 389
force update: A gc._msdcs.beka.lan 192.168.99.1
force update: SRV _gc._tcp.beka.lan ucs-1.beka.lan 3268
force update: SRV _ldap._tcp.gc._msdcs.beka.lan ucs-1.beka.lan 3268
force update: SRV _gc._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 3268
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan ucs-1.beka.lan 3268
force update: A DomainDnsZones.beka.lan 192.168.99.1
force update: SRV _ldap._tcp.DomainDnsZones.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan ucs-1.beka.lan 389
force update: A ForestDnsZones.beka.lan 192.168.99.1
force update: SRV _ldap._tcp.ForestDnsZones.beka.lan ucs-1.beka.lan 389
force update: SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan ucs-1.beka.lan 389
27 DNS updates and 0 DNS deletes needed
Successfully obtained Kerberos ticket to DNS/ucs-1.beka.lan as UCS-1$
update(nsupdate): A ucs-1.beka.lan 192.168.99.1
Calling nsupdate for A ucs-1.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
ucs-1.beka.lan.         900     IN      A       192.168.99.1

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A beka.lan 192.168.99.1
Calling nsupdate for A beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
beka.lan.               900     IN      A       192.168.99.1

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.beka.lan.    900     IN      SRV     0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.dc._msdcs.beka.lan. 900 IN   SRV     0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.812d008b-ed08-40ef-9a55-fe88948578a7.domains._msdcs.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.beka.lan. 900    IN      SRV     0 100 88 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._udp.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._udp.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._udp.beka.lan. 900    IN      SRV     0 100 88 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.dc._msdcs.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.dc._msdcs.beka.lan. 900 IN SRV   0 100 88 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kpasswd._tcp.beka.lan ucs-1.beka.lan 464
Calling nsupdate for SRV _kpasswd._tcp.beka.lan ucs-1.beka.lan 464 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kpasswd._tcp.beka.lan. 900     IN      SRV     0 100 464 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kpasswd._udp.beka.lan ucs-1.beka.lan 464
Calling nsupdate for SRV _kpasswd._udp.beka.lan ucs-1.beka.lan 464 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kpasswd._udp.beka.lan. 900     IN      SRV     0 100 464 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): CNAME 85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan ucs-1.beka.lan
Calling nsupdate for CNAME 85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan ucs-1.beka.lan (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
85915b8c-d791-4c1a-a12d-11740f894a0e._msdcs.beka.lan. 900 IN CNAME ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.Default-First-Site-Name._sites.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 88
Calling nsupdate for SRV _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan ucs-1.beka.lan 88 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.beka.lan. 900 IN SRV 0 100 88 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.pdc._msdcs.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.pdc._msdcs.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.pdc._msdcs.beka.lan. 900 IN  SRV     0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A gc._msdcs.beka.lan 192.168.99.1
Calling nsupdate for A gc._msdcs.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
gc._msdcs.beka.lan.     900     IN      A       192.168.99.1

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _gc._tcp.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _gc._tcp.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_gc._tcp.beka.lan.      900     IN      SRV     0 100 3268 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.gc._msdcs.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _ldap._tcp.gc._msdcs.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.gc._msdcs.beka.lan. 900 IN   SRV     0 100 3268 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _gc._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _gc._tcp.Default-First-Site-Name._sites.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_gc._tcp.Default-First-Site-Name._sites.beka.lan. 900 IN SRV 0 100 3268 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan ucs-1.beka.lan 3268
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan ucs-1.beka.lan 3268 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs.beka.lan. 900 IN SRV 0 100 3268 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A DomainDnsZones.beka.lan 192.168.99.1
Calling nsupdate for A DomainDnsZones.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
DomainDnsZones.beka.lan. 900    IN      A       192.168.99.1

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.DomainDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.DomainDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.DomainDnsZones.beka.lan. 900 IN SRV  0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.DomainDnsZones.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): A ForestDnsZones.beka.lan 192.168.99.1
Calling nsupdate for A ForestDnsZones.beka.lan 192.168.99.1 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
ForestDnsZones.beka.lan. 900    IN      A       192.168.99.1

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.ForestDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.ForestDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.ForestDnsZones.beka.lan. 900 IN SRV  0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan ucs-1.beka.lan 389
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan ucs-1.beka.lan 389 (add)
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.beka.lan. 900 IN SRV 0 100 389 ucs-1.beka.lan.

response to GSS-TSIG query was unsuccessful
Failed nsupdate: 1
Failed update of 27 entries

Systemdiagnose liefert dann auch immer noch den gleichen Fehler.
Ich habe auch noch die Warnung :


Denke aber nicht, dass es da einen Zusammenhang gibt.
Ich werde jetzt mal neue Clients joinen und schauen was passiert.
Danke


#11

Hmm… huch?

No such Base DN: CN=DnsAdmins,CN=Groups,DC=beka,DC=lan

Da fehlt eine wichtige Gruppe. Und auch die S4-Connector-Probleme, die Sie im anderen Post beschreiben, sehen nicht gerade gut aus; auch dort scheinen wichtige Strukturen zu fehlen.

Vielleicht sollten Sie darüber nachdenken, das Samba 4 aus dem OpenLDAP neu zu provisionieren.

Gruß
mosu


#12

Werde ich testen. Danke


#13

Ich habe das in dem Link beschriebene Verfahren an einem Testserver durchgeführt (copy and paste).
Bis zum Punkt 10 klappt alles (Ausser Punkt 2 ):

rdate ptbtime1.ptb.de
rdate: Could not connect socket: Connection refused

(Datum und Uhrzeit stimmt aber)

Beim Punkt 10 kommt es zu einem Fehler :

ldbedit -H /var/lib/samba/private/sam.ldb CN="RID Set" -b CN="$(ucr get hostname),OU=Domain Controllers,$(ucr get ldap/base)"
no matching records - cannot edit

Danach kommt es zu vielen Fehlern bei der System-Fehlerdiagnose.
Hat jemand eine Idee was da falsch gelaufen sein könnte ?


#14

Moin,

ja das Problem hatte ich auch in einem Testsystem. Das scheint zu passieren, weil Samba bei Neuinstallation trotz richtig gesetzter UCR-Variable anscheinend nicht neu befüllt wurde.

Ich habe mir dann so geholfen:

  1. Samba & den S4-Connector gestoppt aber nicht deinstalliert, auch geprüft, dass keine Prozesse mehr laufen (ps uaxw|grep smbd), falls doch, diese abschießen
  2. Verzeichnis /var/lib/samba/private löschen (Backup sollte vom initialen Versuch ja noch existieren)
  3. Dateien in /var/lib/univention-connector/s4 löschen, falls vorhanden
  4. In /etc/univention/connector die Dateien s4*.sqlite und locking*.sqlite löschen
  5. In der Datei /var/univention-join/status die zwei Zeilen mit univention-samba4 bzw. univention-s4-connector entfernen, falls vorhanden
  6. Die UCR-Variablen wieder gesetzt: ucr set connector/s4/mapping/group/grouptype='false' connector/s4/mapping/sid_to_s4='true' samba4/provision/primary='true'
  7. Manuell das Script /var/lib/dpkg/info/univention-samba4.postinst configure ausfüren
  8. Manuell das Script /var/lib/dpkg/info/univention-s4-connector.postinst configure ausführen
  9. In der Anleitung mit Schritt 9 weitergemacht

Nach Schritt 7 kann man kurz prüfen, ob die sam.ldb auch wirklich bestückt wurde. Der folgende Befehl sollte viele Einträge liefern: ldbsearch -H /var/lib/samba/private/sam.ldb

Gruß
mosu


#15

Was ist mit dem Eintrag univention-samba4-dns in der Datei/var/univention-join/status ?
Beibehalten oder löschen ?


#16

Gute Frage — löschen sollte an dieser Stelle das Richtige sein.


#17

Ich hatte zwischenzeitlich nicht gelöscht und weitergemacht. Das hat aber nicht geklappt.

...
Not updating windows/wins-server
Multifile: /etc/samba/smb.conf
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
WARNING: /etc/krb5.keytab not created.
restore_rIDNextRID: Attribute rIDSetReferences not found
Create samba4/sysvol/sync/host
Multifile: /etc/samba/smb.conf
ERROR(runtime): uncaught exception - samdb_domain_sid failed
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/ntacl.py", line 210, in run
    domain_sid = security.dom_sid(samdb.domain_sid)
  File "/usr/lib/python2.7/dist-packages/samba/samdb.py", line 647, in get_domain_sid
    return dsdb._samdb_get_domain_sid(self)
Samba4 does not seem to be provisioned, exiting /usr/share/univention-samba4/scripts/setup-dns-in-ucsldap.sh
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN CN=ucs-test,OU=Domain Controllers,DC=BEKA,DC=LANT at block before line 7
Modify failed after processing 0 records
[ ok ] Starting nmbd (via systemctl): nmbd.service.
[ ok ] Starting smbd (via systemctl): smbd.service.
[ ok ] Starting samba-ad-dc (via systemctl): samba-ad-dc.service.
File: /var/lib/samba/private/krb5.conf
Not updating samba4/sysvol/sync/cron
WARNING: cannot append 192.168.99.6 to a, value exists
No modification: zoneName=beka.lant,cn=dns,dc=beka,dc=lant
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
/etc/krb5.keytab does not exist yet, triggering samba4 commit.
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
rm: das Entfernen von „/etc/krb5.keytab“ ist nicht möglich: Datei oder Verzeichnis nicht gefunden
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
WARNING: /etc/krb5.keytab not created.
Object exists: cn=ucs-test.beka.lant,cn=shares,dc=beka,dc=lant
No modification: cn=ucs-test.beka.lant,cn=shares,dc=beka,dc=lant
/etc/krb5.keytab does not exist after initial samba4 start, re-triggering samba4 commit.
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
rm: das Entfernen von „/etc/krb5.keytab“ ist nicht möglich: Datei oder Verzeichnis nicht gefunden
ERR: (No such object) "ldb_wait from (null) with LDB_WAIT_ALL: No such object (32)" on DN flatname=BEKA,cn=Primary Domains at block before line 5
Modify failed after processing 0 records
WARNING: /etc/krb5.keytab not created.
[ ok ] Stopping samba-ad-dc (via systemctl): samba-ad-dc.service.
[ ok ] Stopping smbd (via systemctl): smbd.service.
[ ok ] Stopping nmbd (via systemctl): nmbd.service.
[ ok ] Starting nmbd (via systemctl): nmbd.service.
[ ok ] Starting smbd (via systemctl): smbd.service.
[ ok ] Starting samba-ad-dc (via systemctl): samba-ad-dc.service.
Object exists: cn=services,cn=univention,dc=beka,dc=lant
Object exists: cn=Samba 4,cn=services,cn=univention,dc=beka,dc=lant
WARNING: cannot append Samba 4 to service, value exists
No modification: cn=ucs-test,cn=dc,cn=computers,dc=beka,dc=lant
2017-12-14 15:42:46.023771796+01:00 (in joinscript_save_current_version)
Joinscript 96univention-samba4.inst finished with exitcode 0
root@ucs-test:~# ldbsearch -H /var/lib/samba/private/sam.ldb
# returned 0 records
# 0 entries
# 0 referrals


#18

Nach Löschen von /var/univention-join/status klappte alles auf dem Testserver.
Ich habe das ganze zwischenzeitlich auf dem Server durchgeführt. Der Test liefert jetzt keinen Fehler mehr.
Vielen Dank für die Hilfe.

Den ersten WIN7 Rechner habe ich wieder in die Domäne gebracht.
Der Zugriff auf das Heimatverzeichzeichniss klappt auch ohne Probleme.
Lediglich beim Zugriff auf die Freigaben erhalte ich den Hinweis, dass das Kennwort ungültig seit und werde erneut aufgefordert Benutzername und Kennwort einzugeben, was aber auch nicht zum Erfolg führt. In den Log finde ich keine Fehlerhinweise.

Hat jemand einen Tip ?
Danke


#19

Nach Löschen und Neuanlegen der Freigaben klappte auch wieder der Zugriff.


#20

Hochgradig interessant. Sorry, dass ich da zwischendurch nicht viel weiter geholfen habe — mir gingen schlicht die Ideen aus. Freut mich, dass es jetzt wieder klappt!