System-Fehlerdiagnose

Hallo,
seit einem der letzten Updates werden in „System-Fehlerdiagnose“ bei uns verschiedene Fehler angezeigt, die wir auch nicht gelöst bekommen.
Alle Slaves zeigen als kritisch: Kerberos authentifizierte DNS Updates
„Fehler traten auf bei der Ausführung von kinit oder nsupdate. nsupdate Prüfung für die Domänne eusib.intranet ist fehlgeschlagen“

Alle Slaves zeigen als Warnung: Nicht synchronisierte S4 Connector Objekte
Die Anleitung, die dem Problem beiliegt, funktioniert zwar, löst das Problem nur kurzzeitig. Nach einem Tag sind die Meldungen wieder da.
UCS DN: uid=pcpatch,cn=users,dc=eusib,dc=intranet, S4 DN: nicht gefunden, Dateiname: /var/lib/univention-connector/s4/1506683703.630356 UCS DN: uid=pcpatch,cn=users,dc=eusib,dc=intranet, S4 DN: nicht gefunden, Dateiname: /var/lib/univention-connector/s4/1506765103.304106
UCS DN: cn=Computers,cn=groups,dc=eusib,dc=intranet, S4 DN: nicht gefunden, Dateiname: /var/lib/univention-connector/s4/1507111573.681237 UCS DN: cn=Computers,cn=groups,dc=eusib,dc=intranet, S4 DN: nicht gefunden, Dateiname: /var/lib/univention-connector/s4/1507123719.826638 UCS DN: zoneName=eusib.intranet,cn=dns,dc=eusib,dc=intranet, S4 DN: dc=@,dc=eusib.intranet,cn=microsoftdns,dc=domaindnszones,DC=eusib,DC=intranet, Dateiname: /var/lib/univention-connector/s4/1507370808.429576 UCS DN: zoneName=eusib.intranet,cn=dns,dc=eusib,dc=intranet, S4 DN:

Master und Backup zeigen als Warnung: KDC Erreichbarkeit
Die folgenden KDCs waren nicht erreichbar: tcp eusib-ucs-bak.eusib.intranet:88, udp eusib-ucs-bak.eusib.intranet:88
Wobei wir das Gerät eusib-ucs-bak nicht mehr im Bestand haben. Wir hatten Ihn auf der UMC gelöscht, aber das hat scheinbar nicht ausgereicht. Der war in der Backup-Rolle. UCR-Einträge hatten wir auch bereinigt.

Master und Backup zeigen als Warnung: Samaba-Replikations-Status
Dort stehen Meldungen die auch auf den alten UCS in der Backup-Rolle hinweisen.

Master und Backup zeigen als kritisch: Kerberos authentifizierte DNS Updates:
Fehler traten auf bei der Ausführung von kinit oder nsupdate. kinit für den Principal dns-eusib-ucs-ops mit der Password Tabelle /var/lib/samba/private/dns.keytab ist fehlgeschlagen.

Moin,

die meisten der Probleme scheinen sich auf Kerberos zu beziehen. Schauen wir erst mal, dass wir alle Vorkommen des alten Servers entfernt kriegen.

Bitte posten Sie mal die Ausgabe des folgenden Befehls: univention-ldapsearch 'relativeDomainName=_kerberos*' sRVRecord

Und zwar bitte nicht einfach einfügen, sondern einen Code-Block daraus machen. Das geht so:

1. Eine Zeile mit drei Backticks
2. Der Text
3. Noch eine Zeile mit drei Backticks

Noch einfacher: Strg+Shift+C drücken (oder den Button </> in der Symbolleiste), und schon hat man so einen Block.

Das macht den Text dann deutlich einfacher zu lesen, weil er dann nicht beliebig umformatiert wird (wie z.B. Ihre Meldungen vom S4-Connector oben).

Gruß,
mosu

Moin,
danke für die Antwort. Hier die Ausgabe.

root@eusib-ucs-ma:~# univention-ldapsearch 'relativeDomainName=_kerberos*' sRVRecord
# extended LDIF
#
# LDAPv3
# base <dc=eusib,dc=intranet> (default) with scope subtree
# filter: relativeDomainName=_kerberos*
# requesting: sRVRecord 
#

# _kerberos, eusib.intranet, dns, eusib.intranet
dn: relativeDomainName=_kerberos,zoneName=eusib.intranet,cn=dns,dc=eusib,dc=in
 tranet

# _kerberos._tcp, eusib.intranet, dns, eusib.intranet
dn: relativeDomainName=_kerberos._tcp,zoneName=eusib.intranet,cn=dns,dc=eusib,
 dc=intranet
sRVRecord: 0 100 88 eusib-ucs-ma.eusib.intranet.
sRVRecord: 0 100 88 eusib-ucs-ops.eusib.intranet.

# _kerberos._udp, eusib.intranet, dns, eusib.intranet
dn: relativeDomainName=_kerberos._udp,zoneName=eusib.intranet,cn=dns,dc=eusib,
 dc=intranet
sRVRecord: 0 100 88 eusib-ucs-ma.eusib.intranet.
sRVRecord: 0 100 88 eusib-ucs-ops.eusib.intranet.

# _kerberos-adm._tcp, eusib.intranet, dns, eusib.intranet
dn: relativeDomainName=_kerberos-adm._tcp,zoneName=eusib.intranet,cn=dns,dc=eu
 sib,dc=intranet
sRVRecord: 0 100 88 eusib-ucs-ma.eusib.intranet.

# _kerberos._tcp.dc._msdcs, eusib.intranet, dns, eusib.intranet
dn: relativeDomainName=_kerberos._tcp.dc._msdcs,zoneName=eusib.intranet,cn=dns
 ,dc=eusib,dc=intranet
sRVRecord: 0 100 88 eusib-ucs-ma.eusib.intranet.
sRVRecord: 0 100 88 eusib-ucs-ops.eusib.intranet.

# _kerberos._tcp.Default-First-Site-Name._sites, eusib.intranet, dns, eusib.int
 ranet
dn: relativeDomainName=_kerberos._tcp.Default-First-Site-Name._sites,zoneName=
 eusib.intranet,cn=dns,dc=eusib,dc=intranet
sRVRecord: 0 100 88 eusib-ucs-ma.eusib.intranet.
sRVRecord: 0 100 88 eusib-ucs-ops.eusib.intranet.
sRVRecord: 0 100 88 pkr-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 wir-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 fsr-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 fanta-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 kiga-ucs-sl.eusib.intranet.

# _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs, eusib.intranet, dns,
  eusib.intranet
dn: relativeDomainName=_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs
 ,zoneName=eusib.intranet,cn=dns,dc=eusib,dc=intranet
sRVRecord: 0 100 88 eusib-ucs-ma.eusib.intranet.
sRVRecord: 0 100 88 eusib-ucs-ops.eusib.intranet.
sRVRecord: 0 100 88 pkr-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 wir-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 fsr-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 fanta-ucs-sl.eusib.intranet.
sRVRecord: 0 100 88 kiga-ucs-sl.eusib.intranet.

# search result
search: 3
result: 0 Success

# numResponses: 8
# numEntries: 7

Danke. Da taucht der ehemalige Backupserver ja anscheinend nicht mehr auf.

Habe ich richtig verstanden, dass Sie einen DC Backup hatten, den Sie entfernt haben, und dass Sie jetzt wieder einen neuen DC Backup haben?

Können Sie mir bitte noch den Inhalt der Dateien /etc/krb5.conf vom DC Master und DC Backup zeigen?

gru

ja, genau: wir hatte zwei DC-Backup. Einen mit OPSI als App und einen “puren” DC-Backup.
Den “puren” DC-Backup haben wir enfernt.

krb5.conf vom Master:

# Warning: This file is auto-generated and might be overwritten by
#          univention-config-registry.
#          Please edit the following file(s) instead:
# Warnung: Diese Datei wurde automatisch generiert und kann durch
#          univention-config-registry überschrieben werden.
#          Bitte bearbeiten Sie an Stelle dessen die folgende(n) Datei(en):
#
#       /etc/univention/templates/files/etc/krb5.conf
#

[libdefaults]
        default_realm = EUSIB.INTRANET
        default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des-cbc-md4 des3-hmac-sha1 des3-cbc-sha1
        default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des-cbc-md4 des3-hmac-sha1 des3-cbc-sha1
        permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des-cbc-md4 des3-hmac-sha1 des3-cbc-sha1
        krb4_get_tickets=no
        allow_weak_crypto=true
        dns_lookup_kdc = true
        dns_lookup_realm = false
        forwardable = true
        proxiable = true
        kdc_timesync = 1
        debug = false
[realms]
EUSIB.INTRANET = {
        acl_file = /var/lib/heimdal-kdc/kadmind.acl
        kdc = 127.0.0.1
        admin_server = eusib-ucs-ma.eusib.intranet
        kpasswd_server = 127.0.0.1
}

EUSIB = {
        kdc = 127.0.0.1
        admin_server = eusib-ucs-ma.eusib.intranet
        default_domain = eusib.intranet
}
[kdc]
hdb-ldap-create-base = cn=kerberos,dc=eusib,dc=intranet
v4-realm = EUSIB.INTRANET

[kadmin]
        v4-realm = EUSIB.INTRANET
database = {
        label = {
                acl_file = /var/lib/heimdal-kdc/kadmind.acl
                dbname = ldap:dc=eusib,dc=intranet
                realm = EUSIB.INTRANET

                log_file = /var/log/heimdal-database.log
                mkey_file = /var/heimdal/m-key
        }
}

vom DC-Backup (mit OPSI)

# Warning: This file is auto-generated and might be overwritten by
#          univention-config-registry.
#          Please edit the following file(s) instead:
# Warnung: Diese Datei wurde automatisch generiert und kann durch
#          univention-config-registry überschrieben werden.
#          Bitte bearbeiten Sie an Stelle dessen die folgende(n) Datei(en):
#
#       /etc/univention/templates/files/etc/krb5.conf
#

[libdefaults]
        default_realm = EUSIB.INTRANET
        default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des-cbc-md4 des3-hmac-sha1 des3-cbc-sha1
        default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des-cbc-md4 des3-hmac-sha1 des3-cbc-sha1
        permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 arcfour-hmac-md5 des-cbc-crc des-cbc-md5 des-cbc-md4 des3-hmac-sha1 des3-cbc-sha1
        krb4_get_tickets=no
        allow_weak_crypto=true
        dns_lookup_kdc = true
        dns_lookup_realm = false
        forwardable = true
        proxiable = true
        kdc_timesync = 1
        debug = false
[realms]
EUSIB.INTRANET = {
        acl_file = /var/lib/heimdal-kdc/kadmind.acl
        kdc = 127.0.0.1
        admin_server = eusib-ucs-ma.eusib.intranet
        kpasswd_server = 127.0.0.1
}

EUSIB = {
        kdc = 127.0.0.1
        admin_server = eusib-ucs-ma.eusib.intranet
        default_domain = eusib.intranet
}
[kdc]
hdb-ldap-create-base = cn=kerberos,dc=eusib,dc=intranet
v4-realm = EUSIB.INTRANET

[kadmin]
        v4-realm = EUSIB.INTRANET
database = {
        label = {
                acl_file = /var/lib/heimdal-kdc/kadmind.acl
                dbname = ldap:dc=eusib,dc=intranet
                realm = EUSIB.INTRANET

                log_file = /var/log/heimdal-database.log
                mkey_file = /var/heimdal/m-key
        }
}

Hmm. Auch dort taucht der eusib-ucs-bak nicht auf.

Bitte schauen Sie mal nach, ob der noch irgendwo im LDAP bzw. Samba4-Verzeichnis auftaucht. Dazu führen Sie folgendes aus: univention-ldapsearch 'srvrecord=*' dn srvrecord | ldapsearch-wrapper > ~/ldap.txt bzw. univention-s4search | ldapsearch-wrapper > ~/s4.txt und dann jeweils in in den beiden Dateien nach eusib-ucs-bak suchen. Posten Sie dann bitte mal die DNs der Objekte, in denen der noch vorkommt.

das kommt nur in einem Record in s4.txt vor:

# record 1249
dn: DC=eusib,DC=intranet
objectClass: top
objectClass: domain
objectClass: domainDNS
instanceType: 5
whenCreated: 20170522141005.0Z
whenChanged: 20170909140738.0Z
uSNCreated: 3243
name: eusib
objectGUID: 831c2a58-2777-4ecf-af74-3fbcb9333349
creationTime: 131399358050000000
forceLogoff: -9223372036854775808
lockoutDuration: 0
lockOutObservationWindow: -18000000000
lockoutThreshold: 0
maxPwdAge: 0
minPwdAge: 0
minPwdLength: 8
modifiedCountAtLastProm: 0
nextRid: 1000
pwdProperties: 1
pwdHistoryLength: 0
objectSid: S-1-5-21-3582899429-26420440-1505986342
oEMInformation: Provisioned by SAMBA 4.6.1-Debian
uASCompat: 1
auditingPolicy:: AAE=
nTMixedDomain: 0
rIDManagerReference: CN=RID Manager$,CN=System,DC=eusib,DC=intranet
fSMORoleOwner: CN=NTDS Settings,CN=EUSIB-UCS-MA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
systemFlags: -1946157056
wellKnownObjects: B:32:6227F0AF1FC2410D8E3BB10615BB5B0F:CN=NTDS Quotas,DC=eusib,DC=intranet
wellKnownObjects: B:32:F4BE92A4C777485E878E9421D53087DB:CN=Microsoft,CN=Program Data,DC=eusib,DC=intranet
wellKnownObjects: B:32:09460C08AE1E4A4EA0F64AEE7DAA1E5A:CN=Program Data,DC=eusib,DC=intranet
wellKnownObjects: B:32:22B70C67D56E4EFB91E9300FCA3DC1AA:CN=ForeignSecurityPrincipals,DC=eusib,DC=intranet
wellKnownObjects: B:32:18E2EA80684F11D2B9AA00C04F79F805:CN=Deleted Objects,DC=eusib,DC=intranet
wellKnownObjects: B:32:2FBAC1870ADE11D297C400C04FD8D5CD:CN=Infrastructure,DC=eusib,DC=intranet
wellKnownObjects: B:32:AB8153B7768811D1ADED00C04FD8D5CD:CN=LostAndFound,DC=eusib,DC=intranet
wellKnownObjects: B:32:AB1D30F3768811D1ADED00C04FD8D5CD:CN=System,DC=eusib,DC=intranet
wellKnownObjects: B:32:A361B2FFFFD211D1AA4B00C04FD7D83A:OU=Domain Controllers,DC=eusib,DC=intranet
wellKnownObjects: B:32:AA312825768811D1ADED00C04FD8D5CD:CN=Computers,DC=eusib,DC=intranet
wellKnownObjects: B:32:A9D1CA15768811D1ADED00C04FD8D5CD:CN=Users,DC=eusib,DC=intranet
objectCategory: CN=Domain-DNS,CN=Schema,CN=Configuration,DC=eusib,DC=intranet
isCriticalSystemObject: TRUE
gPLink: [LDAP://cn={31BDEAA5-CDC4-4FA0-B8A0-3E1FC4508D18},cn=policies,cn=system,DC=eusib,DC=intranet;0][LDAP://cn={1042D6E0-BDAC-4698-8E86-C2DE9C81E8B4},cn=policies,cn=system,DC=eusib,DC=intranet;0][LDAP$
ms-DS-MachineAccountQuota: 10
msDS-Behavior-Version: 4
msDS-PerUserTrustQuota: 1
msDS-AllUsersTrustQuota: 1000
msDS-PerUserTrustTombstonesQuota: 10
dc: eusib
uSNChanged: 3341
masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-MA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-OPS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
msDS-IsDomainFor: CN=NTDS Settings,CN=EUSIB-UCS-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
msDS-IsDomainFor: CN=NTDS Settings,CN=EUSIB-UCS-MA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
msDS-IsDomainFor: CN=NTDS Settings,CN=EUSIB-UCS-OPS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
msDs-masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
msDs-masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-MA,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
msDs-masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-OPS,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
replUpToDateVector:: AgAAAAAAAAAKAAAAAAAAAMqQohKumilDtXi1BinzxDtgIwAAAAAAAACAPtXesZ0BBoUiE7tnt0KZzrOBOazuVccOAAAAAAAAAIA+1d6xnQHWwdAsd18SR6jqmZLyelQ7aw8AAAAAAAAAgD7V3rGdAUBJdUxjuqFPvP78HvNVI1MYIgAAAAAAAA$
repsTo:: AQAAAAAAAAAPAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA0AAAAD8AAAAcAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA$
repsFrom:: AQAAAAAAAAAPAQAAAAAAAGFx9w8DAAAAYXH3DwMAAAAAAAAA0AAAAD8AAAB0AAAAERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERAAAAAIlpAAAAAAAA$
repsFrom:: AQAAAAAAAAAPAQAA7QsAAAAAAAAAAAAAYXH3DwMAAAACAAAA0AAAAD8AAAB0AAAAERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERERAAAAAAAAAAAAAAAA$
distinguishedName: DC=eusib,DC=intranet

Das scheint eine GPO zu sein? Ich könnte die mal entfernen und später die Einstellungen in eine neu erstellte GPO wieder importieren.

Moin,

das ist das Top-Level-Objekt der Domäne selber, das ganze Objekt kann man nicht löschen. Aber Sie können versuchen, die drei Attribute, in denen der alte DC Backup noch auftritt, zu entfernen. Das geht entweder mit einem LDAP-Editor, oder aber mit einer LDIF-Datei manuell, z.B. dieser hier:

dn: DC=eusib,DC=intranet
changetype: modify
delete: masteredBy
masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
-
delete: msDS-IsDomainFor
msDS-IsDomainFor: CN=NTDS Settings,CN=EUSIB-UCS-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
-
delete: msDs-masteredBy
msDs-masteredBy: CN=NTDS Settings,CN=EUSIB-UCS-BAK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=eusib,DC=intranet
-

Anwenden mit:

ldapmodify -h $(hostname).$(ucr get domainname) -D administrator@$(ucr get domainname) -W -f dateiname.ldif

Ohne auch nur Ansatzweise einer Garantie, dass das hilft. Vorher unbedingt noch mal ein Backup von /var/lib/samba/private anfertigen.

Gruß,
mosu

Danke.
Das hat ein paar Fehlermeldungen beseitigt.
AUf den alten Backup-Server deutet jetzt nur noch der Fehler hin:

Die folgenden KDCs waren nicht erreichbar: tcp eusib-ucs-bak.eusib.intranet:88, udp eusib-ucs-bak.eusib.intranet:88

Moin,

OK. Ich habe momentan keine gute Idee, wo diese Einträge noch stehen können. Also müssen wir noch etwas stochern:

grep -r eusib-ucs-bak /etc
univention-s4search --cross-ncs > s4.txt

Der Unterschied in Befehl 2 zu der früheren Ausführung ist der Parameter --cross-ncs. Bitte anschließend noch mal die Ausgabe in s4.txt nach dem eusib-ucs-bak durchsuchen.

Gruß,
mosu

Hallo,
danke für die Antwort. grep bring diese Ausgabe:

Binärdatei /etc/univention/connector/s4internal.sqlite.
/etc/univention/ssl/ucsCA/index.txt.old:R	220614103914Z	170713100651Z	07	unknown	/C=DE/ST=DE/L=DE/O=EuSiB gAG/OU=Univention Corporate Server/CN=eusib-ucs-bak.eusib.intranet/emailAddress=ssl@eusib.intranet
/etc/univention/ssl/ucsCA/certs/07.pem:        Subject: C=DE, ST=DE, L=DE, O=EuSiB gAG, OU=Univention Corporate Server, CN=eusib-ucs-bak.eusib.intranet/emailAddress=ssl@eusib.intranet
/etc/univention/ssl/ucsCA/certs/07.pem:                DNS:eusib-ucs-bak.eusib.intranet, DNS:eusib-ucs-bak
/etc/univention/ssl/ucsCA/index.txt:R	220614103914Z	170713100651Z	07	unknown	/C=DE/ST=DE/L=DE/O=EuSiB gAG/OU=Univention Corporate Server/CN=eusib-ucs-bak.eusib.intranet/emailAddress=ssl@eusib.intranet

In der s4.txt Datei ist kein Eintrag von eusib-ucs-bak zu finden.

Moin,

schauen Sie bitte noah mal, ob es den Host noch im DNS gibt:

host -al $(dnsdomainname) | grep -i eusib-ucs-bak

Durchsuchen Sie auch noch mal das Samba4-Verzeichnis, dieses mal mit einem Parameter, mit dem die binären DNS-Daten, die dort gespeichert werden, interpretiert und in Textform wiedergegeben werden:

univention-s4search --cross-ncs --show-binary

Und dann in der Ausgabe nach dem eusib-ucs-bak suchen.

Gruß
mosu

Moin,
vielen Dank für das weiter mit helfen
im DNS findet sich noch:

_gc._tcp.eusib.intranet. 900	IN	SRV	0 100 3268 eusib-ucs-bak.eusib.intranet.
_ldap._tcp.eusib.intranet. 900	IN	SRV	0 100 389 eusib-ucs-bak.eusib.intranet.
_kpasswd._udp.eusib.intranet. 900 IN	SRV	0 100 464 eusib-ucs-bak.eusib.intranet.
_kpasswd._tcp.eusib.intranet. 900 IN	SRV	0 100 464 eusib-ucs-bak.eusib.intranet.
_kerberos._udp.eusib.intranet. 900 IN	SRV	0 100 88 eusib-ucs-bak.eusib.intranet.
_kerberos._tcp.eusib.intranet. 900 IN	SRV	0 100 88 eusib-ucs-bak.eusib.intranet.
_gc._tcp.Default-First-Site-Name._sites.eusib.intranet.	900 IN SRV 0 100 3268 eusib-ucs-bak.eusib.intranet.
_ldap._tcp.Default-First-Site-Name._sites.eusib.intranet. 900 IN SRV 0 100 389 eusib-ucs-bak.eusib.intranet.
_kerberos._tcp.Default-First-Site-Name._sites.eusib.intranet. 900 IN SRV 0 100 88 eusib-ucs-bak.eusib.intranet.

im samba4-Verzeichnis viele Einträge wie:

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0026 (38)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x0000034e (846)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037b3fa (3650554)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0058 (88)
            nameTarget               : eusib-ucs-bak.eusib.intranet

Aha. Da stecken die also. Sprich im S4-LDAP sind die Einträge noch drin, in den korrespondierenden im OpenLDAP aber nicht mehr? Bitte noch einmal die Ausgabe von folgendem Befehl zum Gegenprüfen posten:

univention-ldapsearch relativeDomainName=_gc._tcp

hier die Ausgabe:

# extended LDIF
#
# LDAPv3
# base <dc=eusib,dc=intranet> (default) with scope subtree
# filter: relativeDomainName=_gc._tcp
# requesting: ALL
#

# _gc._tcp, eusib.intranet, dns, eusib.intranet
dn: relativeDomainName=_gc._tcp,zoneName=eusib.intranet,cn=dns,dc=eusib,dc=int
 ranet
objectClass: dNSZone
objectClass: top
objectClass: univentionObject
univentionObjectType: dns/srv_record
dNSTTL: 10800
relativeDomainName: _gc._tcp
zoneName: eusib.intranet
sRVRecord: 0 100 3268 eusib-ucs-ma.eusib.intranet.
sRVRecord: 0 100 3268 eusib-ucs-ops.eusib.intranet.

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

Jau, da ist er nicht mehr drin.

Bitte versuchen Sie jetzt mal, den Eintrag von einem der DNS-Einträge (wir nehmen den für _gc._tcp.eusib.intranet) erneut vom OpenLDAP ins S4 synchronisieren zu lassen. Bin mir nicht sicher, ob das wirklich helfen sollte, aber Versuch macht kluch.

/usr/share/univention-s4-connector/resync_object_from_ucs.py relativeDomainName=_gc._tcp,zoneName=$(dnsdomainname),cn=dns,$(ucr get ldap/base)

Jetzt die Logdatei /var/log/univention/connector-s4.log beobachten und darauf waren, dass der Eintrag zum S4 synchronisiert wird — dauert keine Minute. Anschließend bitte schauen, ob der Eintrag im S4 weg ist & die Ausgabe posten:

univention-s4search --cross-ncs --show-binary -b dc=_gc._tcp,DC=$(dnsdomainname),CN=MicrosoftDNS,DC=DomainDnsZones,$(ucr get samba4/ldap/base)

Falls das mit diesem Eintrag schon geklappt haben sollte, so müsste man das resync_object_from_ucs.py für jeden der betroffenen DNS-Einträge einmal aufrufen.

Gruß
mosu

das hat leider noch nicht geholfen:

LDAP        (PROCESS): sync from ucs: [           dns] [       add] dc=_gc._tcp,dc=eusib.intranet,cn=microsoftdns,dc=domaindnszones,DC=eusib,DC=intranet

s4search:

# record 1
dn: DC=_gc._tcp,DC=eusib.intranet,CN=MicrosoftDNS,DC=DomainDnsZones,DC=eusib,DC=intranet
objectClass: top
objectClass: dnsNode
instanceType: 4
whenCreated: 20170522141017.0Z
uSNCreated: 3667
showInAdvancedViewOnly: TRUE
name: _gc._tcp
objectGUID: a7c0a9e0-2bf2-45bd-ba49-065614a14bce
objectCategory: CN=Dns-Node,CN=Schema,CN=Configuration,DC=eusib,DC=intranet
dc: _gc._tcp
whenChanged: 20171016103606.0Z
uSNChanged: 26881
dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0025 (37)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x00000000 (0)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : eusib-ucs-ma.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0026 (38)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x00000000 (0)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : eusib-ucs-ops.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0023 (35)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037b34f (3650383)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : pkr-ucs-sl.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0023 (35)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037b3c7 (3650503)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : wir-ucs-sl.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0026 (38)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037b3fa (3650554)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : eusib-ucs-bak.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0023 (35)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037b48d (3650701)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : fsr-ucs-sl.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0025 (37)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037bc0b (3652619)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : fanta-ucs-sl.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0024 (36)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037bdeb (3653099)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : kiga-ucs-sl.eusib.intranet

dnsRecord:     NDR: struct dnsp_DnssrvRpcRecord
        wDataLength              : 0x0025 (37)
        wType                    : DNS_TYPE_SRV (33)
        version                  : 0x05 (5)
        rank                     : DNS_RANK_ZONE (240)
        flags                    : 0x0000 (0)
        dwSerial                 : 0x00000353 (851)
        dwTtlSeconds             : 0x00000384 (900)
        dwReserved               : 0x00000000 (0)
        dwTimeStamp              : 0x0037bf82 (3653506)
        data                     : union dnsRecordData(case 33)
        srv: struct dnsp_srv
            wPriority                : 0x0000 (0)
            wWeight                  : 0x0064 (100)
            wPort                    : 0x0cc4 (3268)
            nameTarget               : bublu-ucs-sl.eusib.intranet

distinguishedName: DC=_gc._tcp,DC=eusib.intranet,CN=MicrosoftDNS,DC=DomainDnsZones,DC=eusib,DC=intranet

# returned 1 records
# 1 entries
# 0 referrals

Hallo,
würde es Sinn machen dieses hier zu probieren?

https://help.univention.com/t/re-provisioning-samba4-on-a-dc-master/34

Moin,

ja, das kann helfen, löscht aber potenziell Daten, da nicht alle Attribute aus dem Active Directory auch in das OpenLDAP synchronisiert werden. Falls Sie aber nur die ganzen Standardfelder nutzen, so wäre das kein Problem.

Vielleicht können Sie auch vorher noch mal probieren, unter Windows das DNS-Verwaltungstool aus den RSAT zu nutzen und mit dem bei allen betroffenen DNS-Einträgen die entsprechenden Server-Records zum nicht mehr vorhandenen Backup-Server entfernen.

Gruß
mosu