UCS 4.4.4 ADD MS Active Directory failed to join

stone1978 · March 28, 2020, 10:48pm

Hi
Habe auf einem Hyper-V auf Basis von Server 2016 (Microsoft) USC installiert.
Kann das Gerät nicht in die Domain zufügen.
DNS = stimmt 100%tig
USER + PW = stimmen 100%tig (DOM ADMIN)

Bekomme folgende Meldung

Error-Message:
Ein Fehler ist aufgetreten:
Die Anfrage konnte nicht ausgeführt werden.
Fehlernachricht des Servers:
univention-join -checkPrerequisites hat ein Problem gefunden. Fehlerausgabe:
Please visit https://help.univention.com/t/8842 for common problems during the join and how to fix them – binddn for user XXXXX not found.

Hab mit Verison
4.4.3 probiert
4.4.4 probiert
aktuelles Hyper-V Image

Das komische eine Woche zuvor habe ich ganz normal einen UCS in die “gleiche” Domain hinzufügen.

Es hat sich an der Umgebung auch nichts geändert. Das macht es nahezu unerklärlich.

Was könnte hier die Fehlerursache sein. Die Zugangdaten stimmen sicher sowie auch die DNS Settings.

Bei der Installation ist mir aufgefallen dass ich nie nach einem HOST NAME gefragt worden bin bis zur Maske ADD AD.
Das ist aber auch komisch denn der Hostname sollte eigentlich definiert werden bevor man einen Server in eine Domaine Hängt.

ADD Microsoft AD
ADD Member Server

Bitte um Hilfe lg Stone

stone1978 · March 29, 2020, 8:22am

Was mir aufgefallen ist da kann man vor dem DOMAIN JOIN ja keinen HOSTNAME vergeben.

Das wäre natürlich tödlich.
Nur wenn die Maske nicht kommt kann man das so gar nicht umsetzen.
Eventuell ein Software Bug.

Windows braucht neben funktionierenden DNS sicher auch einen HOSTNAME damit die AD Registrierung korrekt funktioniert.

Im Anhang noch BIlder der INSTALL DOKU bis zur oben angeführten Fehlermeldung.
Da kann man gut nachvollziehen dass kein HOSTNAME vergeben wird.
Hostname sollte dort vergeben werden wo die IP Adresse fix definiert wird bzw. beim INSTALL Prozess schon vor dem Neustart damit nach dem Neustart
a) fixe IP Adressen + DNS (wichtig für AD Join)
b) Hostname (wichtig für AD Join)
zur Vergfügung stehen.

lg Stone UCS_1 UCS_2 UCS_3 UCS_4 UCS_5 !

stone1978 · March 29, 2020, 8:23am

Ich musste die Bilder aufteilen (neue User dürfen nur 5 Bilder)
Möchte aber die Doku schon vollständig zur Verfügung stellen.

UCS_6 UCS_7

Und jetzt kommt dann diese Meldung

Error-Message:
Ein Fehler ist aufgetreten:
Die Anfrage konnte nicht ausgeführt werden.
Fehlernachricht des Servers:
univention-join -checkPrerequisites hat ein Problem gefunden. Fehlerausgabe:
Please visit https://help.univention.com/t/8842 for common problems during the join and how to fix them – binddn for user XXXXX not found.

externa1 · March 29, 2020, 8:10pm

du kannst nur einen UCS in eine AD Domäne joinen (dieser ist dann der ad connector), alle weiteren ucs server musst du in die dadurch erstellte ucs domäne joinen (einer bestehenden ucs-domäne beitreten wählen)

lg
Christian

stone1978 · March 30, 2020, 3:26pm

Hallo
Danke für die Info. Das ist aber sehr interessant. Habe den ersten UCS einfach normal als Memberserver reingehängt. Da habe ich keine UCS Domain erstellt. Zumindest wäre mir das nie aufgefallen auch seitens der Masken nicht.

Also wenn ich auf bestehende USC Domain gehe dann wüsste ich nicht was ich da angeben sollte da meines Wissens nach keine erstellt wurde.

Kann ich bei diesem Server die UCS Doamin abfragen sehe ich das wo ?

Das erklärt aber natürlich einiges jetzt.

Kannst du mir auch technisch erklären warum eigentlich nur 1 Server direkt ins AD verbunden werden kann ? Also Microsoft AD

LG Gerd

SirTux · March 30, 2020, 7:22pm

Existiert der Server von letzter Woche noch?

stone1978 · March 31, 2020, 5:35am

Servus
Ja der erste Server existiert noch klar.

Wollte den einen als Nextcloud nutzen

Und den zweiten den ich dazu hänge als Monitoring und Management Server.

Alle in der Domain. Natürlich habe ich das in einem nicht produktiven Umfeld hochgezogen. Ich will das alles im Vorfeld durchtesten und Möglichkeiten abstecken die Microsoft Abhängigkeit zu reduzieren.

UCS war das erste Produkt das ich am Markt gesehen habe wo ich das für möglich halte.

lg

stone1978 · April 1, 2020, 2:18pm

Bitte noch um kurze Hilfe.

Ich kann also nur 1 UCS in eine Windows Domain hängen richtig ?
Weil dann brauche ich ja ein komplett anderes Konzept.

Aktuell habe ich 2 Server (USC) installiert.

der erster der schon in der Domain hängt ist der Netxtlcoud Server

der zweite wäre eine Management Server (Nagios etc.)

Jetzt wäre dann aber für ein AD Takeover was wenn UCS gut funktioniert ja sicher ein Thema wäre nur der Webserver (Netxtcloud UCS) geeignet da dieser ja der einzige ind er AD Domain ist?

Weil dann müsste ich ja alles wieder verwerfen das wäre ein Altptraum vom Zeitaufwand her

lg Stone

externa1 · April 1, 2020, 3:54pm

Nein der erste Server der installiert wird ist automatisch der UCS Domain Master, alle weiteren UCS server einfach in die UCS (nicht AD) domäne joinen - alles gut

der UCS Master synct die AD User/Computer in die UCS LDAP Domäne - somit sind diese auch für die nachfolgend installierten UCS Server verfügbar

lg
Christian

stone1978 · April 1, 2020, 5:12pm

Und bei einem Takeover ?

Das Problem ist das denn quasi der UCS DOMAIN Master auch noch vom WEB über die Firewallfreischaltung erreichbar ist. Das ist mein Hauptproblem ich will keinen DC haben der von Außen so erreichbar ist.

Das kann ich wahrscheinlich nicht ändern oder?

Gibts für UCS eigentlich auch so was wie einen WSUS Ersatz also Updatekomponente.
Das hat den Vorteil dass gewissen Server dann nicht mal online sein müssten.

Noch eine frage wo kann ich jetzt überprüfen wie diese UCS Domain heisst die ich erstellt haben soll.
Das Fenster ist mir nie ungergekommen. Ich kann mir das nicht erklären.
Und kann ich nachträglich einen anderen zum UCS Master machen ?

lg Stone

externa1 · April 2, 2020, 9:18am

Die UCS Domäne heist genau so wie deine AD domäne der Master wird mit dem DNS Service record _domaincontroller_master_tcp indentifiziert:

oder am UCS LDAP zu finden:

Es kommt auch keine “Fenster” für die Domänenkonfiguration wenn der UCS einer AD-Domäne beitritt

Generell würde ich empfehlen einen dezidierten UCD Master und einen dedizierten UCD Backup Server zu verwenden - dann kann man bei Problemen mit dem Master den Backup zum Master hochstufen - dafür ist es am besten das beide keine zusätzlichen Applikationen haben - das vereinfacht das Ganze
Grundsätzlich kannst du jeden UCS Backup Server zum Master hochstufen mit dem backup2master script siehe Dokumentation http://docs.software-univention.de/manual-4.2.html#domain:backup2master

lg
Christian

externa1 · April 2, 2020, 9:30am

Generell würde ich Dir die UCS Dokumentation als Lektüre empfehlen hier ist alles SEHR gut beschrieben:
z.B.

https://docs.software-univention.de/handbuch-4.4.html

lg
Christian

stone1978 · August 5, 2020, 10:14am

Servus

Zuerst mal sorry für die späte Rückmeldung ich war ein wenig im Stress.

Danke für die Mühe und Erklärung.

Habe das jetzt mal überflogen.

Ok lt. deiner Beschreibung ist das ja komplett falsch konfiguriert denn der bestehende Server ist quasi der WEB-Application Server.

Somit brauche ich noch 2 weitere Server.
Ich setze also 2 neue Server auf
beide als Backup Server
einer davon wird dann der UCS Master

Kann ich den bestehenden UCS Server dann komplett als UCS Domainencontroller entfernen nachdem ich das übertragen habe damit der aktuelle MASTER dann später nur mehr ein Member Server ist ?

Danke für deine Hilfe und Mühe

lg Stone