UCS Backup-DC: 26univention-samba.inst failed

german
ad-connection
join
ucs

#1

Grüßt Euch!

bei einem Backup Domain Controller bekomme ich ein univention-join Problem nicht in den Griff. Der lief schon eine ganze Weile, bis ich vor kurzem durch einen Scriptfehler das Transaction File auf dem Master, der als AD Member läuft, zerstört habe. Darauf hin habe ich den AD Connector neu Initialisiert und dachte, wenn ich den Backup-DC neu zur Domain joine, wird wieder alles gut. Aber das mag mir nicht gelingen.
Bei Windows würde ich den Backup-DC demoten, so dass er alle Directory Informationen verliert und wieder zum DC promoten. Gibt es bei UCS außer univention.join noch andere Möglichkeiten die mir weiterhelfen könnten?
.
Backup-DC:

root@srvmucudcb03:~# univention-app info
UCS: 4.2-2 errata209
App Center compatibility: 4
Installed: kvm=1.2.8 samba-memberserver=4.6 self-service=2.0 uvmm=6
Upgradable: 

.
Master DC:

root@srvmucudcb01:/home/support# univention-app info
UCS: 4.2-2 errata231
App Center compatibility: 4

Installed: adconnector=11.0 cups=1.7.5 nagios=3.5 radius=4.0 samba-memberserver=4.6 self-service=2.0 uvmm=6
Upgradable: 

.
.
Folgender Vorgang hat über 90 Minuten gedauert:

root@srvmucudcb03:~# univention-join -dcname srvmucudcb01.firma.de -type domaincontroller_backup
univention-join: joins a computer to an ucs domain
copyright (c) 2001-2017 Univention GmbH, Germany

Enter DC Master Account : Administrator
Enter DC Master Password:

Check DC Master:                                           done
Stop LDAP Server:                                          done
Stop Samba Server:                                         done
Search ldap/base                                           done
Start LDAP Server:                                         done
Search LDAP binddn                                         done
Sync time:                                                 done
Join Computer Account:                                     done
Stopping univention-directory-notifier daemon:  done
Stopping univention-directory-listener daemon:  done
Sync ldap.secret:                                          done
Sync ldap-backup.secret:                                   done
Sync SSL directory:                                        done
Check TLS connection:                                      done
Download host certificate:                                 done
Sync SSL settings:                                         done
Restart LDAP Server:                                       done
Sync Kerberos settings:                                    done
Configure 01univention-ldap-server-init.inst
                                                           done
Configure 02univention-directory-notifier.inst             done
Configure 03univention-directory-listener.inst
                                                           done
Configure 04univention-ldap-client.inst                    done
Configure 05univention-bind.inst                           done
Configure 08univention-apache.inst                         done
Configure 10univention-ldap-server.inst                    done
Configure 11univention-heimdal-init.inst                   done
Configure 11univention-pam.inst                            done
Configure 15univention-directory-notifier-post.inst        done
Configure 15univention-heimdal-kdc.inst                    done
Configure 18python-univention-directory-manager.inst       done
Configure 20univention-directory-policy.inst               done
Configure 20univention-join.inst                           done
Configure 26univention-nagios-common.inst                  done
Configure 26univention-samba.inst                          failed


**************************************************************************
* Join failed!                                                           *
* Contact your system administrator                                      *
**************************************************************************
* Message:  FAILED: 26univention-samba.inst
**************************************************************************
root@srvmucudcb03:~# 
root@srvmucudcb03:~# tail -n 40 /var/log/univention/join.log
Object exists: cn=UNIVENTION_NTP,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_SMTP2,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_SSL,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_LOAD,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_REPLICATION,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_NSCD,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_NSCD2,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_KPASSWDD,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_WINBIND,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_SMBD,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_NMBD,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_JOINSTATUS,cn=nagios,dc=firma,dc=de
Object exists: cn=UNIVENTION_PACKAGE_STATUS,cn=nagios,dc=firma,dc=de
2017-12-05 01:46:28.602029088+01:00 (in joinscript_save_current_version)
Configure 26univention-samba.inst Tue Dec  5 01:46:28 CET 2017
2017-12-05 01:46:28.623145606+01:00 (in joinscript_init)
Setting samba/role
Multifile: /etc/samba/smb.conf
INFO: ad/member is true, will join as memberserver into an AD domain
Setting samba/domain/security
Multifile: /etc/samba/smb.conf
Setting samba/share/home
File: /etc/samba/base.conf
Multifile: /etc/samba/smb.conf
Setting samba/autostart
Module: autostart
Multifile: /etc/samba/smb.conf
Not updating samba/autostart
Stopping winbind (via systemctl): winbind.service.
Setting samba/user
Not updating samba/user/pwdfile
Multifile: /etc/samba/smb.conf
Setting stored password for "cn=srvmucudcb03,cn=dc,cn=computers,dc=firma,dc=de" in secrets.tdb
setting idmap secret for '*' from /etc/machine.secret
Secret stored
Restarting samba (via systemctl): samba.service.
Object modified: cn=srvmucudcb03,cn=dc,cn=computers,dc=firma,dc=de
Failed to join domain: failed to lookup DC info for domain 'firma' over rpc: Undetermined error
ERROR: Failed to join to AD DC via net ads join. Please check your Samba DCs and your DNS and WINS configuration.

Bei der DNS konfig kann ich keinen Fehler finden, zumindest was die Namensauflösung angeht.
.
.

root@srvmucudcb03:~# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@firma.DE

  Issued                Expires               Principal
Dec  5 00:27:58 2017  Dec  5 10:27:53 2017  krbtgt/firma.DE@firma.DE
Dec  5 00:31:33 2017  Dec  5 10:27:53 2017  host/srvmucudcb01.firma.de@
Dec  5 00:31:33 2017  Dec  5 10:27:53 2017  host/srvmucudcb01.firma.de@firma.DE

.
.
Im /var/log/univention/listener.log ist auffällig, dass in jedem Eintrag cn=temporary drinsteht

05.12.17 14:35:52.091  LISTENER    ( PROCESS ) : updating 'cn=johann,cn=uid,cn=temporary,cn=univention,dc=firma,dc=de' command d
05.12.17 14:35:52.092  LISTENER    ( PROCESS ) : updating 'cn=7189,cn=uidNumber,cn=temporary,cn=univention,dc=firma,dc=de' command d
05.12.17 14:35:52.102  LISTENER    ( PROCESS ) : updating 'cn=S-1-5-21-2231228107-1648847474-2204682860-15380,cn=sid,cn=temporary,cn=univention,dc=firma,dc=de' command d

Gruß,
Dirk


#2

Hallo,

was mich wundert ist, dass man beim Join anscheinend keine Meldung wie “Entering AD Member Mode:” sieht. Das sollte in der univention-join Ausgabe eigentlich auftauchen.

Bitte einmal auf dem Backup folgendes ausführen:

-> . /usr/share/univention-lib/all.sh
-> is_domain_in_admember_mode ; echo $?

Das sollte 0 ausgegeben werden.

Zusätzlich einmal

-> univention-ldapsearch univentionServerRole=master univentionService

auf Master und Backup.

Wenn die Domäne eine AD Member Domäne ist, muss sich univention-samba ein wenige anders verhalten als norrmal, wenn der Join die AD Member Domäne aber nicht erkennt, dann wird es wohl zu Fehlern kommen.

VG
Felix


#3

Grüß Dich Felix,

danke fürs Antworten, hier die Befehlsausgaben…

Auf dem Backup-DC



root@srvmucudcb03:~# . /usr/share/univention-lib/all.sh
root@srvmucudcb03:~# is_domain_in_admember_mode ; echo $?
0

root@srvmucudcb03:~# univention-ldapsearch univentionServerRole=master univentio                                     nService
# extended LDIF
#
# LDAPv3
# base <dc=firma,dc=de> (default) with scope subtree
# filter: univentionServerRole=master
# requesting: univentionService
#

# srvmucudcb01, dc, computers, firma.de
dn: cn=srvmucudcb01,cn=dc,cn=computers,dc=firma,dc=de
univentionService: LDAP
univentionService: NFS
univentionService: DNS
univentionService: univention-saml
univentionService: Univention Management Console
univentionService: Samba 3
univentionService: AD Member
univentionService: AD Connector
univentionService: NAGIOS
univentionService: RADIUS
univentionService: univention-self-service-passwordreset-umc
univentionService: univention-self-service
univentionService: Print
univentionService: Virtual Machine Manager

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1
root@srvmucudcb03:~#

.
Auf dem Master-DC

root@srvmucudcb01:~# univention-ldapsearch univentionServerRole=master univentionService
# extended LDIF
#
# LDAPv3
# base <dc=firma,dc=de> (default) with scope subtree
# filter: univentionServerRole=master
# requesting: univentionService
#

# srvmucudcb01, dc, computers, firma.de
dn: cn=srvmucudcb01,cn=dc,cn=computers,dc=firma,dc=de
univentionService: LDAP
univentionService: NFS
univentionService: DNS
univentionService: univention-saml
univentionService: Univention Management Console
univentionService: Samba 3
univentionService: AD Member
univentionService: AD Connector
univentionService: NAGIOS
univentionService: RADIUS
univentionService: univention-self-service-passwordreset-umc
univentionService: univention-self-service
univentionService: Print
univentionService: Virtual Machine Manager

# search result
search: 3
result: 0 Success

# numResponses: 2
# numEntries: 1

sonnige Grüße,
Dirk


#4

Hmm, das sieht alles gut aus.
Ist auf dem Backup die UCR Variable ad/member gesetzt (ucr get ad/member)?

“Normalerweise” wird in univention-join eine spezielle "Entering AD Member Mode: " Funktion ausgeführt. Dies ist für den Samba-Join notwendig. Er macht dies, wenn die Domäne im AD Member Mode ist (es findet im LDAP ‘(&(univentionServerRole=master)(univentionService=AD Member))’, das ist anscheinend auch da) und der Rechner selbst nicht (die UCRV ad/member ist nicht true).

VG
Felix


#5

Auf dem Backup-DC

root@srvmucudcb03:~# ucr get ad/member
true

Auf dem Master-DC

root@srvmucudcb01:~# ucr get ad/member
true

Ist das jetzt gut oder schlecht?

Gruß,
Dirk


#6

Ah, der war schon gejoint und wird jetzt neu gejoint, da muss wohl vorher ein
ucr unset ad/member
auf dem backup gemacht werden, damit er wieder in den Member Mode Join kommt. Ist vielleicht ein Bug im univention-join, einen re-join sollte der schon unterstützen.
Kannst du das mal ausprobieren?

VG
Felix


#7

Hallo Felix,

ich hatte kaum noch Hoffnung den Backup-DC wiederzubeleben und überlegte schon, wann ich den neu installieren werde. Aber diese kleine unscheinbare fiese Kommando ucr unset ad/member war wie ein digitaler Defibrillator :slight_smile:

Herzlichen Dank!
Dirk