UCS Memberserver / DC mit AD Funktionslevel 2012

german

#1

Hallo,

wir testen seit einiger Zeit den UCS 4 haben aber in unserer Umgebung das Problem, dass seit dem Release vom Windows Server 2012 auch der AD Funktionslevel auf 2012 heraufgestuft wurde.
Dies war ziemlich übereifrig, da wir den Level gar nicht benötigen.
Samba 4 unterstützt den 2012 Funktionslevel ja leider nicht und schlägt mit einem Join-Error fehl.

Nun haben wir einen Test-DC 2012 mit AD Funktionslevel 2012 installiert.
Wie zu erwarten schlägt der UCS Samba Join zum Schluss fehl.

[code]univention-run-join-scripts started
Di 12. Mai 15:23:34 CEST 2015

RUNNING 26univention-samba.inst
2015-05-12 15:23:34.072429735+02:00 (in joinscript_init)
INFO: Cannot run joinscript in memberserver mode without join credentials. Please run:
univention-run-join-scripts --ask-pass
to complete the domain join.
EXITCODE=2

Di 12. Mai 15:23:34 CEST 2015
univention-run-join-scripts finished[/code]

Bei Ausführung des Befehls mit den nötigen Credentials erhalten wir nur “Access denied”.

Da wir in Erwägung ziehen unsere AD Funktionslevel 2012 Domäne auf 2008R2 herabzustufen, haben wir dies am Test-DC 2012 getestet.
Leider bekommen wir auch dort denselben Fehler.

Kann Univention etwas zu diesem Fehler sagen?
Wurde so etwas schon einmal getestet?


#2

Hallo,
uns würde es auch sehr interessieren, welcher AD Funktionslevel in Samba4 auf UCS überhaupt unterstützt wird!
MBG,
TP


#3

Hallo,

Nach meinen Tests funktioniert alles wenn man in der Windows-AD-Domäne die Forest- und den Domain-Funktionalität auf Windows 2008R2 reduziert, ich hatte genau den von Dir geschilderten Fall (mit Samba 4.1). In der Powershell:

Set-ADForestMode -Identity "mydomain.example.org" -ForestMode Windows2008R2Forest Set-ADDomainMode -Identity "mydomain.example.org" -DomainMode Windows2008R2Domain

Ein kurzer Überblick über die verschiedenen Funktionslevel findet sich im Technet: technet.microsoft.com/library/u … 10%29.aspx
Ich finde folgenden Link ganz nützlich: blogs.technet.com/b/askds/archiv … level.aspx

Meine letzten Tests waren vor einiger Zeit mit Samba 4.1.x, inzwischen ist ja Samba 4.2 aktuell. Der Standard in Samba 4.1.x war auf 2003, was der jetzige Level ist müsstest Du nachsehen: # samba-tool domain level show
Von daher bitte noch einmal mit Univention reden: Inzwischen könnte das auch “einfach so” klappen.

Zur Frage nach dem Funktionslevel: Bei meinen Tests hatte ich mit Windows 2008R2 keinerlei Probleme.

Gruß Lutz


#4

[quote=“lutz.willek”]Hallo,
Meine letzten Tests waren vor einiger Zeit mit Samba 4.1.x, inzwischen ist ja Samba 4.2 aktuell. Der Standard in Samba 4.1.x war auf 2003, was der jetzige Level ist müsstest Du nachsehen: # samba-tool domain level show
Von daher bitte noch einmal mit Univention reden: Inzwischen könnte das auch “einfach so” klappen.

Zur Frage nach dem Funktionslevel: Bei meinen Tests hatte ich mit Windows 2008R2 keinerlei Probleme.

Gruß Lutz[/quote]

Hallo,
In Samba4 auf UCS wird 2008R2 unterstützt.
Ein join gegen 2012er Domäne sollte aber eigentlich funktionieren. Leider ist die Fehlermeldung nicht aussagekräftig genug um das zu debuggen - dazu ist eine tiefere Analyse nötig.

Gruß,
Jens Thorp-Hansen


#5

My 5ct - alle für uns interessanten Funktionen sind in 2008R2 implementiert, 2012 und höher wird vielleicht irgendwann mal interessant. Insofern reicht das für uns vollkommen.


#6

Ich weiß die Problematik ist schon etwas älter, aber wir haben wieder einmal einen Versuch gestartet, den UCS, jetzt in Version 4.1, gegen unser AD 2012 zu joinen.
Er scheitert wieder beim 26univention-samba Skript, die Fehlermeldung ist aber diesmal anders (neue UCS VM):

[quote]univention-run-join-scripts started
Fr 27. Nov 13:16:41 CET 2015

RUNNING 26univention-samba.inst
2015-11-27 13:16:41.774215033+01:00 (in joinscript_init)
Not updating samba/role
Setting samba/domain/security
Multifile: /etc/samba/smb.conf
Setting samba/autostart
Multifile: /etc/samba/smb.conf
Not updating samba/autostart
Stopping the Winbind daemon: winbind.
Setting samba/user
Not updating samba/user/pwdfile
Multifile: /etc/samba/smb.conf
Setting stored password for “cn=ucs-dc1,cn=dc,cn=computers,dc=ucs-test=de” in secrets.tdb
setting idmap secret for ‘*’ from /etc/machine.secret
Secret stored
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.
Object modified: cn=ucs-dc1,cn=dc,cn=computers,dc=ucs-test,dc=de
Failed to join domain: failed to find DC for domain UCS-TEST
Failed to join domain: Invalid configuration (“workgroup” set to ‘UCS-TEST’, should be ‘UCS-DC1’“realm” set to ‘’, should be ‘(null)’) and configuration modification was not requested
Failed to join domain: Invalid configuration (“workgroup” set to ‘UCS-TEST’, should be ‘UCS-DC1’“realm” set to ‘’, should be ‘(null)’) and configuration modification was not requested
ERROR: Failed to join via net rpc join. Please check your Samba DCs and your DNS and WINS configuration.
EXITCODE=1

Fr 27. Nov 13:16:53 CET 2015
univention-run-join-scripts finished[/quote]

Das lokale Administrator Konto scheint nicht mehr zu funktionieren, aber ich kann mich mit meinen Daten vom Domänen-Join an der UCS Konsole anmelden.
Bei den Benutzern sind 2 aus der AD Domäne eingetragen, das Domänen-Join Anmeldekonto und das Konto, welches das AD Schema zum ersten Mal erstellt hat.

Könnte der Fehler weiterhin am 2012 Funktionslevel liegen?


#7

Hallo,

ich hab hier eine Test-Installation mit Windows Server 2012 R2, Domain- und Forest-Level ebenfalls 2012 R2 und einem UCS 4.0 konfiguriert als Mitglied der MS AD Domäne. Bislang hatte ich keine Probleme bei der Einrichtung und Betrieb, die Funktionsebenen sind hier imho nicht das Problem.

Das hier klingt schon irgendwie schräg:

Failed to join domain: failed to find DC for domain UCS-TEST Failed to join domain: Invalid configuration ("workgroup" set to 'UCS-TEST', should be 'UCS-DC1'"realm" set to '', should be '(null)') and configuration modification was not requested

Gibts Unterschiede zwischen dem DNS-Domänennamen und dem Netbios-Domänennamen (oder Legacy domain name oder Pre-Windows-2000 domain name oder wie Microsoft das jetzt nennt)?


#8

Hallo,

wir haben genau das gleiche Problem. Ein Join erfolgt nicht, der Administrator-Account erlaubt keinen Login mehr, 2 User aus dem AD sind aber im UCS angelegt, die sich komischwerweise im UCS anmelden können
Eine Neuinstallation des UCS mit Beitritt in eine AD-Domaine zeigt im /var/log/univention/join.log folgendes:

Thu Dec 3 12:45:54 CET 2015: starting /usr/share/univention-join/univention-join -dcaccount domainadmin -dcpwd /tmp/tmp.waz132ydOI
ssh: connect to host dc.domain.de port 22: Connection refused
Thu Dec 3 12:45:54 CET 2015: finish /usr/share/univention-join/univention-join
Thu Dec 3 12:50:22 CET 2015: starting /usr/sbin/univention-join
Thu Dec 3 15:24:03 CET 2015: finish /usr/sbin/univention-join
Thu Dec 3 15:50:39 CET 2015: starting /usr/sbin/univention-join
ssh: connect to host ss2-dc5.atb-potsdam.de port 22: Connection refused
Thu Dec 3 15:51:00 CET 2015: finish /usr/sbin/univention-join
Thu Dec 3 15:52:54 CET 2015: starting /usr/sbin/univention-join
ssh: connect to host ss2-dc5.atb-potsdam.de port 22: Connection refused
Thu Dec 3 15:53:07 CET 2015: finish /usr/sbin/univention-join

Etliche Versuche scheiterten kläglich am join. Ein herunterstufen auf 2008-Level brachte auch nichts. Gibt es dafür schon eine Lösung?
Mit diesem Problem schlagen wir uns schon ein halbes Jahr rum.


#9

Bei mir klappt nach der UCS Installation das Beitreten in eine Windows Server 2008 R2 als auch Windows Server 2012 Domäne nicht.

Es kommt immer der Feher: “ssh-login for administrator@meinedomain.local failed”

Admin Namen und PW sind aber 100% richtig. Das ganze hat auch mit einer älteren UCS Version schonmal geklappt! die USC ISO Version habe ich mir heute neu gesaugt.


#10

Moment, wieso wird denn da ein SSH-Login gemacht? Gegen den Windows Server ja höchstwahrscheinlich nicht :wink: Habt ihr mehr als ein UCS System das ihr der AD Domäne beitreten lassen wollt? Notnagel und tommasch111, könntet ihr bitte eure Umgebung skizzieren und beschreiben was ihr wie genau versucht habt?


#11

Moin,

das mit dem SSH hat mich auch gewundert aber da ich nur ein Amateur-Kochbuch-Admin bin war ich mir da nicht sicher ob das bei einer Windows Domäne nicht doch passen kann…

Besonderheit ist das bei einem Versuch bereits ein UCS System im Netzwerk läuft (als Member Server in einer Windows Domäne) beim anderen Standort ein anders UCS System lief das ich direkt vor der Neuinstallation gelöscht habe. Ebenso das UCS Computerkonto in der Domäne.

Aber ansonsten habe ich im Installationsdialog genau das gemacht was vorher schon mal geklappt hat: Neues UCS System als neuer Memberserver in einer Windowsdomäne. Netzwerk, DNS, DHCP, Domänen Anmeldeserver wurde alles automatisch erkannt. Nur wenn es dann an die Konfiguration geht kommt die Fehlermeldung. Auch wenn ich das ignoriere und den Domänenbeitritt direkt aus dem laufenden UCS machen will gehts nicht.

Da fällt mir noch was ein: Auf dem einen System läuft ja ein funktionierender UCS der auch Mitglied der Domäne ist. Bei dem wurde vor einer Weile dann auf UCS 4.1 geupdates. (das mit dem SingleSignOn) Beim Update kam hinterher auch eine Meldung das ein Teil der Domänenanmeldung nicht funktioniert hätte und ich das nachziehen soll. Genauer gesagt handelt es sich um das Join Skript: “92univention-management-console-web-server” was an der Authentifizierung scheitert.

Sieht für mich danach aus als wäre es seit dem 4.1er Update nicht mehr funktionsfähig. Ich kann ja mal eine ältere Version versuchen.

Update: Ich habe es nochmal mit einer älteren 4.0er Version probiert auf dem System auf dem ich das alte UCS einfach gelöscht hatte. Und wenn ich mir da die Fehlermeldung mit dem fehlerhaften SSH Login ansehe dann will der sich gar nicht am Windows Server anmelden sondern an dem alten gelöschten UCS System!!! Keine Ahnung was das soll bzw. woher er die Informationen dafür hat? wahrscheinlich vom DNS Server…

Tja. was soll das? Ist das normal das ein neues UCS System irgendwie Kontakt aufnehmen will mit alten UCS Systemen obwohl ich das gar nicht will und das alte Ding gelöscht und deswegen gar nicht mehr erreichbar ist?


#12

[quote=“Notnagel”]
Update: Ich habe es nochmal mit einer älteren 4.0er Version probiert auf dem System auf dem ich das alte UCS einfach gelöscht hatte. Und wenn ich mir da die Fehlermeldung mit dem fehlerhaften SSH Login ansehe dann will der sich gar nicht am Windows Server anmelden sondern an dem alten gelöschten UCS System!!! Keine Ahnung was das soll bzw. woher er die Informationen dafür hat? wahrscheinlich vom DNS Server… [/quote]

Deine Vermutung wird schon in die richtige Richtung gehen. Da solltest du den DNS mal hiernach durchsuchen. Ansonsten wird meines Wissens übrigens nur ein UCS Master pro Windows-Domain unterstützt. Weitere UCS-Systeme müssen dann als UCS DC Backup/Slave oder Memberserver der Domain beitreten.


#13

Sowohl der alte gelöschte als auch der neue UCS waren und sollen als Member Server laufen. Ich hatte nie ein UCS System als Master oder Backup laufen…


#14

Naja das erste UCS-System muß aber ein UCS DC Master (nicht zu verwechseln mit einem AD DC!) sein.


#15

Das wäre mir neu und das halte ich für ind er Sache falsch.

Wie gesagt habe ich ja einen UCS als ganz normalen Member Server in einer Windows Domäne laufen.


#16

Naja vielleicht reden wir ja aneinander vorbei:

docs.software-univention.de/hand … nenkonzept