UMC und DNS ohne Master

roland.gsell · March 29, 2016, 11:47am

Hallo,

ich habe gerade in einer Test-Umgebung mit einem Master und einem Backup, ersteren zu Testzwecken einer fail-safe-Umgebung, heruntergefahren.

Danach musste ich aber feststellen, dass ich mir in der UMC keine Benutzer, Gruppen, DNS-Einträge oder andere Domain-spezifische Daten anzeigen lassen kann.
Die Fehlermeldung besagt im Prinzip, dass ich nachsehen soll, ob der Master läuft und erreichbar ist. (siehe Screenshot)

Sollte ich nicht zumindest die Einträge sehen können?
(wenn schon nicht modifizieren)

Viel schlimmer finde ich, dass auch der DNS-Dienst nicht richtig funktioniert, wenn der Master nicht läuft.
Der Dienst am Backup läuft natürlich und die UCR-Variable nameserver1 ist auf den Backup gesetzt. Gewisse DNS-Einträge werden auch gefunden (siehe weiter unten), aber alle nachträglich hinzugefügten Einträge einer neuen Forward-Lookup-Zone können nicht aufgelöst werden:

;; connection timed out; no servers could be reached

Mit “univention-ldapsearch relativeDomainName=hostname” sehe ich jedoch, dass kein Replikations-Problem am Backup vorliegt.

Das Problem tritt nur bei einer zusätzlich hinzugefügten Forward-Lookup-Zone auf: Die UCS-Domäne (firma.local) funktioniert, die zusätzliche Domäne (firma.at) funktioniert nicht.
Die Reverse-Lookup-Zonen funktionieren auch alle.

Was ist hier falsch eingestellt?

LG,
Roland.

Moritz_Bunkus · March 29, 2016, 2:37pm

Moin,

ein UCS DC Backup dient nicht als automatischer Fallback-Maschine, wenn der Master nicht erreichbar ist. So funktioniert UCS schlicht nicht. Der DC Backup dient einzig und alleine dem Zweck, dass er im Falle eines katastrophalen Problems auf dem Master zu einem Master hochgestuft und ab dann ausschließlich alle Aufgaben des Masters übernehmen kann. Die Doku sagt das auch aus, allerdings nicht so deutlich, wie man sich das manchmal wünscht.

Gruß,
mosu

SirTux · March 29, 2016, 6:31pm

[quote=“Moritz Bunkus”]
ein UCS DC Backup dient nicht als automatischer Fallback-Maschine, wenn der Master nicht erreichbar ist.[/quote]
Das ist prinzipiell richtig, dennoch sollte der DNS des Backups sämtliche Zonen der Domain kennen und auflösen können. Was ist die Ausgabe von

ls -l /etc/bind/univention.conf.d/

Sind alle Zonen dabei? Eventuell hilft auch ein

/etc/init.d/univention-bind restart

Fürs weitere gibts noch diese Anleitung, nach der man zumindest einige Dienste ausfallsicher gestalten kann.

Moritz_Bunkus · March 30, 2016, 7:49am

Moin,

wenn ich mich nicht ganz irre, dann verhält es sich wie folgt:

[ul][li]im Backup angelegte LDAP-Einträge werden zum LDAP auf dem Master synchronisiert[/li]
[li]der Directory-Notifier auf dem Master meldet an alle verbundenen Directory-Listener, dass eine Änderung vorliegt[/li]
[li]der Directory-Listener auf dem Backup bekommt diese Meldung und aktualisiert die Zonendateien seines lokal liegenden DNS-Servers[/li][/ul]

So ist es zumindest in meiner Testumgebung:

[0 root@backup ~] ps uw -u listener USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND listener 921 0.0 0.4 148896 25300 ? S Mär27 0:00 /usr/sbin/univention-directory-listener -F -b dc=mbu-test,dc=intranet -m /usr/lib/univention-directory-listener/system -c /var/lib/univention-directory-listener -o -d 2 -x [0 root@backup ~] lsof -Pni -a -p 921 COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME univentio 921 listener 4u IPv4 1820436 0t0 TCP 10.191.1.2:49201->10.191.1.1:6669 (ESTABLISHED) [0 root@backup ~]

Der Directory-Listener auf dem Backup (10.191.1.2) hat die Verbindung zum Notifier auf dem Master (10.191.1.1).

Wenn also Ihr Master nicht verfügbar ist, so kommen LDAP-Änderungen auf dem Backup nun mal nicht auf den betroffenen Diensten an.

Gruß,
mosu

roland.gsell · March 30, 2016, 12:57pm

Hallo,

in /etc/bind/univention.conf.d/ sind alle Zonen drin.
Ich habe auch die Files dort miteinander verglichen - das sieht alles ganz normal aus.

@mosu: Während der Master nicht läuft, möchte ich auch gar keine Änderung am Backup machen - nur die bereits bestehenden DNS-Einträge auflösen.
Wie gesagt, bei der ursprünglichen Forward-Lookup-Zone, die beim Einrichten von UCS erstellt wurde, geht alles und bei allen nachträglich hinzugefügten Reverse-Lookup-Zonen ebenfalls.

Warum also nicht bei der zusätzlichen Forward-Lookup-Zone?
Wo könnte ich noch den Fehler suchen?

Ich habe das Problem leider nicht nur in der Testumgebung, sondern auch beim Kunden.

LG,
Roland.

Moritz_Bunkus · March 30, 2016, 1:03pm

Moin,

OK, ich glaube, ich hatte das ursprüngliche Problem falsch verstanden.

Steht das DNS-Backend auf dem Backup auf LDAP oder Samba (»ucr get dns/backend«)? Falls Samba: ist der gewünschte Eintrag im Samba-LDAP vorhanden (»univention-s4search …«)?

Gruß,
mosu

roland.gsell · March 31, 2016, 7:20am

Das Backend ist am Backup ldap.
Am Master ist es samba4.

Moritz_Bunkus · March 31, 2016, 7:36am

Moin,

welche Nameserver sind denn für die manuell angelegte Zone eingetragen? Ich tippe mal darauf, dass dort nur der Master hinterlegt ist, was das Verhalten bei Ihnen erklären würde: der Backup sieht eine Anfrage für firma.at, schaut nach und sieht, dass nur der Master ein NS für firma.at ist und versucht dann, die Anfrage beim Master aufzulösen.

Bei der von UCS selber angelegten Zone sind immer der Master und alle Backups als NS eingetragen. Siehe Ausgabe von »udm dns/forward_zone list«.

Gruß,
mosu