Univention-join dc-slave schlägt fehl

openldap
join

#1

Hallo in die Runde,

nach dem Desaster Recovery eines DC-Slave Servers gelingt ein erneutes Joiner in die Domäne nicht.

univention-join bricht ab bei:

Check DC Master:                                           done
Stop LDAP Server:                                          done
Stop Samba Server:                                         done
Search ldap/base                                           done
Start LDAP Server:                                         done
Search LDAP binddn                                         done
Sync time:                                                 done
Join Computer Account:                                     done
Stopping univention-directory-listener daemon:  done
Sync ldap-backup.secret:                                   done
Check TLS connection:                                      done
Download host certificate:                                 done
Restart LDAP Server:                                       done
Sync Kerberos settings:                                    done
Not updating kerberos/adminserver
Configure 01univention-ldap-server-init.inst               done
Configure 03univention-directory-listener.inst             failed


**************************************************************************
* Join failed!                                                           *
* Contact your system administrator                                      *
**************************************************************************
* Message:  FAILED: 03univention-directory-listener.inst
**************************************************************************

Im Logfile erscheint der Hinweis, das keine Verbindung zu einem LDAP Server aufgebaut werden kann:

Not updating ldap/server/name
Not updating ldap/master
Setting kerberos/realm
File: /etc/krb5.conf
File: /etc/heimdal-kdc/kdc.conf
Setting windows/domain
File: /etc/logrotate.d/winbind
File: /etc/krb5.conf
Multifile: /etc/samba/smb.conf
Setting dns/forwarder1
File: /etc/bind/named.conf.proxy
File: /etc/bind/named.conf.samba4
Configure 01univention-ldap-server-init.inst Tue Jul 25 10:19:33 CEST 2017
2017-07-25 10:19:33.634491298+02:00 (in joinscript_init)
Warning: Unit file of slapd.service changed on disk, 'systemctl daemon-reload' recommended.
2017-07-25 10:19:34.137599321+02:00 (in joinscript_save_current_version)
Configure 03univention-directory-listener.inst Tue Jul 25 10:19:34 CEST 2017
2017-07-25 10:19:34.162638510+02:00 (in joinscript_init)
Setting ldap/database/ldbm/dbsync
Multifile: /etc/ldap/slapd.conf
25.07.17 10:19:35.126  DEBUG_INIT
25.07.17 10:19:35.127  LDAP        ( ERROR   ) : start_tls: Can't contact LDAP server
25.07.17 10:19:35.127  LISTENER    ( WARN    ) : can not connect to LDAP server ucs-dc:7389
25.07.17 10:19:35.127  LISTENER    ( ERROR   ) : can not connect any server, exit
Setting ldap/database/ldbm/dbsync
Multifile: /etc/ldap/slapd.conf
Restarting slapd (via systemctl): slapd.serviceWarning: Unit file of slapd.service changed on disk, 'systemctl daemon-reload' recommended.
.
Tue Jul 25 10:19:52 CEST 2017: finish /usr/sbin/univention-join```

Mich wundert dabei, dass zu keinem LDAP Server eine Verbindung aufgebaut werden kann. 

Verstehe ich falsch, dass die Verbindung zu LDAP durch /etc/machine.secret aufgebaut wird? 
Die Datei ist nach dem Recovery vermutlich nicht mehr aktuell, sollte doch aber durch den univention-join neu gesetzt werden, oder?

Ein univention-ldap-search klappt auf dem DC-Slave auch nicht. Auf dem DC klappt es problemlos.

#2

Auf welchen Versionen sind denn die beteiligten System?

gerne die komplette Ausgabe hier posten

root@ucs-slave:~# univention-app info

Ist im '/var/log/univention/join.log' eine genauere Ausgabe oder gar ein Traceback?


#3

Hallo Herr Stöckigt,

ich habe den Join nochmal mit Debug Option gestartet. Die entscheidende Stelle im Logfile weist auf den listener hin:

++ update_commands_upgrade='apt-get -o DPkg::Options::=--force-confold -o DPkg::Options::=--force-overwrite -o DPkg::Options::=--force-overwrite-dir -y --force-yes -u upgrade'
++ update_custom_postup=/var/lib/local-postup.sh
++ update_custom_preup=/var/lib/local-preup.sh
++ update_customatts_check=no
++ update_doc_releasenotes_description=http://download.univention.de/doc/
++ update_doc_releasenotes_url=http://download.univention.de/doc/
++ update_secure_apt=no
++ update_umc_nextversion=true
++ update_umc_updateprocess_easy=
++ update_warning_coloured=no
++ update_warning_lang=default
++ update_warning_releasenotes=
++ update_warning_tty='/dev/tty1 /dev/tty2 /dev/tty3 /dev/tty4 /dev/tty5 /dev/tty6 /dev/tty7'
++ update_warning=no
++ update24_pruneoldkernel=yes
++ update41_ignore_version=yes
++ update41_pruneoldkernel=yes
++ updater_identify=
++ updater_statistics=R:S
++ uuid_license=0107e699-39cd-443c-b6ec-6664acdc24d1
++ uuid_system=2cfb5777-887f-462d-865a-d550480a51d7
++ version_erratalevel=99
++ version_patchlevel=1
++ version_releasename=Lesum
++ version_security_patchlevel=9
++ version_version=4.2
++ winbind_autostart=no
++ windows_domain=HBI
++ windows_wins_server=localhost
++ windows_wins_support=yes
++ xorg_keyboard_options_XkbLayout=de
++ xorg_keyboard_options_XkbModel=
++ xorg_keyboard_options_XkbOptions=
++ xorg_keyboard_options_XkbVariant=
+ write_translog=
+ dn=
+ secret=
+ case "$server_role" in
+ '[' -e /var/lib/univention-ldap/listener/listener ']'
+ chown listener /var/lib/univention-ldap/listener/listener /var/lib/univention-ldap/listener/listener.lock
+ write_translog=1
+ case "$server_role" in
+ dn=cn=delphi,cn=dc,cn=computers,dc=DOMAIN
+ secret=/etc/machine.secret
+ univention-config-registry set ldap/database/ldbm/dbsync=10
Setting ldap/database/ldbm/dbsync
Multifile: /etc/ldap/slapd.conf
+ /usr/sbin/univention-directory-listener -i -d 4 -h ucsmaster.DOMAIN -b dc=DOMAIN -m /usr/lib/univention-directory-listeneMultifile: /etc/ldap/slapd.conf
+ /usr/sbin/univention-directory-listener -i -d 4 -h ucsmaster.DOMAIN -b dc=DOMAIN -m /usr/lib/univention-directory-listene
r/system -c /var/lib/univention-directory-listener -o -ZZ -x -D cn=delphi,cn=dc,cn=computers,dc=DOMAIN -y /etc/machine.secret
25.07.17 12:06:19.812  DEBUG_INIT
25.07.17 12:06:19.813  LISTENER    ( INFO    ) : purging cache
25.07.17 12:06:19.813  LDAP        ( INFO    ) : connecting to ldap://ucsmaster.DOMAIN:7389
25.07.17 12:06:19.813  LDAP        ( ERROR   ) : start_tls: Can't contact LDAP server
25.07.17 12:06:19.814  LISTENER    ( WARN    ) : can not connect to LDAP server ucsmaster.DOMAIN:7389
25.07.17 12:06:19.814  LISTENER    ( ERROR   ) : can not connect any server, exit
+ exit_status=1
+ univention-config-registry set ldap/database/ldbm/dbsync=
Setting ldap/database/ldbm/dbsync
Multifile: /etc/ldap/slapd.conf
+ sleep 15
+ '[' -f /etc/init.d/slapd ']'
+ /etc/init.d/slapd restart
Restarting slapd (via systemctl): slapd.serviceWarning: Unit file of slapd.service changed on disk, 'systemctl daemon-reload' recommended.
.
+ '[' 1 '!=' 0 ']'
+ exit 1
+ '[' 1 -ne 0 ']'
+ echo -e '\033[60Gfailed'
++ basename /usr/lib/univention-install/03univention-directory-listener.inst
+ failed_message 'FAILED: 03univention-directory-listener.inst'
+ echo ''
+ echo ''
+ echo '**************************************************************************'
+ echo '* Join failed!                                                           *'
+ echo '* Contact your system administrator                                      *'
+ echo '**************************************************************************'
+ echo '* Message:  FAILED: 03univention-directory-listener.inst'
+ echo '**************************************************************************'
+ exit 1
+ trapOnExit
+ rm -rf /tmp/tmp.4R2QrY5roD
+ '[' -n true -a true = true ']'
+ '[' -n 1 ']'
+ ucr set listener/debug/level=1
Setting listener/debug/level
++ LC_ALL=C
++ date

DC-Slave:

UCS: 4.2-1 errata99
App Center compatibility: 4
Installed: cups=1.7.5 dhcp-server=11.0.0 samba-memberserver=4.6 4.1/etherpad-lite=1.6.0
Upgradable:

DC-Master:
UCS: 4.2-1 errata99
App Center compatibility: 4
Installed: kde=4 self-service=2.0 uvmm=6
Upgradable

Für mich schaut das eher nach einem Problem auf dem DC-Master aus, oder?


#4

Hallo nochmals,

inzwischen haben wir das Problem anderweitig behoben. Zum Glück hatten wir noch einen - etwas älteren - Snapshot des betreffenden Systems “herumliegen”. Von diesem Snapshot aus konnte das System problemfrei wieder hergestellt werden.

Vielen Dank für Ihre Unterstützung