Verbindungsprobleme zur AD-Domäne

Hallo,

wir haben ein UCS mit Kopano seit mehreren Jahren am Laufen.

Dabei ist der UCS Server Teil einer Active Directory-Domäne und hat keine verschlüsselte SSL Verbindung.

Für den Update auf UCS 5 habe ich die Apps Kopano Core und WebApp geupdatet. Der erste Versuch war Fehlerhaft und darum habe ich Snapshot zurückgespielt. Der zweite Versuch des Updates (Kopano Core und WebApp) war dann erfolgreich und der Server lief wieder normal. Aktuell ist das System auf UCS 4.4-9 errata 1279.

Als ich dann einen neuen Benutzer Anlegen musste, stellte ich fest, dass keine Änderungen in AD-Domäne vom UCS System erkannt werden.

Was ist festgestellt habe ist, dass das Server Password nicht neu gesetzt werden kann.

Hier die Logs von /var/log/univention/server_password_change.log

[2022-10-02 01:03:08.100197555] Starting server password change
[2022-10-02 01:03:08.286650372] Proceeding with regular server password change scheduled for today
run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/70kopano prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/portal-server-password-rotate prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-admin-diary prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-directory-manager-rest prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd prechange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba prechange
Object modified: cn=ucs-server,cn=dc,cn=computers,dc=ADGROUP,dc=LOKAL
run-parts: executing /usr/lib/univention-server/server_password_change.d/50univention-mail-server postchange
File: /etc/listfilter.secret
Multifile: /etc/postfix/ldap.distlist
Multifile: /etc/postfix/ldap.groups
Multifile: /etc/postfix/ldap.external_aliases
Multifile: /etc/postfix/ldap.sharedfolderlocal
Multifile: /etc/postfix/ldap.virtualwithcanonical
Multifile: /etc/postfix/ldap.virtual_mailbox
Multifile: /etc/postfix/ldap.sharedfolderremote
Multifile: /etc/postfix/ldap.sharedfolderlocal_aliases
Multifile: /etc/postfix/ldap.virtual
Multifile: /etc/postfix/ldap.canonicalrecipient
Multifile: /etc/postfix/ldap.transport
Multifile: /etc/postfix/ldap.canonicalsender
Multifile: /etc/postfix/ldap.saslusermapping
Multifile: /etc/postfix/ldap.virtualdomains
run-parts: executing /usr/lib/univention-server/server_password_change.d/70kopano postchange
Setting kopano/cfg/ldap/ldap_bind_passwd
Module: kopano-cfg
dpkg-query: no packages found matching kopano4ucs-multiserver
run-parts: executing /usr/lib/univention-server/server_password_change.d/portal-server-password-rotate postchange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-admin-diary postchange
e324bde8-624e-425c-a88d-f7beea021be3
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-bind postchange
[2022-10-02 01:03:25.378777757] updating bind9 zone files after server password change
[2022-10-02 01:03:25.381748037] reload or restart bind9 after server password change
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-directory-manager-rest postchange
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-libnss-ldap postchange
File: /etc/libnss-ldap.conf
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-nscd postchange
Restarting nscd (via systemctl): nscd.service.
run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba postchange
Password change failed: Preauthentication failed
machine password stored successfully in secrets.tdb
Setting stored password for “cn=ucs-server,cn=dc,cn=computers,dc=ADGROUP,dc=LOKAL” in secrets.tdb
setting idmap secret for ‘*’ from /etc/machine.secret
Secret stored
Stopping smbd (via systemctl): smbd.service.
Stopping nmbd (via systemctl): nmbd.service.
Starting nmbd (via systemctl): nmbd.service.
Starting smbd (via systemctl): smbd.service.
Restarting winbind (via systemctl): winbind.service.
[2022-10-02 01:03:32.878023250] done
[2022-10-03 01:01:00.418100126] Starting server password change
[2022-10-03 01:01:00.594643846] No server password change scheduled for today, terminating without a change

Wie bekomme ich die Verbindung wieder zum Laufen?

Dieses Problem habe ich auch. Hier sieht das so aus.

run-parts: executing /usr/lib/univention-server/server_password_change.d/univention-samba postchange
Password change failed: Operation not permitted

In /etc/machine.secret steht ein neues Password drin, welches aber für die Anmeldung am AD-Server nicht geht.

Bis jetzt kenne ich zwei Lösungen:

1. Das Passwort des Computeraccounts auf der Domäne ändern. Das geht so.
   In einer Powershell als Domänenadmin auf dem AD-Server

Set-ADAccountPassword ‘CN=druckserver,CN=Computers,DC=delta,DC=local’ -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “<Inhalt von /etc/machine.secret>” -Force)

2. automatischen Passwordwechsel deaktivieren
   Standard ist da 21 Tage

root@druckserver:/var/log/univention# ucr search server/password/interval
server/password/interval: 21
 The password of the machine account is renewed regularly. This variable configures the rotation interval in days.

ucr set server/password/interval=2000

Damit sollte das Problem erst nach meiner Rente wieder auftreten ;), wobei ich natürlich nicht weiß welche anderen Seiteneffekte auftreten können. Ich denke, den Server gibts bis dahin auch nicht mehr.

Lieber wäre mir natürlich, wenn man eine andere Lösung hätte.

Warum der Server das Passwort seines Computerkontos auf der Domäne nicht ändern darf, ist noch das Geheimnis von Microsoft scheint mir. Dazu habe ich noch nix gefunden.

–
Grüße
/jk

Danke Dir. Step 1 war die einfachste Lösung!