Verwaistes Object im LDAP/Samba4 entfernen

samba-ad
german

#1

Hallo zusammen,

ich habe einen verwaisten Eintrag im Samba, den ich nicht löschen kann und der
mir folgende Fehler beschert:

root@admaster:~# samba-tool drs showrepl
Default-First-Site-Name\ADMASTER
DSA Options: 0x00000001
DSA object GUID: 440faa25-da65-406f-8bba-76f8f254f55d
DSA invocationId: b3380174-eef4-45dc-93c6-10e062fa71f6

==== INBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:31:28 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                67871 consecutive failure(s).
                Last success @ NTTIME(0)

DC=DomainDnsZones,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:31:28 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                67871 consecutive failure(s).
                Last success @ NTTIME(0)

DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:31:29 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                67871 consecutive failure(s).
                Last success @ NTTIME(0)

CN=Schema,CN=Configuration,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:31:29 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                67871 consecutive failure(s).
                Last success @ NTTIME(0)

CN=Configuration,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:31:29 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                67871 consecutive failure(s).
                Last success @ NTTIME(0)

==== OUTBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:35:20 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4064332 consecutive failure(s).
                Last success @ NTTIME(0)

DC=DomainDnsZones,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:35:20 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4064273 consecutive failure(s).
                Last success @ NTTIME(0)

DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:35:15 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4063987 consecutive failure(s).
                Last success @ NTTIME(0)

CN=Schema,CN=Configuration,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:35:15 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4063246 consecutive failure(s).
                Last success @ NTTIME(0)

CN=Configuration,DC=bundr,DC=intranet
        Default-First-Site-Name\UCS-VIRTTEST via RPC
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Tue Jan 30 15:35:15 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4062225 consecutive failure(s).
                Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Connection --
        Connection name: a4da1149-9136-4279-88bc-bb6187abed2a
        Enabled        : TRUE
        Server DNS name : ucs-virttest.bundr.intranet
        Server DN name  : CN=NTDS Settings,CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet
                TransportType: RPC
                options: 0x00000001
Warning: No NC replicated for Connection!

Ein univention-s4search ergibt folgendes:

root@admaster:~# univention-s4search cn=ucs-virttest
# Referral
ref: ldap://bundr.intranet/CN=Configuration,DC=bundr,DC=intranet

# Referral
ref: ldap://bundr.intranet/DC=DomainDnsZones,DC=bundr,DC=intranet

# Referral
ref: ldap://bundr.intranet/DC=ForestDnsZones,DC=bundr,DC=intranet

# returned 3 records
# 0 entries
# 3 referrals
root@admaster:~#

Ok, dachte ich mir, ich bin vorsichtig, ich weiss was ich tue ^^ und versuchte den Eintrag zu löschen mit:

root@admaster:~# ldbdel -H /var/lib/samba/private/sam.ldb CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet
delete of 'CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet' failed - (Not allowed on non-leaf) subtree_delete: Unable to delete a non-leaf node (it has 1 children)!

Ich nehme an, das ich erst die untergeordneten Einträge zu diesem Rechner löschen muss ?
Wie mache ich das denn ?

Bin über jede Hilfestellung dankbar.

Oliver


#2

Mag sein, dass es nicht der optimale Weg war, aber ich habe dieses Problem kürzlich mit ADSIEdit gelöst. Damit kann man beim Verbinden angeben, dass mit CN=Configuration gearbeitet werden soll.

hth,
Dirk Ahrnke


#3

Hallo Dirk,

heisst, ich würde erst die DSA-Objekte Inbound Neighbors, Outbound Neighbors, KCC Connection
händisch löschen und anschliessend das Rechnerobjekt ucs-virttest ?

Gruß,
Oliver


#4

Probieren Sie mal statt dessen univention-s4search --cross-ncs cn=ucs-virttest. Dann sollte das Objekt auch gefunden werden. Analog sollten Sie die DNs der Kinder mit folgendem Befehl finden können:

univention-s4search --cross-ncs -b CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet dn

Gruß
mosu


#5

Hallo mosu,

ja, finde sie mit deinen Befehlen:

root@admaster:~# univention-s4search --cross-ncs cn=ucs-virttest
# record 1
dn: CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet
objectClass: top
objectClass: server
cn: UCS-VIRTTEST
instanceType: 4
whenCreated: 20170608085232.0Z
whenChanged: 20170608085232.0Z
uSNCreated: 74455
uSNChanged: 74455
showInAdvancedViewOnly: TRUE
name: UCS-VIRTTEST
objectGUID: d081c743-7a0f-45d4-8bc3-f985ea139d54
systemFlags: 1375731712
dNSHostName: ucs-virttest.bundr.intranet
objectCategory: CN=Server,CN=Schema,CN=Configuration,DC=bundr,DC=intranet
distinguishedName: CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Si
 tes,CN=Configuration,DC=bundr,DC=intranet

# returned 1 records
# 1 entries
# 0 referrals

root@admaster:~# univention-s4search --cross-ncs -b CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet dn
# record 1
dn: CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet

# record 2
dn: CN=NTDS Settings,CN=UCS-VIRTTEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet

# returned 2 records
# 2 entries
# 0 referrals

Heisst, ich lösche mit ldbdel erst den Child-Eintrag und dann den ucs-virttest-Eintrag?

Gruß,
Oliver


#6

Huhu,

ja genau das meinte ich.

Gruß
mosu


#7

Hallo Mosu,

Löschung von Child und ucs-virttest_Eintrag hat geklappt.

Jetzt zeigt mir samba-tool nur noch folgende Fehler an:

root@admaster:~# samba-tool drs showrepl
Default-First-Site-Name\ADMASTER
DSA Options: 0x00000001
DSA object GUID: 440faa25-da65-406f-8bba-76f8f254f55d
DSA invocationId: b3380174-eef4-45dc-93c6-10e062fa71f6

==== INBOUND NEIGHBORS ====

==== OUTBOUND NEIGHBORS ====

DC=ForestDnsZones,DC=bundr,DC=intranet
        NTDS DN: CN=NTDS Settings\0ADEL:d428e842-034f-4d62-9d0f-3dbb07bb3932,CN=UCS-VIRTTEST\0ADEL:d081c743-7a0f-45d4-8bc3-f985ea139d54,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Fri Feb  2 15:18:12 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4115875 consecutive failure(s).
                Last success @ NTTIME(0)

DC=DomainDnsZones,DC=bundr,DC=intranet
        NTDS DN: CN=NTDS Settings\0ADEL:d428e842-034f-4d62-9d0f-3dbb07bb3932,CN=UCS-VIRTTEST\0ADEL:d081c743-7a0f-45d4-8bc3-f985ea139d54,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=bundr,DC=intranet
                DSA object GUID: d428e842-034f-4d62-9d0f-3dbb07bb3932
                Last attempt @ Fri Feb  2 15:18:12 2018 CET failed, result 2 (WERR_FILE_NOT_FOUND)
                4115816 consecutive failure(s).
                Last success @ NTTIME(0)

==== KCC CONNECTION OBJECTS ====

Wie werde ich denn die noch los ?

Gruß,
Oiver


#8

Alles erledigt,
der DC musste wohl erstmal kurz nachdenken :slight_smile:

Besten Dank an Dirk und Mosu

Wollte euch beiden einen Haken für die Lösung des Problemes geben, kann aber nur einen verwenden.


#9

Wundarbar, freut mich, dass nun alles wieder OK ist :slight_smile:


#10

Nachtrag:

Ich hatte mich schon immer gewundert, warum ca. alle 2 Stunden eine Lastspitze in der Systemauslastung des DC angezeigt wurde. Ich hatte das immer damit interpretiert, das ich damals ein grösseres UpDate auf den Systemen gefahren hatte. Das diese Lastspitzen allerdings auf meinen Eintrag zum verwaisten LDAP-Eintrag zurückzuführen sind, hätte ich nicht für möglich gehalten. Die Spitze heute morgen war das Full-Backup des DC, das kann ich nachvollziehen. Falls jemand vielleicht ein ähnliches Phänomen hat, ist das vielleicht eine Spur.

Viele Grüße,
Oliver