Windows AD anbindung

Hallo,

Habe ein Open-Xchange-demo-UCS runtergeladen und installiert. Ich möchte dieser Server jetzt an meiner Windows Domäne anbinden. Die Windows Domäne ist eine Child-Domain.

Dazu habe ich die AD-Connection-App installiert.

wenn ich dann den Wizard laufen lasse für die Windows AD Anbindung (als domain member) bekomme ich folgende Fehlermeldung :

Could not connect to AD Server xxx. Please verify that username and password are correct.

in management-console-module-adconnector.log :
08.12.14 17:22:38.299 MODULE ( PROCESS ) : Failed to get SID from AD: {‘info’: ‘Referral:\nldap://xxx/DC=xxx,DC=com’, ‘desc’: ‘Referral’}

08.12.14 17:22:38.299 MODULE ( ERROR ) : well-known-sid-object-rename failed with 1 ()
08.12.14 17:22:38.299 MODULE ( ERROR ) : Join process failed [connectionFailed]: Connection to AD failed
08.12.14 17:22:38.299 MODULE ( ERROR ) : Could not connect to AD Server xxx. Please verify that username and password are correct.
08.12.14 17:22:38.299 MODULE ( PROCESS ) : Join has been finished with errors.

der Username und password stimmt. da bin ich 100% sicher.

Hatte jemand schon so ein Problem ?

Danke

Hallo,

Das ISO, welches man bei Open Xchange findet, ist doch schon einige Monate alt. Da Sie es nicht explizit erwähnt haben:
Sind alle Updates und Errata eingespielt?
Ist das System noch auf UCS 3.2 oder schon UCS 4?

Ist der Username “Administrator”?
Die Dokumentation ist an dieser Stelle im Moment nicht klar genug. Wir hatten vor Kurzem in einem Projekt ein Setup, bei dem der Administrator der Windows Domain (der mit der “well known RID 500”, siehe Well-Known SID Structures) umbenannt war. Die Verfahrensweise muß dann etwas angepasst werden.

Viele Grüße,
Dirk Ahrnke

Ja updates wurden eingespielt aber nur bis 3.2-4 errata247
danach müsste man Open-Xchange App Suite upgrade und dafür braucht man eine Lizenz.

für den Domain Join habe es NICHT die dem Windows Domänen Administrator Account probiert. Ich habe ein Domain-Admin Account benutzt.

Hallo,

das ist das, was ich damit meinte, die Dokumentation sei nicht klar genug formuliert.
Da steht: “Hier sollte das Standard-AD-Administratorkonto verwendet werden.” Besser wäre “Hier muß…”.
Dem heute als “RESOLVED FIXED” markierten [bug]35562[/bug] wird in den nächsten Tagen ein Errata folgen, nach dem man da gar nichts anderes als den Standard-Administrator mehr angeben kann. Wie er auch immer heißen mag ([bug]36776[/bug]).
Ich weiß nicht, ob es sinnvoll ist, nach einem Enhancement zu fragen, daß es auch mit anderen Konten aud “Domain Admins” gehen soll. Die Mechanismen, eine Windows-Maschine zu joinen, sind offensichtlich anders.

Viele Grüße,
Dirk Ahrnke

Hallo,

Habe es mit Administrator probiert => Gleiche Meldung.

Wir vermuten das er die Child Domäne nicht anbinden kann weil wir versuchen den UCS an fogende Domäne anzubiden : dc=asp,dc=firma,dc=com

und in den Logs sehe ich
Setting UCR variables: [u’connector/ad/ldap/host=AD13.asp.firma.com’, u’connector/ad/ldap/base=DC=firma,DC=com’,

die Ldap base variable stimmt ja gar nicht !

noch ein Bug ?

Danke

Gruß

Hallo,
so ganz habe ich es noch nicht verstanden…
Haben Sie den UCS unter Verwendung der Base-DN " dc=asp,dc=firma,dc=com" oder “dc=firma,dc=com” installiert?

Es muß diejenige sein, die auch vom AD, in das gejoined werden soll, verwendet wird.
Wobei ich nicht sicher bin, ob ein Szenario mit einer Child-Domain bereits getestet wurde.

Viele Grüße,
Dirk Ahrnke

Der UCS ist unter der Base-DN " dc=asp,dc=firma,dc=com" installiert.

Hallo,

wenn Sie das grundsätzlich und über den offiziellen Weg geklärt haben wollen, empfehle ich, erst einmal Kontakt zum Univention-Vertrieb aufzunehmen.

Ansonsten können meine Kollegen und ich versuchen, einmal ein generelles Repro-Setup zu bauen. Das kann aber durchaus ein paar Tage dauern, ich will mich da im Moment nicht festlegen.

Viele Grüße,
Dirk Ahrnke

Ok, Vielen Dank,

Wir warten mal bis Sie das Selber getestet haben.

Viele grüße…

kann man das AD-Join per Kommando ausführen so dass ich den basedn händisch eingeben kann ?

gibt es hier was neues ?

Hallo,

bisher konnte dieser Fall leider nicht mit positivem Ergebnis getestet werden (#37626).
Ich gehe davon aus, dass dies zu einer kommenden Version noch einmal diskutiert werden wird.

Mit freundlichen Grüßen,
Tim Petersen

Mastodon