UCS verliert Vertrauensstellung zur AD-Domain/ zum DC

Wir haben einen UCS 3.2-3 errata206 als DC in eine bestehende Domäne aufgenommen. Sämtliche Rollen [Shcemamaster, …] liegen auf dem 2008R2 DC. Nun besteht das Problem, dass der UCS keine Replikation mehr mit dem 2008R2 durchführen kann. Meinen bisherigen Recherchen folgend hat der UCS die Vertrauensstellung zu der Domäne verloren.

Ein Windows-System würde ich nun manuell aus der Domäne entfernen und erneut hinzufügen. Bei dem UCS sollte dieses prinzipiell auch klappen, nur
[ul]
[li] Was geschieht mit den LDAP-Daten die per S4-Connector übertragen wurden? [/li]
[li] Gelingt dem S4-Connector die erneute Zuordnung? [/li]
[li] Werden die LDAP-Objekte neu angelegt? [/li][/ul]

root@ms-fs-ucs-001:/etc# samba-tool drs showrepl
Standardname-des-ersten-Standorts\MS-FS-UCS-001
DSA Options: 0x00000001
DSA object GUID: 803fb946-a03c-4613-b407-f686a49935e3
DSA invocationId: 407e0d1c-5d19-4d0a-9847-8c36608b5c53

==== INBOUND NEIGHBORS ====

DC=DomainDnsZones,DC=nelle-ms,DC=site
        Standardname-des-ersten-Standorts\SRV2 via RPC
                DSA object GUID: 9b49c40b-cff3-4e86-b41c-dba7cb942db4
                Last attempt @ Wed Jan 21 09:44:37 2015 CET failed, result 5 (WERR_ACCESS_DENIED)
                9885 consecutive failure(s).
                Last success @ Wed Nov  5 07:44:14 2014 CET

.
.
.
==== OUTBOUND NEIGHBORS ====

CN=Schema,CN=Configuration,DC=nelle-ms,DC=site
        Standardname-des-ersten-Standorts\SRV2 via RPC
                DSA object GUID: 9b49c40b-cff3-4e86-b41c-dba7cb942db4
                Last attempt @ Wed Jan 21 09:48:38 2015 CET failed, result 5 (WERR_ACCESS_DENIED)
                572958 consecutive failure(s).
                Last success @ Sun Nov  2 01:03:53 2014 CET
.
.
.
==== KCC CONNECTION OBJECTS ====

Connection --
        Connection name: c8cadc26-41ad-4ce6-926d-b7e21a37579c
        Enabled        : TRUE
        Server DNS name : srv2.nelle-ms.site
        Server DN name  : CN=NTDS Settings,CN=SRV2,CN=Servers,CN=Standardname-des-ersten-Standorts,CN=Sites,CN=Configuration,DC=nelle-ms,DC=site
                TransportType: RPC
                options: 0x00000001
Warning: No NC replicated for Connection!

Hallo,

ich weiß leider nicht wie UCS und er Connector sich dann verhalten. Evtl. können Sie einmal prüfen ob es ausreicht das Passwort des Rechnerkontos im AD zu korrigieren (das aktuelle Passwort steht in /etc/machine.secret auf dem UCS System). UCS Systeme ändern das Rechnerpasswort regelmäßig und ich weiß nicht ob das in Ihrem Szenario berücksichtigt wird.

Seit UCS 3.2-3 (evtl. auch schon früher, ich bin gerade nicht sicher) unterstützen wir übrigens den Join als Member in eine AD-Domäne regulär im Produkt, evtl. wäre das eine alternative zu der “Cool Solution” Lösung.

Mit freundlichen Grüßen
Janis Meybohm

Hallo Herr Meybohm,

vielen Dank für die flotte Antwort. Der Tipp mit dem Computer-Konto-Kennwort ist Gold wert. Ich werde zunächst den Weg versuchen, da ich damit eine Menge Arbeit sparen kann. Allerdings - unter Windows kann ich das Conputer-Kennwort eines DC (hier des UCS) nicht über “AD Benutzer und Computer” ändern. Eine kurze Recherche brachte dazu keine direkte Lösung - nur Beispiele mit

netdom resetpwd /s:Domain-Controller /ud:Domäneadministrator /pd:* was mir IMHO hier nicht hilft, oder? Haben Sie einen Tipp wie das Computer-Konto-Kennwort eines DC ändern kann? Mittel adsiedit?

Hallo,

nicht wirklich (ich habe es zumindest noch nie gemacht). Set-ADAccountPassword sieht aber vielversprechend aus.

Mit freundlichen Grüßen
Janis Meybohm

Hallo Herr Meybohm,

basierend auf den vorliegenden Informationen und der damit verbundenen Unsicherheit werde ich wie folgt vorgehen -
[ol]
[li] Evaluierung ob/ wie das Kennwort eines DC-Computer-Kontos zurück gesetzt werden kann[/li]
[li] Wenn 1. nicht funktioniert, dann einen UCS 4 Server neu aufsetzen, der Domäne hinzufügen und die LDAP-Daten/ LDAP-Anpassungen der Benutzer/ der Gruppen nachpflegen [/li]
[li] Umstellung der Linux-Systeme und Web-Anwendugen auf den UCS 4[/li]
[li] Wenn 3. erfolgreich ist, dann zum Test einen LDAP-Dump auf dem UCS 3 durchführen, den UCS 3 manuell aus der Domäne entfernen, erneut hinzufügen und schauen was im LDAP geschieht[/li][/ol]

Somit habe ich den kontinuierlichen Betrieb gewährleistet und kann anschließend in Ruhe Tests durchführen.

Mastodon