Fehler beim Joinen von Backup oder Slave Instanzen

Hallo,

zum evaluieren vom UCS habe folgendes Test-Setup mit EC2 Instanzen mit dem UCS AMI erstellt:

adm-01 (AD Master)
adm-02 (AD Backup)
ads-01 (Slave 1)
ads-02 (Slave2)

Ich wollte jetzt ein Worst Case Szenario durchspielen:

Der AD Master (adm-01) reagiert nicht mehr und muss durch den AD Backup (adm-02) ersetzt werden.

  1. adm-01 in AWS Konsole gestoppt bzw. terminiert
  2. auf adm-02 das Skript /usr/lib/univention-ldap/univention-backup2master ausgeführt
  3. adm-02 neugestartet
  4. mit ldapsearch Queries auf Funktionalität geprüft
  5. Einträge, die adm-01 referenzieren gelöscht.

So weit, so gut .

Wenn ich jetzt aber einen neuen AD Backup mit univention-join aufsetzen will, schlägt das Skript 98univention-samba4-dns.inst fehl

**************************************************************************
* Join failed!                                                           *
* Contact your system administrator                                      *
**************************************************************************
* Message:  FAILED: 98univention-samba4-dns.inst
**************************************************************************

In /var/log/univention/join.log steht:

...
Configure 98univention-pkgdb-tools.inst Thu Sep  3 15:27:59 CEST 2015
2015-09-03 15:27:59.698498810+02:00 (in joinscript_init)
Cannot find service-record of _pkgdb._tcp.
No DB-Server-Name found.
2015-09-03 15:27:59.859748118+02:00 (in joinscript_save_current_version)
Configure 98univention-samba4-dns.inst Thu Sep  3 15:27:59 CEST 2015
2015-09-03 15:27:59.880546352+02:00 (in joinscript_init)
Waiting for RID Pool replication: ...................................................................................................................................................................................
Error no rIDSetReferences replicated for adm-01
Thu Sep  3 15:31:28 CEST 2015: finish /usr/sbin/univention-join

Hat schon jemand erfolgreich diesen Wechsel durchgeführt?

Vielen Dank

Clifford

Hallo,

Die Fehlermeldung deutet darauf hin, dass in der Samba-Datenbank noch Informationen zum alten Master adm-01 enthalten sind. Wenn die nicht durch die normale S4-Synchronisation gelöscht werden (list-rejected prüfen), muß man sie eventuell manuell löschen. In der SDB gibt es einige Einträge zum S4-Thema an denen man sich orientieren kann.

Viele Grüße,
Dirk Ahrnke

Hallo Dirk,

danke für den Hinweis.

Das Problem konnte durch

sdb.univention.de/content/6/274/ … aster.html

gelöst werden.

Zu früh gefreut.

Wenn ich jetzt einen neuen Benutzer anlege, kann sich dieser zwar im Web Interface anmelden und sein Passwort ändern, kann diese Credentials aber nicht dazu benutzen, um z.B. ldapsearch auszuführen.

ldapsearch -h ads-03 -D "cn=testuser,cn=users,dc=company,dc=eu" -W -b 'cn=users,dc=company,dc=eu' -b '' -s base
Enter LDAP Password:
ldap_bind: Invalid credentials (49)
	additional info: Simple Bind Failed: NT_STATUS_LOGON_FAILURE

Das passiert auch, wenn ich das Kommando gegen adm-02 (der neue Master) starte.

Wenn ich das Passwort eines Benutzers ändere, den es schon vorher gegeben hat funktioniert das ohne Probleme.

Gruß

Clifford

Dieses Testszenario ist mir etwas zu komplex.

Wird der neue Benutzer denn überhaupt mit univention-s4search gefunden? Ich gehe mal stillschweigend davon aus, dass ads-03 ein Samba 4 Server ist, bei dem der im Beispiel befragte Port 389 vom Samba beantwortet wird.

Viele Grüße,
Dirk Ahrnke

Der Benutzer kann mit univention-s4search gefunden werden und alle Instanzen im Setup sind Samba 4 Server.

lsof -i | grep ldap
nmbd       3288     root   24u  IPv4   14657      0t0  UDP localhost:42003->localhost:ldap
samba     26960     root   25u  IPv6 1452917      0t0  TCP *:ldap (LISTEN)
samba     26960     root   26u  IPv6 1452919      0t0  TCP *:ldaps (LISTEN)
samba     26960     root   29u  IPv4 1452925      0t0  TCP *:ldap (LISTEN)
samba     26960     root   30u  IPv4 1452927      0t0  TCP *:ldaps (LISTEN)
samba     26961     root   24u  IPv6 1452771      0t0  UDP *:ldap
samba     26961     root   25u  IPv4 1452773      0t0  UDP *:ldap
samba     26961     root   26u  IPv4 1452775      0t0  UDP adm-02.company.de:ldap

Das Problem besteht auch nur mit Benutzern, die ich nach der Umstellung vom AD Backup zum AD Master angelegt habe.

Grüße

Clifford

Ich habe in /var/log/univention/backup2master.log einige Fehlermeldungen gefunden.

Scheinbar konnten einige Properties nicht verändert werden.

Ich habe das Setup neu aufgesetzt. Jetzt klappt das Wechseln des AD Backup zum AD Master. Auch konnten die Slaves mit dem neuen Master verbunden werden.

Grüße

Clifford

Mastodon