Author Topic: PDC won't fully create new users in AD after machine is restored from backup.  (Read 1463 times)

Kevinsky86

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +4/-0
    • View Profile
Yesterday evening I tried updating my Zentyal 6.1.2 (or so) to at least the lastest 6.1.x, if possible 6.2.
However after I sucessfully ran the first batch of updates the machine refused to boot. Just after post I got a black screen with high CPU usage but barely any memory usage and nothing happening other then that, even though I left it like that for about 15 minutes.

For the moment i'm not super interested in troubleshooting why this happened, even though that's obviously super weird. I still have this dead VM which I will peruse at a later moment.

Unable to fix this and a dead DC obviously beeing a issue, I restored a virtual machine backup (Zentyal runs in KVM/QEMU VM on a Proxmox cluster) I made prior to running the updates, and booted that instead.

However, now when I create a user on the PDC in Zentyal's web interface or with "samba-tool user create" on the command line, the user cannot log on in the domain, and the user does not show up on the BDC which is our file server (this is another Zentyal VM), nor does it show up in the Active Directory tree when looked at with RSAT.
The only place it DOES show up in the Zentyal interface of the PDC itself.

At first I thought something in sync broke somehow and started troubleshooting this angle, but changes from our fileserver/BDC do propagate back to to the Domain Controller/PDC (including new users). And I can't find any problems with syncronisation itself when running tools like "samba-tool drs showrepl" and forcing it with "samba-tool drs replicate <rest of the synthax>". These all pass without error.
Also when I create a user directly in the AD tree using RSAT it shows up on both machines and these crededentials can subsequently also be used to log onto the network.

Where can I look to start troubleshooting this matter? I'm all out of ideas for the moment, i've been wresteling with this issue all day.
I don't really care all too much about the web interface not working but especially "samba-tool user" is used to automate this that and the other.
« Last Edit: January 19, 2021, 06:05:07 pm by Kevinsky86 »

doncamilo

  • Zen Samurai
  • ****
  • Posts: 478
  • Karma: +165/-1
    • View Profile
 :)

It's a really odd issue. I would check the FSMO roles, I would demote the PDC and, afterward, I would join a new additional domain controller.

In addition, if you manage a little domain (only a few clients and easily accessible) and there isn't a huge amount of data to move, you could migrate the whole data to a fresh install (read this: https://doc.zentyal.org/en/directory.html#total-migration. )

Regarding how to debug this issue I think you could begin by using the RSAT dcdiag.exe tool:


Code: [Select]

Diagn¢stico del servidor de directorio


Realizando instalaci¢n inicial:

   * Conect ndose al servicio de directorio en el servidor zentyal.zentyal-domain.lan.

   * Se identific¢ el bosque de AD.
   Collecting AD specific global data
   * Recopilando informaci¢n del sitio.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
   The previous call succeeded
   Iterating through the sites
   Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
   Getting ISTG and options for the site
   * Identificando todos los servidores.

   Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
   The previous call succeeded....
   The previous call succeeded
   Iterating through the list of servers
   Getting information for the server CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
   objectGuid obtained
   InvocationID obtained
   dnsHostname obtained
   site info obtained
   All the info for the server collected
   * Identificando todas las referencias cruzadas de NC.

   * Se encontraron 1 DC. Probando 1 de ellos.

   Recopilaci¢n de informaci¢n inicial finalizada.


Realizando pruebas requeridas iniciales

   
   Probando servidor: Default-First-Site-Name\ZENTYAL

      Iniciando prueba: Connectivity

         * Active Directory LDAP Services Check
         Determining IP4 connectivity
         * Active Directory RPC Services Check
         ......................... ZENTYAL super¢ la prueba Connectivity



Realizando pruebas principales

   
   Probando servidor: Default-First-Site-Name\ZENTYAL

      Iniciando prueba: Advertising

         The DC ZENTYAL is advertising itself as a DC and having a DS.
         The DC ZENTYAL is advertising as an LDAP server
         The DC ZENTYAL is advertising as having a writeable directory
         The DC ZENTYAL is advertising as a Key Distribution Center
         The DC ZENTYAL is advertising as a time server
         The DS ZENTYAL is advertising as a GC.
         ......................... ZENTYAL super¢ la prueba Advertising

      Prueba omitida por solicitud del usuario: CheckSecurityError

      Prueba omitida por solicitud del usuario: CutoffServers

      Iniciando prueba: FrsEvent

         * Prueba del registro de eventos del servicio de replicaci¢n de archivos
         ......................... ZENTYAL super¢ la prueba FrsEvent

      Iniciando prueba: DFSREvent

         The DFS Replication Event Log.
         Omitir esta prueba porque el servidor est  ejecutando FRS.

         ......................... ZENTYAL super¢ la prueba DFSREvent

      Iniciando prueba: SysVolCheck

         * Prueba de preparaci¢n de SYSVOL del servicio de replicaci¢n de archivos
         SysVol no est  listo. Esto puede provocar que el DC no se anuncie como DC para NetLogon despu‚s de Dcpromo.

         Asimismo, los problemas relativos a la replicaci¢n de FRS SysVol pueden ocasionar problemas en la directiva de

         grupo. Compruebe el registro de eventos de FRS de este DC.
         ......................... ZENTYAL no super¢ la prueba SysVolCheck

      Iniciando prueba: KccEvent

         * The KCC Event log test
         Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
         ......................... ZENTYAL super¢ la prueba KccEvent

      Iniciando prueba: KnowsOfRoleHolders

         Role Schema Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
         Role Domain Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
         Role PDC Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
         Role Rid Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
         Role Infrastructure Update Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
         ......................... ZENTYAL super¢ la prueba KnowsOfRoleHolders

      Iniciando prueba: MachineAccount

         Checking machine account for DC ZENTYAL on DC ZENTYAL.
         * SPN found :LDAP/zentyal.zentyal-domain.lan/zentyal-domain.lan
         * SPN found :LDAP/zentyal.zentyal-domain.lan
         * SPN found :LDAP/ZENTYAL
         * SPN found :LDAP/zentyal.zentyal-domain.lan/ZENTYAL-DOMAIN
         * SPN found :LDAP/deb08c03-614b-4547-ad9a-24d5d1bc7bf9._msdcs.zentyal-domain.lan
         * SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/deb08c03-614b-4547-ad9a-24d5d1bc7bf9/zentyal-domain.lan
         * SPN found :HOST/zentyal.zentyal-domain.lan/zentyal-domain.lan
         * SPN found :HOST/zentyal.zentyal-domain.lan
         * SPN found :HOST/ZENTYAL
         * SPN found :HOST/zentyal.zentyal-domain.lan/ZENTYAL-DOMAIN
         * SPN found :GC/zentyal.zentyal-domain.lan/zentyal-domain.lan
         ......................... ZENTYAL super¢ la prueba MachineAccount

      Iniciando prueba: NCSecDesc

         * Security Permissions check for all NC's on DC ZENTYAL.
         * Comprobaci¢n de permisos de seguridad para

           CN=Schema,CN=Configuration,DC=zentyal-domain,DC=lan
            (Schema,Version 3)
         * Comprobaci¢n de permisos de seguridad para

           DC=ForestDnsZones,DC=zentyal-domain,DC=lan
            (NDNC,Version 3)
         * Comprobaci¢n de permisos de seguridad para

           DC=DomainDnsZones,DC=zentyal-domain,DC=lan
            (NDNC,Version 3)
         * Comprobaci¢n de permisos de seguridad para

           CN=Configuration,DC=zentyal-domain,DC=lan
            (Configuration,Version 3)
         * Comprobaci¢n de permisos de seguridad para

           DC=zentyal-domain,DC=lan
            (Domain,Version 3)
         ......................... ZENTYAL super¢ la prueba NCSecDesc

      Iniciando prueba: NetLogons

         * Network Logons Privileges Check
         Verified share \\ZENTYAL\netlogon
         Verified share \\ZENTYAL\sysvol
         ......................... ZENTYAL super¢ la prueba NetLogons

      Iniciando prueba: ObjectsReplicated

         ZENTYAL is in domain DC=zentyal-domain,DC=lan
         Checking for CN=ZENTYAL,OU=Domain Controllers,DC=zentyal-domain,DC=lan in domain DC=zentyal-domain,DC=lan on 1 servers
         No se pudieron leer los metadatos del objeto en ZENTYAL. Error Solicitud no compatible.

            Object is up-to-date on all servers.
         Checking for CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan in domain CN=Configuration,DC=zentyal-domain,DC=lan on 1 servers
         No se pudieron leer los metadatos del objeto en ZENTYAL. Error Solicitud no compatible.

            Object is up-to-date on all servers.
         ......................... ZENTYAL super¢ la prueba ObjectsReplicated

      Prueba omitida por solicitud del usuario: OutboundSecureChannels

      Iniciando prueba: Replications

         * Replications Check
         * Replication Latency Check
         ......................... ZENTYAL super¢ la prueba Replications

      Iniciando prueba: RidManager

         * Available RID Pool for the Domain is 1600 to 1073741823
         * zentyal.zentyal-domain.lan is the RID Master
         * DsBind with RID Master was successful
         * rIDAllocationPool is 1100 to 1599
         * rIDPreviousAllocationPool is 1100 to 1599
         * rIDNextRID: 1107
         ......................... ZENTYAL super¢ la prueba RidManager

      Iniciando prueba: Services

         No se pudo abrir la IPC remota en [zentyal.zentyal-domain.lan]: error 0x4c3

         "Las conexiones m£ltiples para un servidor o recurso compartido compatible por el mismo usuario, usando m s de un nombre de usuario, no est n permitidas. Desconecte todas las conexiones anteriores al servidor o recursos compartido e int‚ntelo de nuevo."

         

         ......................... ZENTYAL no super¢ la prueba Services

      Iniciando prueba: SystemLog

         * The System Event log test
         Found no errors in "System" Event log in the last 60 minutes.
         ......................... ZENTYAL super¢ la prueba SystemLog

      Prueba omitida por solicitud del usuario: Topology

      Prueba omitida por solicitud del usuario: VerifyEnterpriseReferences

      Iniciando prueba: VerifyReferences

         La referencia del objeto del sistema (serverReference)

         CN=ZENTYAL,OU=Domain Controllers,DC=zentyal-domain,DC=lan y el v¡nculo de retroceso

         CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan son

         correctos.
         Algunos objetos relacionados con el DC ZENTYAL tienen problemas:
            [1] Problema: falta un valor esperado

             Objeto base:

            CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan

             Descripci¢n de objeto base: "Objeto DSA"

             Nombre de atributo de objeto de valor: serverReferenceBL

             Descripci¢n de objeto de valor: "Objeto de miembro de SYSVOL FRS"

             Acci¢n recomendada: vea el art¡culo de Knowledge Base: Q312862

             
            [1] Problema: falta un valor esperado

             Objeto base: CN=ZENTYAL,OU=Domain Controllers,DC=zentyal-domain,DC=lan

             Descripci¢n de objeto base: "Objeto de cuenta de DC"

             Nombre de atributo de objeto de valor: frsComputerReferenceBL

             Descripci¢n de objeto de valor: "Objeto de miembro de SYSVOL FRS"

             Acci¢n recomendada: vea el art¡culo de Knowledge Base: Q312862

             
         ......................... ZENTYAL no super¢ la prueba VerifyReferences

      Prueba omitida por solicitud del usuario: VerifyReplicas

   
      Prueba omitida por solicitud del usuario: DNS

      Prueba omitida por solicitud del usuario: DNS

   
   Ejecutando pruebas de partici¢n en: Schema

      Iniciando prueba: CheckSDRefDom

         ......................... Schema super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... Schema super¢ la prueba CrossRefValidation

   
   Ejecutando pruebas de partici¢n en: ForestDnsZones

      Iniciando prueba: CheckSDRefDom

            A la partici¢n del directorio de la aplicaci¢n DC=ForestDnsZones,DC=zentyal-domain,DC=lan le falta un

            dominio de referencia del descriptor de seguridad. El administrador debe establecer el atributo

            DS-SD-Reference-Domain del objeto de la referencia cruzada

            CN=74b97699-13ec-48fb-a6d8-13eb94c26a90,CN=Partitions,CN=Configuration,DC=zentyal-domain,DC=lan en el DN de

            un dominio.
         ......................... ForestDnsZones no super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... ForestDnsZones super¢ la prueba CrossRefValidation

   
   Ejecutando pruebas de partici¢n en: DomainDnsZones

      Iniciando prueba: CheckSDRefDom

            A la partici¢n del directorio de la aplicaci¢n DC=DomainDnsZones,DC=zentyal-domain,DC=lan le falta un

            dominio de referencia del descriptor de seguridad. El administrador debe establecer el atributo

            DS-SD-Reference-Domain del objeto de la referencia cruzada

            CN=9c00fa89-d4b4-4cbb-b74b-c28ddacabd70,CN=Partitions,CN=Configuration,DC=zentyal-domain,DC=lan en el DN de

            un dominio.
         ......................... DomainDnsZones no super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... DomainDnsZones super¢ la prueba CrossRefValidation

   
   Ejecutando pruebas de partici¢n en: Configuration

      Iniciando prueba: CheckSDRefDom

         ......................... Configuration super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... Configuration super¢ la prueba CrossRefValidation

   
   Ejecutando pruebas de partici¢n en: zentyal-domain

      Iniciando prueba: CheckSDRefDom

         ......................... zentyal-domain super¢ la prueba CheckSDRefDom

      Iniciando prueba: CrossRefValidation

         ......................... zentyal-domain super¢ la prueba CrossRefValidation

   
   Ejecutando pruebas de empresa en: zentyal-domain.lan

      Prueba omitida por solicitud del usuario: DNS

      Prueba omitida por solicitud del usuario: DNS

      Iniciando prueba: LocatorCheck

         Nombre de GC: \\zentyal.zentyal-domain.lan

         Locator Flags: 0xe00003fd
         PDC Name: \\zentyal.zentyal-domain.lan
         Locator Flags: 0xe00003fd
         Time Server Name: \\zentyal.zentyal-domain.lan
         Locator Flags: 0xe00003fd
         Preferred Time Server Name: \\zentyal.zentyal-domain.lan
         Locator Flags: 0xe00003fd
         KDC Name: \\zentyal.zentyal-domain.lan
         Locator Flags: 0xe00003fd
         ......................... zentyal-domain.lan super¢ la prueba LocatorCheck

      Iniciando prueba: Intersite

         Omitiendo el sitio Default-First-Site-Name. Este sitio est  fuera del  mbito proporcionado por los argumentos

         de la l¡nea de comandos facilitados.
         ......................... zentyal-domain.lan super¢ la prueba Intersite

Cheers!

- Do my pigeons bother you passing over your land?
- They block the sun!

G. Guareschi., Don Camillo.,

Kevinsky86

  • Zen Apprentice
  • *
  • Posts: 12
  • Karma: +4/-0
    • View Profile
We have since decided to just start to migrate to Zentyal 7, and just recreate everything on a new domain without actually migrating anything.

We will ambandon this dual server setup, and just build one new box that does it all.