Zentyal Forum, Linux Small Business Server
Zentyal Server => Directory and Authentication => Topic started by: Kevinsky86 on January 19, 2021, 05:36:26 pm
-
Yesterday evening I tried updating my Zentyal 6.1.2 (or so) to at least the lastest 6.1.x, if possible 6.2.
However after I sucessfully ran the first batch of updates the machine refused to boot. Just after post I got a black screen with high CPU usage but barely any memory usage and nothing happening other then that, even though I left it like that for about 15 minutes.
For the moment i'm not super interested in troubleshooting why this happened, even though that's obviously super weird. I still have this dead VM which I will peruse at a later moment.
Unable to fix this and a dead DC obviously beeing a issue, I restored a virtual machine backup (Zentyal runs in KVM/QEMU VM on a Proxmox cluster) I made prior to running the updates, and booted that instead.
However, now when I create a user on the PDC in Zentyal's web interface or with "samba-tool user create" on the command line, the user cannot log on in the domain, and the user does not show up on the BDC which is our file server (this is another Zentyal VM), nor does it show up in the Active Directory tree when looked at with RSAT.
The only place it DOES show up in the Zentyal interface of the PDC itself.
At first I thought something in sync broke somehow and started troubleshooting this angle, but changes from our fileserver/BDC do propagate back to to the Domain Controller/PDC (including new users). And I can't find any problems with syncronisation itself when running tools like "samba-tool drs showrepl" and forcing it with "samba-tool drs replicate <rest of the synthax>". These all pass without error.
Also when I create a user directly in the AD tree using RSAT it shows up on both machines and these crededentials can subsequently also be used to log onto the network.
Where can I look to start troubleshooting this matter? I'm all out of ideas for the moment, i've been wresteling with this issue all day.
I don't really care all too much about the web interface not working but especially "samba-tool user" is used to automate this that and the other.
-
:)
It's a really odd issue. I would check the FSMO roles, I would demote the PDC and, afterward, I would join a new additional domain controller.
In addition, if you manage a little domain (only a few clients and easily accessible) and there isn't a huge amount of data to move, you could migrate the whole data to a fresh install (read this: https://doc.zentyal.org/en/directory.html#total-migration (https://doc.zentyal.org/en/directory.html#total-migration). )
Regarding how to debug this issue I think you could begin by using the RSAT dcdiag.exe tool:
Diagn¢stico del servidor de directorio
Realizando instalaci¢n inicial:
* Conect ndose al servicio de directorio en el servidor zentyal.zentyal-domain.lan.
* Se identific¢ el bosque de AD.
Collecting AD specific global data
* Recopilando informaci¢n del sitio.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan,LDAP_SCOPE_SUBTREE,(objectCategory=ntDSSiteSettings),.......
The previous call succeeded
Iterating through the sites
Looking at base site object: CN=NTDS Site Settings,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
Getting ISTG and options for the site
* Identificando todos los servidores.
Calling ldap_search_init_page(hld,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan,LDAP_SCOPE_SUBTREE,(objectClass=ntDSDsa),.......
The previous call succeeded....
The previous call succeeded
Iterating through the list of servers
Getting information for the server CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
objectGuid obtained
InvocationID obtained
dnsHostname obtained
site info obtained
All the info for the server collected
* Identificando todas las referencias cruzadas de NC.
* Se encontraron 1 DC. Probando 1 de ellos.
Recopilaci¢n de informaci¢n inicial finalizada.
Realizando pruebas requeridas iniciales
Probando servidor: Default-First-Site-Name\ZENTYAL
Iniciando prueba: Connectivity
* Active Directory LDAP Services Check
Determining IP4 connectivity
* Active Directory RPC Services Check
......................... ZENTYAL super¢ la prueba Connectivity
Realizando pruebas principales
Probando servidor: Default-First-Site-Name\ZENTYAL
Iniciando prueba: Advertising
The DC ZENTYAL is advertising itself as a DC and having a DS.
The DC ZENTYAL is advertising as an LDAP server
The DC ZENTYAL is advertising as having a writeable directory
The DC ZENTYAL is advertising as a Key Distribution Center
The DC ZENTYAL is advertising as a time server
The DS ZENTYAL is advertising as a GC.
......................... ZENTYAL super¢ la prueba Advertising
Prueba omitida por solicitud del usuario: CheckSecurityError
Prueba omitida por solicitud del usuario: CutoffServers
Iniciando prueba: FrsEvent
* Prueba del registro de eventos del servicio de replicaci¢n de archivos
......................... ZENTYAL super¢ la prueba FrsEvent
Iniciando prueba: DFSREvent
The DFS Replication Event Log.
Omitir esta prueba porque el servidor est ejecutando FRS.
......................... ZENTYAL super¢ la prueba DFSREvent
Iniciando prueba: SysVolCheck
* Prueba de preparaci¢n de SYSVOL del servicio de replicaci¢n de archivos
SysVol no est listo. Esto puede provocar que el DC no se anuncie como DC para NetLogon despus de Dcpromo.
Asimismo, los problemas relativos a la replicaci¢n de FRS SysVol pueden ocasionar problemas en la directiva de
grupo. Compruebe el registro de eventos de FRS de este DC.
......................... ZENTYAL no super¢ la prueba SysVolCheck
Iniciando prueba: KccEvent
* The KCC Event log test
Found no KCC errors in "Directory Service" Event log in the last 15 minutes.
......................... ZENTYAL super¢ la prueba KccEvent
Iniciando prueba: KnowsOfRoleHolders
Role Schema Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
Role Domain Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
Role PDC Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
Role Rid Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
Role Infrastructure Update Owner = CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
......................... ZENTYAL super¢ la prueba KnowsOfRoleHolders
Iniciando prueba: MachineAccount
Checking machine account for DC ZENTYAL on DC ZENTYAL.
* SPN found :LDAP/zentyal.zentyal-domain.lan/zentyal-domain.lan
* SPN found :LDAP/zentyal.zentyal-domain.lan
* SPN found :LDAP/ZENTYAL
* SPN found :LDAP/zentyal.zentyal-domain.lan/ZENTYAL-DOMAIN
* SPN found :LDAP/deb08c03-614b-4547-ad9a-24d5d1bc7bf9._msdcs.zentyal-domain.lan
* SPN found :E3514235-4B06-11D1-AB04-00C04FC2DCD2/deb08c03-614b-4547-ad9a-24d5d1bc7bf9/zentyal-domain.lan
* SPN found :HOST/zentyal.zentyal-domain.lan/zentyal-domain.lan
* SPN found :HOST/zentyal.zentyal-domain.lan
* SPN found :HOST/ZENTYAL
* SPN found :HOST/zentyal.zentyal-domain.lan/ZENTYAL-DOMAIN
* SPN found :GC/zentyal.zentyal-domain.lan/zentyal-domain.lan
......................... ZENTYAL super¢ la prueba MachineAccount
Iniciando prueba: NCSecDesc
* Security Permissions check for all NC's on DC ZENTYAL.
* Comprobaci¢n de permisos de seguridad para
CN=Schema,CN=Configuration,DC=zentyal-domain,DC=lan
(Schema,Version 3)
* Comprobaci¢n de permisos de seguridad para
DC=ForestDnsZones,DC=zentyal-domain,DC=lan
(NDNC,Version 3)
* Comprobaci¢n de permisos de seguridad para
DC=DomainDnsZones,DC=zentyal-domain,DC=lan
(NDNC,Version 3)
* Comprobaci¢n de permisos de seguridad para
CN=Configuration,DC=zentyal-domain,DC=lan
(Configuration,Version 3)
* Comprobaci¢n de permisos de seguridad para
DC=zentyal-domain,DC=lan
(Domain,Version 3)
......................... ZENTYAL super¢ la prueba NCSecDesc
Iniciando prueba: NetLogons
* Network Logons Privileges Check
Verified share \\ZENTYAL\netlogon
Verified share \\ZENTYAL\sysvol
......................... ZENTYAL super¢ la prueba NetLogons
Iniciando prueba: ObjectsReplicated
ZENTYAL is in domain DC=zentyal-domain,DC=lan
Checking for CN=ZENTYAL,OU=Domain Controllers,DC=zentyal-domain,DC=lan in domain DC=zentyal-domain,DC=lan on 1 servers
No se pudieron leer los metadatos del objeto en ZENTYAL. Error Solicitud no compatible.
Object is up-to-date on all servers.
Checking for CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan in domain CN=Configuration,DC=zentyal-domain,DC=lan on 1 servers
No se pudieron leer los metadatos del objeto en ZENTYAL. Error Solicitud no compatible.
Object is up-to-date on all servers.
......................... ZENTYAL super¢ la prueba ObjectsReplicated
Prueba omitida por solicitud del usuario: OutboundSecureChannels
Iniciando prueba: Replications
* Replications Check
* Replication Latency Check
......................... ZENTYAL super¢ la prueba Replications
Iniciando prueba: RidManager
* Available RID Pool for the Domain is 1600 to 1073741823
* zentyal.zentyal-domain.lan is the RID Master
* DsBind with RID Master was successful
* rIDAllocationPool is 1100 to 1599
* rIDPreviousAllocationPool is 1100 to 1599
* rIDNextRID: 1107
......................... ZENTYAL super¢ la prueba RidManager
Iniciando prueba: Services
No se pudo abrir la IPC remota en [zentyal.zentyal-domain.lan]: error 0x4c3
"Las conexiones m£ltiples para un servidor o recurso compartido compatible por el mismo usuario, usando m s de un nombre de usuario, no est n permitidas. Desconecte todas las conexiones anteriores al servidor o recursos compartido e intntelo de nuevo."
......................... ZENTYAL no super¢ la prueba Services
Iniciando prueba: SystemLog
* The System Event log test
Found no errors in "System" Event log in the last 60 minutes.
......................... ZENTYAL super¢ la prueba SystemLog
Prueba omitida por solicitud del usuario: Topology
Prueba omitida por solicitud del usuario: VerifyEnterpriseReferences
Iniciando prueba: VerifyReferences
La referencia del objeto del sistema (serverReference)
CN=ZENTYAL,OU=Domain Controllers,DC=zentyal-domain,DC=lan y el v¡nculo de retroceso
CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan son
correctos.
Algunos objetos relacionados con el DC ZENTYAL tienen problemas:
[1] Problema: falta un valor esperado
Objeto base:
CN=NTDS Settings,CN=ZENTYAL,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=zentyal-domain,DC=lan
Descripci¢n de objeto base: "Objeto DSA"
Nombre de atributo de objeto de valor: serverReferenceBL
Descripci¢n de objeto de valor: "Objeto de miembro de SYSVOL FRS"
Acci¢n recomendada: vea el art¡culo de Knowledge Base: Q312862
[1] Problema: falta un valor esperado
Objeto base: CN=ZENTYAL,OU=Domain Controllers,DC=zentyal-domain,DC=lan
Descripci¢n de objeto base: "Objeto de cuenta de DC"
Nombre de atributo de objeto de valor: frsComputerReferenceBL
Descripci¢n de objeto de valor: "Objeto de miembro de SYSVOL FRS"
Acci¢n recomendada: vea el art¡culo de Knowledge Base: Q312862
......................... ZENTYAL no super¢ la prueba VerifyReferences
Prueba omitida por solicitud del usuario: VerifyReplicas
Prueba omitida por solicitud del usuario: DNS
Prueba omitida por solicitud del usuario: DNS
Ejecutando pruebas de partici¢n en: Schema
Iniciando prueba: CheckSDRefDom
......................... Schema super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... Schema super¢ la prueba CrossRefValidation
Ejecutando pruebas de partici¢n en: ForestDnsZones
Iniciando prueba: CheckSDRefDom
A la partici¢n del directorio de la aplicaci¢n DC=ForestDnsZones,DC=zentyal-domain,DC=lan le falta un
dominio de referencia del descriptor de seguridad. El administrador debe establecer el atributo
DS-SD-Reference-Domain del objeto de la referencia cruzada
CN=74b97699-13ec-48fb-a6d8-13eb94c26a90,CN=Partitions,CN=Configuration,DC=zentyal-domain,DC=lan en el DN de
un dominio.
......................... ForestDnsZones no super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... ForestDnsZones super¢ la prueba CrossRefValidation
Ejecutando pruebas de partici¢n en: DomainDnsZones
Iniciando prueba: CheckSDRefDom
A la partici¢n del directorio de la aplicaci¢n DC=DomainDnsZones,DC=zentyal-domain,DC=lan le falta un
dominio de referencia del descriptor de seguridad. El administrador debe establecer el atributo
DS-SD-Reference-Domain del objeto de la referencia cruzada
CN=9c00fa89-d4b4-4cbb-b74b-c28ddacabd70,CN=Partitions,CN=Configuration,DC=zentyal-domain,DC=lan en el DN de
un dominio.
......................... DomainDnsZones no super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... DomainDnsZones super¢ la prueba CrossRefValidation
Ejecutando pruebas de partici¢n en: Configuration
Iniciando prueba: CheckSDRefDom
......................... Configuration super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... Configuration super¢ la prueba CrossRefValidation
Ejecutando pruebas de partici¢n en: zentyal-domain
Iniciando prueba: CheckSDRefDom
......................... zentyal-domain super¢ la prueba CheckSDRefDom
Iniciando prueba: CrossRefValidation
......................... zentyal-domain super¢ la prueba CrossRefValidation
Ejecutando pruebas de empresa en: zentyal-domain.lan
Prueba omitida por solicitud del usuario: DNS
Prueba omitida por solicitud del usuario: DNS
Iniciando prueba: LocatorCheck
Nombre de GC: \\zentyal.zentyal-domain.lan
Locator Flags: 0xe00003fd
PDC Name: \\zentyal.zentyal-domain.lan
Locator Flags: 0xe00003fd
Time Server Name: \\zentyal.zentyal-domain.lan
Locator Flags: 0xe00003fd
Preferred Time Server Name: \\zentyal.zentyal-domain.lan
Locator Flags: 0xe00003fd
KDC Name: \\zentyal.zentyal-domain.lan
Locator Flags: 0xe00003fd
......................... zentyal-domain.lan super¢ la prueba LocatorCheck
Iniciando prueba: Intersite
Omitiendo el sitio Default-First-Site-Name. Este sitio est fuera del mbito proporcionado por los argumentos
de la l¡nea de comandos facilitados.
......................... zentyal-domain.lan super¢ la prueba Intersite
Cheers!
-
We have since decided to just start to migrate to Zentyal 7, and just recreate everything on a new domain without actually migrating anything.
We will ambandon this dual server setup, and just build one new box that does it all.