Bug 48991 - 98univention-samba4slavepdc-dns: KDC has no support for encryption
98univention-samba4slavepdc-dns: KDC has no support for encryption
Status: NEW
Product: UCS
Classification: Unclassified
Component: UMC - Domain join
UCS 4.3
Other Linux
: P5 normal (vote)
: ---
Assigned To: UMC maintainers
UMC maintainers
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2019-03-14 12:57 CET by Sven Anders
Modified: 2019-03-14 12:57 CET (History)
0 users

See Also:
What kind of report is it?: ---
What type of bug is this?: ---
Who will be affected by this bug?: ---
How will those affected feel about the bug?: ---
User Pain:
Enterprise Customer affected?:
School Customer affected?:
ISV affected?:
Waiting Support:
Flags outvoted (downgraded) after PO Review:
Ticket number:
Bug group (optional):
Max CVSS v3 score:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Sven Anders 2019-03-14 12:57:44 CET
Hallo!

Wir haben beim Versuch in einer Testumgebung (mit UCS 4.3 und UCS@school 4.3) einen Slave-Server zu einer Domäne hinzuzufügen den folgenden Fehler bekommen:

RUNNING 98univention-samba4slavepdc-dns.inst
2019-03-14 11:48:20.595165843+01:00 (in joinscript_init)
GSS client Update(krb5)(1) Update failed:  Miscellaneous failure (see text): KDC has no support for encryption 
type
ERROR(runtime): uncaught exception - (9711, 'WERR_DNS_ERROR_RECORD_ALREADY_EXISTS')
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/__init__.py", line 176, in _run
    return self.run(*args, **kwargs)
  File "/usr/lib/python2.7/dist-packages/samba/netcmd/dns.py", line 940, in run
    raise e
[...]
Failed to get Kerberos credentials, falling back to samba-tool: (-1073741715, 'The attempted logon is invalid. This is either due
Failed update of 26 entries

EXITCODE=26

Do 14. Mär 11:48:24 CET 2019
univention-run-join-scripts finished

Alle anderen JOIN-Skripte liefen problemlos durch!


Nach einiger Recherche haben wir dann den BUG #27212 gefunden und festgestellt, daß der Aufruf von "samba_dnsupdate" denselben Fehler produziert.

Das Problem lag letztendlich darin, daß als erster Nameserver auf dem Slave schon die IP des zukünftigen Masters angeben war. Nachdem ich die Reihenfolge geändert hatte, funktionierte der Join problemlos.

Vermutlich sollte hier beim Ausführen des Skript entweder dies noch kontrolliert
werden (und eine entsprechende Fehlermeldung ausgegeben werden) oder automatisch
der lokale DNS Server für den Update verwendet werden.

Ist ein sehr lästiger Fehler, da die Konfiguration ansich korrekt war und daher
schwer zu finden war. Hat uns mehrere Stunden Suche gekostet...