Univention Bugzilla – Bug 37626
AD-Member in child domain
Last modified: 2021-10-19 11:17:13 CEST
Reported via 2014120821000273. It seems that AD-Member does not work with AD native child domains. We reproduced this with an UCS 3.2-4 Master and a Win2012 AD. Win2012 Parent: dc-mp.forest.test Win2012 Child: dc-mc.child.forest.test UCS Master: dc-mc.child.forest.test ####################################################### First try with "Administrator": /var/log/univention/management-console-module-adconnector.log: 07.01.15 09:10:25.276 MODULE ( PROCESS ) : Calling joinscript 26univention-samba.inst ... 07.01.15 09:10:25.678 MODULE ( PROCESS ) : INFO: Cannot run joinscript in memberserver mode without join credentials. Please run: 07.01.15 09:10:25.678 MODULE ( PROCESS ) : univention-run-join-scripts --ask-pass 07.01.15 09:10:25.678 MODULE ( PROCESS ) : to complete the domain join. .... .... 07.01.15 09:10:40.670 MODULE ( PROCESS ) : Matching well known object names 07.01.15 09:10:41.009 MODULE ( PROCESS ) : Failed to get SID from AD: {'info': 'Referral:\nldap://forest.test/DC=forest,DC=test', 'desc': 'Referral'} 07.01.15 09:10:41.009 MODULE ( ERROR ) : well-known-sid-object-rename failed with 1 () 07.01.15 09:10:41.010 MODULE ( ERROR ) : Join process failed [connectionFailed]: Connection to AD failed 2015-01-09 2/607.01.15 09:10:41.010 MODULE ( ERROR ) : Eine Verbindung zum AD-Server dc-mc.child.forest.test konnte nicht hergestellt werden. Bitte überprüfen Sie Benutzername und Password. 07.01.15 09:10:41.010 MODULE ( PROCESS ) : Der Domänenbeitritt wurde mit Fehlern abgeschlossen. At the same time at the AD DC: Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird. NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes: Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet? Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird? Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert? Ausführliche Informationen zum Ausführen dieser Überprüfungen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=225699". Auf dem System ist keine Standard-Serverreferenz vorhanden. Serveranwendungen, die Standard-Systemreferenzen verwenden, werden keine SSL-Verbindungen akzeptieren. Als Beispiel einer solchen Anwendung dient der Verzeichnisserver. Dies hat keine Auswirkung auf Anwendungen wie der Internet Information Server, die die eigenen Referenzen verwalten, LDAP über SSL-Funktionen (Secure Sockets Layer) steht zurzeit nicht zur Verfügung, da der Server kein Zertifikat erhalten konnte. Zusätzliche Daten Fehlerwert: 8009030e No credentials are available in the security package ################################################################## Second try with child\Administrator: 07.01.15 10:14:26.332 MODULE ( PROCESS ) : Matching well known object names 07.01.15 10:14:26.624 MODULE ( PROCESS ) : 07.01.15 10:14:26.625 MODULE ( ERROR ) : well-known-sid-object-rename failed with 1 (Traceback (most recent call last): File "/usr/share/univention-ad-connector/scripts/well-known-sid-object-rename", line 436, in <module> ad = Well_Known_SID_object_renamer(ucr, options.binddn, options.bindpwd) File "/usr/share/univention-ad-connector/scripts/well-known-sid-object-rename", line 113, in __init__ self.ad_connect() File "/usr/share/univention-ad-connector/scripts/well-known-sid-object-rename", line 180, in ad_connect self.ucr['%s/ad/ldap/certificate' % CONFIGBASENAME] File "/usr/share/univention-ad-connector/scripts/well-known-sid-object-rename", line 90, in __init__ self.lo_ad=univention.uldap.access(host=self.ad_ldap_host, port=int(self.ad_ldap_port), base=self.ad_ldap_base, binddn=self.ad_ldap_binddn, bindpw=self.ad_ldap_bindpw, start_tls=tls_mode, use_ldaps = ldaps, ca_certfile=self.ad_ldap_certificate, decode_ignorelist=['objectSid', 'objectGUID', 'repsFrom', 'replUpToDateVector', 'ipsecData', 'logonHours', 'userCertificate', 'dNSProperty', 'dnsRecord', 'member']) File "/usr/lib/pymodules/python2.6/univention/uldap.py", line 182, in __init__ self.__open(ca_certfile) File "/usr/lib/pymodules/python2.6/univention/uldap.py", line 227, in __open self.lo.simple_bind_s(self.binddn, self.__encode_pwd(self.bindpw)) File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 781, in simple_bind_s return SimpleLDAPObject.simple_bind_s(self,*args,**kwargs) File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 207, in simple_bind_s return self.result(msgid,all=1,timeout=self.timeout) File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 422, in result res_type,res_data,res_msgid = self.result2(msgid,all,timeout) File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 426, in result2 res_type, res_data, res_msgid, srv_ctrls = self.result3(msgid,all,timeout) File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 432, in result3 ldap_result = self._ldap_call(self._l.result3,msgid,all,timeout) File "/usr/lib/python2.6/dist-packages/ldap/ldapobject.py", line 96, in _ldap_call result = func(*args,**kwargs) ldap.INVALID_CREDENTIALS: {'info': '80090308: LdapErr: DSID-0C0903C8, comment: AcceptSecurityContext error, data 52e, v23f0', 'desc': 'Invalid credentials'} ) 07.01.15 10:14:26.625 MODULE ( ERROR ) : Join process failed [connectionFailed]: Connection to AD failed /var/log/univention/management-console-module-adconnector.log: ldap.INVALID_CREDENTIALS: {'info': '80090308: LdapErr: DSID-0C0903C8, comment: AcceptSecurityContext error, data 52e, v23f0', 'desc': 'Invalid credentials'} At the Win-DC: <pre> 8009030e No credentials are available in the security package </pre> ----- http://social.technet.microsoft.com/wiki/contents/articles/2979.event-id-1220-ldap-over-ssl-ldaps.aspx "Event ID 1220 is logged on a domain controller when client computers attempt to make an LDAP-over-SSL connection to the directory when SSL connections are not enabled on the directory."
Small typo: UCS Master: dc-uc.child.forest.test We'll need to create a test setup for this. There seem to be at least two issues: 1. Lookup of the AD domain SID seems to return a referral to the forest root 2. Authentication
Ok fixed in univention-lib for errata4.0-3. Changes merged to UCS 4.1-0. Advisory: 2015-10-08-univention-lib.yaml Lesson learned: Before attempting to dcpromo the sub-domain AD DC run sysprep with the "generalize" option checked. Otherwise the subdomain join will fail mysteriously and put dcpromo into a loop.
AD 1 w2k12.test AD 2 child.w2k12.test as child of AD 1 domain UCS 4.0-3 errata OK - UCS admember in child.w2k12.test OK - 2015-10-08-univention-lib.yaml OK - merged to 4.1-0
<http://errata.software-univention.de/ucs/4.0/347.html>