[Samba-it] problemi di replica WERR_DS_DRA_ACCESS_DENIED

Giuseppe Arvati giuseppe.arvati at gmail.com
Fri Nov 23 09:59:20 UTC 2018 

Il 23/11/2018 10:35, Daniele Piccoli ha scritto:
> Il 21/11/2018 15:28, Giuseppe Arvati ha scritto:
>> Ciao a tutti
> 
> Ciao,
> 
>> scrivo a questa lista dopo molti anni in cui pensavo fosse
>> stata chiusa.
>>
>> Riguardavo alcuni messaggi della lista del 2011 ( samba 3.x ) e
>> vedo che anche allora i frequentatori erano
>> più o meno gli stessi di ora: Gaiarin, Ravinetto e
>> pochi altri
>>
>> Mi fa piacere comunque che ci sia ancora un gruppo.
>>
>> Finite le premesse vi espongo il mio problema
>> sperando che qualcuno possa darmi qualche buona dritta
>>
>> ho due siti con 3 DC tutti allineati alla 4.7.11 ( CentOS )
>> dominio apam-ad.apam.it
>>
>> sito1 ( apamsede )
>>      dc1piopp
>>      apamfs2
>>      
>> sito2 (uff-ucp-mn )
>>     dc1ucp
>>
>> il sito 2 è in fase di test
>> ma ho qualche problema di replica.
>>
>> sito1 e sito 2 sono collegati in fibra con VPN
>> privata gestita da un ISP si zona.
>>
>> Questo secondo sito è in test da parecchio
>> perchè non riesco mai a finire le configurazioni
>>
>> Dopo il join di dc1ucp al dominio
>> avevo controllato e la replica sembrava ok.
>> In questi giorni, a distanza di qualche settimana dal join del DC,
>> e provando a fare il join al dominio di un pc della
>> sede 2 ho scoperto esserci errori nella replica ( inbound )
>> ed il join del pc fallisce
>>
>> [root at dc1ucp ~]# samba-tool drs showrepl
>> uff-ucp-mn\DC1UCP
>> DSA Options: 0x00000001
>> DSA object GUID: 3d8598b8-1c3d-4509-b775-d7e1d33c2546
>> DSA invocationId: ca3d36ec-5293-4fbe-9662-7a6881e379d1
>>
>> ==== INBOUND NEIGHBORS ====
>> CN=Configuration,DC=apam-ad,DC=apam,DC=it
>>          apamsede\APAMFS2 via RPC
>>                  DSA object GUID: fa93022c-b204-4f74-bc44-176ab767cf54
>>                  Last attempt @ Wed Nov 21 14:51:18 2018 CET failed,
>> result 8453 (WERR_DS_DRA_ACCESS_DENIED)
>>                  4373 consecutive failure(s).
>>                  Last success @ Wed Nov 21 14:51:18 2018 CET
>>                 
>> ==== OUTBOUND NEIGHBORS ====
>> CN=Configuration,DC=apam-ad,DC=apam,DC=it
>>          apamsede\APAMFS2 via RPC
>>                  DSA object GUID: fa93022c-b204-4f74-bc44-176ab767cf54
>>                  Last attempt @ NTTIME(0) was successful
>>                  0 consecutive failure(s).
>>                  Last success @ NTTIME(0)
>>
>> Ho googlato un po' senza successo sul WERR_DS_DRA_ACCESS_DENIED
>>
>> Qualche suggerimento ?
> 
> Oltre a quello suggerito dagli altri utenti, se non lo hai già fatto,
> dovresti verificare quanto riportato al seguente link:
> 
> https://wiki.samba.org/index.php/Verifying_and_Creating_a_DC_DNS_Record
> 
> Diverse volte mi è capitato che le repliche non funzionassero
> correttamente a causa di record DNS mancanti.
> 
>> Grazie in anticipo
>>
>> Giuseppe Arvati
>>
> 
> Ciao
> Daniele
> 
> _______________________________________________
> samba-it mailing list
> samba-it at lists.samba.org
> http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it
> 

sembra tutto ok


[root at dc1ucp ~]# host -t A dc1ucp.apam-ad.apam.it.
dc1ucp.apam-ad.apam.it has address 10.2.2.12
[root at dc1ucp ~]# host -t A dc1piopp.apam-ad.apam.it.
dc1piopp.apam-ad.apam.it has address 10.1.1.4
[root at dc1ucp ~]# host -t A apamfs2.apam-ad.apam.it.
apamfs2.apam-ad.apam.it has address 10.1.1.2
[root at dc1ucp ~]# ldbsearch -H /usr/local/samba/private/sam.ldb 
'(invocationId=*) 
 
                   ' --cross-ncs objectguid
schema_fsmo_init: we are master[no] updates allowed[no]
# record 1
dn: CN=NTDS 
Settings,CN=DC1UCP,CN=Servers,CN=uff-ucp-mn,CN=Sites,CN=Configuratio 
 
 
n,DC=apam-ad,DC=apam,DC=it
objectGUID: 3d8598b8-1c3d-4509-b775-d7e1d33c2546

# record 2
dn: CN=NTDS 
Settings,CN=DC1PIOPP,CN=Servers,CN=apamsede,CN=Sites,CN=Configuratio 
 
 
n,DC=apam-ad,DC=apam,DC=it
objectGUID: 1abf9afd-8882-48a0-8be1-1bd6ebd63898

# record 3
dn: CN=NTDS 
Settings,CN=APAMFS2,CN=Servers,CN=apamsede,CN=Sites,CN=Configuration 
 
 
,DC=apam-ad,DC=apam,DC=it
objectGUID: fa93022c-b204-4f74-bc44-176ab767cf54

# returned 3 records
# 3 entries
# 0 referrals
[root at dc1ucp ~]# host -t CNAME 
fa93022c-b204-4f74-bc44-176ab767cf54._msdcs.apam-ad.apam.it.
fa93022c-b204-4f74-bc44-176ab767cf54._msdcs.apam-ad.apam.it is an alias 
for apamfs2.apam-ad.apam.it.
[root at dc1ucp ~]# host -t CNAME 
1abf9afd-8882-48a0-8be1-1bd6ebd63898._msdcs.apam-ad.apam.it.
1abf9afd-8882-48a0-8be1-1bd6ebd63898._msdcs.apam-ad.apam.it is an alias 
for dc1piopp.apam-ad.apam.it.
[root at dc1ucp ~]# host -t CNAME 
3d8598b8-1c3d-4509-b775-d7e1d33c2546._msdcs.apam-ad.apam.it.
3d8598b8-1c3d-4509-b775-d7e1d33c2546._msdcs.apam-ad.apam.it is an alias 
for DC1UCP.apam-ad.apam.it.

More information about the samba-it mailing list