Externer LDAP/AD Mirror lmn 7.x

Server v7
,
61

Hallo,

in der Microsoft-Welt gibt es sowas wie Haupt- und Backup-DC nicht. Alle DC sind gleichberechtigt und alle werden standardmäßig im Teilbaum des DNS für Service-Lookups hinterlegt. Über „Standorte“ kann man festlegen, welche Clients (IP-Netze) welche DC bevorzugen. Es könnte in dem Fall helfen einen weiteren „Standort“ („Site“) anzulegen und diesem das IP-Netz der VPN-Clients sowie den RODC zuzuordnen, aber auch dann würde für Schreibzugriffe und im Fallback-Fall auf einen beschreibbaren DC der Default-Site zurückgegriffen.

MfG Buster

1 „Gefällt mir“
62

Danke, @Buster für diese Aufklärung :slight_smile: Das erklärt auf jeden Fall das Verhalten :slight_smile:
Wenn ich in den Sommerferien mal irgendwann Luft hab, les ich mich da mal ein :slight_smile:

Viele Grüße Jesko

63

Also, ich mache jetzt mal eine Rolle Rückwärts:
Grundsätzlich klappt das. Aber es gab Probleme, wie z.B. dass mir (und allen anderen) in unregelmäßigen Abständen die Nextcloud zig Meldungen schickt, dass „ein Administrator …sie aus der Gruppe p_xyz …entfernt“ und im selben Augenblick umgekehrt, wieder hinzugefügt hat….
das stresst mich :slight_smile: grad etwas.

Ich hab also mit samba-tool domain demote den DC wieder degradiert und heruntergefahren.

Jetzt ist noch ein Überbleibsel im AD, was ich hätte sowieso noch korrigieren müssen:

Im DNS ist auf oberster Ebene ein A-Record mit der internen Docker-IP des ersten Containers, den ich hochgefahren habe. Das ist sowieso falsch und jetzt erst recht.

Wie werde ich diesen Eintrag wieder los? (Siehe Screenshot)
Ich wurde den Eintrag los mit
❯ samba-tool dns query localhost meine.domain @.meine.domain A 192.168.128.6 -U global-admin

image
image1656×711 73.8 KB

LG Jesko

64

Hi Jesko,

argh, das ist doof mit der NC.
Meinst Du, das ist ein lösbares Problem?

Viele Grüße,
Jochen

65

Ich hatte jetzt einfach nicht genügend Zeit, das in Ruhe zu untersuchen.
Es kann sein, dass es keine Probleme gibt, wenn alles genau richtig eingerichtet ist.
Aber weil ich jetzt meinen Usern das im Produktivbetrieb nicht zumuten wollte (mehrfach am Tag 2*Gruppenzugehörigkeit Nachrichten) musste ich die Notbremse ziehen.
Vielleicht setz ich in den Sommerferien mal ne Testinstanz von NC auf, mit der ich das dann nochmal prüfen kann

1 „Gefällt mir“
66

Ah… und eins muss ich noch hinterherschieben… ob das Problem, was ich gerade mit den Gruppen habe URSÄCHLICH mit dem externen LDAP zu tun hat, oder nur zufällig korelliert… das werde ich (zumindest mit einiger Sicherheit) in zwei drei Tagen sagen können…

:wink:
LG

1 „Gefällt mir“
67

Ich bin wirklich ratlos.
Diese Spukerei hört nicht auf.
Es gibt gerade keinen externen Mirror mehr, ich habe den backup-LDAP auch aus der Konfiguration gelöscht, ich habe testweise die Skripte, die per API Räume anlegen und aktuell halten deaktiviert.
Trotzdem.
vor 14h und vor 2h wieder.
mal abwarten, ob es in 10h wieder passiert (2-14 wären ja 12 :wink: und das wäre ja immerhin periodisch zweimal am Tag)… ich hab aber keine Idee, was das auslöst.
nerv

Die gute Nachricht ist: Es liegt nicht am externen Mirror, so dass das kein Grund ist, diesen NICHT einzusetzen :slight_smile:

sollte jemand irgendeine Idee haben (oder eine Eingebung, ich bin nicht mehr wählerisch), dann nur her damit…

vielleicht schreib ich auch mal ins Nextcloud-Forum
LG Jesko

68

Ich führe einfach mal Selbstgespräche… hilft ja manchmal, um den eigenen Wahnsinn etwas herauszuzögern…

Ich hab die Logfiles mal nach meinem Login und einer Gruppe durchsucht und … bingo… ich finde Tonnenweise solche Stellen:

    {
        "file": "/var/www/html/apps/circles/lib/Listeners/GroupMemberAdded.php",
        "line": 71,
        "function": "groupMemberAdded",
        "class": "OCA\\Circles\\Service\\SyncService",
        "type": "->",
        "args": [
          "p_betroffeneGruppe",
          "betroffenerUsername"
        ]

Ich hab jetzt kurzerhand mal die App „Circles“ deaktiviert. Mal sehen, ob der Spuk JETZT beendet ist.

Mir ist übrigens nicht klar, warum dieses Problem erst kürzlich in Erscheinung getreten ist.

69

Die gute Nachricht ist, ich musste nicht lange warten.
Die schlechte: Der Spuk ist noch immer nicht vorüber.

nachdem ich Circles deaktiviert habe, gibt es zwar die SyncService-Meldungen im Log nicht mehr, aber andere sind noch da, die jetzt besser sichtbar sind:

{
  "reqId": "8bEB3G8ocuXFmDHp7ZL0",
  "level": 1,
  "time": "2023-07-04T12:17:01+01:00",
  "remoteAddr": "",
  "user": "--",
  "app": "user_ldap",
  "method": "",
  "url": "--",
  "message": "bgJ \"updateGroups\" – az added to p_morz-kollegium_2",
  "userAgent": "--",
  "version": "26.0.3.2",
  "data": {
    "app": "user_ldap"
  }

Also offensichtlich randaliert die ldap-Integration hier.
Aber warum? Und wenn sie das schon tut, warum nicht schon immer?
Die Fragen werden nicht weniger…

70

Hi Jesko,

hast Du standardmäßig die Benachrichtigungen aktiviert? Falls ja, hilft es, diese zu deaktivieren?
Hast Du vor kurzem ein Update installiert?

Viele Grüße,
Jochen

71

Hi Jochen,

Ja, die habe ich aktiviert.

Das hilft mir, nicht so genervt zu werden. Aber die unnötige Wiederzuweisung der Gruppen wird damit nicht verhindert. Ich habe trotzdem jetzt meinen Kollegenden eine Anleitung geschickt, wie sie sich selbst verteidigen können.

bestimmt… von 26.0.1 auf 26.0.3
Wann das war kann ich aber nicht mehr sagen. Möglich, dass das zusammenfällt.

Ich habe jetzt auch mal im Nextcloud-Forum geschrieben:

Mal sehen, ob das Forum dort was kann :wink:

Liebe Grüße Jesko

72

Der Effekt ist minimal. Ich bekomme zwar keine Push-Nachrichten mehr, aber die Massen an Meldungen in der Aktivitätsanzeige stören fast genau so.

73

ich wollte nur mal nen Zwischenstand geben: Zuletzt gestern Abend 21:27h wurde ich aus meinen Gruppen geworfen und wieder reingepackt.
Das ist jetzt über 20h her… diese Zeitspanne gab es seit bestehen des Problems noch nicht.
Es hat sich am System nichts geändert (von dem ich weiß).

Seltsam. Ich blogge hier weiter :wink:

vom Nextcloud-Forum bin ich übrigens einigermaßen enttäuscht. Da kam (fast) nichts. Immerhin die Idee, dass es nicht an der Nextcloud liegen könnte sondern am LDAP-Server…
Ich möchte zu gerne wissen, was das Problem auslöst.

LG bis bald.
Jesko

74

Ich war schon froher Hoffnung, weil gestern ruhe war.
Aber heute Nacht um 0:43 und heute Morgen um 5:05 gab es wieder eine Welle.

Und dann um 6:06 (?!?!?) gleich noch eine.

Ich verstehe das nicht.

LG

75

Hallo Jesko,

voll ins Hellblaue: könnte es sein, dass Dein LDAP immer nur dann versucht, etwas an den (nicht mehr vorhandenen) Backup-LDAP zu syncen, wenn es eine Änderung im AD gab und es dadurch zu dem globalen Aus- und wieder Eintragen in die Gruppen kommt? Z.B. Änderung eines Benutzerpassworts o.ä. Ok, des nächtens eher ungewöhnlich aber wer weiß…

Viele Grüße,
Jochen

76

Leute, ich weiß noch nicht, wer der „Böse“ ist, aber ich hab neue Erkenntnisse, die vielleicht mit Schwarmintelligenz helfen, das Problem zu lösen.

Ich wollte mir gerade eine Testinstanz bauen und habe dazu im Verzeichnis data geschaut, ob da außer User-Homes (die ich nicht auf die Testinstanz übertragen möchte) noch wichtige Verzeichnisse liegen.

Dabei hab ich Verzeichnisse gefunden, die so da ganz sicher nicht hingehören:

drwxr-xr-x  9 www-data www-data      4096 Sep  9  2022  az
drwxr-xr-x  3 www-data www-data      4096 Jul  1 10:41 'az              '
drwxr-xr-x  3 www-data www-data      4096 Jul  2 00:51 'az               '

Offensichtlich wird durch irgendeinen Fehler zwischendurch ein neuer User angelegt, der bis auf die abschließenden Leerzeichen gleich heißt, wie der, den ich haben will…

Jetzt muss ich herausfinden, wo diese Leerzeichen herkommen.

Da das jetzt ganz sicher nichts mit dem externen LDAP-Mirror zu tun hat, lagere ich das mal in einen neuen Thread aus.

Siehe hier: Nutzerdatenbank irgendwie korrupt?

LG Jesko

77

Das hat sehr wahrscheinlich nichts mit dem zusätzlichen Domaincontroller zu tun, sondern fiel nur zufällig zeitlich zusammen. Das Problem hab ich noch nicht lokalisiert. konnte ich mit einiger Sicherheit finden und die Lösung steht hier: Nutzerdatenbank irgendwie korrupt? - #36 von Jesko

79

Von dem Forum dort bin ich einigermaßen enttäuscht. Da gibt es hunderte von Fragen, die gar keine Antwort bekommen und meine Anfrage hat auch nur EINEN Menschen dazu bewegt, sich Gedanken zu machen. Gelöst hab ich es am Ende doch alleine…
In solchen Fällen merke ich wieder mal, wie toll dieses Forum hier ist! Danke dafür an alle :slight_smile: Diese Qualität ist nicht selbstverständlich!
Jesko

1 „Gefällt mir“
80

Dem kann ich mich völlig anschließen! Dieses Forum sucht Seinesgleichen!

Ist der LDAP Mirror nun wieder im Betrieb?

1 „Gefällt mir“
81

Hallo Jesko,

ich stelle mir gerade die Frage was passiert, oder wie ich genau vorgehen muss, wenn ich die Lösung auf 7.2 update…muss ich vorher den zweiten DC demoten dann auch den Upgraden und dann wieder promoten, oder kann den einfach weiterhin laufen lassen und danach mit upgraden? Beim Upgrade auf 7.1 hats mit zumindest schon mal die DHCP-Redundanz zerrupft. Das wird noch ganz schön Gefriemel.

VG
Thomas