Im Active Directory können keine Accounts angelegt werden

tjordan · 9. September 2024 um 04:23

Hallo,

für die neuen Schüler und Lehrer
können weder über die Schulkonsole noch über sophomorix im Active
Directory Accounts angelegt werden. Das Ändern von Accounts z.B.
Klassenzugehörigkeit scheint zu funktionieren.

Die sophomorix-Funktionen zum Erstellen der Accounts laufen ohne
Fehlermeldung durch und haben die User-Verzeichnisse angelegt.
Die Fehlermeldungen beim anschließenden Setzen der Rechte kommen sehr
wahrscheinlich vom fehlenden AD-Account.

Was könnte das sein?

Viele Grüße
Thomas

tjordan · 9. September 2024 um 09:42

Folgenden Fehler hab ich gefunden

ERROR in Sophomorix::SophomorixSambaAD::AD_user_create:
0000202F: …/…/ldb_key_value/ldb_kv_index.c:3065: Failed to re-index objectSid in CN=benutzer,OU=klasse,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan - …/…/ldb_key_value/ldb_kv_index.c:2910: unique index violation on objectSid in CN=benutzer,OU=klasse,OU=Students,OU=default-school,OU=SCHOOLS,DC=linuxmuster,DC=lan

P.s. aus Benutzer und Schule wurden für das Thema anonymisiert

tjordan · 9. September 2024 um 13:21

sophomorix-repair läuft anstandslos durch.

Ist es möglich das evtl. ein vorheriger Importversuch gestartet, aber dann irgendwie abgebrochen wurde und die Benutzer jetzt so halblebig im AD sind?

Der obige Fehler zeigt ja irgendwie an → die ID gibt es schon.

baumhof · 9. September 2024 um 18:56

Hallo,

die komplette Ausgabe von
sophomorix-check

und
sophomorix-class -i -c 10a

wäre schon interessant.

Außerdem wären noch mehr Informationen nötig:
ist nur eine Klasse betroffen?
Oder alle?

Was gibt den
sophomorix-user -iu LOGINNAME
eines Betroffenen (also nicht in der Liste vorhandenen) Nutzers aus?

Inwiefern das etwas mit nichtlöschbaren Projekten zu tun haben könnte, weiß ich nicht.

LG

Holger

Wilhelm · 10. September 2024 um 21:11

Ich antworte mal stellvertretend, da ich an unserer Schule die Benutzerverwaltung für die Schüler betreue.
Mitte Juli war der letzte Durchlauf mit Updates der Schüler-Accounts, der problemlos durchlief. Am letzten Donnerstag konnten alle Schüler ins nächste Schuljahr versetzt werden, aber weder für Schüler noch für Lehrer konnten neue Accounts angelegt werden.

sophomorix-check liefert keinen Fehler und zeigt sinnvolle Angaben zu add, update usw.
Nach einem danach durchgeführten sophomorix-add zeigt ein anschließender sophomorix-check die gleichen Angaben wie vorher.
sophomorix-class zeigt nur die Lehrer der Klasse und keine Schüler, da deren Accounts im AD nicht angelegt werden.
sophomorix-user gibt an, dass der User nicht im AD vorhanden ist.

baumhof · 11. September 2024 um 12:48

HAllo,

ich habe den logoutput per PM erhalten, damit die Schuldaten hier nicht stehen.
Ich antworte aber trotzdem hier im Tread, damit das auch von anderen einsehbar ist.

Mir ist dabei aufgefallen, dass es um einen User geht, der „mi“ heißt.
Habt ihr mehrere Nutzer mit nur 2 oder 3 oder 4 Buchstaben im Benutzernamen?
Da können nämlich super Sachen passieren, wenn ein Nutzer
cron
heißt,
oder
ls
oder
top

Aber UNgemacht kommt auch gerne aus einer ganz anderen Richtung.
Ich hab mal vor ca. 20 Jahren das Laptop von einem KOllegen ausversehen mit seinem Namen in die devices.csv (damals workstations) aufgenommen und importiert.
Der User hatte als Usernamen dann also
maier
und es gab eine „worstation“ mit dem Namen
maier
… das waren sehr seltsame Nebenwirkungen und ich habe über einen Monat gebraucht, um zu blicken, wo das eigentlich her kam.

Zum weitersuchen ist vielleicht folgendes hilfreich:
sophomorix-check schreibt das, was .add, .update und .kill machen sollen sehr ausführlich in die Dateien unter /var/lib/sophomorix/check-result/

Frage:
Ich mache ja immer folgende Reihenfolge (nach dem check):
sophomorix-update
sophomorix-add
wurden beide Befehle schon gemacht?
Könnt ihr mir die Ausgaben dieser Befehle auch noch schicken? (per PM)

LG
Holger

tjordan · 11. September 2024 um 13:28

Hallo Holger,

ich hab dir das Ausgabelog von sophomorix-add geschickt. sophomorix-check brachte Null Fehler und lief ordentlich durch.

Danke für den Tip mit den sophomorix-check results.

Viele Grüße
Thomas

baumhof · 11. September 2024 um 13:43

HAllo,

ich hab im log des sophomorix-add
für die ersten 8 User eine solche Zeile entdeckt (ich habe sie „verfälscht“, damit man nicht auf Schule oder User schließen kann):

ERROR in Sophomorix::SophomorixSambaAD::AD_user_create:
0000202F: …/…/ldb_key_value/ldb_kv_index.c:3065: Failed to re-index objectSid in CN=USERNAMEN,OU=e1eg1t,OU=Students,OU=default-school,OU=SCHOOLS,DC=MEINESCHULE,DC=de - …/…/ldb_key_value/ldb_kv_index.c:2910: unique index violation on objectSid in CN=USERNAME,OU=e1eg1t,OU=Students,OU=default-school,OU=SCHOOLS,DC=MEINESCHULE,DC=de

Ich nehme an, dass das in der Datei bei allen 517 Usern kommt, die da angelegt werden sollen.

Anscheinend ist der Username schon vergeben: der NUtzer existiert also schon.
Normalerweise würde sophomorix dann einen neuen usernamen automatisch nehmen, also USERNAME1
Warum es das nicht macht … kann es sein, dass ein sophomorix Lauf mal mitten drin abgebrochen wurde?
Ist irgend was „besonderes“ passiert, als die das erste mal angelegt werden sollten?

Was ist den das Datum der add Datei unter /var/lib/sophomorix/check-results/
Ist das vom „letzten“ check lauf? Wie sind den die Rechte der Datei?

Bei mir:
-rw-r--r-- 1 root root 119 Sep 9 20:51 report.office.extrastudents.csv -rw-r--r-- 1 root root 114 Sep 9 20:51 report.office.students.csv -rw-r--r-- 1 root root 114 Sep 9 20:51 report.office.teachers.csv -rw-r--r-- 1 root root 0 Sep 9 20:51 sophomorix.add -rw-r--r-- 1 root root 0 Sep 9 20:51 sophomorix.error -rw-r--r-- 1 root root 129 Sep 9 20:51 sophomorix.kill -rw-r--r-- 1 root root 100290 Sep 9 20:51 sophomorix.nochange -rw-r--r-- 1 root root 0 Sep 9 20:51 sophomorix.update
Könnt ihr auch mal das sophomorix-update laufen lassen und mir das log schicken?

Was gibt den ein
service samba-ad-dc status
aus?
Läuft der samba?
Da stehen auch ein paar Zeilen vom Log drunter: irgend was auffälliges?

… ach: und gerade denke ich dran: der Klassicker Was gibt den
df -h
auf dem Server aus

LG
Holger

tjordan · 12. September 2024 um 06:33

Hallo Holger,

hier die Ausgabe der Konsole:

ls -l /var/lib/sophomorix/check-result/
total 2256
-rw-r–r-- 1 root root 119 Sep 11 18:56 report.office.extrastudents.csv
-rw-r–r-- 1 root root 114 Sep 11 18:56 report.office.students.csv
-rw-r–r-- 1 root root 114 Sep 11 18:56 report.office.teachers.csv
-rw-r–r-- 1 root root 2202830 Sep 11 18:56 sophomorix.add
-rw-r–r-- 1 root root 0 Sep 11 18:56 sophomorix.error
-rw-r–r-- 1 root root 9333 Sep 11 18:56 sophomorix.kill
-rw-r–r-- 1 root root 79103 Sep 11 18:56 sophomorix.nochange
-rw-r–r-- 1 root root 0 Sep 11 18:56 sophomorix.update

service samba-ad-dc status
● samba-ad-dc.service - Samba AD Daemon
Loaded: loaded (/lib/systemd/system/samba-ad-dc.service; enabled; vendor preset: enabled)
Active: active (running) since Tue 2024-09-10 15:46:57 CEST; 1 day 16h ago
Docs: man:samba(8)
man:samba(7)
man:smb.conf(5)
Main PID: 1710 (samba)
Status: „samba: ready to serve connections…“
Tasks: 480 (limit: 19072)
Memory: 6.0G
CPU: 6h 15min 3.270s
CGroup: /system.slice/samba-ad-dc.service
├─ 1710 „samba: root process“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2203 „samba: tfork waiter process(2204)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2204 „samba: task[s3fs] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2205 „samba: tfork waiter process(2206)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2206 „samba: task[rpc] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2207 „samba: tfork waiter process(2210)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2208 „samba: tfork waiter process(2209)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2209 /usr/sbin/smbd -D „–option=server role check:inhibit=yes“ --foreground „“
├─ 2210 „samba: task[nbt] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2211 „samba: tfork waiter process(2212)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2212 „samba: task[wrepl] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2213 „samba: tfork waiter process(2214)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2214 „samba: task[ldap] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2215 „samba: tfork waiter process(2216)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2216 „samba: task[cldap] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2217 „samba: tfork waiter process(2218)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2218 „samba: task[kdc] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2219 „samba: tfork waiter process(2221)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2220 „samba: tfork waiter process(2222)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2221 „samba: task[drepl] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2222 „samba: task[kdc] pre-forked worker(0)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2223 „samba: tfork waiter process(2224)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2224 „samba: task[winbindd] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2225 „samba: tfork waiter process(2227)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2226 „samba: tfork waiter process(2229)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2227 „samba: task[kdc] pre-forked worker(1)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2228 „samba: tfork waiter process(2233)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2229 „samba: task[ntp_signd] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2230 „samba: tfork waiter process(2235)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2231 „samba: tfork waiter process(2234)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2232 „samba: tfork waiter process(2236)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2233 /usr/sbin/winbindd -D „–option=server role check:inhibit=yes“ --foreground „“
├─ 2234 „samba: task[rpc] pre-forked worker(0)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2235 „samba: task[kdc] pre-forked worker(2)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2236 „samba: task[kcc] pre-fork master“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
├─ 2237 „samba: tfork waiter process(2239)“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“ „“
lines 1-48

Der samba scheint ganz normal zu laufen.

samba-tool dbcheck --cross-ncs bringt auch keine Fehler.

samba-tool dbcheck --cross-ncs --fix
Checking 8900 objects
Checked 8900 objects (0 errors)

Platz ist genug da:
df -h
Filesystem Size Used Avail Use% Mounted on
tmpfs 1,6G 19M 1,6G 2% /run
/dev/mapper/limu-root 50G 8,0G 39G 17% /
tmpfs 7,9G 0 7,9G 0% /dev/shm
tmpfs 5,0M 0 5,0M 0% /run/lock
/dev/sda2 974M 257M 650M 29% /boot
/dev/sda1 511M 6,1M 505M 2% /boot/efi
tmpfs 7,9G 0 7,9G 0% /run/qemu
/dev/mapper/vg_srv-linbo 196G 178G 8,6G 96% /srv/linbo
/dev/mapper/vg_srv-global 49G 1,8G 45G 4% /srv/samba/global
/dev/mapper/vg_srv-vms 49G 32K 46G 1% /srv/vms
/dev/mapper/vg_srv-default–school 2,7T 2,1T 500G 81% /srv/samba/schools/default-school
/dev/mapper/vg_srv-var 49G 8,4G 39G 18% /var
tmpfs 1,6G 0 1,6G 0% /run/user/0

Das sophomorix-update.log schick ich dir als pm.

Danke und viele Grüße

Thomas

tjordan · 12. September 2024 um 10:44

Hallo Holger,

hier noch ein Hinweis. Die User-Homes für die neuen Benutzer wurden bereits angelegt, aber es existiert im AD natürlich kein zugehöriger Benutzer.

Evtl. hilft das weiter.

Viele Grüße
Thomas

baumhof · 12. September 2024 um 10:46

Hallo Thomas,

das ist jetzt ncihts auffälliges.
Das „schlimmste“ was ich gesehen habe, waren UNterstriche in Klassenbezeichnungen.
Habt ihr die schon länger?
Hat das noch Jemand?
Funktioniert das ohne Probleme?
Ich bin immer sehr vorsichtig mit Sonderzeichen …

Aber: im update log steht, dass nichts upgedatet wird … warum eigentlich?
Es stand doch im Check am Ende, dass upgedatet werden soll (sehr viele Leute).
Steht das immernoch drin?
Oder war da zwischen der checkausgabe, die ich gesehen habe und diesem update Lauf ein weiterer Updatelauf, der die updates gemacht hat?

Bitte nochmal check laufen lassen und berichten, ob da noch immer „upzudatende“ NUtzer sind.

und schaut in die Dateien in /var/lib/sophomorix/check-results/
rein.
Stehen da Leute drin, die upgedatet werden sollen?

LG

Holger

tjordan · 12. September 2024 um 10:48

Hallo Holger,

hier die Ausgabe von sophomorix-check:

sophomorix-check
Command line::
Option verbose is a modifier option
Option json is a modifier option
Hmmh. do not know what to do with option info

forcing info mode
Option combinations successfully checked
OK: SophomorixSchemaVersion 1 matches required Version 1

Reading /usr/share/sophomorix/devel/sophomorix.ini

Distro-check: Ubuntu 22.04 is OK

Reading /etc/samba/smb.conf

Reading /usr/lib/linuxmuster-webui/etc/default-ui-permissions.ini

Parsing: net conf list

Asking domain passwordsettings from samba

Reading /etc/linuxmuster/sophomorix/sophomorix.conf

Reading /etc/linuxmuster/sophomorix/default-school/school.conf

0 ERRORS, 0 WARNINGS → let’s go

Creating lock in /var/lib/sophomorix/lock/sophomorix.lock

/usr/sbin/sophomorix-check started …

Cleaning up last check

Encoding extrastudents.csv: UTF8 (ENCODING=auto,*_FORCE=FALSE, _CHECKED=UTF8)
Encoding students.csv: UTF8 (ENCODING=auto,_FORCE=FALSE, _CHECKED=UTF8)
Encoding teachers.csv: UTF8 (ENCODING=auto,_FORCE=FALSE, *_CHECKED=UTF8)

Reading injected lines …

0 ERRORS, 0 WARNINGS → let’s go

Searching AD for users …

Query AD (begin)

Query AD (end)

### School default-school: Matching lines in files to users in AD …

unidMATCH: 1661 CHECKED in default-school, MATCH: 951, NOMATCH: 710, NOunid: 0####

exactMATCH: 710 CHECKED in default-school, MATCH: 193, NOMATCH: 517

approxMATCH: 517 CHECKED in default-school, MATCH: 0 (Edit distance: 1)

approxMATCH: 517 CHECKED in default-school, MATCH: 0 (Edit distance: 2)

approxMATCH: 517 CHECKED in default-school, MATCH: 0 (Edit distance: 3)

approxMATCH: 517 CHECKED in default-school, MATCH: 0 (Edit distance: 4)

## School default-school … Done!

Removing lock in /var/lib/sophomorix/lock/sophomorix.lock

/usr/sbin/sophomorix-check terminated regularly

Calling console printout
LOG : /usr/sbin/sophomorix-check terminated regularly

Overview of what can be done:

517 users can be added in sophomorix.add
0 users can be updated in sophomorix.update
146 users can be killed in sophomorix.kill
1144 users are not to be changed in sophomorix.nochange
0 users with errors in sophomorix.error

sophomorix-update habe ich gestern ausgeführt und das lief erfolgreich durch, daher gibts jetzt auch nichts mehr zum Updaten.

Viele Grüße
Thomas

baumhof · 12. September 2024 um 10:49

Hallo Thomas,

… so hab ich mir das gedacht …

OK: und was sagt ein add nun?
Und was steht in der add Datei unter /var/lib… ?

LG

Holger

tjordan · 12. September 2024 um 10:51

Hallo Holger,

der add-Run bringt genau das Ergebnis was du jetzt hast. Die Ausgabedatei hast du ja schon. Die sophomorix.add schicke ich dir als pm.

VG
Thomas

baumhof · 12. September 2024 um 14:36

Hallo,

hat irgendjemand schonmal erfolgreich Nutzer angelegt, deren Nutzernamen ein Unterstrich beinhalteten?

LG

Holger

joymcjoy · 12. September 2024 um 20:46

Ja (bin von der betroffenen Schule) alle neuen Schüler seit 2 Jahren. Klassen wäre mir jetzt neu, da haben wir keine mit unterstrichen ausser vieleicht irgendein test

Wilhelm · 23. Oktober 2024 um 11:24

Das Problem resultierte wahrscheinlich aus einem Fehler (Inkonsistenz?) im LDAP. Der muss bei einer Rücksicherungsaktion des Servers durch ein Kommunikationsproblem zwischen dem LDAP- und dem Replikationsserver entstanden sein.
Durch Rücksicherung eines älteren Standes läuft jetzt alles wieder wie gewohnt.

baumhof · 23. Oktober 2024 um 20:26

Hallo Wilhelm,

vielen Dank für die Rückmeldung.
Ich hatte mich schon gefragt, ob die Geschichte ein Ende gefunden hat und was der Auslöser war.

Viele Grüße

Holger