Die Intel I226-V NIC auf einer pfSense stalled sporadisch für Sekunden. Klingt harmlos — bis du merkst, dass die Kerberos-Tickets ablaufen, DFS auf NTLM zurückfällt und Active-Directory-Accounts gesperrt werden. Weil ein Umlaut im Benutzernamen ist.
Der S4-Connector läuft, pollt brav — aber UDM-Änderungen kommen nie in Samba an. Ursache: Nach einer DC-Migration fehlt eine einzige UCR-Variable. Ohne sie ist der gesamte Listener/Notifier-Pfad tot.
Nach dem Demote eines UCS Domain Controllers zeigen UCR-Variablen auf Member-Servern weiterhin auf den toten DC. Fällt erst auf wenn Kerberos-Tickets auslaufen — Tage oder Wochen später. Dann bricht SMB auf einmal zusammen.
Nach einem UCS DC-Demote zeigen alle Member Server weiterhin auf den toten DC. ucr set ldap/server/name hilft nicht — ‘overridden by scope ldap’. Der echte Täter: Das UDM-Objekt des alten DC behält univentionServerRole=master im OpenLDAP, und der Listener-Mechanismus setzt ldap/server/name daraus.
Nach dem Demote eines UCS Domain Controllers zeigen Memberserver noch auf den alten DC. net ads join repariert nur die AD-Seite - für UCS braucht man univention-join. Plus: TLS-Fallen mit Step-CA und ein UCR-Revert den niemand erwartet.
Ein DNS-Record funktioniert auf dem Primary DC, aber nicht auf dem Replica? Wenn du statische Bind-Zonen nutzt, hast du ein Problem. Hier ist die Lösung.
Wie man einen DNS A-Record in Samba AD via ldbadd anlegt, wenn keine Windows RSAT-Tools verfügbar sind - inklusive Erklärung des mysteriösen Base64-codierten dnsRecord-Attributs.