Tâche #23337
Scénario #23157: Corrections à faire sur SETH
Le diagnose utilise une commande de réplication incompatible avec le mode RODC
Révisions associées
Ne pas vérifier l’état de la réplication pour les RODC.
La commande samba-tool drs showrepl est en erreur sur les RODC.
Ref #23337
Historique
#1 Mis à jour par Benjamin Bohard il y a environ 6 ans
- Assigné à mis à Benjamin Bohard
#2 Mis à jour par Benjamin Bohard il y a environ 6 ans
Le diagnostic du bon fonctionnement de la réplication proposé pour remplacer est :
samba-tool drs showrepl
samba-tool ldapcmp --filter=whenchanged ldap://${DC} ldap://{LOCAL_DC}
et pour RODC
samba-tool ldapcmp --filter= --filter=invocationId,whenchanged ,Instance-Type ldap://${DC} ldap://{LOCAL_DC}
#3 Mis à jour par Benjamin Bohard il y a environ 6 ans
- Statut changé de Nouveau à En cours
#4 Mis à jour par Benjamin Bohard il y a environ 6 ans
La commande proposée pour évaluer le fonctionnement de la réplication ne semble pas équivalente.
Dans un cas, on test si la réplication est possible, en en déclenchant une. Dans l’autre cas, on test plutôt si la réplication s’est bien passée en comparant l’état des deux annuaires.
#5 Mis à jour par Benjamin Bohard il y a environ 6 ans
Les RODC n’apparaissent pas dans la liste des DC obtenue avec la commande :
host -t SRV _ldap._tcp.${AD_REALM}.
#6 Mis à jour par Benjamin Bohard il y a environ 6 ans
- sur un DC additionnel : tester la réplication par rapport au DC primaire uniquement avec samba-tool ldapcmp (quel impact sur le temps du diagnose ?)
- sur un RWDC
- sur un RODC : exclure de la comparaison les attributs non répliqués
- sur le DC primaire : tester toutes les réplications via samba-tool drs showrepl ?
#7 Mis à jour par Emmanuel IHRY il y a environ 6 ans
C'est sans doute dans tous les cas la commande samba-tool drs showrepl qui est la plus pertinente (et par expérience, la commande samba-tool ldapcmp peut être assez longue d'exécution...c'est ce qu'on utilise dans nos check centreon actuellement)
samba-tool drs showrepl donne un état des lieux de toutes les réplications entrantes et sortantes vers ou depuis les autres contrôleurs du même domaine. Sachant que la sortie console de cette commande va nettement évoluer dans le prochaines versions samba et sera plus lisible.. on fera évoluer à nouveau le diagnose..
on pourrait se contenter dans le diagnose de tracker les lignes différentes de 0 consecutive failure(s). et indiquer en résultat :
Erreur de réplication entrantes :
- depuis <SITE>\<DC> partition DC=auth,DC=test
- depuis <SITE>\<DC> DC=DomainDnsZones,DC=auth,DC=test
... etc
Erreur de réplication sortantes :
- vers <SITE>\<DC> partition DC=auth,DC=test
etc...
ce qui donne la possibilité ensuite de forcer une synchro des partitions en erreur avec par exemple ce type de commande :
samba-tool drs replicate ro-authtest-01 rw-authtest-00 DC=DomainDnsZones,DC=auth,DC=test --full-sync
#8 Mis à jour par Benjamin Bohard il y a environ 6 ans
- Statut changé de En cours à Résolu
#9 Mis à jour par Emmanuel IHRY il y a environ 6 ans
- Statut changé de Résolu à Fermé
- % réalisé changé de 0 à 100
- Restant à faire (heures) mis à 0.0
Ok : suppression de
DCREPL=$(samba-tool drs replicate ${DC} ${LOCAL_DC} ${NC} --sync-forced)
exécution sauf pour RODC