Проблема

Проблемы с репликацией на контроллерах доменов.

Диагностика

  • Выполнить команды:
    sudo -s
instance=$(dsctl -l | grep -v "GLOBAL-CATALOG")
grep -i 'DB retried operation targets "changenumber=.*op not changed in PL' "/var/log/dirsrv/$instance/errors"
    для проверки в файле /var/log/dirsrv/slapd-<Имя инстанса dirsrv>/errors наличия сообщений вида:
    DB retried operation targets "changenumber=18850860,cn=changelog" (op=0x754c12225600 idx_pl=1) => op not changed in PL

Возможная причина: Большое количество записей в БД changelog. Перейти к решению.

  • Убедиться, что не производится репликация изменений с сервера-реплики на основной контроллер домена (КД). Выводятся сообщения вида:

    ERR - ipa-topology-plugin - ipa_topo_util_get_replica_conf: server configuration missing
ERR - ipa-topology-plugin - ipa_topo_util_get_replica_conf: cannot create replica

  • Выполнить команды на КД и проверить присутствие обоих контроллеров в результатах вывода:

    sudo ipa hostgroup-show ipaservers
sudo ipa-replica-manage list

  • Проверить значение параметра ipaReplTopoSegmentDirection в выводе команды (пример для домена aldpro.test):

    ldapsearch -D "cn=directory manager" -W -b "cn=topology,cn=ipa,cn=etc,dc=aldpro,dc=test"

    Репликация считается односторонней, если в результатах вывода присутствует строка вида:

    ipaReplTopoSegmentDirection: left-right

Возможная причина: Используется односторонняя репликация. Перейти к решению.

  • Убедиться, что при добавлении второго КД возникает сообщение вида:

    Run failed on minions <FQDN_КД>

    а каталог /opt/mnt/grouppolicy-custom-template/ пустой.

  • Проверить в файле /etc/fstab наличие конфигурации для glusterfs.

Возможная причина: Некорректно отработано задание glusterfs. Перейти к решению.

  • Выполнить команду реинициализации репликации:
    ipa-replica-manage re-initialize --from <fqdn_второго_контроллера_домена> --verbose
    Убедиться, что в вывод содержит ошибку:
    ipalib.errors.ACIError: Insufficient access: Invalid credentials

    Реинициализация репликации приведет к тому, что база данных первого контроллера домена будет полностью скопирована со второго. Данные, уникальные для первого контроллера, будут потеряны.

Возможная причина: Отсутствуют необходимые ACI (Access Control Instructions). Перейти к решению.

  • Выполнить команду:
    sudo dsconf -j ALD-COMPANY-LAN replication status --suffix dc=ald,dc=company,dc=lan
    Убедиться, что вывод содержит ошибку:
    Error (2) Replication error acquiring replica: fatal error - too much time skew
between replicas (excessive clock skew)

Возможная причина: Сброс настроек генератора CSN. Перейти к решению.

Возможные причины