我的系统中有两台 FreeIPA 服务器; ns-1 和 ns-2。据我所知,ns-1 是我们的主 ipa 服务器,ns-2 被设置为副本。但在这方面我可能是不正确的。
在我尝试升级 ns-2 上的操作系统时,升级在中间的某个地方失败了,现在机器已经崩溃了。 ns-1 仍然运行良好,因为我一直推迟升级该机器,直到 ns-2 完成。
我毁掉了 ns-2,并在其位置重建了一个新的虚拟机,现在想将其设置为新的 ns-2 替代品。但问题是 ns-1 仍然有原始 ns-2 的记录,并且阻止 ipa-replica-install 命令在我的新 ns-2 上成功。
在 ns-1 的 Web UI 中,它仍然将 ns-2 列为 ipa 服务器,并在拓扑图中显示 ns-2。
我从 ns-1 机器发出了以下命令:
# ipa-replica-manage list
ns-2.<mydomain>.<com>: master
ns-1.<mydomain>.<com>: master
# ipa-replica-manage del --force --cleanup ns-2.<mydomain>.<com>
Updating DNS system records
Not allowed on non-leaf entry
# ldap_delete -x -h 127.0.0.1 -D 'cn=directory manager' -w <my password> 'cn=ns-2.<mydomain>.<com>,cn=masters,cn=ipa,cn=etc,dc=<mydomain>.<com>'
ldap_delete: Operation not allowed on non-leaf (66)
additional info: Entry has replication conflicts as children
# ipa-replica-manage dnsrange-show
ns-2.<mydomain>.<com>: Connection failed: cannot connect to 'ldaps://ns-2.<mydomain>.<com>:636': Transport endpoint is not connected
在我的新 ns-2 机器上,我已成功运行 ip-client-install 命令。然后我运行了“ipa-replica-install --setup-dns --setup-ca --no-forwarders -P ”它失败了,因为 ns-1 机器似乎相信已经定义了 ns-2 机器。
我发现以下线程似乎遇到了相同的问题,但未包含解决方案: https://www.spinics.net/linux/fedora/fedora-users/msg498296.html
我尝试遵循此文档,但它没有解释如何解析具有“子级”的副本: https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/identity_management_guide/ipa-replica-manage#repl-conflicts
答案1
我有一个类似的问题,我花了很多时间才弄清楚。只是想分享我的发现。
我无法删除单个副本,因为拓扑插件无法删除非叶条目。但它只是一个简单的叶服务器。在尝试了很多东西之后,我发现一些复制冲突是原因。
因此,删除这些可以让我删除有缺陷的副本。