<br><br><div class="gmail_quote">2012/2/23 Simo Sorce <span dir="ltr"><<a href="mailto:simo@redhat.com">simo@redhat.com</a>></span><br><blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div class="im">On Thu, 2012-02-23 at 21:12 -0500, Brian Cook wrote:<br>
> I would not expect that there would be any problem with AD and IPA<br>
> coexisting when the realm names are different, but I have heard<br>
> reports that there are problems, especially when Linux clients are<br>
> configured to use AD for DNS.  Trying to figure out what the problem<br>
> is.  I understand your delegated dns setup.  What if the customer must<br>
> use AD for all DNS?<br>
<br>
</div>The only "problem" you may have is that you have to manually set all the<br>
SRV and TXT records.<br>
It's tedious but nothing heart breaking.<br>
<br>
Clients will not be able to do DNS updates if the DNS is not managed by<br>
IPA.<br>
<span class="HOEnZb"><font color="#888888"><br>
Simo.<br>
<br>
--<br>
Simo Sorce * Red Hat, Inc * New York<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br>
</div></div></blockquote></div><br><br clear="all"><br>Hello All,<br>We are facing the same difficulties here with coexistence with Microsoft AD on the same network<br><br>Whenever I run <span style="font-size:15px;font-family:Arial;color:rgb(0,0,0);background-color:rgb(255,255,255);font-weight:normal;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline" id="internal-source-marker_0.28985894707995685">ipa-client-install <br>
<br># ipa-client-install --server=<a href="http://server.abcd.ca">server.abcd.ca</a> --domain=<a href="http://abcd.ca">abcd.ca</a> --realm=UNIX<br>DNS domain 'unix' is not configured for automatic KDC address lookup.<br>
KDC address will be set to fixed value.<br><br>Discovery was successful!<br>Hostname: <a href="http://client.abcd.ca">client.abcd.ca</a><br>Realm: UNIX<br>DNS Domain: <a href="http://abcd.ca">abcd.ca</a><br>IPA Server: <a href="http://server.abcd.ca">server.abcd.ca</a><br>
BaseDN: dc=unix<br><br><br>Continue to configure the system with these values? [no]: yes<br>User authorized to enroll computers: admin<br>Synchronizing time with KDC...<br>Password for admin@UNIX: <br><br>Enrolled in IPA realm UNIX<br>
Created /etc/ipa/default.conf<br>Configured /etc/sssd/sssd.conf<br>Configured /etc/krb5.conf for IPA realm UNIX<br>SSSD enabled<br><br><b>Unable to find 'admin' user with 'getent passwd admin'!</b><br><br>
Recognized configuration: SSSD<br>NTP enabled<br>Client configuration complete.<br style="background-color:rgb(255,255,255);color:rgb(0,0,0)"></span><br><br>and when I sniff via wireshark while doing getent passwd admin, I get<br>
<br>many time this snipet, with all the Microsoft AD server in the loop<br><br>165.115.52.21 = our windows dns server<br>165.115.40.149 = our ipa client<br>165.115.40.144<br>165.115.126.210 = windows AD domain controller<br>
165.115.212.167 = windows AD domain controller<br><br><br><br> 31.784008 165.115.52.21 -> 165.115.40.149 DNS Standard query response A 165.115.52.21<br> 31.784308 165.115.40.149 -> 165.115.52.21 TCP 37236 > ldap [SYN] Seq=0 Win=14600 Len=0 MSS=1460 TSV=5217133 TSER=0 WS=7<br>
 31.784518 165.115.52.21 -> 165.115.40.149 TCP ldap > 37236 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1460 WS=0 TSV=0 TSER=0<br> 31.784538 165.115.40.149 -> 165.115.52.21 TCP 37236 > ldap [ACK] Seq=1 Ack=1 Win=14720 Len=0 TSV=5217133 TSER=0<br>
 31.784873 165.115.40.149 -> 165.115.52.21 LDAP searchRequest(1) "<ROOT>" baseObject<br> 31.785487 165.115.52.21 -> 165.115.40.149 TCP [TCP segment of a reassembled PDU]<br> 31.785505 165.115.40.149 -> 165.115.52.21 TCP 37236 > ldap [ACK] Seq=229 Ack=1449 Win=17536 Len=0 TSV=5217134 TSER=13371643<br>
 31.785522 165.115.52.21 -> 165.115.40.149 LDAP searchResEntry(1) "<ROOT>"<br> 31.785531 165.115.40.149 -> 165.115.52.21 TCP 37236 > ldap [ACK] Seq=229 Ack=2314 Win=20480 Len=0 TSV=5217134 TSER=13371643<br>
 31.786016 165.115.40.149 -> 165.115.52.21 DNS Standard query A <a href="http://jac-rg-i01.cn.ca">jac-rg-i01.cn.ca</a><br> 31.786301 165.115.52.21 -> 165.115.40.149 DNS Standard query response A 165.115.126.210<br> 31.790918 165.115.40.149 -> 165.115.126.210 KRB5 AS-REQ<br>
 31.826597 165.115.126.210 -> 165.115.40.149 KRB5 KRB Error: KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN<br> 31.827485 165.115.40.149 -> 165.115.52.21 LDAP unbindRequest(2)<br><br><br><br><br> 31.827518 165.115.40.149 -> 165.115.52.21 TCP 37236 > ldap [FIN, ACK] Seq=236 Ack=2314 Win=20480 Len=0 TSV=5217176 TSER=13371643<br>
 31.827763 165.115.52.21 -> 165.115.40.149 TCP ldap > 37236 [ACK] Seq=2314 Ack=237 Win=65300 Len=0 TSV=13371643 TSER=5217176<br> 31.827786 165.115.52.21 -> 165.115.40.149 TCP ldap > 37236 [FIN, ACK] Seq=2314 Ack=237 Win=65300 Len=0 TSV=13371643 TSER=5217176<br>
 31.827795 165.115.40.149 -> 165.115.52.21 TCP 37236 > ldap [ACK] Seq=237 Ack=2315 Win=20480 Len=0 TSV=5217177 TSER=13371643<br> 31.827856 165.115.40.149 -> 165.115.52.21 DNS Standard query A <a href="http://gnp-yd-i01.cn.ca">gnp-yd-i01.cn.ca</a><br>
 31.828112 165.115.52.21 -> 165.115.40.149 DNS Standard query response A 165.115.207.219<br> 31.828393 165.115.40.149 -> 165.115.207.219 TCP 56123 > ldap [SYN] Seq=0 Win=14600 Len=0 MSS=1460 TSV=5217177 TSER=0 WS=7<br>
 31.860256 165.115.207.219 -> 165.115.40.149 TCP ldap > 56123 [SYN, ACK] Seq=0 Ack=1 Win=16384 Len=0 MSS=1360 WS=0 TSV=0 TSER=0<br> 31.860313 165.115.40.149 -> 165.115.207.219 TCP 56123 > ldap [ACK] Seq=1 Ack=1 Win=14720 Len=0 TSV=5217209 TSER=0<br>
 31.860488 165.115.40.149 -> 165.115.207.219 LDAP searchRequest(1) "<ROOT>" baseObject<br> 31.901748 165.115.207.219 -> 165.115.40.149 TCP [TCP segment of a reassembled PDU]<br> 31.901767 165.115.40.149 -> 165.115.207.219 TCP 56123 > ldap [ACK] Seq=229 Ack=1349 Win=17536 Len=0 TSV=5217251 TSER=15563619<br>
 31.907040 165.115.207.219 -> 165.115.40.149 LDAP searchResEntry(1) "<ROOT>"<br> 31.907054 165.115.40.149 -> 165.115.207.219 TCP 56123 > ldap [ACK] Seq=229 Ack=2314 Win=20224 Len=0 TSV=5217256 TSER=15563619<br>
 31.907540 165.115.40.149 -> 165.115.52.21 DNS Standard query A <a href="http://prg-yd-i02.cn.ca">prg-yd-i02.cn.ca</a><br> 31.907883 165.115.52.21 -> 165.115.40.149 DNS Standard query response A 165.115.212.167<br> 31.911870 165.115.40.149 -> 165.115.212.167 KRB5 AS-REQ<br>
 31.995533 165.115.212.167 -> 165.115.40.149 KRB5 KRB Error: KRB5KDC_ERR_C_PRINCIPAL_UNKNOWN<br> 31.996253 165.115.40.149 -> 165.115.207.219 LDAP unbindRequest(2)<br><br>it does this snippet on every AD server before geting back empty<br>
<br>We wonder if we need to create a subdomain with FREEIP master of that subdomain...<br><br>Any help would be appreciate<br><br>Regards<br><br>-- <br>Sylvain Angers<br><br>