<div dir="ltr"><div>Hi List</div><div> </div><div>I'm currently working through the IPAv3 AD integration document at:</div><div> </div><div><a href="http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup">http://www.freeipa.org/page/Howto/IPAv3_AD_trust_setup</a></div><div> </div><div> </div><div>I've managed to establish a trust between the IdM and the AD server. However, when I run the command:</div><div> </div><div>---</div><div>[root@kwtpocidm001 ~]# ipa trustdomain-fetch "mhatest.local"<br></div><div>ipa: ERROR: unknown command 'trustdomain-fetch'</div><div>---</div><div> </div><div>It would appear the  'trustdomain-fetch' command is not present anymore or has been replaced with something else? </div><div>I speculate it's this:</div><div> </div><div>---</div><div>[root@kwtpocidm001 ~]# ipa trust-fetch-domains "mhatest.local"<br>ipa: ERROR: AD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for example<br>---</div><div> </div><div>Is this correct?</div><div> </div><div> </div><div>If indeed "trust-fetch-domains" is the correct command, then .w.r.t this error message:</div><div> </div><div>"ipa: ERROR: AD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for example"</div><div> </div><div>a) Checked the time synch on the AD server and the RHEL 7 IdM server and it's fine.</div><div>b) Here's a snippet around the error when running ipa with "-d":</div><div> </div><div>----</div><div>ipa: DEBUG: approved_usage = SSL Server intended_usage = SSL Server<br>ipa: DEBUG: cert valid True for "CN=kwtpocidm001.linux.mhatest.local,O=LINUX.MHATEST.LOCAL"<br>ipa: DEBUG: handshake complete, peer = <a href="http://172.16.107.108:443">172.16.107.108:443</a><br>ipa: DEBUG: received Set-Cookie 'ipa_session=1fe28460c7ec75d6da8d7e3b53c2e51f; Domain=kwtpocidm001.linux.mhatest.local; Path=/ipa; Expires=Thu, 11 Sep 2014 13:12:02 GMT; Secure; HttpOnly'<br>ipa: DEBUG: storing cookie 'ipa_session=1fe28460c7ec75d6da8d7e3b53c2e51f; Domain=kwtpocidm001.linux.mhatest.local; Path=/ipa; Expires=Thu, 11 Sep 2014 13:12:02 GMT; Secure; HttpOnly' for principal <a href="mailto:admin@LINUX.MHATEST.LOCAL">admin@LINUX.MHATEST.LOCAL</a><br>ipa: DEBUG: Starting external process<br>ipa: DEBUG: args=keyctl search @s user ipa_session_cookie:admin@LINUX.MHATEST.LOCAL<br>ipa: DEBUG: Process finished, return code=0<br>ipa: DEBUG: stdout=334684795</div><div>ipa: DEBUG: stderr=<br>ipa: DEBUG: Starting external process<br>ipa: DEBUG: args=keyctl search @s user ipa_session_cookie:admin@LINUX.MHATEST.LOCAL<br>ipa: DEBUG: Process finished, return code=0<br>ipa: DEBUG: stdout=334684795</div><div>ipa: DEBUG: stderr=<br>ipa: DEBUG: Starting external process<br>ipa: DEBUG: args=keyctl pupdate 334684795<br>ipa: DEBUG: Process finished, return code=0<br>ipa: DEBUG: stdout=<br>ipa: DEBUG: stderr=<br>ipa: DEBUG: Caught fault 4016 from server <a href="https://kwtpocidm001.linux.mhatest.local/ipa/session/xml">https://kwtpocidm001.linux.mhatest.local/ipa/session/xml</a>: AD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for example<br>ipa: DEBUG: Destroyed connection context.xmlclient<br>ipa: ERROR: AD domain controller complains about communication sequence. It may mean unsynchronized time on both sides, for example<br>----</div><div> </div><div> </div><div>Many thanks in advance for any assistance!</div><div> </div><div>Traiano</div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div> </div><div><br> </div></div>