<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 16, 2015 at 8:44 AM, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I suspect you've triggered <a href="https://fedorahosted.org/freeipa/ticket/4586" target="_blank">https://fedorahosted.org/freeipa/ticket/4586</a><br>
and <a href="https://fedorahosted.org/freeipa/ticket/4635" target="_blank">https://fedorahosted.org/<u></u>freeipa/ticket/4635</a> -- slapi-nis plugin<br>
configuration does not limit itself to $SUFFIX and listens to changes in<br>
cn=changelog too so it may deadlock with a replication traffic.<br>
<br>
We fixed these partly by changing slapi-nis configuration, partly by<br>
fixing bugs in 389-ds.<br>
<br>
I wonder if amending your slapi-nis config to avoid triggering internal<br>
searches on cn=changelog would be enough.<br>
<br>
If you have RHEL subscription, please open a case with Red Hat's<br>
support.<span class="HOEnZb"><font color="#888888"><br>
<br></font></span></blockquote></div><br></div><div class="gmail_extra">I opened a support case, but unfortunately the IPA server is running on CentOS so no help from the support. Any chance you could share the configuration changes you referred to above?<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">At the moment we cannot even access ipa-replica-manage because it "Can' contact LDAP server". I doubt it has something to do with Kerberos based authentication, as kinit is also really unstable at the moment.<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Best regards,<br>Thomas<br></div></div>