<div dir="ltr"><div id=":xw" class="" style="font-size:12.8px;margin-bottom:0px;margin-left:0px;padding-bottom:5px"><div id=":zo" class=""><div dir="ltr"><div style="font-size:12.8px">I am trying to add a 4th replica to my FreeIPA installation. I am running the latest CentOS 7.2 (full updates) and i have tried multiple times and fails every time in same location. When it fails I remove the replication agreements and try again and keeps failing in same location.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px"><div>[root@ipa03-aws centos]# ipa-replica-install replica-info-ipa03-aws.rsinc.local.gpg</div><div>WARNING: conflicting time&date synchronization service 'chronyd' will</div><div>be disabled in favor of ntpd</div><div><br></div><div>Directory Manager (existing master) password:</div><div><br></div><div>Run connection check to master</div><div>Check connection from replica to remote master 'ipa01-aws.rsinc.local':</div><div>   Directory Service: Unsecure port (389): OK</div><div>   Directory Service: Secure port (636): OK</div><div>   Kerberos KDC: TCP (88): OK</div><div>   Kerberos Kpasswd: TCP (464): OK</div><div>   HTTP Server: Unsecure port (80): OK</div><div>   HTTP Server: Secure port (443): OK</div><div><br></div><div>The following list of ports use UDP protocol and would need to be</div><div>checked manually:</div><div>   Kerberos KDC: UDP (88): SKIPPED</div><div>   Kerberos Kpasswd: UDP (464): SKIPPED</div><div><br></div><div>Connection from replica to master is OK.</div><div>Start listening on required ports for remote master check</div><div>Get credentials to log in to remote master</div><div>admin@RSINC.LOCAL password:</div><div><br></div><div>Check SSH connection to remote master</div><div>Execute check on remote master</div><div>Check connection from master to remote replica 'ipa03-aws.rsinc.local':</div><div>   Directory Service: Unsecure port (389): OK</div><div>   Directory Service: Secure port (636): OK</div><div>   Kerberos KDC: TCP (88): OK</div><div>   Kerberos KDC: UDP (88): OK</div><div>   Kerberos Kpasswd: TCP (464): OK</div><div>   Kerberos Kpasswd: UDP (464): OK</div><div>   HTTP Server: Unsecure port (80): OK</div><div>   HTTP Server: Secure port (443): OK</div><div><br></div><div>Connection from master to replica is OK.</div><div><br></div><div>Connection check OK</div><div>Configuring NTP daemon (ntpd)</div><div>  [1/4]: stopping ntpd</div><div>  [2/4]: writing configuration</div><div>  [3/4]: configuring ntpd to start on boot</div><div>  [4/4]: starting ntpd</div><div>Done configuring NTP daemon (ntpd).</div><div>Configuring directory server (dirsrv). Estimated time: 1 minute</div><div>  [1/38]: creating directory server user</div><div>  [2/38]: creating directory server instance</div><div>  [3/38]: adding default schema</div><div>  [4/38]: enabling memberof plugin</div><div>  [5/38]: enabling winsync plugin</div><div>  [6/38]: configuring replication version plugin</div><div>  [7/38]: enabling IPA enrollment plugin</div><div>  [8/38]: enabling ldapi</div><div>  [9/38]: configuring uniqueness plugin</div><div>  [10/38]: configuring uuid plugin</div><div>  [11/38]: configuring modrdn plugin</div><div>  [12/38]: configuring DNS plugin</div><div>  [13/38]: enabling entryUSN plugin</div><div>  [14/38]: configuring lockout plugin</div><div>  [15/38]: creating indices</div><div>  [16/38]: enabling referential integrity plugin</div><div>  [17/38]: configuring ssl for ds instance</div><div>  [18/38]: configuring certmap.conf</div><div>  [19/38]: configure autobind for root</div><div>  [20/38]: configure new location for managed entries</div><div>  [21/38]: configure dirsrv ccache</div><div>  [22/38]: enable SASL mapping fallback</div><div>  [23/38]: restarting directory server</div><div>  [24/38]: setting up initial replication</div><div>Starting replication, please wait until this has completed.</div><div>Update in progress, 4 seconds elapsed</div><div>Update succeeded</div><div><br></div><div>  [25/38]: updating schema</div><div>  [26/38]: setting Auto Member configuration</div><div>  [27/38]: enabling S4U2Proxy delegation</div><div>  [28/38]: importing CA certificates from LDAP</div><div>  [29/38]: initializing group membership</div><div>  [30/38]: adding master entry</div><div>  [31/38]: initializing domain level</div><div>  [32/38]: configuring Posix uid/gid generation</div><div>  [33/38]: adding replication acis</div><div>  [34/38]: enabling compatibility plugin</div><div>  [35/38]: activating sidgen plugin</div><div>  [36/38]: activating extdom plugin</div><div>  [37/38]: tuning directory server</div><div>  [38/38]: configuring directory to start on boot</div><div>Done configuring directory server (dirsrv).</div><div>Configuring Kerberos KDC (krb5kdc). Estimated time: 30 seconds</div><div>  [1/8]: adding sasl mappings to the directory</div><div>  [2/8]: configuring KDC</div><div>  [3/8]: creating a keytab for the directory</div><div>  [4/8]: creating a keytab for the machine</div><div>  [5/8]: adding the password extension to the directory</div><div>  [6/8]: enable GSSAPI for replication</div><div>  [error] RuntimeError: One of the ldap service principals is missing. Replication agreement cannot be converted.</div><div>Replication error message: Can't acquire busy replica</div><div>Your system may be partly configured.</div><div>Run /usr/sbin/ipa-server-install --uninstall to clean up.</div><div><br></div><div>ipa.ipapython.install.cli.install_tool(Replica): ERROR    One of the ldap service principals is missing. Replication agreement cannot be converted.</div><div>Replication error message: Can't acquire busy replica</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Please see attached file for the full log file.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Any help would be appreciated!</div><div><br></div></div><div class=""></div></div></div><div class="" id=":y1" style="font-size:12.8px"></div></div>