<div dir="ltr">When i tried to create the replica from another server, it fails giving me this?<div><br></div><div><div>[root@ipa02-aws ~]# ipa-replica-prepare ipa03-aws.rsinc.local --ip-address 10.40.x.x</div><div>Directory Manager (existing master) password:</div><div><br></div><div>If you installed IPA with your own certificates using PKCS#12 files you must provide PKCS#12 files for any replicas you create as well.</div><div>The replica must be created on the primary IPA server.</div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 14, 2016 at 8:22 AM, Petr Vobornik <span dir="ltr"><<a href="mailto:pvoborni@redhat.com" target="_blank">pvoborni@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 07/14/2016 07:18 AM, Bjarne Blichfeldt wrote:<br>
> Well, I just had the same problem, but in my case I also tried to install a ca:<br>
><br>
> “ipa-replica-install --setup-ca …..”<br>
><br>
> Without “--set-up”  the installation succeeded.<br>
><br>
> Regards,<br>
><br>
> Bjarne<br>
><br>
<br>
</span>The error below is not related to CA.<br>
<br>
It tries to check that new replica's ldap service principal was replica<br>
to master server. The principal is not replicated there and after 60<br>
attemps it fails.<br>
<br>
What is your replication topology? Could it be that other replicas are<br>
keeping this master busy?<br>
<br>
Does installation against other replica work?<br>
<br>
Could you provide dirsrv error log of the master from the time of<br>
installation?<br>
<br>
><br>
><br>
> *From:*Devin Acosta [mailto:<a href="mailto:linuxguru.co@gmail.com">linuxguru.co@gmail.com</a>]<br>
> *Sent:* 12. juli 2016 21:35<br>
> *To:* <a href="mailto:freeipa-users@redhat.com">freeipa-users@redhat.com</a><br>
> *Subject:* [Freeipa-users] FreeIPA (Add Replica fails on GSSAPI)<br>
<span class="">><br>
> I am trying to add a 4th replica to my FreeIPA installation. I am running the<br>
> latest CentOS 7.2 (full updates) and i have tried multiple times and fails every<br>
> time in same location. When it fails I remove the replication agreements and try<br>
> again and keeps failing in same location.<br>
><br>
> [root@ipa03-aws centos]# ipa-replica-install replica-info-ipa03-aws.rsinc.local.gpg<br>
><br>
> WARNING: conflicting time&date synchronization service 'chronyd' will<br>
><br>
> be disabled in favor of ntpd<br>
><br>
> Directory Manager (existing master) password:<br>
><br>
> Run connection check to master<br>
><br>
> Check connection from replica to remote master 'ipa01-aws.rsinc.local':<br>
><br>
>     Directory Service: Unsecure port (389): OK<br>
><br>
>     Directory Service: Secure port (636): OK<br>
><br>
>     Kerberos KDC: TCP (88): OK<br>
><br>
>     Kerberos Kpasswd: TCP (464): OK<br>
><br>
>     HTTP Server: Unsecure port (80): OK<br>
><br>
>     HTTP Server: Secure port (443): OK<br>
><br>
> The following list of ports use UDP protocol and would need to be<br>
><br>
> checked manually:<br>
><br>
>     Kerberos KDC: UDP (88): SKIPPED<br>
><br>
>     Kerberos Kpasswd: UDP (464): SKIPPED<br>
><br>
> Connection from replica to master is OK.<br>
><br>
> Start listening on required ports for remote master check<br>
><br>
> Get credentials to log in to remote master<br>
><br>
</span>> admin@RSINC.LOCAL <mailto:<a href="mailto:admin@RSINC.LOCAL">admin@RSINC.LOCAL</a>> password:<br>
<div class="HOEnZb"><div class="h5">><br>
> Check SSH connection to remote master<br>
><br>
> Execute check on remote master<br>
><br>
> Check connection from master to remote replica 'ipa03-aws.rsinc.local':<br>
><br>
>     Directory Service: Unsecure port (389): OK<br>
><br>
>     Directory Service: Secure port (636): OK<br>
><br>
>     Kerberos KDC: TCP (88): OK<br>
><br>
>     Kerberos KDC: UDP (88): OK<br>
><br>
>     Kerberos Kpasswd: TCP (464): OK<br>
><br>
>     Kerberos Kpasswd: UDP (464): OK<br>
><br>
>     HTTP Server: Unsecure port (80): OK<br>
><br>
>     HTTP Server: Secure port (443): OK<br>
><br>
> Connection from master to replica is OK.<br>
><br>
> Connection check OK<br>
><br>
> Configuring NTP daemon (ntpd)<br>
><br>
>    [1/4]: stopping ntpd<br>
><br>
>    [2/4]: writing configuration<br>
><br>
>    [3/4]: configuring ntpd to start on boot<br>
><br>
>    [4/4]: starting ntpd<br>
><br>
> Done configuring NTP daemon (ntpd).<br>
><br>
> Configuring directory server (dirsrv). Estimated time: 1 minute<br>
><br>
>    [1/38]: creating directory server user<br>
><br>
>    [2/38]: creating directory server instance<br>
><br>
>    [3/38]: adding default schema<br>
><br>
>    [4/38]: enabling memberof plugin<br>
><br>
>    [5/38]: enabling winsync plugin<br>
><br>
>    [6/38]: configuring replication version plugin<br>
><br>
>    [7/38]: enabling IPA enrollment plugin<br>
><br>
>    [8/38]: enabling ldapi<br>
><br>
>    [9/38]: configuring uniqueness plugin<br>
><br>
>    [10/38]: configuring uuid plugin<br>
><br>
>    [11/38]: configuring modrdn plugin<br>
><br>
>    [12/38]: configuring DNS plugin<br>
><br>
>    [13/38]: enabling entryUSN plugin<br>
><br>
>    [14/38]: configuring lockout plugin<br>
><br>
>    [15/38]: creating indices<br>
><br>
>    [16/38]: enabling referential integrity plugin<br>
><br>
>    [17/38]: configuring ssl for ds instance<br>
><br>
>    [18/38]: configuring certmap.conf<br>
><br>
>    [19/38]: configure autobind for root<br>
><br>
>    [20/38]: configure new location for managed entries<br>
><br>
>    [21/38]: configure dirsrv ccache<br>
><br>
>    [22/38]: enable SASL mapping fallback<br>
><br>
>    [23/38]: restarting directory server<br>
><br>
>    [24/38]: setting up initial replication<br>
><br>
> Starting replication, please wait until this has completed.<br>
><br>
> Update in progress, 4 seconds elapsed<br>
><br>
> Update succeeded<br>
><br>
>    [25/38]: updating schema<br>
><br>
>    [26/38]: setting Auto Member configuration<br>
><br>
>    [27/38]: enabling S4U2Proxy delegation<br>
><br>
>    [28/38]: importing CA certificates from LDAP<br>
><br>
>    [29/38]: initializing group membership<br>
><br>
>    [30/38]: adding master entry<br>
><br>
>    [31/38]: initializing domain level<br>
><br>
>    [32/38]: configuring Posix uid/gid generation<br>
><br>
>    [33/38]: adding replication acis<br>
><br>
>    [34/38]: enabling compatibility plugin<br>
><br>
>    [35/38]: activating sidgen plugin<br>
><br>
>    [36/38]: activating extdom plugin<br>
><br>
>    [37/38]: tuning directory server<br>
><br>
>    [38/38]: configuring directory to start on boot<br>
><br>
> Done configuring directory server (dirsrv).<br>
><br>
> Configuring Kerberos KDC (krb5kdc). Estimated time: 30 seconds<br>
><br>
>    [1/8]: adding sasl mappings to the directory<br>
><br>
>    [2/8]: configuring KDC<br>
><br>
>    [3/8]: creating a keytab for the directory<br>
><br>
>    [4/8]: creating a keytab for the machine<br>
><br>
>    [5/8]: adding the password extension to the directory<br>
><br>
>    [6/8]: enable GSSAPI for replication<br>
><br>
>    [error] RuntimeError: One of the ldap service principals is missing.<br>
> Replication agreement cannot be converted.<br>
><br>
> Replication error message: Can't acquire busy replica<br>
><br>
> Your system may be partly configured.<br>
><br>
> Run /usr/sbin/ipa-server-install --uninstall to clean up.<br>
><br>
> ipa.ipapython.install.cli.install_tool(Replica): ERROR    One of the ldap<br>
> service principals is missing. Replication agreement cannot be converted.<br>
><br>
> Replication error message: Can't acquire busy replica<br>
><br>
> Please see attached file for the full log file.<br>
><br>
> Any help would be appreciated!<br>
><br>
><br>
><br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Petr Vobornik<br>
</font></span></blockquote></div><br></div>