<div dir="ltr">Thank you Petr!  I found the problem, but quite by accident...  There may be a Best Practice at hand that I wasn't aware of...  <br><br>I still have the Windows AD server sitting on the side, serving as DHCP server and waiting patiently for my Cross Realm Trust;  That server will forward DNS requests to the IPA server, and return a non-authoritative answer.  Occasionally, that server will seemingly loose track of the IPA server, and stop returning results...  And that happened while I was trying to follow through with your request for info...  So as a quick work around, I simply dropped the AD server from my resolv.conf...  <br><br>And then performed your requests, without errors.  I ran the DNS Update from the ipa-server-install script, and that worked without errors.  I added the AD server back into resolv.conf, and everything failed again. I put the AD server as the SECOND name server in resolv.conf, and the errors went away. So I've clearly identified the problem.  <br><br>I uninstalled the client, and reinstalled the client, and everything went cleanly. <br><br>To prevent this problem in the future...  I will be changing the DHCP options to list the IPA DNS first for the Linux clients, and the AD DNS first for Windows clients; I still want the AD DNS server in the list, as a fallback. Is this plan the best practice here?  <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Oct 26, 2016 at 11:36 PM, Petr Spacek <span dir="ltr"><<a href="mailto:pspacek@redhat.com" target="_blank">pspacek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 27.10.2016 04:43, Tyrell Jentink wrote:<br>
>> 2016-10-26T23:30:40Z DEBUG Writing nsupdate commands to<br>
>> > /etc/ipa/.dns_update.txt:<br>
>> > 2016-10-26T23:30:40Z DEBUG debug<br>
>> ><br>
>> > update delete <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>. IN A<br>
>> > show<br>
>> > send<br>
>> ><br>
>> > update delete <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>. IN AAAA<br>
>> > show<br>
>> > send<br>
>> ><br>
>> > update add <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>. 1200 IN A 10.42.0.100<br>
>> > show<br>
>> > send<br>
>> ><br>
>> > 2016-10-26T23:30:40Z DEBUG Starting external process<br>
>> > 2016-10-26T23:30:40Z DEBUG args=/usr/bin/nsupdate -g<br>
>> > /etc/ipa/.dns_update.txt<br>
>> > 2016-10-26T23:30:40Z DEBUG Process finished, return code=1<br>
>> > 2016-10-26T23:30:40Z DEBUG stdout=Outgoing update query:<br>
>> > ;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0<br>
>> > ;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0<br>
>> > ;; UPDATE SECTION:<br>
>> > <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>. 0 ANY     A<br>
>> ><br>
>> > Outgoing update query:<br>
>> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:  39562<br>
>> > ;; flags:; QUESTION: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1<br>
>> > ;; QUESTION SECTION:<br>
>> > ;<a href="http://3107127915.sig-ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">3107127915.sig-ipa-pdc.ipa.<wbr>rxrhouse.net</a>. ANY TKEY<br>
>> ><br>
>> > ;; ADDITIONAL SECTION:<br>
>> > <a href="http://3107127915.sig-ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">3107127915.sig-ipa-pdc.ipa.<wbr>rxrhouse.net</a>. 0 ANY TKEY gss-tsig. 1477524640<br>
</div></div>[...]<br>
<div><div class="h5">>> ><br>
>> > 2016-10-26T23:30:40Z DEBUG stderr=Reply from SOA query:<br>
>> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:  38738<br>
>> > ;; flags: qr aa rd ra; QUESTION: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0<br>
>> > ;; QUESTION SECTION:<br>
>> > ;<a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>.  IN      SOA<br>
>> ><br>
>> > ;; AUTHORITY SECTION:<br>
>> > <a href="http://ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa.rxrhouse.net</a>.       0       IN      SOA     <a href="http://ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa-pdc.ipa.rxrhouse.net</a>.<br>
>> > <a href="http://hostmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">hostmaster.ipa.rxrhouse.net</a>. 1477524446 3600 900 1209600 3600<br>
>> ><br>
>> > Found zone name: <a href="http://ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa.rxrhouse.net</a><br>
>> > The master is: <a href="http://ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa-pdc.ipa.rxrhouse.net</a><br>
>> > start_gssrequest<br>
>> > Found realm from ticket: <a href="http://IPA.RXRHOUSE.NET" rel="noreferrer" target="_blank">IPA.RXRHOUSE.NET</a><br>
>> > send_gssrequest<br>
>> > recvmsg reply from GSS-TSIG query<br>
>> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id:  39562<br>
>> > ;; flags: qr; QUESTION: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0<br>
>> > ;; QUESTION SECTION:<br>
>> > ;<a href="http://3107127915.sig-ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">3107127915.sig-ipa-pdc.ipa.<wbr>rxrhouse.net</a>. ANY TKEY<br>
>> ><br>
>> > ;; ANSWER SECTION:<br>
>> > <a href="http://3107127915.sig-ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">3107127915.sig-ipa-pdc.ipa.<wbr>rxrhouse.net</a>. 0 ANY TKEY gss-tsig. 1466301805<br>
>> > 1466388205 3 NOERROR 101<br>
>> > YGMGCSqGSIb3EgECAgMAflQwUqADAg<wbr>EFoQMCAR6kERgPMjAxNjA2MTkw<br>
>> > MjAzMjVapQUCAwHGkaYDAgEpqREbD0<wbr>FELlJYUkhPVVNFLk5FVKoUMBKg<br>
>> > AwIBAaELMAkbB2FkLXBkYyQ=<br>
>> > 0<br>
>> ><br>
>> > dns_tkey_negotiategss: failure GSSAPI error: Major = Unspecified GSS<br>
>> > failure.  Minor code may provide more information, Minor = Message stream<br>
>> > modified.<br>
>> ><br>
>> > 2016-10-26T23:30:40Z DEBUG nsupdate failed: Command '/usr/bin/nsupdate -g<br>
>> > /etc/ipa/.dns_update.txt' returned non-zero exit status 1<br>
>> > 2016-10-26T23:30:40Z ERROR Failed to update DNS records.<br>
>> > 2016-10-26T23:30:40Z DEBUG DNS resolver: Query:<br>
>> > <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a> IN A<br>
>> > 2016-10-26T23:30:40Z DEBUG DNS resolver: No record.<br>
>> > 2016-10-26T23:30:40Z DEBUG DNS resolver: Query:<br>
>> > <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a> IN AAAA<br>
>> > 2016-10-26T23:30:40Z DEBUG DNS resolver: No record.<br>
>> > 2016-10-26T23:30:40Z DEBUG DNS resolver: Query: 100.0.42.10.in-addr.arpa.<br>
>> > IN PTR<br>
>> > 2016-10-26T23:30:40Z DEBUG DNS resolver: No record.<br>
>> > 2016-10-26T23:30:40Z WARNING Missing A/AAAA record(s) for host<br>
>> > <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>: 10.42.0.100.<br>
>> > 2016-10-26T23:30:40Z WARNING Missing reverse record(s) for address(es):<br>
>> > 10.42.0.100.<br>
>> ><br>
> -- Full logs can be found here:  <a href="http://pastebin.com/90dG9Ffu" rel="noreferrer" target="_blank">http://pastebin.com/90dG9Ffu</a><br>
><br>
</div></div>>    - For grins, I decided to test:<br>
<span class="">>    kinit admin<br>
>    id admin<br>
>    getent passwd admin<br>
>    on the client, and all of those all made valid responses... So<br>
>    authentication is working, I just can't update DNS records.<br>
><br>
><br>
> So that's what I've tried, and where I'm at...  My client machines running<br>
> modern client software can NOT update DNS records, complaining about GSSAPI<br>
> "Message Stream Modified" errors...  And I have no idea how to troubleshoot<br>
> that... Any ideas?<br>
<br>
</span>Interesting, I haven't seen this one :-)<br>
<br>
There is something fishy in GSSAPI negotiation between the client and DNS server.<br>
<br>
I would try this (and watch out for suspicious messages along the way):<br>
<br>
1) To be sure, please double-check that <a href="http://ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa-pdc.ipa.rxrhouse.net</a>. resolves<br>
(from the client) to correct IP address of IPA DNS server.<br>
<br>
2) Verify that Kerberos ticket for the DNS server can be obtained:<br>
$ kinit -k<br>
$ kvno DNS/<a href="http://ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa-pdc.ipa.rxrhouse.net</a><br>
$ klist  # it should list Kerberos ticket for <a href="http://ipa-pdc.ipa.rxrhouse.net" rel="noreferrer" target="_blank">ipa-pdc.ipa.rxrhouse.net</a><br>
<br>
3) Create a plain text file with update message content:<br>
cat > /tmp/dnsupdate <<<EOF<br>
<span class="">debug<br>
update delete <a href="http://trainmaster.ipa.rxrhouse.net" rel="noreferrer" target="_blank">trainmaster.ipa.rxrhouse.net</a>. IN A<br>
</span>send<br>
EOF<br>
<br>
4) call nsupdate on it<br>
$ KRB5_TRACE=/dev/stdout nsupdate -g /tmp/dnsupdate<br>
<br>
Does it produce the same error? (It should, but with more debuginfo.)<br>
<br>
<br>
What version of server and client packages are you using?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Petr^2 Spacek<br>
<br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>