<div dir="ltr">I have two IPA servers <a href="http://ipaprd1.example.com">ipaprd1.example.com</a> and <a href="http://ipaprd2.example.com">ipaprd2.example.com</a>, running ipa 4.4 on RHEL7. When I tried to install/configure the client on a RHEL6 system(called ipadev6), I had issue when I tried to enroll it with the replica(ipaprd2), while no issue with the primary(ipaprd1):<div><br></div><div><div># ipa-client-install --domain=<a href="http://ipa.example.com">ipa.example.com</a> --server=<a href="http://ipaprd1.example.com">ipaprd1.example.com</a> --server=<a href="http://ipaprd2.example.com">ipaprd2.example.com</a> --hostname=<a href="http://ipadev6.example.com">ipadev6.example.com</a></div><div>LDAP Error: Protocol error: unsupported extended operation</div><div>Autodiscovery of servers for failover cannot work with this configuration.</div><div>If you proceed with the installation, services will be configured to always access the discovered server for all operations and will not fail over to other servers in case of failure.</div><div>Proceed with fixed values and no DNS discovery? [no]</div></div><div><br></div><div>Then I tried to run ipa-client-install to enroll with the replica(ipaprd2), with debug mode, I got this:</div><div><br></div><div><div># ipa-client-install --domain=<a href="http://ipa.example.com">ipa.example.com</a> --server=<a href="http://ipaprd2.example.com">ipaprd2.example.com</a>  --hostname=<a href="http://ipadev6.example.com">ipadev6.example.com</a> -d</div><div>/usr/sbin/ipa-client-install was invoked with options: {'domain': '<a href="http://ipa.example.com">ipa.example.com</a>', 'force': False, 'realm_name': None, 'krb5_offline_passwords': True, 'primary': False, 'mkhomedir': False, 'create_sshfp': True, 'conf_sshd': True, 'conf_ntp': True, 'on_master': False, 'ntp_server': None, 'nisdomain': None, 'no_nisdomain': False, 'principal': None, 'hostname': '<a href="http://ipadev6.example.com">ipadev6.example.com</a>', 'no_ac': False, 'unattended': None, 'sssd': True, 'trust_sshfp': False, 'kinit_attempts': 5, 'dns_updates': False, 'conf_sudo': True, 'conf_ssh': True, 'force_join': False, 'ca_cert_file': None, 'server': ['<a href="http://ipaprd2.example.com">ipaprd2.example.com</a>'], 'prompt_password': False, 'permit': False, 'debug': True, 'preserve_sssd': False, 'uninstall': False}</div><div>missing options might be asked for interactively later</div><div>Loading Index file from '/var/lib/ipa-client/sysrestore/sysrestore.index'</div><div>Loading StateFile from '/var/lib/ipa-client/sysrestore/sysrestore.state'</div><div>[IPA Discovery]</div><div>Starting IPA discovery with domain=<a href="http://ipa.example.com">ipa.example.com</a>, servers=['<a href="http://ipaprd2.example.com">ipaprd2.example.com</a>'], hostname=<a href="http://ipadev6.example.com">ipadev6.example.com</a></div><div>Server and domain forced</div><div>[Kerberos realm search]</div><div>Search DNS for TXT record of _<a href="http://kerberos.ipa.example.com">kerberos.ipa.example.com</a>.</div><div>No DNS record found</div><div>Search DNS for SRV record of _kerberos._<a href="http://udp.ipa.example.com">udp.ipa.example.com</a>.</div><div>No DNS record found</div><div>SRV record for KDC not found! Domain: <a href="http://ipa.example.com">ipa.example.com</a></div><div>[LDAP server check]</div><div>Verifying that <a href="http://ipaprd2.example.com">ipaprd2.example.com</a> (realm None) is an IPA server</div><div>Init LDAP connection with: ldap://<a href="http://ipaprd2.example.com:389">ipaprd2.example.com:389</a></div><div>LDAP Error: Protocol error: unsupported extended operation</div><div>Discovery result: UNKNOWN_ERROR; server=None, domain=<a href="http://ipa.example.com">ipa.example.com</a>, kdc=None, basedn=None</div><div>Validated servers:</div><div>will use discovered domain: <a href="http://ipa.example.com">ipa.example.com</a></div><div>IPA Server not found</div><div>[IPA Discovery]</div><div>Starting IPA discovery with domain=<a href="http://ipa.example.com">ipa.example.com</a>, servers=['<a href="http://ipaprd2.example.com">ipaprd2.example.com</a>'], hostname=<a href="http://ipadev6.example.com">ipadev6.example.com</a></div><div>Server and domain forced</div><div>[Kerberos realm search]</div><div>Search DNS for TXT record of _<a href="http://kerberos.ipa.example.com">kerberos.ipa.example.com</a>.</div><div>No DNS record found</div><div>Search DNS for SRV record of _kerberos._<a href="http://udp.ipa.example.com">udp.ipa.example.com</a>.</div><div>No DNS record found</div><div>SRV record for KDC not found! Domain: <a href="http://ipa.example.com">ipa.example.com</a></div><div>[LDAP server check]</div><div>Verifying that <a href="http://ipaprd2.example.com">ipaprd2.example.com</a> (realm None) is an IPA server</div><div>Init LDAP connection with: ldap://<a href="http://ipaprd2.example.com:389">ipaprd2.example.com:389</a></div><div>LDAP Error: Protocol error: unsupported extended operation</div><div>Discovery result: UNKNOWN_ERROR; server=None, domain=<a href="http://ipa.example.com">ipa.example.com</a>, kdc=None, basedn=None</div><div>Validated servers:</div><div>Failed to verify that <a href="http://ipaprd2.example.com">ipaprd2.example.com</a> is an IPA Server.</div><div>This may mean that the remote server is not up or is not reachable due to network or firewall settings.</div><div>Please make sure the following ports are opened in the firewall settings:</div><div>     TCP: 80, 88, 389</div><div>     UDP: 88 (at least one of TCP/UDP ports 88 has to be open)</div><div>Also note that following ports are necessary for ipa-client working properly after enrollment:</div><div>     TCP: 464</div><div>     UDP: 464, 123 (if NTP enabled)</div><div>(<a href="http://ipaprd2.example.com">ipaprd2.example.com</a>: Provided as option)</div><div>Installation failed. Rolling back changes.</div><div>IPA client is not configured on this system.</div></div><div><br></div><div><br></div><div>I double checked the services running on the replica, all looked well: ports are listening, and I could telnet the ports from the client(ipadev6). I could run "ldapserach" command to talk to the replica(ipaprd2) from this client(ipadev6), with pulling out all the LDAP records.</div><div><br></div><div>Also, I have another test box running RHEL7, and no issue at all to run the exact same ipa-client-install command on that RHEL7 box. So could there be a bug on the ipa-client software on RHEL6, to talk to IPA sever running on RHEL7? Please advise. Thank you!</div><div><br></div><div>Best regards,</div><div>Beeth</div></div>