<div dir="ltr">Thanks David. I installed both the master and replica IPA servers with third-party certificates(Verisign), but I doubt that could be the issue, because I had no problem to run the same ipa-client-install command on a RHEL7 machine(of course, the --hostname used a different hostname of the server). And I had no problem to run the ipa-client-install command with --server=<master> on such RHEL6 machine. So what could cause the LDAP communication failed during the client enrollment with the replica? Is there a way I can troubleshoot this by running some commands? So far I did telnet to check the open ports, as well as run the ldapsearch towards the replica. Thanks again!<div><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 13, 2016 at 8:46 AM, David Kupka <span dir="ltr"><<a href="mailto:dkupka@redhat.com" target="_blank">dkupka@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="HOEnZb"><div class="h5">On 13/12/16 05:44, beeth beeth wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I have two IPA servers <a href="http://ipaprd1.example.com" rel="noreferrer" target="_blank">ipaprd1.example.com</a> and <a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a>, running<br>
ipa 4.4 on RHEL7. When I tried to install/configure the client on a RHEL6<br>
system(called ipadev6), I had issue when I tried to enroll it with the<br>
replica(ipaprd2), while no issue with the primary(ipaprd1):<br>
<br>
# ipa-client-install --domain=<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a> --server=<a href="http://ipaprd1.example.com" rel="noreferrer" target="_blank">ipaprd1.example.com</a><br>
--server=<a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a> --hostname=<a href="http://ipadev6.example.com" rel="noreferrer" target="_blank">ipadev6.example.com</a><br>
LDAP Error: Protocol error: unsupported extended operation<br>
Autodiscovery of servers for failover cannot work with this configuration.<br>
If you proceed with the installation, services will be configured to always<br>
access the discovered server for all operations and will not fail over to<br>
other servers in case of failure.<br>
Proceed with fixed values and no DNS discovery? [no]<br>
<br>
Then I tried to run ipa-client-install to enroll with the replica(ipaprd2),<br>
with debug mode, I got this:<br>
<br>
# ipa-client-install --domain=<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a> --server=<a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a><br>
 --hostname=<a href="http://ipadev6.example.com" rel="noreferrer" target="_blank">ipadev6.example.<wbr>com</a> -d<br>
/usr/sbin/ipa-client-install was invoked with options: {'domain': '<br>
<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a>', 'force': False, 'realm_name': None,<br>
'krb5_offline_passwords': True, 'primary': False, 'mkhomedir': False,<br>
'create_sshfp': True, 'conf_sshd': True, 'conf_ntp': True, 'on_master':<br>
False, 'ntp_server': None, 'nisdomain': None, 'no_nisdomain': False,<br>
'principal': None, 'hostname': '<a href="http://ipadev6.example.com" rel="noreferrer" target="_blank">ipadev6.example.com</a>', 'no_ac': False,<br>
'unattended': None, 'sssd': True, 'trust_sshfp': False, 'kinit_attempts':<br>
5, 'dns_updates': False, 'conf_sudo': True, 'conf_ssh': True, 'force_join':<br>
False, 'ca_cert_file': None, 'server': ['<a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a>'],<br>
'prompt_password': False, 'permit': False, 'debug': True, 'preserve_sssd':<br>
False, 'uninstall': False}<br>
missing options might be asked for interactively later<br>
Loading Index file from '/var/lib/ipa-client/sysrestor<wbr>e/sysrestore.index'<br>
Loading StateFile from '/var/lib/ipa-client/sysrestor<wbr>e/sysrestore.state'<br>
[IPA Discovery]<br>
Starting IPA discovery with domain=<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a>, servers=['<br>
<a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a>'], hostname=<a href="http://ipadev6.example.com" rel="noreferrer" target="_blank">ipadev6.example.com</a><br>
Server and domain forced<br>
[Kerberos realm search]<br>
Search DNS for TXT record of _<a href="http://kerberos.ipa.example.com" rel="noreferrer" target="_blank">kerberos.ipa.example.com</a>.<br>
No DNS record found<br>
Search DNS for SRV record of _kerberos._<a href="http://udp.ipa.example.com" rel="noreferrer" target="_blank">udp.ipa.example.com</a><wbr>.<br>
No DNS record found<br>
SRV record for KDC not found! Domain: <a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a><br>
[LDAP server check]<br>
Verifying that <a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a> (realm None) is an IPA server<br>
Init LDAP connection with: ldap://<a href="http://ipaprd2.example.com:389" rel="noreferrer" target="_blank">ipaprd2.example.com:389</a><br>
LDAP Error: Protocol error: unsupported extended operation<br>
Discovery result: UNKNOWN_ERROR; server=None, domain=<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a>,<br>
kdc=None, basedn=None<br>
Validated servers:<br>
will use discovered domain: <a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a><br>
IPA Server not found<br>
[IPA Discovery]<br>
Starting IPA discovery with domain=<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a>, servers=['<br>
<a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a>'], hostname=<a href="http://ipadev6.example.com" rel="noreferrer" target="_blank">ipadev6.example.com</a><br>
Server and domain forced<br>
[Kerberos realm search]<br>
Search DNS for TXT record of _<a href="http://kerberos.ipa.example.com" rel="noreferrer" target="_blank">kerberos.ipa.example.com</a>.<br>
No DNS record found<br>
Search DNS for SRV record of _kerberos._<a href="http://udp.ipa.example.com" rel="noreferrer" target="_blank">udp.ipa.example.com</a><wbr>.<br>
No DNS record found<br>
SRV record for KDC not found! Domain: <a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a><br>
[LDAP server check]<br>
Verifying that <a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a> (realm None) is an IPA server<br>
Init LDAP connection with: ldap://<a href="http://ipaprd2.example.com:389" rel="noreferrer" target="_blank">ipaprd2.example.com:389</a><br>
LDAP Error: Protocol error: unsupported extended operation<br>
Discovery result: UNKNOWN_ERROR; server=None, domain=<a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a>,<br>
kdc=None, basedn=None<br>
Validated servers:<br>
Failed to verify that <a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a> is an IPA Server.<br>
This may mean that the remote server is not up or is not reachable due to<br>
network or firewall settings.<br>
Please make sure the following ports are opened in the firewall settings:<br>
     TCP: 80, 88, 389<br>
     UDP: 88 (at least one of TCP/UDP ports 88 has to be open)<br>
Also note that following ports are necessary for ipa-client working<br>
properly after enrollment:<br>
     TCP: 464<br>
     UDP: 464, 123 (if NTP enabled)<br>
(<a href="http://ipaprd2.example.com" rel="noreferrer" target="_blank">ipaprd2.example.com</a>: Provided as option)<br>
Installation failed. Rolling back changes.<br>
IPA client is not configured on this system.<br>
<br>
<br>
I double checked the services running on the replica, all looked well:<br>
ports are listening, and I could telnet the ports from the client(ipadev6).<br>
I could run "ldapserach" command to talk to the replica(ipaprd2) from this<br>
client(ipadev6), with pulling out all the LDAP records.<br>
<br>
Also, I have another test box running RHEL7, and no issue at all to run the<br>
exact same ipa-client-install command on that RHEL7 box. So could there be<br>
a bug on the ipa-client software on RHEL6, to talk to IPA sever running on<br>
RHEL7? Please advise. Thank you!<br>
<br>
Best regards,<br>
Beeth<br>
<br>
<br>
<br>
</blockquote></div></div>
Hello Beeth,<br>
I've tried to reproduce the problem you described with 7.3 (ipa-server 4.4.0-12) on master and replica and 6.9 (ipa-client 3.0.0-51) on client and it worked for me as expected.<br>
I've done these steps:<br>
[master] # ipa-server-install -a Secret123 -p Secret123 --domain example.test --realm EXAMPLE.TEST --setup-dns --auto-forwarders -U<br>
[replica] # ipa-client-install -p admin -w Secret123 --domain example.test --server master.example.test -U<br>
[replica] # ipa-replica-install<br>
[client] # ipa-client-install -p admin -w Secret123 --domain example.test --server replica.example.test -U<br>
[client] # id admin<br>
<br>
Is there anything you've done differently?<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
David Kupka<br>
</font></span></blockquote></div><br></div></div></div>