<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">2016-12-15 13:47 GMT+01:00 Petr Vobornik <span dir="ltr"><<a href="mailto:pvoborni@redhat.com" target="_blank">pvoborni@redhat.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 12/12/2016 08:53 PM, Rob Verduijn wrote:<br>
> Hello,<br>
><br>
> I've recently upgraded to centos 7.3.<br>
> Didn't intend to so soon but should have checked the anounce lists before<br>
> launching my ansible update playbook.<br>
><br>
> Most of my servers came through, and mostly also the ipa server.<br>
> There were duplicate rpms and a failed rpm upgrade.<br>
> After some yum magic the rpm duplicates where gone and all the updates installed.<br>
><br>
> Manually running ipa-server-upgrade also seems to finish properly.<br>
><br>
> However<br>
> ipactl start keeps failing on the ntpd service.<br>
> Not a big surprise since its running chronyd.<br>
><br>
> I now start the ipa server with 'ipactl start --ignore-service-failure'<br>
><br>
> Is there a way to explain the script that it should check for chronyd instead of<br>
> ntpd ?<br>
><br>
> I also see this a lot in the logs:<br>
> dns_rdatatype_fromtext() failed for attribute<br>
> 'idnsTemplateAttribute;<wbr>cnamerecord': unknown class/type<br>
><br>
> Is that a serious error ?<br>
><br>
> Rob Verduijn<br>
><br>
<br>
This looks like 7.3 update incorrectly added NTP service to IPA server<br>
services (which is displayed as NTP role in `ipa server-show $server`).<br>
<br>
A workaround might be to disable the service or remove the service<br>
entry. Disabling is IMHO safer.  IPA CLI tools don't allow<br>
enabling/disabling of services so it must be done by LDAP mod.<br>
<br>
It can be done by removing  'enabledService' config value from server's<br>
service entry, e.g.:<br>
<br>
dn: cn=NTP,cn=$SERVER_FQDN,cn=<wbr>masters,cn=ipa,cn=etc,$SUFFIX<br>
changetype: modify<br>
delete: ipaConfigString<br>
ipaConfigString: enabledService<br>
-<br>
<br>
Where $SERVER_FQDN is e.g. <a href="http://ipa.example.com" rel="noreferrer" target="_blank">ipa.example.com</a> and $SUFFIX is e.g.<br>
dc=example,dc=com<br>
<br>
<br>
Rob, have you originally installed the replica with NTPD and then later<br>
switched manually to chrony?<br>
<span class="gmail-HOEnZb"><font color="#888888"><br>
--<br>
Petr Vobornik<br>
</font></span></blockquote></div><br><div>Hello,<br><br></div>I can't remember if I installed and configured freeipa and then switched to chronyd or the other way around.<br><br></div><div class="gmail_extra">I had my ntpd/ntpdate services masked because I got tired of stopping and disabling them all the time.<br></div><div class="gmail_extra">It seems ipactl can't deal with that.<br></div><div class="gmail_extra"><br></div><div class="gmail_extra">Currently I unmasked the services and enabled them (disabling chronyd) so that the server boots properly.<br><br></div><div class="gmail_extra">I will try your ldiff to see if I can switch back, since I do not use my ipa server as a time source for clients.<br><br></div><div class="gmail_extra">I'll let you know the results.<br><br></div><div class="gmail_extra">Rob Verduijn<br></div></div>