<div dir="ltr"><div><div><div><div><div><div>HI Jim,<br><br></div>it's normal to have an entry "cn=replica" under your mapping tree. That does not mean that you are replicating.<br><br></div>It means the database is "enabled" for replication. And as it enabled, it needs a "replicaid" in the topology that in your case is 40. You cannot clean this id.<br></div><div>In ipa, main database and certificate database (ipaca backend) are enabled for replication even if there's only one node in the topology.<br></div><div><br></div>Regarding the binddn's, the ones under "cn=replica" should be a superset of the ones included in your future replication agreements if you add a new node to the topology.<br><br></div>You could manually remove nsDS5ReplicaBindDN values if you consider they are leftovers. <br><br></div>Thanks and regards,<br><br></div>German.<br><br><div><div><div><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 28, 2016 at 10:20 PM, Jim Richard <span dir="ltr"><<a target="_blank" href="mailto:jrichard@placeiq.com">jrichard@placeiq.com</a>></span> wrote:<br><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div style="word-wrap:break-word"><div>This pretty much describes my issue:</div><div><br></div><div><a target="_blank" href="https://access.redhat.com/solutions/136993">https://access.redhat.com/<wbr>solutions/136993</a></div><div><br></div><div>ipa-server.x86_64 3.0.0-50.el6.centos.3</div><div><br></div><div>But it’s a little more complicated than that.</div><div><br></div><div>My goal at this point is just to get to one master with no replication, no remnants of replication, no dangling this or that in either the the main LDAP or the CA instance.</div><div><br></div><div>But, I think I’ve hosed it up pretty good, all things replication that is.</div><div><br></div><div>So there is only one live server now, <a target="_blank" href="http://sso-109.nym1.placeiq.net">sso-109.nym1.placeiq.net</a></div><div><br></div><div>But in going through the steps in that article I noticed something strange.</div><div><br></div><div>Notice the ReplicaBindDN principalname in the first command, that server no longer exists</div><div>And notice the the ID, 40. Then look at the output from the next command.</div><div><br></div><div>ID 40 is actually sso-109, am I reading that right?? </div><div><br></div><div>and of course CLEANRUV40 gives "error 53 unwilling to perform” - which is expected ?? I think, maybe I don’t know :(</div><div><br></div><div>So uh, how do I un-F… myself here?</div><div><br></div><div>Can I like manually delete that replication instance 40?</div><div><br></div><div>If I’m saying, I just want one master, no replicas (will of course create a replica once I’m sure my one master is squared away), should I be able to get the db to a state with no nsDS5Replica entries?</div><div><br></div><div><div>[root@sso-109:(NYM) slapd-PKI-IPA]$ ldapsearch -xLLL -D "cn=directory manager" -W -s sub -b cn=config objectclass=nsds5replica</div><div>Enter LDAP Password:</div><div>dn: cn=replica,cn=dc\3Dplaceiq\<wbr>2Cdc\3Dnet,cn=mapping tree,cn=config</div><div>cn: replica</div><div>nsDS5Flags: 1</div><div>objectClass: top</div><div>objectClass: nsds5replica</div><div>objectClass: extensibleobject</div><div>nsDS5ReplicaType: 3</div><div>nsDS5ReplicaRoot: dc=placeiq,dc=net</div><div>nsds5ReplicaLegacyConsumer: off</div><div>nsDS5ReplicaId: 40</div><div>nsDS5ReplicaBindDN: cn=replication manager,cn=config</div><div>nsDS5ReplicaBindDN: <a target="_blank" href="mailto:krbprincipalname=ldap/sso-110.nym1.placeiq.net@placeiq.net">krbprincipalname=ldap/sso-110.<wbr>nym1.placeiq.net@PLACEIQ.NET</a></div><div> ,cn=services,cn=accounts,dc=<wbr>placeiq,dc=net</div><div>nsState:: KAAAAAAAAADkKWRYAAAAAAAAAAAAAA<wbr>AADwAAAAAAAAASAAAAAAAAAA==</div><div>nsDS5ReplicaName: 889b4308-86c311e6-95188dad-<wbr>28da3cc2</div><div>nsds5ReplicaChangeCount: 13615</div><div>nsds5replicareapactive: 0</div></div><div><br></div><div><br></div><div><br></div><div><div>[root@sso-109:(NYM) slapd-PKI-IPA]$ ldapsearch -xLLL -D "cn=directory manager" -W -b dc=placeiq,dc=net \</div><div>>  '(&(nsuniqueid=ffffffff-<wbr>ffffffff-ffffffff-ffffffff)(<wbr>objectclass=nstombstone))'</div><div>Enter LDAP Password:</div><div>ldap_bind: Invalid credentials (49)</div><div>[root@sso-109:(NYM) slapd-PKI-IPA]$ ldapsearch -xLLL -D "cn=directory manager" -W -b dc=placeiq,dc=net  '(&(nsuniqueid=ffffffff-<wbr>ffffffff-ffffffff-ffffffff)(<wbr>objectclass=nstombstone))'</div><div>Enter LDAP Password:</div><div>dn: nsuniqueid=ffffffff-ffffffff-<wbr>ffffffff-ffffffff,dc=placeiq,<wbr>dc=net</div><div>objectClass: top</div><div>objectClass: nsTombstone</div><div>objectClass: extensibleobject</div><div>nsds50ruv: {replicageneration} 52b07d23000000040000</div><div>nsds50ruv: {replica 40 <a>ldap://sso-109.nym1.placeiq.<wbr>net:389</a>} 57ede5500007002800</div><div> 00 58642aad000100280000</div><div>dc: placeiq</div><div>nsruvReplicaLastModified: {replica 40 <a>ldap://sso-109.nym1.placeiq.<wbr>net:389</a>} 586</div><div> 42a9e</div></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><br><div>
<div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><div style="color:rgb(0,0,0);letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;word-wrap:break-word"><table style="color:rgb(51,51,51);font-size:13.3333px;font-family:"times new roman"" bgcolor="#ffffff" border="0" cellpadding="0" cellspacing="0" width="550px"><tbody><tr height="10"></tr><tr cellpadding="0" cellspacing="0" border="0"><td style="font-family:arial,sans-serif;margin:0px;padding:6px 0px 0px;color:rgb(136,136,136);width:550px;border-top:8px solid rgb(103,89,163)"><table border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><th style="border-right:1px solid rgb(210,210,210);padding-right:1px;width:90px" rowspan="3"><a target="_blank" style="color:rgb(17,85,204)" href="http://www.placeiq.com/"></a><a target="_blank" style="color:rgb(17,85,204)" href="http://www.placeiq.com/"></a><a target="_blank" style="color:rgb(17,85,204)" href="http://www.placeiq.com/"><img style="width: 80px;" alt="" src="https://marketing.placeiq.net/images/placeiq.png"></a></th><td style="font-family:sans-serif;margin:0px;color:rgb(136,136,136);line-height:10px;padding-left:10px;padding-top:5px" align="left"><span style="color:rgb(94,95,94);font-family:trebuchet,sans-serif;font-size:16px;font-weight:bold">Jim Richard</span></td><th style="padding-right:1px;width:40px;padding-left:5px" rowspan="3"><a target="_blank" style="color:rgb(17,85,204)" href="https://twitter.com/placeiq"></a><a target="_blank" style="color:rgb(17,85,204)" href="https://twitter.com/placeiq"></a><a target="_blank" style="color:rgb(17,85,204)" href="https://twitter.com/placeiq"><img style="width: 35px;" alt="" src="https://marketing.placeiq.net/images/twitter1.png"></a></th><th style="padding-right:1px;width:40px" rowspan="3"><a target="_blank" style="color:rgb(17,85,204)" href="https://www.facebook.com/PlaceIQ"></a><a target="_blank" style="color:rgb(17,85,204)" href="https://www.facebook.com/PlaceIQ"><img style="width: 35px;" alt="" src="https://marketing.placeiq.net/images/facebook.png"></a></th><th style="padding-right:1px;width:40px" rowspan="3"><a target="_blank" style="color:rgb(17,85,204)" href="https://www.linkedin.com/company/placeiq"></a><a target="_blank" style="color:rgb(17,85,204)" href="https://www.linkedin.com/company/placeiq"><img style="width: 35px;" alt="" src="https://marketing.placeiq.net/images/linkedin.png"></a></th></tr><tr><td style="font-family:trebuchet,sans-serif;margin:0px;font-size:9px;text-transform:uppercase;font-weight:bold;color:rgb(136,136,136);line-height:10px;padding-left:10px;padding-top:7px" align="left"><span rowspan="1">SYSTEM ADMINISTRATOR III</span></td></tr><tr><td style="font-family:sans-serif;margin:0px;color:rgb(136,136,136);line-height:10px;padding-left:10px;padding-top:3px" align="left"><font face="Georgia, sans-serif"><span style="font-size:10px"><i><a target="_blank" value="+16463388905" href="tel:%28646%29%20338-8905">(646) 338-8905</a> </i></span></font> </td></tr></tbody></table></td></tr></tbody></table><a target="_blank" href="http://placeiq.com/2016/10/26/the-making-of-a-location-data-industry-milestone/"><br style="color:rgb(51,51,51);font-family:"open sans",sans-serif;font-size:13.3333px;font-variant-ligatures:normal;line-height:normal;background-color:rgb(255,255,255)"><img style="font-family: "open sans",sans-serif; font-size: 13px;" alt="PlaceIQ:Alibaba" src="https://marketing.placeiq.net/images/Alibaba.png"></a></div></div><br class="gmail-m_7926825156925268329Apple-interchange-newline"></div><br class="gmail-m_7926825156925268329Apple-interchange-newline"><br class="gmail-m_7926825156925268329Apple-interchange-newline">
</div>
<br></div><br>--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a target="_blank" rel="noreferrer" href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a target="_blank" rel="noreferrer" href="http://freeipa.org">http://freeipa.org</a> for more info on the project<br></blockquote></div><br></div></div></div></div></div></div></div></div>