<div dir="ltr"><div>it seem this may be in the context of IPA, which versions on replica that fails to install and on master?</div><div>cat /etc/redhat-release ; rpm -q ipa-server pki-ca ; ls -l /etc/alternatives/java<br></div><div><br></div><div>there are several LDAP error 68 and 20 about existing entries, try to first uninstall the IPA replica before re-installing<br></div><div><br></div><div>I will add some more notes, but it really seem an IPA replica install/configuration failed, and it should be removed before trying again.</div><div>Thanks,</div><div>M.</div><div><br></div><div>extra notes:</div><div><br></div><div>the CA debug log seem to show other errors that are unrelated to the the ipa-replica-install command with "RuntimeError: Unable to retrieve CA chain: request failed with HTTP status 500"</div><div>try to get more lines before that error in the log file /var/log/ipareplica-install.log</div><div>and if there are any matching entries in</div><div>/var/log/httpd/error_log<br></div><div><br></div><div>otherwise, on the system with the error</div><div><div>[22/Aug/2017:17:13:08][SerialNumberUpdateTask]: DBSubsystem: getNextRange. Unable to provide next range :netscape.ldap.LDAPException: error result (68)</div></div><div>try to match the LDAP messages related to that time stamp and with err=68, find the conn=xx and match the corresponding search that generated the "already exist" error, it would be interesting to see the fileter and base DN in that search</div><div>it should be one of the LDAP connections bound for example, as  "TLS1.2 client bound as uid=pkidbuser,ou=people,o=ipaca "</div><div>and, it should , for example, have LDAP searches in "ou=certificateRepository,ou=ranges,o=ipaca" and "ou=requests,ou=ranges,o=ipaca"</div><div><br></div><div>on the master, try to list the DNA ranges that are available:</div><div>ipa-replica-manage dnarange-show<br></div><div>it should list for example</div><div><a href="http://ipaserver1.example.com">ipaserver1.example.com</a>: aaaaaa-bbbbb</div><div><a href="http://ipaserver2.example.com">ipaserver2.example.com</a>: cccccc-dddddd</div><div>and there should be no common ranges</div><div><br></div><div>see:</div><div><div>14.3. Displaying Currently Assigned ID Rangess</div><div><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/display-id-range.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/display-id-range.html</a></div></div><div><br></div><div>and</div><div><div>14.5. Manual ID Range Extension and Assigning a New ID Range</div><div><a href="https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/man-set-extend-id-ranges.html">https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Linux_Domain_Identity_Authentication_and_Policy_Guide/man-set-extend-id-ranges.html</a></div></div><div><br></div><div>example of what we should see in /var/log/pki/pki-tomcat/ca/debug for getNextRange</div><div><div>[09/Mar/2017:02:49:31][localhost-startStop-1]: DBSubsystem: getNextRange  Next range has been added: 10000001 - 20000000</div></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 29, 2017 at 8:56 AM, pgb205 <span dir="ltr"><<a href="mailto:pgb205@yahoo.com" target="_blank">pgb205@yahoo.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div style="color:rgb(0,0,0);background-color:rgb(255,255,255);font-family:"Helvetica Neue",Helvetica,Arial,"Lucida Grande",sans-serif;font-size:13px"><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8264">I have an install that fails at the following stage:</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8264">importing CA chain to RA certificate database</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8265">  [error] RuntimeError: Unable to retrieve CA chain: request failed with HTTP status 500</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8265"><br></div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8265">the logs are not showing anything obvious</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8265"><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8713">22/Aug/2017:17:02:52][http-<wbr>bio-8443-exec-3]: importLDIFS(): LDAP Errors in importing /var/lib/pki/pki-tomcat/ca/<wbr>conf/manager.ldif</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8714">[22/Aug/2017:17:02:52][http-<wbr>bio-8443-exec-3]: LDAPUtil:importLDIF: exception in adding entry ou=csusers,cn=config:netscape.<wbr>ldap.LDAPException: error result (68)</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8715">[22/Aug/2017:17:02:52][http-<wbr>bio-8443-exec-3]: LDAPUtil:importLDIF: exception in modifying entry o=ipaca:netscape.ldap.<wbr>LDAPException: error result (20)</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8716">[22/Aug/2017:17:02:52][http-<wbr>bio-8443-exec-3]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8717">[22/Aug/2017:17:02:52][http-<wbr>bio-8443-exec-3]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8718">[22/Aug/2017:17:02:57][http-<wbr>bio-8443-exec-3]: init: before makeConnection errorIfDown is true</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8719">[22/Aug/2017:17:02:57][http-<wbr>bio-8443-exec-3]: makeConnection: errorIfDown true</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8720">[22/Aug/2017:17:02:57][http-<wbr>bio-8443-exec-3]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8721">[22/Aug/2017:17:02:57][http-<wbr>bio-8443-exec-3]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8722">[22/Aug/2017:17:02:57][http-<wbr>bio-8443-exec-3]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8723">[22/Aug/2017:17:02:57][http-<wbr>bio-8443-exec-3]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8724">[22/Aug/2017:17:02:58][http-<wbr>bio-8443-exec-3]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8725">[22/Aug/2017:17:02:58][http-<wbr>bio-8443-exec-3]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8726">[22/Aug/2017:17:03:07][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is true</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8727">[22/Aug/2017:17:03:07][<wbr>localhost-startStop-1]: makeConnection: errorIfDown true</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8728">[22/Aug/2017:17:03:07][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8729">[22/Aug/2017:17:03:07][<wbr>localhost-startStop-1]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8730">[22/Aug/2017:17:03:08][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8731">[22/Aug/2017:17:03:08][<wbr>localhost-startStop-1]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8732">[22/Aug/2017:17:03:08][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8733">[22/Aug/2017:17:03:08][<wbr>localhost-startStop-1]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8734">[22/Aug/2017:17:03:08][<wbr>profileChangeMonitor]: Start Profile Creation - caDirUserRenewal caEnrollImpl com.netscape.cms.profile.<wbr>common.CAEnrollProfile</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8735">[22/Aug/2017:17:03:08][<wbr>profileChangeMonitor]: Done Profile Creation - caDirUserRenewal</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8736">[22/Aug/2017:17:03:08][<wbr>profileChangeMonitor]: Start Profile Creation - IECUserRoles caEnrollImpl com.netscape.cms.profile.<wbr>common.CAEnrollProfile</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8737">[22/Aug/2017:17:03:08][<wbr>profileChangeMonitor]: Done Profile Creation - IECUserRoles</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8738">[22/Aug/2017:17:03:08][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8739">[22/Aug/2017:17:03:08][<wbr>localhost-startStop-1]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8740">[22/Aug/2017:17:03:09][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8741">[22/Aug/2017:17:03:09][<wbr>localhost-startStop-1]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8742">[22/Aug/2017:17:03:09][<wbr>localhost-startStop-1]: init: before makeConnection errorIfDown is false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8743">[22/Aug/2017:17:03:09][<wbr>localhost-startStop-1]: makeConnection: errorIfDown false</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8744">[22/Aug/2017:17:03:09][<wbr>localhost-startStop-1]: DBSubsystem: getNextRange. Unable to provide next range :netscape.ldap.LDAPException: error result (68)</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8745">[22/Aug/2017:17:13:08][<wbr>SerialNumberUpdateTask]: DBSubsystem: getNextRange. Unable to provide next range :netscape.ldap.LDAPException: error result (68)</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8745"><br></div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8745">and</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8745"><br></div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8745"><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8863">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: returnConn: mNumConns now 5</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8864">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: DBVirtualList: searching for entry 20170823152409Z</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8865">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: DBVirtualList.getEntries()</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8866">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: DBVirtualList: entries: 1</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8867">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: DBVirtualList: top: 0</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8868">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: DBVirtualList: size: 640</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8869">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: transitRevokedExpiredCertifica<wbr>tes: list size: 640</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8870">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: transitRevokedExpiredCertifica<wbr>tes: ltSize 1</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8871">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: transitRevokedExpired: curRec: 0 CertRecord:     76</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8872">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: Record does not qualify,notAfter Mon Aug 28 16:47:53 UTC 2017 date Wed Aug 23 15:24:09 UTC 2017</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8873">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: transitCertList REVOKED_EXPIRED</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8874">[23/Aug/2017:15:24:09][<wbr>CertStatusUpdateTask]: updateCertStatus done</div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8874"><br></div><div dir="ltr" id="gmail-m_7136826417460225477yui_3_16_0_ym19_1_1504020763563_8874">I have full logs if necessary. but I'm unable to determine the  cause for the failure. Asking on freeipa forums this is a problem on the CA server but thats as far as I got with this.</div></div></div></div></div><br>______________________________<wbr>_________________<br>
Pki-users mailing list<br>
<a href="mailto:Pki-users@redhat.com">Pki-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/pki-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/pki-users</a><br></blockquote></div><br></div></div>