<div dir="ltr">Hi!<div><br></div><div>I run IPA on CentOS 7. I have two servers (Leader and Replica, though they changed roles couple times because of reinstalls), had ca and domain services on both of them, replication set up and working. I had to switch off Replica for 6 months. When I turned it on recently, I found expired certificates, couldn't fix them easily and lost the old Replica - at least I concluded it was easier to reinstate the Replica than to detange the mess I made while was trying to back out of outdated certs. I hit the same error as I do now though - Invalid Credentials (49).</div><div><br></div><div>So I did the following:</div><div><br></div><div>1) on Replica - ipa-server-install --uninstall.</div><div>2) on Leader - ipa-replica-manage del --force --clean Replica.</div><div>3) removed obsolete replication agreement meToReplica from Leader.</div><div>4) removed all traces of Replica from DNS.</div><div><br></div><div>Then I started to install Replica from scratch:</div><div><br></div><div>1) ipa-client-install</div><div>2) ipa-replica-install --setup-ca --setup-dns --forwarder X --forwarder Y</div><div><br></div><div>Installation consistently fails with:</div><div><br></div><div>'''</div><div>Run connection check to master<br>Connection check OK<br></div><div>Configuring directory server (dirsrv). Estimated time: 30 seconds</div><div><...></div><div>  [29/42]: setting up initial replication<br>Starting replication, please wait until this has completed.<br>Update in progress, 16 seconds elapsed<br>[ldap://Leader:389] reports: Update failed! Status: [Error (49)  - LDAP error: Invalid credentials]<br><br></div><div>  [error] RuntimeError: Failed to start replication<br><div>'''</div><div><br></div><div>Logs from Leader, /var/log/dirsrv/slapd-DOMAIN/errors:</div><div><br></div><div>'''</div><div>[<DATE>] - ERR - NSMMReplicationPlugin - bind_and_check_pwp - agmt="cn=meToReplica.domain" (Replica:389) - Replication bind with GSSAPI auth failed: LDAP error 49 (Invalid credentials) ()<br></div><div>"""</div><div><br></div><div>I verified clocks on both Replica and Leader - they show the same time (within 1-2 seconds diff window). In fact, at some point I had Replica taking time straight from Leader, before they were set up to use the other common source. I dumped tracffic between Leader and Replica - indeed, Leader tried to authenticate on Replica and Replica replies "Invalid credentials".</div><div><br></div><div>I googled this error and read multiple email threads but nothing helped so far. Replica works fine as IPA client but can't get promoted to a replica. </div><div><br></div><div>What am I missing?</div><div><br></div><div>Thanks!</div><div><br></div>--</div><div>Khankin Konstantin</div></div>