<div dir="ltr">Hello,<div>I migrated a CentOS 6.6 system with IPA 3.0 to a CentOS 7.0 system with IPA 3.3.</div><div>The workflow was the one to create a replica and then decommission the old one (that now is with services stopped) with the commands:</div><div><br></div><div>on old server:</div><div><div> ipa-server-install --uninstall</div></div><div><br></div><div>on new server:</div><div> ipa-replica-manage del infra.localdomain.local --force<br></div><div><br></div><div>I notice some things:</div><div>- every 5 minutes I get this in /var/log/dirsrv/slapd-LOCALDOMAIN-LOCAL/errors of new server</div><div> <br><div>[12/Dec/2014:14:29:48 +0100] slapi_ldap_bind - Error: could not send startTLS request: error -1 (Can't contact LDAP server) errno 0 (Success)<br></div></div><div><br></div><div>I don't know if the error is related with the old server or anything else.</div><div>And if indeed it is a real error, as it writes Error, but there is ambiguity in message (errno 0 and Success words). Do I have to care and fix?</div><div><br></div><div>- in CentOS 6.6 I had IPA with bind (9.8.2-0.23.rc1.el6_5.1), configured with plain files:</div><div><div># ll /var/named/data/*zone</div><div>-rw-r--r-- 1 root root 1244 Dec  6 14:35 /var/named/data/forward.zone</div><div>-rw-r--r-- 1 root root  912 Dec  6 14:35 /var/named/data/reverse.zone</div></div><div><br></div><div>After migration the bind configuration has been put under IPA with these lines in named.conf:</div><div><br></div><div><div>dynamic-db "ipa" {</div><div>        library "ldap.so";</div><div>        arg "uri ldapi://%2fvar%2frun%2fslapd-LOCALDOMAIN-LOCAL.socket";</div><div>        arg "base cn=dns, dc=localdomain,dc=local";</div><div>        arg "fake_mname c7server.localdomain.local.";</div><div>        arg "auth_method sasl";</div><div>        arg "sasl_mech GSSAPI";</div><div>        arg "sasl_user DNS/c7server.localdomain.local";</div><div>        arg "serial_autoincrement yes";</div><div>};</div></div><div><br></div><div>It works but the old IPA server hostname (with hostname=infra)  is no more resovable</div><div>I have that</div><div>nslookup hostname </div><div>works for every host that was previously defined inside the zone but the previous ipa server...</div><div>(new ipa and dns server is c7server and has ip 192.168.1.81)</div><div><br></div><div><div>[root@c7server etc]# nslookup infra</div><div>Server:         192.168.1.81</div><div>Address:        192.168.1.81#53</div><div><br></div><div>** server can't find infra: NXDOMAIN</div><div><br></div><div>[root@c7server etc]# nslookup vc1</div><div>Server:         192.168.1.81</div><div>Address:        192.168.1.81#53</div><div><br></div><div>Name:   vc1.localdomain.local</div><div>Address: 192.168.1.92</div></div><div><br></div><div><br></div><div>- I have great difficulties entering in IPA web gui and so modifying dns records from there</div><div>Many times I get the message that "your session has expired".</div><div>I put</div><div><div>KrbMethodK5Passwd on</div></div><div>in /etc/httpd/conf.d/ipa.conf but it seems it doesn't alway fix the problem...</div><div>How to debug?</div><div><br></div><div>Thanks in advance</div><div>Gianluca</div></div>