<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><body><div data-html-editor-font-wrapper="true" style="font-family: arial, sans-serif; font-size: 13px;"><br>I am running the latest patched CentOS 7.2, with FreeIPA 4.2.0, and I the Master node in the Data Center, then i created 3 replica's, one in the DC for High Availability, and then 2 Replica's in the AWS Cloud. I'm having major issues with the Replica's in the AWS Cloud. I am trying to have it so it auto-discovers the servers automatically so the failover is dynamic. I created the replica's as well to have a Certificate Authority. When I attempt to join a virtual machine in AWS to the domain it fails half way thru the process. I have attached a full debug of my ipa-client-install, hoping someone can assist me.  I know prior to joining the 2 replicas in AWS I had absolutely no issues with joining servers in the DC to IDM. I built all my replica's from the Master server (rspsna-ipa01), so rspsna-ipa02, ipa01-ore, ipa02-ore were built from rspsna-ipa01.<br><br>The main part that seems to fail during the (client) join is:<br><br>Loading Index file from '/var/lib/ipa-client/sysrestore/sysrestore.index'<br>Loading StateFile from '/var/lib/ipa-client/sysrestore/sysrestore.state'<br>Starting external process<br>args='/usr/bin/certutil' '-d' '/etc/ipa/nssdb' '-L' '-n' 'Local IPA host' '-r'<br>Process finished, return code=255<br>stdout=<br>stderr=certutil: function failed: SEC_ERROR_LEGACY_DATABASE: The certificate/key database is in an old, unsupported format.<br><br>Starting external process<br>args='/usr/bin/certutil' '-d' '/etc/pki/nssdb' '-L' '-n' 'IPA Machine Certificate - beanstalk01-ore.prod.cloud.myinc.local' '-r'<br>Process finished, return code=255<br>stdout=<br>stderr=certutil: Could not find cert: IPA Machine Certificate - beanstalk01-ore.prod.cloud.myinc.local<br>: PR_FILE_NOT_FOUND_ERROR: File not found<br><br>Starting external process<br>args='/usr/bin/certutil' '-d' '/etc/ipa/nssdb' '-L'<br>Process finished, return code=255<br>stdout=<br>stderr=certutil: function failed: SEC_ERROR_LEGACY_DATABASE: The certificate/key database is in an old, unsupported format.<br><br>Failed to list certificates in /etc/ipa/nssdb: Command ''/usr/bin/certutil' '-d' '/etc/ipa/nssdb' '-L'' returned non-zero exit status 255<br>Starting external process<br>args='/bin/systemctl' 'start' 'certmonger.service'<br>Process finished, return code=0<br>stdout=<br>stderr=<br>Starting external process<br>args='/bin/systemctl' 'is-active' 'certmonger.service'<br>Process finished, return code=0<br>stdout=active<br><br>stderr=<br>Starting external process<br>args='/bin/systemctl' 'stop' 'certmonger.service'<br>Process finished, return code=0<br>stdout=<br>stderr=<br>Starting external process<br>args='/bin/systemctl' 'disable' 'certmonger.service'<br>Process finished, return code=0<br>stdout=<br>stderr=<br>Unenrolling client from IPA server<br>Starting external process<br>args='/usr/sbin/ipa-join' '--unenroll' '-h' 'beanstalk01-ore.prod.cloud.myinc.local' '-d'<br>Process finished, return code=19<br>stdout=<br>stderr=Error obtaining initial credentials: Cannot find KDC for requested realm.<br><br>Unenrolling host failed: Error obtaining initial credentials: Cannot find KDC for requested realm.<br><br>Removing Kerberos service principals from /etc/krb5.keytab<br>Starting external process<br>args='/usr/sbin/ipa-rmkeytab' '-k' '/etc/krb5.keytab' '-r' 'MYINC.LOCAL'<br>Process finished, return code=0<br>stdout=<br>stderr=Removing principal host/beanstalk01-ore.prod.cloud.myinc.local@MYINC.LOCAL<br><br>When I look at the slapd error log on one of the replica's i see this:<br><br>[02/Mar/2016:23:40:09 +0000] - Listening on All Interfaces port 636 for LDAPS requests<br>[02/Mar/2016:23:40:09 +0000] - Listening on /var/run/slapd-MYINC-LOCAL.socket for LDAPI requests<br>[02/Mar/2016:23:40:09 +0000] slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: LDAP error -2 (Local error) (SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available)) errno 0 (Success)<br>[02/Mar/2016:23:40:09 +0000] slapi_ldap_bind - Error: could not perform interactive bind for id [] authentication mechanism [GSSAPI]: error -2 (Local error)<br>[02/Mar/2016:23:40:09 +0000] NSMMReplicationPlugin - agmt="cn=meTorspsna-ipa01.prod.i2x.myinc.local" (rspsna-ipa01:389): Replication bind with GSSAPI auth failed: LDAP error -2 (Local error) (SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure.  Minor code may provide more information (No Kerberos credentials available))<br>[02/Mar/2016:23:40:12 +0000] NSMMReplicationPlugin - agmt="cn=meToipa02-ore.prod.cloud.myinc.local" (ipa02-ore:389): Replication bind with GSSAPI auth resumed<br>[02/Mar/2016:23:40:12 +0000] NSMMReplicationPlugin - agmt="cn=meTorspsna-ipa01.prod.i2x.myinc.local" (rspsna-ipa01:389): Replication bind with GSSAPI auth resumed<br>[03/Mar/2016:00:07:00 +0000] slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: LDAP error -1 (Can't contact LDAP server) ((null)) errno 107 (Transport endpoint is not connected)<br>[03/Mar/2016:00:07:00 +0000] slapi_ldap_bind - Error: could not perform interactive bind for id [] authentication mechanism [GSSAPI]: error -1 (Can't contact LDAP server)<br>[03/Mar/2016:00:07:00 +0000] NSMMReplicationPlugin - agmt="cn=meToipa02-ore.prod.cloud.myinc.local" (ipa02-ore:389): Replication bind with GSSAPI auth failed: LDAP error -1 (Can't contact LDAP server) ()<br>[03/Mar/2016:00:07:03 +0000] slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: LDAP error -1 (Can't contact LDAP server) ((null)) errno 107 (Transport endpoint is not connected)<br>[03/Mar/2016:00:07:03 +0000] slapi_ldap_bind - Error: could not perform interactive bind for id [] authentication mechanism [GSSAPI]: error -1 (Can't contact LDAP server)<br>[03/Mar/2016:00:07:09 +0000] slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: LDAP error -1 (Can't contact LDAP server) ((null)) errno 107 (Transport endpoint is not connected)<br>[03/Mar/2016:00:07:09 +0000] slapi_ldap_bind - Error: could not perform interactive bind for id [] authentication mechanism [GSSAPI]: error -1 (Can't contact LDAP server)<br>[03/Mar/2016:00:07:21 +0000] slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: LDAP error -1 (Can't contact LDAP server) ((null)) errno 107 (Transport endpoint is not connected)<br>[03/Mar/2016:00:07:21 +0000] slapi_ldap_bind - Error: could not perform interactive bind for id [] authentication mechanism [GSSAPI]: error -1 (Can't contact LDAP server)<br>[03/Mar/2016:00:07:45 +0000] NSMMReplicationPlugin - agmt="cn=meToipa02-ore.prod.cloud.myinc.local" (ipa02-ore:389): Replication bind with GSSAPI auth resumed<br>[03/Mar/2016:01:26:53 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:03:24:06 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:05:17:30 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:07:08:29 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:08:59:51 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:10:42:48 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:12:35:51 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:14:28:20 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:16:24:12 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:18:09:51 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br>[03/Mar/2016:19:47:07 +0000] NSMMReplicationPlugin - replication keep alive entry <cn=repl keep alive 6,dc=myinc,dc=local> already exists<br><br><br><br>Thanks much.<br>Devin<br> </div></body></html>