<p dir="ltr">That's correct. Apparently it's on able to use the Kerberos credential to utilize that service associated with the server.<br>
Have you examined the key tab itself? Read it in and see what's inside of it.</p>
<br><div class="gmail_quote"><div dir="ltr">On Fri, Oct 7, 2016, 12:20 Fil Di Noto <<a href="mailto:fdinoto@gmail.com">fdinoto@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm trying to interpret these log messages. It seems like server ipa03<br class="gmail_msg">
has no principal for the DNS service and is not able to replicate LDAP<br class="gmail_msg">
to the other 3 IPA servers. If that is correct:<br class="gmail_msg">
<br class="gmail_msg">
1. Is "DNS" the service principal it should be using?<br class="gmail_msg">
2. How do I correct this?<br class="gmail_msg">
        (what concerns me is that ipa03 is the server I designated as<br class="gmail_msg">
the server where administrative changes are made in case manual<br class="gmail_msg">
replication is needed)<br class="gmail_msg">
<br class="gmail_msg">
<br class="gmail_msg">
Oct  7 18:38:47 <a href="http://ipa02.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa02.example.com</a> named-pkcs11[4959]: connection to<br class="gmail_msg">
the LDAP server was lost<br class="gmail_msg">
Oct  7 18:38:47 <a href="http://ipa02.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa02.example.com</a> named-pkcs11[4959]: Failed to get<br class="gmail_msg">
initial credentials (TGT) using principal 'DNS/<a href="http://ipa03.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa03.example.com</a>' and<br class="gmail_msg">
keytab 'FILE:/etc/named.keytab' (Keytab contains no suitable keys for<br class="gmail_msg">
DNS/<a href="mailto:ipa03.example.com@EXAMPLE.COM" class="gmail_msg" target="_blank">ipa03.example.com@EXAMPLE.COM</a>)<br class="gmail_msg">
Oct  7 18:38:47 <a href="http://ipa02.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa02.example.com</a> named-pkcs11[4959]: ldap_syncrepl<br class="gmail_msg">
will reconnect in 60 seconds<br class="gmail_msg">
Oct  7 18:39:00 <a href="http://ipa04.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa04.example.com</a> named-pkcs11[4537]: connection to<br class="gmail_msg">
the LDAP server was lost<br class="gmail_msg">
Oct  7 18:39:00 <a href="http://ipa04.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa04.example.com</a> named-pkcs11[4537]: Failed to get<br class="gmail_msg">
initial credentials (TGT) using principal 'DNS/<a href="http://ipa03.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa03.example.com</a>' and<br class="gmail_msg">
keytab 'FILE:/etc/named.keytab' (Keytab contains no suitable keys for<br class="gmail_msg">
DNS/<a href="mailto:ipa03.example.com@EXAMPLE.COM" class="gmail_msg" target="_blank">ipa03.example.com@EXAMPLE.COM</a>)<br class="gmail_msg">
Oct  7 18:39:00 <a href="http://ipa04.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa04.example.com</a> named-pkcs11[4537]: ldap_syncrepl<br class="gmail_msg">
will reconnect in 60 seconds<br class="gmail_msg">
Oct  7 18:39:16 <a href="http://ipa01.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa01.example.com</a> named-pkcs11[15697]: connection to<br class="gmail_msg">
the LDAP server was lost<br class="gmail_msg">
Oct  7 18:39:16 <a href="http://ipa01.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa01.example.com</a> named-pkcs11[15697]: Failed to get<br class="gmail_msg">
initial credentials (TGT) using principal 'DNS/<a href="http://ipa03.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa03.example.com</a>' and<br class="gmail_msg">
keytab 'FILE:/etc/named.keytab' (Keytab contains no suitable keys for<br class="gmail_msg">
DNS/<a href="mailto:ipa03.example.com@EXAMPLE.COM" class="gmail_msg" target="_blank">ipa03.example.com@EXAMPLE.COM</a>)<br class="gmail_msg">
Oct  7 18:39:16 <a href="http://ipa01.example.com" rel="noreferrer" class="gmail_msg" target="_blank">ipa01.example.com</a> named-pkcs11[15697]: ldap_syncrepl<br class="gmail_msg">
will reconnect in 60 seconds<br class="gmail_msg">
<br class="gmail_msg">
--<br class="gmail_msg">
Manage your subscription for the Freeipa-users mailing list:<br class="gmail_msg">
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" class="gmail_msg" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br class="gmail_msg">
Go to <a href="http://freeipa.org" rel="noreferrer" class="gmail_msg" target="_blank">http://freeipa.org</a> for more info on the project<br class="gmail_msg">
</blockquote></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr"><span>Matt Wells</span><br><span>Chief Systems Architect</span><br><span>RHCA II, </span><span>RHCVA - #110-000-353</span><br><span>(702) 808-0424</span><br><a>matt.wells@mosaic451.com</a><br><span> Las Vegas | Phoenix | Portland Mosaic451.com </span><br><span>CONFIDENTIALITY NOTICE: This transmittal is a confidential communication or may otherwise be privileged. If you are not intended recipient, you are hereby notified that you have received this transmittal in error and that any review, dissemination, distribution or copying of this transmittal is strictly prohibited. If you have received this communication in error, please notify this office, and immediately delete this message and all its attachments, if any.</span><br><div><span>1*</span></div></div></div>