<div dir="ltr"><div><div><div><div>Hi,<br><br></div><div>I think we can explain it.<br><br></div>Is it possible that you were running 389-ds-base-1.3.4.0-33.el7_2.x86_64.rpm release ?<br><br>From the string: 389-Directory/<a target="_blank" rel="noreferrer" href="http://1.3.4.0">1.3.4.0</a> B2016.215.1556<br><br></div>it seems to me that corresponds to <br><br>rpm -qi -p 389-ds-base-1.3.4.0-33.el7_2.x86_64.rpm | grep -i ^signature<br><br>Signature   : RSA/SHA256, Tue 26 Jul 2016 04:49:26 AM CEST, Key ID 199e2f91fd431d51<br><br></div>This release includes a very harmful replication bug that manifests with this error message, that we can see in your logs:<br><br>[20/Dec/2016:22:50:14 -0500] agmt="cn=<a target="_blank" rel="noreferrer" href="http://meToipa2.optimcloud.com">meToipa2.optimcloud.<wbr>com</a>"<br>
(ipa2:389) - Can't locate CSN 58528dac000200040000 in the changelog<br>
(DB rc=-30988). If replication stops, the consumer may need to be<br>
reinitialized.<br><br></div>And the replicas are out of sync + replication stopped.<br><div><div><br><div>It's explained in this article:<br><br><a href="https://access.redhat.com/solutions/2690611">https://access.redhat.com/solutions/2690611</a><br>IdM/IPA LDAP and Red Hat Directory Server/RHDS replication halt, error Can't locate CSN number in the changelog (DB rc=-30988)<br><br></div><div>You update to 7.3 has the fix for that bug included.<br><br></div><div>regards,<br><br></div><div>German.<br><br></div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Dec 27, 2016 at 1:21 PM, Outback Dingo <span dir="ltr"><<a href="mailto:outbackdingo@gmail.com" target="_blank">outbackdingo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">> According to log, it looks that replication has been restored a week ago<br>
><br>
> can you use <a href="https://github.com/peterpakos/ipa_check_consistency" rel="noreferrer" target="_blank">https://github.com/peterpakos/<wbr>ipa_check_consistency</a> to check<br>
> what else is missing?<br>
><br>
> If it finds missing entries, probably re-initialization will be needed<br>
><br>
> Martin<br>
<br>
<br>
really odd... i just did a yum update -y during our conversation on<br>
both servers, now ipa2 is synced again...<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br></div>