<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    <br>
    <div class="moz-cite-prefix">On 06/03/17 20:11, Rob Crittenden
      wrote:<br>
    </div>
    <blockquote
      cite="mid:2a5e833a-5c7d-3385-bf17-620cd42aa805@redhat.com"
      type="cite">
      <pre wrap="">lejeczek wrote:
</pre>
      <blockquote type="cite">
        <pre wrap="">hi everyone
I've seemingly finely working domain, I mean it all seem fine to me,
except for:

[04/Mar/2017:14:26:47.439218725 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:26:47.441155853 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:31:47.454016982 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:31:47.482477473 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:36:46.458508994 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:36:46.479878884 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:41:47.389700728 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)
[04/Mar/2017:14:41:47.394379376 +0000] slapi_ldap_bind - Error: could
not send startTLS request: error -1 (Can't contact LDAP server) errno
107 (Transport endpoint is not connected)

being logged quite frequently, as you can see. Setup:

ipa-client-4.4.0-14.el7.centos.4.x86_64
ipa-client-common-4.4.0-14.el7.centos.4.noarch
ipa-common-4.4.0-14.el7.centos.4.noarch
ipa-python-compat-4.4.0-14.el7.centos.4.noarch
ipa-server-4.4.0-14.el7.centos.4.x86_64
ipa-server-common-4.4.0-14.el7.centos.4.noarch
ipa-server-dns-4.4.0-14.el7.centos.4.noarch

Replication, users, logins, all seem normal. But above bothers me as I
am afraid it may one day turn out critical and brake stuff down.
This is on the first server that initiated the domain, long time ago.
There is a second server which logs the same, but only a few entries
then goes quiet.
Third server's error log is completely free from this error.

Would appreciate all help.
</pre>
      </blockquote>
      <pre wrap="">
The CA replication agreements are handled by ipa-csreplica-manage. You
may have leftover agreements from previous installs there.

rob

</pre>
    </blockquote>
    I'm afraid I let over the years for some bits in the domain gone
    haywire. I found this:<br>
    <br>
    dn: cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: ca<br>
    objectClass: nsContainer<br>
    objectClass: top<br>
    <br>
    dn:
    cn=certprofiles,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: certprofiles<br>
    objectClass: nsContainer<br>
    objectClass: top<br>
    <br>
    dn: cn=caacls,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: caacls<br>
    objectClass: nsContainer<br>
    objectClass: top<br>
    <br>
    dn:
cn=cas+nsuniqueid=647ed0b1-b70911e6-b84df1c7-2176fa48,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: cas<br>
    objectClass: nsContainer<br>
    objectClass: top<br>
    <br>
    dn: cn=cas,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: cas<br>
    objectClass: nsContainer<br>
    objectClass: top<br>
    <br>
    dn:
cn=IECUserRoles,cn=certprofiles,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    description: User profile that includes IECUserRoles extension from
    request<br>
    ipaCertProfileStoreIssued: TRUE<br>
    cn: IECUserRoles<br>
    objectClass: ipacertprofile<br>
    objectClass: top<br>
    <br>
    dn:
cn=caIPAserviceCert,cn=certprofiles,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    description: Standard profile for network services<br>
    ipaCertProfileStoreIssued: TRUE<br>
    cn: caIPAserviceCert<br>
    objectClass: ipacertprofile<br>
    objectClass: top<br>
    <br>
    dn:
ipaUniqueID=1ea0be16-fc01-11e5-a664-f04da240c1d2,cn=caacls,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    ipaMemberCertProfile:
cn=caIPAserviceCert,cn=certprofiles,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    ipaUniqueID: 1ea0be16-fc01-11e5-a664-f04da240c1d2<br>
    ipaEnabledFlag: TRUE<br>
    hostCategory: all<br>
    objectClass: ipaassociation<br>
    objectClass: ipacaacl<br>
    cn: hosts_services_caIPAserviceCert<br>
    serviceCategory: all<br>
    <br>
    dn:
cn=ipa,cn=cas+nsuniqueid=647ed0b1-b70911e6-b84df1c7-2176fa48,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: ipa<br>
    ipaCaId: 0725f730-9351-4115-aa68-ecb2f47dd805<br>
    ipaCaSubjectDN: CN=Certificate
    Authority,O=PRIVATE.xx.xx.PRIVATE.xx.xx.x<br>
    objectClass: top<br>
    objectClass: ipaca<br>
    ipaCaIssuerDN: CN=Certificate
    Authority,O=PRIVATE.xx.xx.PRIVATE.xx.xx.x<br>
    description: IPA CA<br>
    <br>
    dn: cn=ipa,cn=cas,cn=ca,dc=priv,dc=xx.dc=xx.dc=priv,dc=xx,dc=xx,dc=x<br>
    cn: ipa<br>
    ipaCaId: ed1bbc62-45c5-4d4a-96fb-0c16129dbad0<br>
    ipaCaSubjectDN: CN=Certificate
    Authority,O=PRIVATE.xx.xx.PRIVATE.xx.xx.x<br>
    objectClass: top<br>
    objectClass: ipaca<br>
    ipaCaIssuerDN: CN=Certificate
    Authority,O=PRIVATE.xx.xx.PRIVATE.xx.xx.x<br>
    description: IPA CA<br>
    <br>
    is this the culprit?<br>
    b.w.<br>
    L.<br>
  </body>
</html>