<div dir="ltr">Hello!<div><br></div><div>As I understand from <a href="https://www.redhat.com/archives/freeipa-users/2016-October/msg00147.html" target="_blank">this</a> thread, it should be possible to setup a trust between FreeIPA and Samba4. My AD domain is <a href="http://clients.i.rdmedia.com" target="_blank">clients.i.rdmedia.com</a>, it's a subdomain of my FreeIPA domain, <a href="http://i.rdmedia.com" target="_blank">i.rdmedia.com</a>. Therefore I added a global forwarder on the Samba AD DC to one of the FreeIPA replica's and lookup of SRV records in both domains appears to work. </div><div><br></div><div>However when I try to add the trust I get "ipa: ERROR an internal error has occurred". I ran the trust-add command with full debug logging as described on <a href="https://www.freeipa.org/page/Active_Directory_trust_setup#Debugging_trust">https://www.freeipa.org/page/Active_Directory_trust_setup#Debugging_trust</a>, so I can provide these logs privately upon request.</div><div><br></div><div>I suspect some DNS-issue, as right after I try to setup the trust, dynamic updates stop working on the AD Domain Controller with this error:<br></div><div><br></div><div>tkey query failed: GSSAPI error: Major = Unspecified GSS failure.  Minor code may provide more information, Minor = Server DNS/<a href="mailto:fluorine.clients.i.rdmedia.com@I.RDMEDIA.COM">fluorine.clients.i.rdmedia.com@I.RDMEDIA.COM</a> not found in Kerberos database.<br></div><div><div>Failed nsupdate: 1</div><div>update(nsupdate): SRV _ldap._tcp.Default-First-Site-Name._<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com">sites.ForestDnsZones.clients.i.rdmedia.com</a> <a href="http://fluorine.clients.i.rdmedia.com">fluorine.clients.i.rdmedia.com</a> 389</div><div>Calling nsupdate for SRV _ldap._tcp.Default-First-Site-Name._<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com">sites.ForestDnsZones.clients.i.rdmedia.com</a> <a href="http://fluorine.clients.i.rdmedia.com">fluorine.clients.i.rdmedia.com</a> 389 (add)</div><div>Outgoing update query:</div><div>;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0</div><div>;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0</div><div>;; UPDATE SECTION:</div><div>_ldap._tcp.Default-First-Site-Name._<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com">sites.ForestDnsZones.clients.i.rdmedia.com</a>.<span class="gmail-Apple-tab-span" style="white-space:pre">       </span>900 IN SRV 0 100 389 <a href="http://fluorine.clients.i.rdmedia.com">fluorine.clients.i.rdmedia.com</a>.</div></div><div><br></div><div>Many thanks in advance for your assistance.</div><div><br></div><div><div><br></div>-- <br><div class="gmail-m_-5462778928693075624gmail_signature"><div dir="ltr">Tiemen Ruiten<br>Systems Engineer<br>R&D Media<br></div></div>
</div></div>