<div dir="ltr">Of course:<div><br></div><div>FreeIPA versions:</div><div><div>[root@ipa-ams-01 samba]# rpm -qa | grep ipa</div><div>libipa_hbac-1.14.0-43.el7_3.14.x86_64</div><div>sssd-ipa-1.14.0-43.el7_3.14.x86_64</div><div>python2-ipaclient-4.4.0-14.el7.centos.7.noarch</div><div>ipa-server-trust-ad-4.4.0-14.el7.centos.7.x86_64</div><div>ipa-client-common-4.4.0-14.el7.centos.7.noarch</div><div>python-iniparse-0.4-9.el7.noarch</div><div>python-libipa_hbac-1.14.0-43.el7_3.14.x86_64</div><div>python2-ipalib-4.4.0-14.el7.centos.7.noarch</div><div>ipa-admintools-4.4.0-14.el7.centos.7.noarch</div><div>ipa-server-common-4.4.0-14.el7.centos.7.noarch</div><div>ipa-server-4.4.0-14.el7.centos.7.x86_64</div><div>ipa-server-dns-4.4.0-14.el7.centos.7.noarch</div><div>python-ipaddress-1.0.16-2.el7.noarch</div><div>ipa-client-4.4.0-14.el7.centos.7.x86_64</div><div>python2-ipaserver-4.4.0-14.el7.centos.7.noarch</div><div>ipa-common-4.4.0-14.el7.centos.7.noarch</div></div><div><br></div><div>Samba AD DC versions:<br></div><div>Also CentOS 7, Samba 4.6.2, built from source, configure with one option: --with-systemd</div><div><br></div><div><div>FreeIPA controls <a href="http://i.rdmedia.com">i.rdmedia.com</a>, <a href="http://prod.ams.i.rdmedia.com">prod.ams.i.rdmedia.com</a>, <a href="http://test.ams.i.rdmedia.com">test.ams.i.rdmedia.com</a> and <a href="http://prod.nyc.i.rdmedia.com">prod.nyc.i.rdmedia.com</a>.</div><div>AD controls only <a href="http://clients.i.rdmedia.com">clients.i.rdmedia.com</a> and forwards all other DNS queries to ipa-ams-01.</div></div><div><br></div><div>Samba uses the BIND9_DLZ backend for DNS. <br></div><div><br></div><div>Regarding the commands run: After provisioning the AD domain, I followed <a href="https://www.freeipa.org/page/Active_Directory_trust_setup">this</a> guide, except I set up the global forwarder in /etc/named.conf manually. </div><div><br></div><div>I got the <span style="color:rgb(0,0,0);font-size:12.8px">"ipa: ERROR an internal error has occurred" after running:</span></div><div><span style="color:rgb(0,0,0);font-size:12.8px"><br></span></div><div><font color="#000000"><span style="font-size:12.8px">ipa trust-add --type=ad <a href="http://clients.i.rdmedia.com">clients.i.rdmedia.com</a> --admin Administrator --password</span></font><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 13 April 2017 at 17:09, Alexander Bokovoy <span dir="ltr"><<a href="mailto:abokovoy@redhat.com" target="_blank">abokovoy@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On to, 13 huhti 2017, Tiemen Ruiten wrote:<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Apologies, now with proper subject.<br>
<br>
On 13 April 2017 at 16:49, Tiemen Ruiten <<a href="mailto:t.ruiten@rdmedia.com" target="_blank">t.ruiten@rdmedia.com</a>> wrote:<br>
<br>
</span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">
Hello!<br>
<br>
As I understand from this<br></span>
<<a href="https://www.redhat.com/archives/freeipa-users/2016-October/msg00147.html" rel="noreferrer" target="_blank">https://www.redhat.com/archiv<wbr>es/freeipa-users/2016-October/<wbr>msg00147.html</a>> thread,<div><div class="h5"><br>
it should be possible to setup a trust between FreeIPA and Samba4. My AD<br>
domain is <a href="http://clients.i.rdmedia.com" rel="noreferrer" target="_blank">clients.i.rdmedia.com</a>, it's a subdomain of my FreeIPA domain,<br>
<a href="http://i.rdmedia.com" rel="noreferrer" target="_blank">i.rdmedia.com</a>. Therefore I added a global forwarder on the Samba AD DC to<br>
one of the FreeIPA replica's and lookup of SRV records in both domains<br>
appears to work.<br>
<br>
However when I try to add the trust I get "ipa: ERROR an internal error<br>
has occurred". I ran the trust-add command with full debug logging as<br>
described on <a href="https://www.freeipa.org/page/Active_Directory_trust_setup#" rel="noreferrer" target="_blank">https://www.freeipa.org/page/A<wbr>ctive_Directory_trust_setup#</a><br>
Debugging_trust, so I can provide these logs privately upon request.<br>
<br>
I suspect some DNS-issue, as right after I try to setup the trust, dynamic<br>
updates stop working on the AD Domain Controller with this error:<br>
<br>
tkey query failed: GSSAPI error: Major = Unspecified GSS failure.  Minor<br>
code may provide more information, Minor = Server DNS/fluorine.clients.i.<br>
<a href="mailto:rdmedia.com@I.RDMEDIA.COM" target="_blank">rdmedia.com@I.RDMEDIA.COM</a> not found in Kerberos database.<br>
Failed nsupdate: 1<br>
update(nsupdate): SRV _ldap._tcp.Default-First-Site-<wbr>Name._<br>
<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com" rel="noreferrer" target="_blank">sites.ForestDnsZones.clients.i<wbr>.rdmedia.com</a> <a href="http://fluorine.clients.i.rdmedia.com" rel="noreferrer" target="_blank">fluorine.clients.i.rdmedia.com</a><br>
389<br>
Calling nsupdate for SRV _ldap._tcp.Default-First-Site-<wbr>Name._<br>
<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com" rel="noreferrer" target="_blank">sites.ForestDnsZones.clients.i<wbr>.rdmedia.com</a> <a href="http://fluorine.clients.i.rdmedia.com" rel="noreferrer" target="_blank">fluorine.clients.i.rdmedia.com</a><br>
389 (add)<br>
Outgoing update query:<br>
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0<br>
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0<br>
;; UPDATE SECTION:<br>
_ldap._tcp.Default-First-Site-<wbr>Name._sites.ForestDnsZones.<br>
<a href="http://clients.i.rdmedia.com" rel="noreferrer" target="_blank">clients.i.rdmedia.com</a>. 900 IN SRV 0 100 389 <a href="http://fluorine.clients.i.rdmedia.com" rel="noreferrer" target="_blank">fluorine.clients.i.rdmedia.com</a><br>
.<br>
<br>
Many thanks in advance for your assistance.<br>
</div></div></blockquote></blockquote>
It would help if you would provide more details on your setup. The above<br>
doesn't give a clue on:<br>
- what are FreeIPA and Samba AD DC versions<br>
- on what OS versions they run, correspondingly<br>
- what DNS zones each of them control<br>
- what commands did you run<span class="HOEnZb"><font color="#888888"><br>
<br>
-- <br>
/ Alexander Bokovoy<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Tiemen Ruiten<br>Systems Engineer<br>R&D Media<br></div></div>
</div>