<div dir="ltr">Apologies, now with proper subject.<br><div class="gmail_extra"><br><div class="gmail_quote">On 13 April 2017 at 16:49, Tiemen Ruiten <span dir="ltr"><<a href="mailto:t.ruiten@rdmedia.com" target="_blank">t.ruiten@rdmedia.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hello!<div><br></div><div>As I understand from <a href="https://www.redhat.com/archives/freeipa-users/2016-October/msg00147.html" target="_blank">this</a> thread, it should be possible to setup a trust between FreeIPA and Samba4. My AD domain is <a href="http://clients.i.rdmedia.com" target="_blank">clients.i.rdmedia.com</a>, it's a subdomain of my FreeIPA domain, <a href="http://i.rdmedia.com" target="_blank">i.rdmedia.com</a>. Therefore I added a global forwarder on the Samba AD DC to one of the FreeIPA replica's and lookup of SRV records in both domains appears to work. </div><div><br></div><div>However when I try to add the trust I get "ipa: ERROR an internal error has occurred". I ran the trust-add command with full debug logging as described on <a href="https://www.freeipa.org/page/Active_Directory_trust_setup#Debugging_trust" target="_blank">https://www.freeipa.org/page/<wbr>Active_Directory_trust_setup#<wbr>Debugging_trust</a>, so I can provide these logs privately upon request.</div><div><br></div><div>I suspect some DNS-issue, as right after I try to setup the trust, dynamic updates stop working on the AD Domain Controller with this error:<br></div><div><br></div><div>tkey query failed: GSSAPI error: Major = Unspecified GSS failure.  Minor code may provide more information, Minor = Server DNS/<a href="mailto:fluorine.clients.i.rdmedia.com@I.RDMEDIA.COM" target="_blank">fluorine.clients.i.<wbr>rdmedia.com@I.RDMEDIA.COM</a> not found in Kerberos database.<br></div><div><div>Failed nsupdate: 1</div><div>update(nsupdate): SRV _ldap._tcp.Default-First-Site-<wbr>Name._<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com" target="_blank">sites.ForestDnsZones.<wbr>clients.i.rdmedia.com</a> <a href="http://fluorine.clients.i.rdmedia.com" target="_blank">fluorine.clients.i.rdmedia.com</a> 389</div><div>Calling nsupdate for SRV _ldap._tcp.Default-First-Site-<wbr>Name._<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com" target="_blank">sites.ForestDnsZones.<wbr>clients.i.rdmedia.com</a> <a href="http://fluorine.clients.i.rdmedia.com" target="_blank">fluorine.clients.i.rdmedia.com</a> 389 (add)</div><div>Outgoing update query:</div><div>;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id:      0</div><div>;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0</div><div>;; UPDATE SECTION:</div><div>_ldap._tcp.Default-First-Site-<wbr>Name._<a href="http://sites.ForestDnsZones.clients.i.rdmedia.com" target="_blank">sites.ForestDnsZones.<wbr>clients.i.rdmedia.com</a>.<span class="m_-4805142036782658552gmail-Apple-tab-span" style="white-space:pre-wrap">      </span>900 IN SRV 0 100 389 <a href="http://fluorine.clients.i.rdmedia.com" target="_blank">fluorine.clients.i.rdmedia.com</a><wbr>.</div></div><div><br></div><div>Many thanks in advance for your assistance.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div><div><br></div>-- <br><div class="m_-4805142036782658552gmail-m_-5462778928693075624gmail_signature"><div dir="ltr">Tiemen Ruiten<br>Systems Engineer<br>R&D Media<br></div></div>
</div></font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr">Tiemen Ruiten<br>Systems Engineer<br>R&D Media<br></div></div>
</div></div>