Bug 14234 - missing msDS-SD-Reference-Domain attribute in CN=configuration
Summary: missing msDS-SD-Reference-Domain attribute in CN=configuration
Status: NEW
Alias: None
Product: Samba 4.1 and newer
Classification: Unclassified
Component: AD: LDB/DSDB/SAMDB (show other bugs)
Version: unspecified
Hardware: All All
: P5 normal (vote)
Target Milestone: ---
Assignee: Andrew Bartlett
QA Contact: Samba QA Contact
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2020-01-14 14:39 UTC by Denis Cardon
Modified: 2020-01-14 14:39 UTC (History)
0 users

See Also:


Attachments

Note You need to log in before you can comment on or make changes to this bug.
Description Denis Cardon 2020-01-14 14:39:01 UTC
Issue
=====
When running dcdiag after joining a Win2k12r2 DC to a Samba-AD 4.11.4, dcdiag is complaining that it is missing an attribute msDS-SD-Reference-Domain.


DCDiag output (sorry, in French...):

   Exécution de tests de partitions sur ForestDnsZones
      Démarrage du test : CheckSDRefDom
            Un domaine de référence du descripteur de sécurité est manquant dans la partition de l'annuaire
            d'applications DC=ForestDnsZones,DC=testing,DC=lan. L'administrateur doit définir l'attribut
            msDS-SD-Reference-Domain de l'objet de référence croisée
            CN=9f1266fd-c713-4ebe-8e04-85f06008c5a7,CN=Partitions,CN=Configuration,DC=testing,DC=lan sur le nom unique
            d'un domaine.
         ......................... Le test CheckSDRefDom
          de ForestDnsZones a échoué
      Démarrage du test : CrossRefValidation
         ......................... Le test CrossRefValidation
          de ForestDnsZones a réussi

   Exécution de tests de partitions sur DomainDnsZones
      Démarrage du test : CheckSDRefDom
            Un domaine de référence du descripteur de sécurité est manquant dans la partition de l'annuaire
            d'applications DC=DomainDnsZones,DC=testing,DC=lan. L'administrateur doit définir l'attribut
            msDS-SD-Reference-Domain de l'objet de référence croisée
            CN=7fe9de7e-38f9-4af7-aa92-0eb8537deecd,CN=Partitions,CN=Configuration,DC=testing,DC=lan sur le nom unique
            d'un domaine.
         ......................... Le test CheckSDRefDom

Fixing
======
Adding msDS-SD-Reference-Domain attribute with the baseDN (here dc=testing,dc=lan) on the following two entries fix the issue:

ldbsearch  -H /var/lib/samba/private/sam.ldb  --cross-ncs  '(dnsroot=ForestDnsZones.testing.lan)' dn
# record 1
dn: CN=9f1266fd-c713-4ebe-8e04-85f06008c5a7,CN=Partitions,CN=Configuration,DC=testing,DC=lan

ldbsearch  -H /var/lib/samba/private/sam.ldb  --cross-ncs  '(dnsroot=DomainDnsZones.testing.lan)' dn
# record 1
dn: CN=7fe9de7e-38f9-4af7-aa92-0eb8537deecd,CN=Partitions,CN=Configuration,DC=testing,DC=lan

After adding the two attributes, DCDiag is no more complaining about the CheckSDRefDom test.