samba - Nov 2019 - Schema replication error with W2008R2

Hi,

We have 3 samba 4.9.13 AD DC servers (mercurio1, mercurio2, mercurio7),
replicating without error.

When we add a W2008R2 as additional DC (mercurio3) replication works fine until
24h pass and it fails.

On the samba4 DCs side, the command

samba-tool drs showrepl

shows no error. On the W2008R2 side the command

repadmin /showrepl

shows inbound replication error from the 3 samba DCs, and only on the schema:

Repadmin: ejecutando el comando /showrepl en el DC completo localhost
Default-First-Site-Name\MERCURIO3
Opciones de DSA: IS_GC
Opciones de sitio: (none)
GUID del objeto DSA: 19854104-6963-4d9a-aa10-e8ead8540ed1
Id. de invocaci?n de DSA: db85dd66-8b46-43d6-8da3-f12447ed66c6
==== VECINOS DE ENTRADA =====================================DC=eadom,DC=ea
    Default-First-Site-Name\MERCURIO7 v?a RPC
        GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
        El ?ltimo intento, efectuado el 2019-11-20 10:29:58, se retras? por una
raz?n normal,
                                resultado 8418 (0x20e2):
                                Error en la operaci?n de replicaci?n debido a
que no coinciden los esquemas entre los servidores implicados.
        ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:40.
    Default-First-Site-Name\MERCURIO1 v?a RPC
        GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
        Error en el ?ltimo intento efectuado el 2019-11-20 10:30:01, resultado
8418 (0x20e2):
        Error en la operaci?n de replicaci?n debido a que no coinciden los
esquemas entre los servidores implicados.
        2 errores consecutivos.
        ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:44.
    Default-First-Site-Name\MERCURIO2 v?a RPC
        GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
        El ?ltimo intento, efectuado el 2019-11-20 10:30:03, se retras? por una
raz?n normal,
                                resultado 8418 (0x20e2):
                                Error en la operaci?n de replicaci?n debido a
que no coinciden los esquemas entre los servidores implicados.
        ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:43.
CN=Configuration,DC=eadom,DC=ea
    Default-First-Site-Name\MERCURIO2 v?a RPC
        GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
        El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
correctamente.
    Default-First-Site-Name\MERCURIO7 v?a RPC
        GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
        El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
correctamente.
    Default-First-Site-Name\MERCURIO1 v?a RPC
        GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
        El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
correctamente.
CN=Schema,CN=Configuration,DC=eadom,DC=ea
    Default-First-Site-Name\MERCURIO7 v?a RPC
        GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
        El ?ltimo intento, efectuado el 2019-11-20 10:29:58, se complet?
correctamente.
    Default-First-Site-Name\MERCURIO1 v?a RPC
        GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
        El ?ltimo intento, efectuado el 2019-11-20 10:30:01, se complet?
correctamente.
    Default-First-Site-Name\MERCURIO2 v?a RPC
        GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
        El ?ltimo intento, efectuado el 2019-11-20 10:30:03, se complet?
correctamente.
Origen: Default-First-Site-Name\MERCURIO1
******* 2 ERRORES CONSECUTIVOS desde 2019-11-17 21:45:44
?ltimo error: 8418 (0x20e2):
            Error en la operaci?n de replicaci?n debido a que no coinciden los
esquemas entre los servidores implicados.
If we compare the LDAP content on the schema part, with the command

samba-tool ldapcmp ldap://mercurio1 ldap://mercurio3 -Uadministrator schema

we get only one difference in the attribute "instanceType". On samba
DCs has the value 13, and on W2008R2 has the value 5.

If we try to force the replication with the command

                samba-tool drs replicate mercurio3 mercurio1  DC=eadom,DC=ea
--sync-forced

We get the "ERR_DS_DRA_SCHEMA_MISMATCH" error.

Do you know how to solve this schema replication error?

Regards,

Pablo Sanz Fern?ndez
Empresarios Agrupados AIE

On 20/11/2019 10:39, Pablo Sanz Fern?ndez via samba
wrote:
> Hi,
>
> We have 3 samba 4.9.13 AD DC servers (mercurio1, mercurio2, mercurio7),
replicating without error.
>
> When we add a W2008R2 as additional DC (mercurio3) replication works fine
until 24h pass and it fails.
>
> On the samba4 DCs side, the command
>
> samba-tool drs showrepl
>
> shows no error. On the W2008R2 side the command
>
> repadmin /showrepl
>
> shows inbound replication error from the 3 samba DCs, and only on the
schema:
>
> Repadmin: ejecutando el comando /showrepl en el DC completo localhost
> Default-First-Site-Name\MERCURIO3
> Opciones de DSA: IS_GC
> Opciones de sitio: (none)
> GUID del objeto DSA: 19854104-6963-4d9a-aa10-e8ead8540ed1
> Id. de invocaci?n de DSA: db85dd66-8b46-43d6-8da3-f12447ed66c6
> ==== VECINOS DE ENTRADA =====================================>
DC=eadom,DC=ea
>      Default-First-Site-Name\MERCURIO7 v?a RPC
>          GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
>          El ?ltimo intento, efectuado el 2019-11-20 10:29:58, se retras?
por una raz?n normal,
>                                  resultado 8418 (0x20e2):
>                                  Error en la operaci?n de replicaci?n
debido a que no coinciden los esquemas entre los servidores implicados.
>          ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:40.
>      Default-First-Site-Name\MERCURIO1 v?a RPC
>          GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
>          Error en el ?ltimo intento efectuado el 2019-11-20 10:30:01,
resultado 8418 (0x20e2):
>          Error en la operaci?n de replicaci?n debido a que no coinciden los
esquemas entre los servidores implicados.
>          2 errores consecutivos.
>          ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:44.
>      Default-First-Site-Name\MERCURIO2 v?a RPC
>          GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
>          El ?ltimo intento, efectuado el 2019-11-20 10:30:03, se retras?
por una raz?n normal,
>                                  resultado 8418 (0x20e2):
>                                  Error en la operaci?n de replicaci?n
debido a que no coinciden los esquemas entre los servidores implicados.
>          ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:43.
> CN=Configuration,DC=eadom,DC=ea
>      Default-First-Site-Name\MERCURIO2 v?a RPC
>          GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
>          El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
correctamente.
>      Default-First-Site-Name\MERCURIO7 v?a RPC
>          GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
>          El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
correctamente.
>      Default-First-Site-Name\MERCURIO1 v?a RPC
>          GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
>          El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
correctamente.
> CN=Schema,CN=Configuration,DC=eadom,DC=ea
>      Default-First-Site-Name\MERCURIO7 v?a RPC
>          GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
>          El ?ltimo intento, efectuado el 2019-11-20 10:29:58, se complet?
correctamente.
>      Default-First-Site-Name\MERCURIO1 v?a RPC
>          GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
>          El ?ltimo intento, efectuado el 2019-11-20 10:30:01, se complet?
correctamente.
>      Default-First-Site-Name\MERCURIO2 v?a RPC
>          GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
>          El ?ltimo intento, efectuado el 2019-11-20 10:30:03, se complet?
correctamente.
> Origen: Default-First-Site-Name\MERCURIO1
> ******* 2 ERRORES CONSECUTIVOS desde 2019-11-17 21:45:44
> ?ltimo error: 8418 (0x20e2):
>              Error en la operaci?n de replicaci?n debido a que no coinciden
los esquemas entre los servidores implicados.
> If we compare the LDAP content on the schema part, with the command
>
> samba-tool ldapcmp ldap://mercurio1 ldap://mercurio3 -Uadministrator schema
>
> we get only one difference in the attribute "instanceType". On
samba DCs has the value 13, and on W2008R2 has the value 5.
>
> If we try to force the replication with the command
>
>                  samba-tool drs replicate mercurio3 mercurio1 
DC=eadom,DC=ea --sync-forced
>
> We get the "ERR_DS_DRA_SCHEMA_MISMATCH" error.
>
> Do you know how to solve this schema replication error?
>
> Regards,
>
> Pablo Sanz Fern?ndez
> Empresarios Agrupados AIE
>
Did you follow this:

https://wiki.samba.org/index.php/Joining_a_Windows_Server_2008_/_2008_R2_DC_to_a_Samba_AD

Also if you read this:

https://wiki.samba.org/index.php/AD_Schema_Version_Support

It shows that Samba uses schema version 47 and this is the version used 
by W2008R2, so why are you getting the schema mismatch error ?

The Samba wiki 'AD_Schema_Version_Support' page shows how to check the 
schema versions.

Rowland

Dear Pablo,

Do you have any (active or passive) Exchange 2010+ scheme on your W2008R2
server?

Caglar

On 20 Nov 2019 Wed at 13:55 Pablo Sanz Fern?ndez via samba <
samba at lists.samba.org> wrote:
> Hi,
>
> We have 3 samba 4.9.13 AD DC servers (mercurio1, mercurio2, mercurio7),
> replicating without error.
>
> When we add a W2008R2 as additional DC (mercurio3) replication works fine
> until 24h pass and it fails.
>
> On the samba4 DCs side, the command
>
> samba-tool drs showrepl
>
> shows no error. On the W2008R2 side the command
>
> repadmin /showrepl
>
> shows inbound replication error from the 3 samba DCs, and only on the
> schema:
>
> Repadmin: ejecutando el comando /showrepl en el DC completo localhost
> Default-First-Site-Name\MERCURIO3
> Opciones de DSA: IS_GC
> Opciones de sitio: (none)
> GUID del objeto DSA: 19854104-6963-4d9a-aa10-e8ead8540ed1
> Id. de invocaci?n de DSA: db85dd66-8b46-43d6-8da3-f12447ed66c6
> ==== VECINOS DE ENTRADA =====================================>
DC=eadom,DC=ea
>     Default-First-Site-Name\MERCURIO7 v?a RPC
>         GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
>         El ?ltimo intento, efectuado el 2019-11-20 10:29:58, se retras?
> por una raz?n normal,
>                                 resultado 8418 (0x20e2):
>                                 Error en la operaci?n de replicaci?n
> debido a que no coinciden los esquemas entre los servidores implicados.
>         ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:40.
>     Default-First-Site-Name\MERCURIO1 v?a RPC
>         GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
>         Error en el ?ltimo intento efectuado el 2019-11-20 10:30:01,
> resultado 8418 (0x20e2):
>         Error en la operaci?n de replicaci?n debido a que no coinciden los
> esquemas entre los servidores implicados.
>         2 errores consecutivos.
>         ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:44.
>     Default-First-Site-Name\MERCURIO2 v?a RPC
>         GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
>         El ?ltimo intento, efectuado el 2019-11-20 10:30:03, se retras?
> por una raz?n normal,
>                                 resultado 8418 (0x20e2):
>                                 Error en la operaci?n de replicaci?n
> debido a que no coinciden los esquemas entre los servidores implicados.
>         ?ltima operaci?n correcta efectuada el 2019-11-17 21:45:43.
> CN=Configuration,DC=eadom,DC=ea
>     Default-First-Site-Name\MERCURIO2 v?a RPC
>         GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
>         El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
> correctamente.
>     Default-First-Site-Name\MERCURIO7 v?a RPC
>         GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
>         El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
> correctamente.
>     Default-First-Site-Name\MERCURIO1 v?a RPC
>         GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
>         El ?ltimo intento, efectuado el 2019-11-20 10:15:57, se complet?
> correctamente.
> CN=Schema,CN=Configuration,DC=eadom,DC=ea
>     Default-First-Site-Name\MERCURIO7 v?a RPC
>         GUID del objeto DSA: e644a216-b852-4303-ad3c-09e5733b7233
>         El ?ltimo intento, efectuado el 2019-11-20 10:29:58, se complet?
> correctamente.
>     Default-First-Site-Name\MERCURIO1 v?a RPC
>         GUID del objeto DSA: 424a4649-bf26-4e3c-a8c4-6601e4641a71
>         El ?ltimo intento, efectuado el 2019-11-20 10:30:01, se complet?
> correctamente.
>     Default-First-Site-Name\MERCURIO2 v?a RPC
>         GUID del objeto DSA: f881596c-b0e9-403c-9e7b-c394f328a4a2
>         El ?ltimo intento, efectuado el 2019-11-20 10:30:03, se complet?
> correctamente.
> Origen: Default-First-Site-Name\MERCURIO1
> ******* 2 ERRORES CONSECUTIVOS desde 2019-11-17 21:45:44
> ?ltimo error: 8418 (0x20e2):
>             Error en la operaci?n de replicaci?n debido a que no coinciden
> los esquemas entre los servidores implicados.
> If we compare the LDAP content on the schema part, with the command
>
> samba-tool ldapcmp ldap://mercurio1 ldap://mercurio3 -Uadministrator schema
>
> we get only one difference in the attribute "instanceType". On
samba DCs
> has the value 13, and on W2008R2 has the value 5.
>
> If we try to force the replication with the command
>
>                 samba-tool drs replicate mercurio3 mercurio1
> DC=eadom,DC=ea --sync-forced
>
> We get the "ERR_DS_DRA_SCHEMA_MISMATCH" error.
>
> Do you know how to solve this schema replication error?
>
> Regards,
>
> Pablo Sanz Fern?ndez
> Empresarios Agrupados AIE
>
> --
> To unsubscribe from this list go to the following URL and read the
> instructions:  https://lists.samba.org/mailman/options/samba
>