Den Updatepfad zu UEM 12.6 haben wir im Blog schon beschrieben. Relativ unerwartet tauchte dann aber bei einer Produktivinstallation mit 100 Benutzern doch noch ein schwerwiegender, zuerst unerkannter Fehler auf.
Fehler
Unter der Vorläuferversion BES 12.5 funktionierte alles tadellos. Nach dem Update auf UEM 12.6 war aber die Verbindung zum Unternehmensverzeichnis defekt. Der Versuch, durch manuelle Synchronisierung einen “letzen Bericht” zu bekommen führte zu einem “failed“. Auch andere LDAP-User, neu eingegebene Passwörter oder gar explizit vorgegebene Domain Controller belebten die Unternehmensverbindung nicht. Die Auswirkungen waren: Bestehende AD-Benutzer konnten nicht mehr editiert werden, das Hinzufügen weiterer AD-Benutzer schlug fehl.
Lösung
Ein simples netdom query dc in CMD auf einem DC ergab 6 Domain Controller für die AD-Domäne
Dies stimmte jedoch nicht überein mit den Informationen des DNS (CMD: nslookup domain.fqdn), nach welchem die Domäne 9 DC hätte haben müssen.
Abhilfe schaffte eine Korrektur des DNS auf die 6 richtigen DC Adressen
Danach ging die Unternehmensverbindung auch wieder.
Weitere Benutzer konnten wieder angelegt werden.
Hintergrund
Versionen vor BES12.6 verbanden sich mit dem ersten erreichbaren DC der Liste, die aus der Namensabfrage gewonnen wird und stellten die Verbindung her. Ab UEM 12.6 funktioniert das nun anders: Es werden nun alle DC der Reihe nach abgefragt. Der Fehler tritt dann auf, wenn einer davon nicht antwortet. Kleinere Unsauberkeiten im AD DNS finden sich aber praktisch in jeder Domäne. Wir dürfen also gespannt sein. Schauen wir mal, ob dieses Verhalten in MR1 wieder zurückgedreht wird.