Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 27 subscribers
  • Views 1338 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

keine Proxy-Authentifizierung für ca. 20-25 Minuten im HA-Failover-Fall

LB-Muenchen

Hallo zusammen,

wir betreiben 2 SG430 im HA (aktiv-passiv)

Nun ist aufgefallen, dass im Falle eines Failovers, alle Benutzer die auf das Internet zugreifen wollen, sich nicht mehr am Proxy (:8080) authentifizieren können.

Das hält ca. 20-25 Minuten an, danach geht es wieder.

Hat jemand eine Idee, woran das liegt, bzw. wie man das abstellen kann ?

 

Besten Dank und schon mal ein schönes Wochenende !



This thread was automatically locked due to age.
  • 0

    Hallo Christian,

    erfolgt die Authentifizierung gegen das AD?

    Hast Du mal in die Logs der UTM geschaut?

    20-25 Minuten, klingt komisch. DNS TTL abgelaufenen?

    Alex

    -

  • 0 in reply to Alexander Busch

    Guten Morgen,

    ja, die Auth läuft gegen das AD.

    Ich werde beim nächsten Mal auf den DCs einen "ipconfig /flushdns" machen, mal schauen ob es sich dann schneller beruhigt.

    Grüße aus München

  • 0

    Hallo Christian,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I haven't heard of this problem before.  Are these physical servers or SG appliances running UTM, or are these VMs?  I ask because there are tricks with MACs with VMs.

    Are you using an FQDN or a numeric IP in configuring Internet Options on the clients?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob, 

     

    es sind physische Maschinen. 

     

    Der DHCP hat als Option "003 Router" die IP der UTM gesetzt, nicht den FQDN. Das ist bei Windows-DHCP so auch gar nicht möglich.

     

    Grüße aus München, 

  • 0 in reply to LB-Muenchen

    Hallo Christian,

    Since these are not VMs, the only thing I can think of is NTLM vs. Kerberos.  I would suggest that, instead of DHCP, you try using a GPO to pass out an FQDN instead of a numeric IP.  Consider section 5 of Configuring HTTP/S proxy access with AD SSO.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner