Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 29 subscribers
  • Views 39039 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Directory Domain rejoin nach HA active/passiv switchover erforderlich

ChristianBock1

Einen schönen guten Tag in die Runde.

Heute habe ich unser SG 550 HA Cluster (active/passive) testweise umgeswitched mit dem Konsolenbefehl "ha_daemon -c takeover".

Danach war die SSO Funktion gegen unsere Active Directory nicht mehr möglich und ich musste ein rejoin machen.

Ich vermute mal, dass die beiden UTMs verschiedene IDs haben und immer nur eines der beiden Geräte Mitglied der Domäne sein kann. Nach einem Switchover stimmt die ID nicht mit der in der AD hinterlegten überein und ein SSO ist nicht mehr möglich.

Welche Erfahrungen gibt es hier in der Community, wenn SSO über ADS mit einem active/passive Cluster eingesetzt wird und ein Switchover stattgefunden hat?

Schöne Grüße

Christian



This thread was automatically locked due to age.
  • 0

    Hallo Christian,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You didn't say what version you're on.  If you did the join inside WebAdmin, you should not have had a problem.  I haven't tried it, but I wonder if a command-line join doesn't have to be done on both Master and Slave. 

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0

    Hallo Christian,

    meine Kunden haben zu 90% UTM's im HA Modus.Bislang gab es noch keine dieser Effekte.

    Die Konfiguration beider Geräte ist gespiegelt und müsste zu 100% identisch sein (bis hin zur virtuellen MAC-Adresse). Somit ist auch die AD-Zugehörigkeit bei beiden gleich.

    Allerdings schalte ich nie via Commandline um, sondern starte jeweils den Master nur einfach mal durch (zum Teil jeden Freitag).

     

    VG CS

  • 0 in reply to CS

    Hallo,

     

    wurde nach dem Rejoin erneut getestet? Wie war danach das Resultat?

     

    Gruß

     

  • 0 in reply to LuCar Toni

    Nach jedem Neustart oder Wechsel der HA Partner war ein rejoin notwendig, damit AD SSO funktioniert.

    So ein Wechsel kommt ja zum Glück im Alltag so gut wie gar nicht vor. Derzeit nur bei Updates oder manuellen Tests.

  • 0 in reply to ChristianBock1

    Hallo,

     

    sollte nicht so sein.

    Könntest du Fallback.log und system.log nach dem Take Over analysieren?

    Dort könntest du deine Antworten finden.

     

    Gruß

  • 0 in reply to BAlfson

    BAlfson said:

    You didn't say what version you're on.  

    Wetten, dein Cluster läuft auf 9.500 oder 9.501? Das würde die Sache mit grosser Wahrscheinlichkeit erklären...

  • 0

    Hallo Christian,

    also ich hatte gestern auch das Problem, dass der Directory Services sync nicht mehr funktioniert hat. Auf meinem Domänencontroller hatte ich für das Computerkonto der UTM (Name$) Security Events mit der ID 4771 - Fehler bei der Kerberos Vorauthentifizierung. Das kam aus heiterem Himmel irgendwann gestern Vormittag (ein Update auf die 9.414 hatte ich letzte Woche bereits gemacht). Ich kam dann abends auch auf die Idee, die UTM einfach nochmal zu joinen und siehe da seit dem ist der Fehler weg. Tatsächlich läuft auch bei mir aktuell Node 1 als Slave und Node 2 als Master. Könnte also damit zusammenhängen.

    Schöne Grüße
    Daniel

  • 0

    DAs hier war übrigens die Meldung von der UTM:

     

    Betreff: [WARN-531] Directory Services synchronization

    There was an error synchronizing subscribed groups. The Sophos UTM will continue to operate with a locally cached copy of the data but will be unable to update from Directory Services until the issue is resolved.

    Error was:
    failed to run samba command on <domainname>, exiting now

    --

    HA Status          : HA MASTER (node id: 2)
    System Uptime      : 4 days 17 hours 35 minutes
    System Load        : 0.56
    System Version     : Sophos UTM 9.414-2

  • 0 in reply to astiadmin

    Und genau das kann ich mit einem manuellen failover Switch reproduzieren.

    Bei einem automatischen Failover braucht es also händische Nacharbeiten.

    Das ist leider nicht so gut.

  • 0 in reply to ChristianBock1

    Da hast Du Recht. Mir scheint das aber ein neues Problem zu sein, sonst müsste das bei uns schon viel früher mal aufgetreten sein. Die letzten Updates für die UTM scheinen nicht das Gelbe vom Ei zu sein. Ich bin froh, dass ich die 9.5 noch nicht eingespielt hab. :-)