Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 29 subscribers
  • Views 39041 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Directory Domain rejoin nach HA active/passiv switchover erforderlich

ChristianBock1

Einen schönen guten Tag in die Runde.

Heute habe ich unser SG 550 HA Cluster (active/passive) testweise umgeswitched mit dem Konsolenbefehl "ha_daemon -c takeover".

Danach war die SSO Funktion gegen unsere Active Directory nicht mehr möglich und ich musste ein rejoin machen.

Ich vermute mal, dass die beiden UTMs verschiedene IDs haben und immer nur eines der beiden Geräte Mitglied der Domäne sein kann. Nach einem Switchover stimmt die ID nicht mit der in der AD hinterlegten überein und ein SSO ist nicht mehr möglich.

Welche Erfahrungen gibt es hier in der Community, wenn SSO über ADS mit einem active/passive Cluster eingesetzt wird und ein Switchover stattgefunden hat?

Schöne Grüße

Christian



This thread was automatically locked due to age.
Parents
  • 0

    Hallo zusammen!

    Ich schließe mich der Runde an. Habe heute auf Grund von Problemen mit dem HA Sync eine Neuinstallation des HA Slaves (SG230) vorgenommen und bei einem Test des Failovers nun das selbe Phänomen gehabt. Im Zuge der Neuinstallation der zweiten Maschine habe ich den verbleibenden Knoten auch auf die neuste Version 9.503-4 aktualisiert. Ich war in der Annahme, dass mit 9.5 nun alles gut ist, nachdem alle SG115 an unseren Remote Standorten anstandslos damit laufen, jedoch ohne HA.

     

    Sobald nach dem Failover wieder zurück geswitched wird läuft AD SSO wieder. Ich habe bisher noch nicht versucht das HA Cluster neu in die Domäne zu joinen.
    Mit Version 9.4 gab es das Problem nicht, auch ich habe regelmäßig durch einen Reboot des Masters die Funktionalität des HA Clusters getestet.

  • 0 in reply to benjamins

    Das selbe nach Problem nach einen Rejoin und anschließendem Failover.

    Ich weiß, warum wir für unsere lebenswichtigen Anwendungen auf Cisco zurückgreifen.  Es ist echt eine Katastrophe, wie ein Problem das nächste jagt...

  • 0 in reply to benjamins

    Beim Update auf die neueste Version wird ja auch umgeschaltet. Da nusste ich keinen Rejoin machen.

    Wäre es möglich, dass ein Rejoin nur bei manuell angestoßenem Failover notwendig ist?

    Bzgl Cisco: unsere Sophos SG550 soll dieses Jahr die alte Cisco ASA ablösen. In Kombination mit RED ein Traumpaar. Und nicht jeder Betreuer muss Cisco lernen.

  • 0 in reply to ChristianBock1

    Es läuft ja nur auf einem der beiden Knoten nicht und zwar dem Gerät dass als Standby gerät gedacht ist. Sobald nach dem failover das failback erfolgt läuft alles wie gewohnt wieder.  Ich stoße das Failover durch einen reboot des Masters an, meinst du wirklich es macht einen Unterschied ob ich einfach den Stecker ziehe?  :-)

    Wie gesagt, vor dem Update hab ich es immer genau so gemacht und das Problem bestand definitiv nicht.

    Die Idee unsere ASAs durch die SG230 und die 115er an den Aussenstandorten abzulösen hatte ich ehrlich gesagt dieses Jahr auch... es gab aber soviele Probleme bei denen ein Neustart der UTM notwendig war, dass ich alles wieder verworfen habe.

    Ich habe Cisco ASAs am laufen die jahrelang keinen Reboot miterleben durften!

  • 0 in reply to benjamins

    Hallo Benjamin,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You might try the following command-line join on the Slave. As root:

    cc ad_join_domain DOMAIN.LOCAL adminbob G3d0utahere! 172.16.1.5

    DOMAIN.LOCAL - Active Directory domain name
    adminbob - Administrative username in AD
    G3d0utahere! - Password in AD for adminbob
    172.16.1.5 - IP Address of Domain controller

    That can take up to 10 minutes depending on your hardware and connection.  A result of 1 means the join was successful, 0 means it failed.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Reply
  • 0 in reply to benjamins

    Hallo Benjamin,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    You might try the following command-line join on the Slave. As root:

    cc ad_join_domain DOMAIN.LOCAL adminbob G3d0utahere! 172.16.1.5

    DOMAIN.LOCAL - Active Directory domain name
    adminbob - Administrative username in AD
    G3d0utahere! - Password in AD for adminbob
    172.16.1.5 - IP Address of Domain controller

    That can take up to 10 minutes depending on your hardware and connection.  A result of 1 means the join was successful, 0 means it failed.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

Children
  • 0 in reply to BAlfson

    Hi and thanks  for your reply Bob!

    So you suggest that I switchover to the not working node 2 and do the domain join via console? That would overwrite the old active directory object created from node 1 while it was the active one. Interesting idea... but I would bet that the issue would move to node 1 next time it’s active.

    What are logs associated with ad sso that I could have a look at? I will also have a look at our DCs if I can find some events that could shed some light.

    Benjamin

  • 0 in reply to benjamins

    Das ist ja das Komische.

    Switchover bei Updates geht SSO. Bei manuellen über Befehl ging es bei 9.4 nicht. Aber ich brauche ja keinen manuellen Switchover.

  • 0 in reply to benjamins

    No, I suggest you use ha_utils ssh to log into that node while it is the Slave.  After you see a positive result, exit back to the Master, wait at least 15 minutes and then do a graceful failover with: ha_daemon -c takeover

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo Bob,

    danke für den Tipp, werde dass morgen früh mal ausprobieren... auch wenn ich denke, dass ein Join während die Maschine Slave ist nicht klappen kann. Schließlich besteht zu dem Zeitpunkt doch lediglich eine Verbindung zum HA Master!?

     

  • 0 in reply to BAlfson

    Ja, wie kann man sich per SSH auf den Slave anmelden?

    Es ist ja immer nur ein Gerät aktiv erreichbar.

     

    Gibt es einen Unterschied zwischen Switchover über SSH und einem Reboot über Web Interface (z.B. nach Neustart)?