Active Directory Domain rejoin nach HA active/passiv switchover erforderlich

Hallo zusammen!

Ich schließe mich der Runde an. Habe heute auf Grund von Problemen mit dem HA Sync eine Neuinstallation des HA Slaves (SG230) vorgenommen und bei einem Test des Failovers nun das selbe Phänomen gehabt. Im Zuge der Neuinstallation der zweiten Maschine habe ich den verbleibenden Knoten auch auf die neuste Version 9.503-4 aktualisiert. Ich war in der Annahme, dass mit 9.5 nun alles gut ist, nachdem alle SG115 an unseren Remote Standorten anstandslos damit laufen, jedoch ohne HA.

Sobald nach dem Failover wieder zurück geswitched wird läuft AD SSO wieder. Ich habe bisher noch nicht versucht das HA Cluster neu in die Domäne zu joinen.
Mit Version 9.4 gab es das Problem nicht, auch ich habe regelmäßig durch einen Reboot des Masters die Funktionalität des HA Clusters getestet.

Das selbe nach Problem nach einen Rejoin und anschließendem Failover.

Ich weiß, warum wir für unsere lebenswichtigen Anwendungen auf Cisco zurückgreifen.  Es ist echt eine Katastrophe, wie ein Problem das nächste jagt...

Es läuft ja nur auf einem der beiden Knoten nicht und zwar dem Gerät dass als Standby gerät gedacht ist. Sobald nach dem failover das failback erfolgt läuft alles wie gewohnt wieder.  Ich stoße das Failover durch einen reboot des Masters an, meinst du wirklich es macht einen Unterschied ob ich einfach den Stecker ziehe?  :-)

Wie gesagt, vor dem Update hab ich es immer genau so gemacht und das Problem bestand definitiv nicht.

Die Idee unsere ASAs durch die SG230 und die 115er an den Aussenstandorten abzulösen hatte ich ehrlich gesagt dieses Jahr auch... es gab aber soviele Probleme bei denen ein Neustart der UTM notwendig war, dass ich alles wieder verworfen habe.

Ich habe Cisco ASAs am laufen die jahrelang keinen Reboot miterleben durften!

Hallo Benjamin,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

You might try the following command-line join on the Slave. As root:

cc ad_join_domain DOMAIN.LOCAL adminbob G3d0utahere! 172.16.1.5

DOMAIN.LOCAL - Active Directory domain name
adminbob - Administrative username in AD
G3d0utahere! - Password in AD for adminbob
172.16.1.5 - IP Address of Domain controller

That can take up to 10 minutes depending on your hardware and connection.  A result of 1 means the join was successful, 0 means it failed.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hi and thanks  for your reply Bob!

So you suggest that I switchover to the not working node 2 and do the domain join via console? That would overwrite the old active directory object created from node 1 while it was the active one. Interesting idea... but I would bet that the issue would move to node 1 next time it’s active.

What are logs associated with ad sso that I could have a look at? I will also have a look at our DCs if I can find some events that could shed some light.

Benjamin

Verglichen mit der UTM kann eine ASA ja auch nicht viel. Wir nutzen fast alle Features der Sophos. Und diese viele Funktionen brauchen mehr Updates.

Oder welche Neustarts meinst Du?

Wir sind jetzt bei 13 REDs (3 davon RED 50, der Rest 15w) und es kommen dann noch ca. 15 Stück dazu.

Es gibt einen Befehl zum Failover Test (siehe oben). Ansonsten hätten wir noch kein Failover. Nur dieser Switchover bei Updates. Die laufen sauber durch.

Wir können uns ja mal privat austauschen, wenn Du der Meinung bist, die UTM kann die ASA nicht ersetzen. Denn ich bin der festen Überzeugung, dass sie es kann. Ich war in den letzten 20 Jahren noch nie mehr von einem Produkt überzeugt wie von diesem.

Nebeninfo: ca. 1.200 Clients, knapp über 200 virtuelle Server, ca. 20 Aussenstellen und über 4.000 Mitarbeiter.

Das ist ja das Komische.

Switchover bei Updates geht SSO. Bei manuellen über Befehl ging es bei 9.4 nicht. Aber ich brauche ja keinen manuellen Switchover.

No, I suggest you use ha_utils ssh to log into that node while it is the Slave.  After you see a positive result, exit back to the Master, wait at least 15 minutes and then do a graceful failover with: ha_daemon -c takeover

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Bob,

danke für den Tipp, werde dass morgen früh mal ausprobieren... auch wenn ich denke, dass ein Join während die Maschine Slave ist nicht klappen kann. Schließlich besteht zu dem Zeitpunkt doch lediglich eine Verbindung zum HA Master!?

Ja, wie kann man sich per SSH auf den Slave anmelden?

Es ist ja immer nur ein Gerät aktiv erreichbar.

Gibt es einen Unterschied zwischen Switchover über SSH und einem Reboot über Web Interface (z.B. nach Neustart)?

Hallo nochmal,

das war damals ja auch mein Gedanke... alles unter einen Hut bringen. Wir nutzen auch alle Features der UTM, aber wenn es um die Standortvernetzung die einfach immer verfügbar sein muss, möchte ich für die UTM meine Hand nicht ins Feuer legen. Hin und wieder kann die Kiste doch eine ganz schöne Zicke sein, wie gesagt halt ein hochkomplexes Produkt vollgestopft mit Software und den dazugehörigen Bugs ;)

Gerne kann man sich auch mal so austauschen...

Ich habe Dir meine Mail Adresse per PM geschickt.

Die UTM hat Potential. Würde mich freuen, wenn wir uns austauschen könnten.

Ich habe Dir meine Mail Adresse per PM geschickt.

Die UTM hat Potential. Würde mich freuen, wenn wir uns austauschen könnten.