Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 29 subscribers
  • Views 39068 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Active Directory Domain rejoin nach HA active/passiv switchover erforderlich

ChristianBock1

Einen schönen guten Tag in die Runde.

Heute habe ich unser SG 550 HA Cluster (active/passive) testweise umgeswitched mit dem Konsolenbefehl "ha_daemon -c takeover".

Danach war die SSO Funktion gegen unsere Active Directory nicht mehr möglich und ich musste ein rejoin machen.

Ich vermute mal, dass die beiden UTMs verschiedene IDs haben und immer nur eines der beiden Geräte Mitglied der Domäne sein kann. Nach einem Switchover stimmt die ID nicht mit der in der AD hinterlegten überein und ein SSO ist nicht mehr möglich.

Welche Erfahrungen gibt es hier in der Community, wenn SSO über ADS mit einem active/passive Cluster eingesetzt wird und ein Switchover stattgefunden hat?

Schöne Grüße

Christian



This thread was automatically locked due to age.
  • 0 in reply to benjamins

    Verglichen mit der UTM kann eine ASA ja auch nicht viel. Wir nutzen fast alle Features der Sophos. Und diese viele Funktionen brauchen mehr Updates.

    Oder welche Neustarts meinst Du?

    Wir sind jetzt bei 13 REDs (3 davon RED 50, der Rest 15w) und es kommen dann noch ca. 15 Stück dazu.

    Es gibt einen Befehl zum Failover Test (siehe oben). Ansonsten hätten wir noch kein Failover. Nur dieser Switchover bei Updates. Die laufen sauber durch.

    Wir können uns ja mal privat austauschen, wenn Du der Meinung bist, die UTM kann die ASA nicht ersetzen. Denn ich bin der festen Überzeugung, dass sie es kann. Ich war in den letzten 20 Jahren noch nie mehr von einem Produkt überzeugt wie von diesem.

    Nebeninfo: ca. 1.200 Clients, knapp über 200 virtuelle Server, ca. 20 Aussenstellen und über 4.000 Mitarbeiter.

  • 0 in reply to benjamins

    Das ist ja das Komische.

    Switchover bei Updates geht SSO. Bei manuellen über Befehl ging es bei 9.4 nicht. Aber ich brauche ja keinen manuellen Switchover.

  • 0 in reply to benjamins

    No, I suggest you use ha_utils ssh to log into that node while it is the Slave.  After you see a positive result, exit back to the Master, wait at least 15 minutes and then do a graceful failover with: ha_daemon -c takeover

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • 0 in reply to BAlfson

    Hallo Bob,

    danke für den Tipp, werde dass morgen früh mal ausprobieren... auch wenn ich denke, dass ein Join während die Maschine Slave ist nicht klappen kann. Schließlich besteht zu dem Zeitpunkt doch lediglich eine Verbindung zum HA Master!?

     

  • 0 in reply to BAlfson

    Ja, wie kann man sich per SSH auf den Slave anmelden?

    Es ist ja immer nur ein Gerät aktiv erreichbar.

     

    Gibt es einen Unterschied zwischen Switchover über SSH und einem Reboot über Web Interface (z.B. nach Neustart)?

  • 0 in reply to ChristianBock1

    Hallo nochmal,

    das war damals ja auch mein Gedanke... alles unter einen Hut bringen. Wir nutzen auch alle Features der UTM, aber wenn es um die Standortvernetzung die einfach immer verfügbar sein muss, möchte ich für die UTM meine Hand nicht ins Feuer legen. Hin und wieder kann die Kiste doch eine ganz schöne Zicke sein, wie gesagt halt ein hochkomplexes Produkt vollgestopft mit Software und den dazugehörigen Bugs ;)

    Gerne kann man sich auch mal so austauschen...

  • 0 in reply to benjamins

    Ich habe Dir meine Mail Adresse per PM geschickt.

    Die UTM hat Potential. Würde mich freuen, wenn wir uns austauschen könnten.