[7.075] Joining AD does not work for .local domains [CONFIRMED]

All,

After updating my ASG120 7.011 to 7.075, I was unable to login to webadmin using my usual Active Directory user credentials (which worked with 7.011)

I was able to gain access using webadmin's locally defined 'admin' user account to gain access.

I've tried redefining my 'Active directory domain admins' group in Users >> Groups. This group is specifed in Management >> WebAdmin Settings, under Allowed Users.
Still unable to access WebAdmin using my active directory credentials.

I had read that 7.075 included native active directory support, so I went to Users >> Authentication >> Active Directory to see if anything had changed (nothing as far as I can see).

I noticed that the domain specified under the Active Directory Single-Sign-On (SSO) was done so using it's NetBIOS name (contrary to the help text shown which suggests a dns domain name). I re-specified my domain using its dns name, but I receive a timeout message, and a message saying 'joining the domain failed'.

Now it appears that my ASG box is not communicating with Active Directory, because any attempt to access the internet via the HTTP proxy (which previously used Active Directory SSO), is resulting in a username/password request. Furthermore, authentication fails even if 'valid' credentials are supplied.

With my 7.011 installation, I had no problems with this. Is there something else I need to do with 7.075? What of the Active Directory 'native support'?


Regards,

Alex

P.S. I've found that general WebAdmin speed/performance has improved significantly with 7.075 [:)]
Parents Reply Children
  • I have succeeded in joining my AD domain!

    The reason I'd previously failed, even when using CAPS to specify my domain name, was down to an incorrectly specified hostname in Management >> System Settings.
    After applying the 7.091 update, and attempting to join my domain, I noticed the following in the fallback.log

    2007:11:28-19:00:29 (none) [user:err] net: [2007/11/28 19:00:29, 0] libads/ldap.c:ads_get_dnshostname(2700)
    2007:11:28-19:00:29 (none) [user:err] net:   ads_get_dnshostname: No dNSHostName attribute!

    I hadn't seen this prior to 7.091, and it led me to discover the significance of a blank dnshostname attribute in the AD computer object's account. In turn, this led me to the ASG hostname setting. In my case, I hadn't specified the FQDN that I intended to use for the ASG. Setting this to 'firewall.chadfort.local' solved allowed me to successfully join my domain (chadfort.local).
    Now, I admit that the text shown alongside the 'Hostname' field in WebAdmin clearly states that the FQDN for the firewall should be specified.
    What confused me into not doing this is that it says that the FQDN should be resolvable in public DNS, and should point to the external interface of the system (It also suggests using a DynDNS hostname if available). However, as far as my understanding serves me, my ASG does not have a FQDN resolvable in public DNS. The FQDN I've specified is only resolvable in my company's private DNS, in which the ASG's FQDN points to its internal interface. This all seems to contradict WebAdmin's 'recommendations' for the hostname.
    Is my understanding a little off track?

    I use a VPN connection, in which I specify the actual IP address of my ASG's external interface.
    Could I also register ASG's 'private' FQDN with DynDNS along with it's external interface IP in order to save having to remember the IP address for VPN?
    Any comments would be appreciated.

    Thanks to all who contribute to this forum, especially the Astaro guys for 'listening' to the needs of the users!
  • I suspect it's not the domain that has to be all caps, but that the ASG (after a successful join) is displaying the Kerberos realm, which is all caps. Mine joined no problem using all lower case, with a .local domain once I made sure that there was a dns record for the box in AD and that the ASG had the AD DNS server as a forwarder (previously I had it the other way around).

    That said, I don't know what the team may have changed/corrected, as I just updated to 7.101 from 7.100 this evening.
  • As a follow-up, at a client site I created a request routing entry for the internal clients so that requests to 'myinternaldomain.local' points to the internal SBS (AD) server. Then I joined the domain no problem.
  • After many retries, I solved the problem with this entry:

    Network - DNS - Request Routing - New DNS Request Route

    Domain:           home.local
    Target Server:  srv.home.local

    After applying this entry, I retried to activate SSO with upper case letters for the domain HOME.LOCAL - and it works.

    happy new year
    alfred
  • I have had this problem too (along with quite a few others since updating from 6.x to 7.1).
    The only thing that worked for me was the suggestion from Alfred to add the New DNS Request Route.
    That was the only thing that worked for me.

    Thanks bud.