Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 1740 views
  • Users 0 members are here
Options
Suggested

[7.260] SSO report joined domain

Mark_D_01
Hi
Under these circumstances the AD SSO field reports that the Status on joined AD Domain is incorrect.
If 
1. The details in the AD config are correct and the "Test Server" results in a "Passed OK".
2. You enter the correct details in the AD SSO but the "Joining the domain failed."
3. You navigate to another page ie LDAP and go back to the AD page. It will show the "Status :Joined domain ******

Mark
  • 0
    Can't reproduce that here, sorry. Did the join really work out (So, was the computer account created in AD)?
  • 0 in reply to tom_01
    Process to replicate fault.
    1. login into MS Server change Domain Policy so that ASG will not join the AD ie turn on:-
    Microsoft network server: Digitally sign communications (always) Enabled 
    Domain controller: LDAP server signing requirements Require signing
    2. Configure ASG as normal for joining AD.
    3. Under "Active Directory configuration" enter details as normal, press "Test Server" all functions OK.
    4. Under "Active Directory Single-Sign-On (SSO)" Enter details as normal you will get instant  "Joining the domain failed." message. Now navigate to the LDAP Sreen and back to the Active Directory screen and you will see the message "Status: Joined domain ******".


    Process used to find fault.
    Tested .local and FQDN across 2 servers in a test environment. I've been able to repeat this on both domain types and across both Beta builds.

    [Test Environment]
    2x MS 2003 R2 fresh install severs with AD installed. 1st with .local domain. 2nd with FQDN.
    1x Current 7.*** Beta ASG

    [Production Environment]
    1x MS SBS Server with AD install with .local domain.

    [Assumptions]
    Group Policy management installed on MS servers
    Servers Patched to current patch level

    [Group Policy settings Required for ASG to Join AD]
    Domain controller: LDAP server signing requirements None
    Network security: LAN Manager authentication level Send NTLMv2 response only
    Network security: LAN Manager authentication level Send NTLMv2 response only
    Network security: Minimum session security for NTLM SSP based (including secure RPC) clients Enabled
    Require NTLMv2 session security Enabled
    Network security: Minimum session security for NTLM SSP based (including secure RPC) servers Enabled
    Require NTLMv2 session security Enabled


    If further information is required I'm happy to supply
  • 0 in reply to Mark_D_01
    Hi Mark,

    can you post the content of /etc/samba/joinresult, and any log lines that are appearing in /var/log/fallback.log during the domain join?
  • 0 in reply to svens
    Hi
    Maybe this fault report has not been completely clear (between different languages and me).

    So if an ASG had previously Joined an AD Domain and you try to join another AD Domain (and there is an in computability/error in the AD Domain you are trying to join (see above post)) under these conditions the ASG will show as "Domain Joined".

    The "Joining Domain" process has performed normally and presented the popup saying that "Joining Domain has failed" (Which is the correct response). But if you navigate away from this page and come back (even after ASG reboot the page will display the AD Domain (even though it failed to join) that it had Joined. Please see below some screen shots during this process.

    here is var/log/fallback as requested.
    2008:08:13-13:33:10 (none) [user:err] net: [2008/08/13 13:33:10, 0] utils/net_ads.c:ads_startup(289)
    2008:08:13-13:33:10 (none) [user:err] net:   ads_connect: No such file or directory
    2008:08:13-13:33:10 (none) [user:err] net: [2008/08/13 13:33:10, 0] utils/net_ads.c:ads_startup(289)
    2008:08:13-13:33:10 (none) [user:err] net:   ads_connect: No such file or directory
    2008:08:13-13:33:19 (none) [user:err] net: [2008/08/13 13:33:19, 0] libads/ldap.c:ads_get_upn(2737)
    2008:08:13-13:33:19 (none) [user:err] net:   ads_get_dnshostname: No userPrincipalName attribute!
    2008:08:13-13:36:28 (none) [user:err] net: [2008/08/13 13:36:28, 0] utils/net_ads.c:ads_startup(289)
    2008:08:13-13:36:28 (none) [user:err] net:   ads_connect: Strong(er) authentication required
    2008:08:13-13:36:29 (none) [user:err] net: [2008/08/13 13:36:29, 0] utils/net_ads.c:ads_startup(289)
    2008:08:13-13:36:29 (none) [user:err] net:   ads_connect: Strong(er) authentication required

    Hope this helps and makes more sense
    (sorry in the time getting back had to rebuild test server)
    Mark
  • 0 in reply to Mark_D_01
    Hi
    I think I have seen this behaviour in 7.201 before (and also reported it to Support).
    Hope it will be fixed with 7.3
    Marcus
  • 0 in reply to Mark_D_01
    Hi Mark,

    thanks for the detailed explanation, i was now able to reproduce this behaviour.

    Cheers,

    Sven.