Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 13468 views
  • Users 0 members are here
Options
Suggested

[9.171][BUG]AD Group Sync Fails

DavidRa
Not sure which log to grab and post, but I've configured a pair of AD servers as authentication sources (within the same domain). Both are local to the UTM. I've also configured group membership sync.

About every 2 hours I get the following alert:

There was an error synchronizing subscribed groups. The Sophos UTM will
continue to operate with a locally cached copy of the data but will be
unable to update from Directory Services until the issue is resolved.

Error was:
failed to run samba command on ACTIVE.DIRECTORY, exiting now
       
-- 
System Uptime      : 1 day 2 hours 51 minutes
System Load        : 0.83
System Version     : Sophos UTM 9.171-2

Please refer to the manual for detailed instructions.

I believe I can force the error if I go to Definitions & Users > Authentication Services > Advanced > Active Directory Group Membership Synchronization > Synchronize Now.

If someone can suggest logs / config data to post to diagnose, I'm more than happy to do so.
Parents
  • 0
    I get this also. Here is the log with the errors


    [daemon[:D]ebug] rrdcached[3674]:  rotating journals
    2013:11:25-22:01:07 edge [daemon[:D]ebug] rrdcached[3674]:  started new journal /var/log/reporting/rrd/rrd.journal.1385434867.121781
    2013:11:25-22:01:07 edge [daemon[:D]ebug] rrdcached[3674]:  removing old journal /var/log/reporting/rrd/rrd.journal.1385427667.121795
    2013:11:25-22:01:38 edge [daemon:notice] rrdcached[3674]:  handle_request_update: stat (/var/log/reporting/rrd/atp_named.rrd) failed.
    2013:11:25-22:01:44 edge [local0:info] [ctipd] [5096]: CEnginesContainer::UpdateSettings() - Updating
    2013:11:25-22:01:44 edge [local0:info] [ctipd] [5096]: CEnginesContainer::UpdateSettings() - Updating
    2013:11:25-22:01:46 edge [local0:info] [ctipd] [5096]: CIpRepCache::Save() - Saved to file /tmp/ctipd.cache
    2013:11:25-22:01:46 edge [local0:info] [ctipd] [5096]: CIpRepCache::Save() - Saved to file /tmp/ctipd.cache_v6
    2013:11:25-22:03:32 edge [daemon:info] admin-reporter[3971]:  Successful WebAdmin login
    2013:11:25-22:06:38 edge [daemon:notice] rrdcached[3674]:  handle_request_update: stat (/var/log/reporting/rrd/atp_named.rrd) failed.
    2013:11:25-22:11:38 edge [daemon:notice] rrdcached[3674]:  handle_request_update: stat (/var/log/reporting/rrd/atp_named.rrd) failed.
    2013:11:25-22:16:38 edge [daemon:notice] rrdcached[3674]:  handle_request_update: stat (/var/log/reporting/rrd/atp_named.rrd) failed.
    2013:11:25-22:18:15 edge [daemon:info] admin-reporter[3971]:  Successful WebAdmin login
    2013:11:25-22:19:01 edge [daemon:notice] ad-sid-sync.pl[21318]:  [ad-sid-sync] Started in full mode
    2013:11:25-22:19:01 edge [daemon:notice] ad-sid-sync.pl[21318]:  [ad-sid-sync] Syncing 1 server(s)
    2013:11:25-22:19:01 edge [daemon:notice] ad-sid-sync.pl[21318]:  [ad-sid-sync] Syncing 2 adirectory group(s)
    2013:11:25-22:19:55 edge [daemon:notice] ad-sync.pl[21415]:  [ad-sync] started
    2013:11:25-22:20:25 edge [daemon:err] ad-sync.pl[21415]:  [ad-sync] error returned from samba command on HOMEUSE.LOCAL
    2013:11:25-22:20:55 edge [daemon:err] ad-sync.pl[21415]:  [ad-sync] error returned from samba command on HOMEUSE.LOCAL
    2013:11:25-22:20:55 edge [daemon:err] ad-sync.pl[21415]:  [ad-sync] failed to run samba command on HOMEUSE.LOCAL, exiting now
    2013:11:25-22:21:38 edge [daemon:notice] rrdcached[3674]:  handle_request_update: stat (/var/log/reporting/rrd/atp_named.rrd) failed.
    2013:11:25-22:26:38 edge [daemon:notice] rrdcached[3674]:  handle_request_update: stat (/var/log/reporting/rrd/atp_named.rrd) failed.
  • 0 in reply to MarkMurphy
    jz - perhaps there's something specific in the groups we've selected for Sync. In particular, if you are synchronising Domain Users, it's a "special" group in AD (it's generally managed as a property of the user account, the Primary Group, and its member list is generated dynamically).

    So if your primary group is Domain Users (99.99% of accounts) you're not actually listed as a group member of that group. Instead, IIRC, the group ID is written to a user account property.

    I'll document tonight the groups I'm syncing but I believe offhand it's Domain Admins and Domain Users.
Reply
  • 0 in reply to MarkMurphy
    jz - perhaps there's something specific in the groups we've selected for Sync. In particular, if you are synchronising Domain Users, it's a "special" group in AD (it's generally managed as a property of the user account, the Primary Group, and its member list is generated dynamically).

    So if your primary group is Domain Users (99.99% of accounts) you're not actually listed as a group member of that group. Instead, IIRC, the group ID is written to a user account property.

    I'll document tonight the groups I'm syncing but I believe offhand it's Domain Admins and Domain Users.
Children
No Data
Unfiltered HTML