Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 13465 views
  • Users 0 members are here
Options
Suggested

[9.171][BUG]AD Group Sync Fails

DavidRa
Not sure which log to grab and post, but I've configured a pair of AD servers as authentication sources (within the same domain). Both are local to the UTM. I've also configured group membership sync.

About every 2 hours I get the following alert:

There was an error synchronizing subscribed groups. The Sophos UTM will
continue to operate with a locally cached copy of the data but will be
unable to update from Directory Services until the issue is resolved.

Error was:
failed to run samba command on ACTIVE.DIRECTORY, exiting now
       
-- 
System Uptime      : 1 day 2 hours 51 minutes
System Load        : 0.83
System Version     : Sophos UTM 9.171-2

Please refer to the manual for detailed instructions.

I believe I can force the error if I go to Definitions & Users > Authentication Services > Advanced > Active Directory Group Membership Synchronization > Synchronize Now.

If someone can suggest logs / config data to post to diagnose, I'm more than happy to do so.
Parents
  • 0
    Output below. I removed the PW of course but it is clear that there is an issue with KDC

    edge:/etc # /var/chroot-http/usr/bin/ad-sync.pl -v
    started
    running: /usr/sbin/net ads -w 'HOMEUSE.LOCAL' -U '******************' dn '' 'defaultNamingContext' -p 3268
    kerberos_kinit_password ******@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    kerberos_kinit_password *****@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    error returned from samba command on HOMEUSE.LOCAL
    running: /usr/sbin/net ads -w 'HOMEUSE.LOCAL' -U '*************' dn '' 'defaultNamingContext' -p 389
    kerberos_kinit_password *****@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    kerberos_kinit_password ******@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    error returned from samba command on HOMEUSE.LOCAL
    failed to run samba command on HOMEUSE.LOCAL, exiting now
    edge:/etc #
Reply
  • 0
    Output below. I removed the PW of course but it is clear that there is an issue with KDC

    edge:/etc # /var/chroot-http/usr/bin/ad-sync.pl -v
    started
    running: /usr/sbin/net ads -w 'HOMEUSE.LOCAL' -U '******************' dn '' 'defaultNamingContext' -p 3268
    kerberos_kinit_password ******@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    kerberos_kinit_password *****@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    error returned from samba command on HOMEUSE.LOCAL
    running: /usr/sbin/net ads -w 'HOMEUSE.LOCAL' -U '*************' dn '' 'defaultNamingContext' -p 389
    kerberos_kinit_password *****@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    kerberos_kinit_password ******@HOMEUSE.LOCAL failed: Cannot contact any KDC for requested realm
    ads_connect: Cannot contact any KDC for requested realm
    error returned from samba command on HOMEUSE.LOCAL
    failed to run samba command on HOMEUSE.LOCAL, exiting now
    edge:/etc #
Children
No Data
Unfiltered HTML