Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 2879 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

winbindd request failed

Koji
Hallo Zusammen,

ich habe folgendes Problem. Ich teste zurzeit die Sophos UTM Software für mein Unternehmen. Wir haben als Test die Software auf eigener Hardware laufen. ( Pentium 4, 2GB RAM ). Es läuft die aktuellste UTM-Version ( 9.006-5).

Ich habe Probleme mit dem HTTP-Proxy. Der läuft bei uns im Standard-Mode und alle Domain-User sind berrechtigt diesen zu nutzen.Authentifzierung via SSO. 

Ich bekomme bei der HTTP-Proxy-Authentifizeriung immer folgenden Error:
( Im Internet Explorer popt dann ein Authentifizierugs-Fenster auf, was nicht korrekt ist und nur dann aufpopt wen die Synchronisation übers AD nicht klappt. Dann will die Astaro ja als Failback lokale Daten...)

2013:05:03-07:54:46 gw httpproxy[4350]: id="0003" severity="info" sys="SecureWeb" sub="http" request="0x1322f6c8" function="auth_adir_getsid_callback" file="auth_adir.c" line="504" message="winbindd request failed ()" 


Ich habe auch schon gegooglet und bin auch hier auf Threads mit ähnlichen Problemen gestoßen. Ich hatte den Fehler schon mal, da hat ein simpler Neustart geholfen und danach liefs bis gestern. Ich habe die UTM gestern rutergefahren um den RAM aufzurüsten. Nachdem hochfahren hatte ich wieder diesen wibindd-Fehler. Auch ein mehrfacher Neustart hat nichts gebracht. Den Auth.-Zwischenspeicher habe ich auch schon geleert.

Vielleicht hat hier ja noch jemand eine Idee. Viele Dank im vorraus.

Update:

Kleines Update. Ich habe nun versucht die Authentifizierung zum AD komplett rauszunehmen und nochmal neu einzutragen. Den Auth-Server mit Base- und Bind-DN - Kein Problem. Kann hier auch mit den Benutzern testen. Allerdigs krieg ich SSO icht mehr aktiviert. Benutzerdaten sind korrekt aber es erscheint immer eine Meldung das der Domänenbeitritt fehlgeschlagen ist... ich find das sehr komisch. In den logs find ich dazu nichts, wo wird das an dieser Stelle gelogt? Muss der AD zwingend die Astaro als GW haben? Das ist zurzeit bei uns noch nicht der Fall, da ich noch am testen bin.

Update2:

Ok, Problem ist scheinbar gelöst. Das ist mir bei dem letzten Problem klar geworden. Ich hatte falsche DNS-Forwarder eingetragen. Bzw. hatte ich 3 Stück eingetragen. Scheinbar hat der auch versucht die SSO-Auth. mit externen DNS aufzulösen, was ja nicht klappen kann. Mein Problem ist das wir eine Company Connect haben und ich der Astaro eine feste IP aus dem exteren IP-Pool zugewiesen habe. Allerdings bekomme ich ja keinen DNS, deswegen habe ich als ersten DNS-Forwarder den AD und 2 weitere externe Telekom DNS eingetragen. Funzt das so überhaupt? Gedanke war der das er den internen DNS befragt und für extern raus geht. Ähnlich wie bei den Windows-Netzwerkeinsteinstellungen. Scheinbar hatte ich zuerst nur den AD drin, weshalb ich SSO aktivieren konnte und habe anschließend die Telekom-DNS eingetragen. Was wiederrum auch errklärt warum alles bis zum Neustart der Astaro eiwandfrei lief. Nach dem Neustart der Astaro wurde anscheinend der AD als DNS-Forwarder ignoriert, weshalb man sich am Web-Proxy nicht mehr authentifizieren konnte.

So, da der AD als zweiten DNS unseren ADSL-Anschluss hat, gehen externe DNS-Anfragen nun wahrscheinlich über diese raus. Wenn ich den ADSL nun aber auch an die Astaro anschließe müsste ich im AD noch zusätzlich einen externen DNS angeben? Oder vertue ich mich da?


This thread was automatically locked due to age.
  • 0
    Hallo,

    grundsätzlich ist folgende Konfiguration empfehlenswert und so funktioniert sie hier seit Jahren.

    1. Die UTM sollte als DNS-Forwarder die DNS-Server des Providers nehmen. Entwerder diese werden dir bei der Einwahl übermittelt. Dann setzt du den Haken "Vom ISP zugewiesene Forwarders verwenden" oder du trägst diese manuell ein.

    2. Beim Company Connect musst du die DNS Server der Telekom manuell eintragen. Mit viel googeln findest du die auch irgendwo genannt. Ich verwende seit Jahren folgende:
    Telekom DNS CompynConnect Frankfurt  194.25.0.68
    Telekom DNS CompynConnect Hannover  194.25.0.60
    Telekom DNS CompynConnect Leipzig      194.25.0.52

    Ich hoffe, die sind noch aktuell. Es funktioniert hier aber problemlos.

    3. Der DNS-Server des AD sollte als Forwarder die UTM bekommen. Sonst nichts. Direkte Anfragen an den Root-DNS-Servern auch ausschalten. Du willst ja nicht, dass deine internen Systeme direkt nach außen kommunizieren.

    4. Für die Auflönsung der internen DNS-Namen durch die UTM gibt es die DNS Request Routes (im deutschen: Anfragerouten). Dort kannst du bestimmte DNS Anfragen umleiten, so dass Sie nicht zu den Standard Forwardern gehen.
    Ist dein interner IP-Adressbereich z.B. 192.168.1.0/24 und dein interner Domainname "test.local" trägst du dort folgendes ein:
    test.local --> interne(e) DNS-Server = meist die DCs
    1.168.192.in-addr.arpa --> interne(e) DNS-Server = meist die DCs

    Und schon klappts auch mit der internen Namensauflösung und AD SSO usw.

    Je nach interner DNS-Konfiguration (Split-DNS usw.) sieht die Konfiguration minimal anders aus. Aber DNS request Routes ist das, was du suchst. [:D]

    Wenn du noch Fragen hast, immer her damit.

    Gruß
    Stephan
  • 0
    Hi,

    erst mal vielen Dank für den Tipp. Das mit der Anfrageroute hatte ich gesehen, aber bin irgendwie nicht darauf gekommen da die interne Domain einzutragen.[:D] Natürlich muss da auch noch die zweite Domain rein die an unseren AD/DNS geht.

    Das mit dem Forwarder im AD/DNS hab ich verstanden. Dann brauch man dem Server ja keinen 2. DNS Eintrag geben. Also für alle anderen Domains die interne IP der Astaro eintragen? Muss ich das denn in der Astaro freigeben das unser AD den DNS-Traffic an die Astaro weiterleiten darf? Bzw. in dem Feld  "Zugelassene Netzwerke" bei der Astaro dann nur den AD da eintragen?  

    Was meinst du mit Root-DNS-Servern ausschalten? Den haken im DNS Forward bei "Do not use recursion for this domain" raus?

    Danke!
  • 0
    Hallo,

    also ich handhabe es so, dass die Domain Controller auch DNS-Server sind. Diese sind "Ansprechpartner" für alle Clients im Netzwerk. Die Server fragen bei der UTM an und die UTM dann beim Provider.

    Die Clients bekommen Ihre Einstellungen per DHCP (oder ganz selten auch fest konfiguriert).
    Die AD-Server bekommen als Forwarder die UTM eingetragen. Im normalen Setup brauchst du da nur die eine interne IP der UTM eintragen. Außerdem gibt es auf der gleichen Registerkarte unten die Option "Stammhinweise verwenden, wenn keine Weiterleitungen verfügbar sind". Dieser Haken muss raus, da die Server sonst doch versuchen nach außen zu brüllen, wenn die UTM mal nicht antworten sollte.

    In der UTM trägst du unter Netzwerkdienste -> DNS -> Allgemein -> Zugelassene Netzwerke die internen AD Server ein. Dadurch ist es denen erlaubt bei der UTM DNS Anfragen zu machen.

    Den Rest in der UTM (Forwarder, Request Routes, ...) hatten wir ja schon.

    Falls du jetzt noch interne Netzwerkgeräte hast, die DNS Abfragen machen müssen (keine AD-Clients) und diese dann auf die AD DNS-Server oder direkt auf die UTM zeigen lässt, ist Geschmackssache. Gefühlsmäßig sind die AD DNS-Server für alles interne zuständig.

    Hoffe ich konnte helfen.

    Gruß
    Stephan
  • 0
    Alles klar, hab ich verstanden. Ich denke so werden wir das dann auch machen. Man könnte ja auch einfach im Netzwerkadapter des ADs als zweiten DNS die Astaro eintragen. Aber als Forwarder scheint mir die sauberere Lösung. Danke dir. [:)]

    Gruß
    Kevin
Cookie Information Banner