AD SSO with 2008R2 Domain Controllers

Can you try defining the 2008R2 DC as a DNS Host instead of using a Host definition with an IP?

When you do that with the browser configuration in the clients, it forces authentication via Kerberos instead of NTLM. I interpreted a thread in the V8 beta as indicating that the same problem happens when trying to join the Astaro to the domain.

Cheers - Bob

I did as you asked. 

The SSO settings won't allow me to add a DNS Host in that section. It will only allow "regular" Hosts. Everytime I try to add it to the section, it gets refused by the ASG.

Clearly I can't be the first person to try to put an ASG on a 2008R2 Domain can I?

OK, another guess...

What about creating an administrator on the 2008R2 server where the username and password all are lowercase letters, and then trying to join useing those?  I think, once you've used that to join the Astaro to the domain, you can disable the account without affecting SSO.

Cheers - Bob

Account to join domain and SSO was already in all lowercase. I have one account specially created for this task in AD for Astaro. This account works fine when connecting to 2003R2 Domain Controllers.

Ah-ha moment. 

The 2008R2 DC in that location is a RODC..as in "read only". 

Here is the next question. If I can get the ASG to join the domain with another 2008R2 DC that is in another site, how can I be sure that the ASG will authenticate users locally it its LAN. My goal here is that if the network link between offices goes down, users can still authenticate to locally and gain access to the Internet which is a separate link. 

Stand by on the results....

The Astaro can only be joined to a single domain at a time.  I'm not sure if it's what you are trying to do, but this KB article might be what you want: Authenticate multiple AD domains via SSO.

Cheers - Bob

There is only 1 domain. I have a migration underway of moving my domain from 2003R2 to 2008R2. 

I need the ability to authenticate to more than on DC. I was told once that you can do this with a HA Group, but when I tried before it failed.

To simplify...

If I join the ASG to the domain with a DC, that is not local to that ASG....what happens when communication between those two sites are interrupted? Can a ASG get its SSO information from a RODC even it that DC was not the one that joined it to the domain? It has been my experience that ASG talks to the DC that it is joined to and when communication is broken, so is SSO, even if other DC's are configured in the list.

Ok. Here's the results. 

The initial problem joining the ASG to the 2008 R2 Domain was indeed the fact that the local 2008R2 DC was a RODC. When I attempted to join the domain and used a 2008R2 DC (full DC, not RODC), the ASG joined the domain. 

My follow-up question remains as the DC that joined the ASG to the domain is not local to my ASG. What happens if that link is severed? 

If I join the ASG to the domain with a DC, that is not local to that ASG....what happens when communication between those two sites are interrupted? Can a ASG get its SSO information from a RODC even it that DC was not the one that joined it to the domain? It has been my experience that ASG talks to the DC that it is joined to and when communication is broken, so is SSO, even if other DC's are configured in the list

. 

I did configure a DC HA Group and made the local, RODC the first one in the list. In case of link down, will the ASG read from the HA Group, and handle SSO requests from the first DC in the list...which happens to be on the same LAN versus the remote DC that joined it to the domain? 

-Mark

Support tells me that this is a known bug with 7.x ASG and 2008R2 Domain Controllers due to tighter restrictions from Microsoft. ASG 8.0 addreseses this.

Mark, thanks for posting as you discovered these issues and contributing to the available knowledge here.

Cheers - Bob