Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3269 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Joining Domain problem!!!!

ripzeus
Good morning everyone.

Got an interesting issue going on.

Ok, I have been able to get Remote Astaro's to join the domain without any problems till 7.505 came out.

When I do server and Username checks everything is working fine. But when i try to join the Domain. I get this, in my IPS Email.


Intrusion Prevention Alert

An intrusion has been detected. The packet has been dropped automatically.
You can toggle this rule between "drop" and "alert only" in WebAdmin.

Details about the intrusion alert:

Message........: NETBIOS SMB spoolss EnumJobs response unicode little endian attempt 
Details........: http://www.snort.org/search/sid/14710?r=1
Time...........: 2010:05:25-23:42:12
Packet dropped.: yes
Priority.......: 3 (low)
Classification.: Generic Protocol Command Decode
IP protocol....: 6 (TCP)

Source IP address: 10.10.10.x (domain.server.local)
Where are my results?
Query the RIPE Database
ARIN: WHOIS Database Search
APNIC - Query the APNIC Whois Database
Source port: 445 (microsoft-ds)
Destination IP address: 10.242.2.x 
Where are my results?
Query the RIPE Database
ARIN: WHOIS Database Search
APNIC - Query the APNIC Whois Database
Destination port: 35887


-- 
System Uptime      : 0 days 1 hours 1 minutes
System Load        : 0.52
System Version     : Astaro Security Gateway Software 7.505

Please refer to the manual for detailed instructions.



This all worked before 7.505, I have no idea what changed, and this is becoming an issue as i need to get this site up and running before Friday.

Thank you for the help


This thread was automatically locked due to age.
  • 0
    Probably a new false positive.  Assuming you trust your domain controller, you can either turn off blocking for that rule or add an exception to exclude the DC from all IPS scanning.  

    Unfortunately either of those options opens a hole that is larger than actually needed, but I don't believe there's a way to turn ignore one IPS particular rule from one particular host.
  • 0 in reply to JonEtkins
    Probably a new false positive.  Assuming you trust your domain controller, you can either turn off blocking for that rule or add an exception to exclude the DC from all IPS scanning.  

    Unfortunately either of those options opens a hole that is larger than actually needed, but I don't believe there's a way to turn ignore one IPS particular rule from one particular host.


    Not sure, But this part here

    Destination IP address: 10.242.2.x 
    - Where are my results?
    - Query the RIPE Database
    - ARIN: WHOIS Database Search
    - APNIC - Query the APNIC Whois Database
    Destination port: 35887

    It looks like Astaro is trying to join the Domain using the SSL VPN Network.

    I can change the IP of the SSL VPN and that error will reflect the new network.
  • 0
    Looks to me more like your DC (10.10.10.x) is trying to contact your VPN client (10.242.2.x).  Maybe some sort of key exchange, but apparently it's needed or your VPN client would be able to authenticate.
  • 0 in reply to JonEtkins
    Looks to me more like your DC (10.10.10.x) is trying to contact your VPN client (10.242.2.x).  Maybe some sort of key exchange, but apparently it's needed or your VPN client would be able to authenticate.


    hmmmm

    I thought it was Astaro was trying to contact the DC server through the SSL vpn.

    Maybe I read it wrong.

    Either way, Why is it the Astaro server trying to use the Remote SSL VPN through the Site to Site SSL VPN? Or the DC server trying to send the info to Astaro through.

    I am so confused right now. And a little but frustrated. [:S] [:D]
  • 0
    Can you show us a picture of an edit of the SSL Connection and of the 'Virtual IP Pool' on the 'Settings'  tab?

    Cheers - Bob
  • 0 in reply to BAlfson
    Can you show us a picture of an edit of the SSL Connection and of the 'Virtual IP Pool' on the 'Settings'  tab?

    Cheers - Bob


    I can, but that will have to wait till I get back to the office.


    But I can tell you right now, it's been default since the install of Astaro 7.503.
  • 0 in reply to BAlfson
    Can you show us a picture of an edit of the SSL Connection and of the 'Virtual IP Pool' on the 'Settings'  tab?

    Cheers - Bob


    I have PMed you the pic's
  • 0
    You're going to laugh at yourself for not seeing it when you looked at it... You put the remote network for each other location in the list of 'Local networks'.

    In the RIPWall-2 'Server connection', remove the "RIPWall-2" network from 'Local networks'.  Remove "RIPWall-3" from 'Local networks' in the RIPWall-3 'Server connection'. Download and install new configurations on the other Astaros.

    Does that resolve the problem that gave rise to this thread?

    Cheers - Bob
  • 0 in reply to BAlfson
    You're going to laugh at yourself for not seeing it when you looked at it... You put the remote network for each other location in the list of 'Local networks'.

    In the RIPWall-2 'Server connection', remove the "RIPWall-2" network from 'Local networks'.  Remove "RIPWall-3" from 'Local networks' in the RIPWall-3 'Server connection'. Download and install new configurations on the other Astaros.

    Does that resolve the problem that gave rise to this thread?

    Cheers - Bob


    *Facepalm*

    LOL, thats comedy. Well that worked. Amazing how i over looked this.

    Thank you for the help. Works like a champ now.
  • 0 in reply to ripzeus
    Ok, I jumped the gun here. RIPWall-3 is working, but RIPWall-2 is not wanting to join the domain.

    Same Error, the Info 852 from IPS