Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 7381 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[V8][BUG][Workaround] SSO Domain Join to Windows Server 2008 fails

sgkross
Hello I'm using ASG V8, I'm trying to join the ASG to the Domain, but its just not working. I added the AD server, the Server connection test passed, and the User test passed also, I was able to successfully prefetch all users and groups on the domain. I have the Proxy Profiles setup for each department, but once I use the ASG Ip as the Proxy server and try to get into a website it ask me for a password, I'm assuming is the Domain User password, but when I enter it won't work, and shows me the ASG Error page, I really have no clue on how to fix this... I have tried everything [:D] I think is not working because is not joined to the Domain, but it's not letting me added.


This thread was automatically locked due to age.
  • 0
    I had this problem, you need to put Astaro host-name as a proxy not the IP address
  • 0 in reply to techuser
    Thanks for your reply, I'm going to try that, but, if i do a ping on cmd to the host name it can find it, but if i do a ping on the firewall it finds it with my ISP IP, so pretty much the Pc's i have on my network won't be able to ping it by the host-name only the Ip, any ideas on this?
  • 0
    Hi, sgkross, and welcome to the User BB!

    If techuser's fix doesn't fix your problem, check the time on the Astaro and your AD server - they must be less than 5 minutes apart for you to be able to join.  If that doesn't let you join, then the most-common problem is that there's already a device of the same name in the AD.  Check the places where there might be a computer name, and delete the existing name of your Astaro.  Some comments about naming that might stimulate you to re-install...

    Since you likely have an internal mail server, we would recommend that your Astaro hostname be something like mail.yourdomain.com, that your primary public MX record point to that FQDN and that the name resolves to the primary IP on your External interface.  Your internal domain is probably something like yourdomain.local.  When you join the Astaro to your AD, it will appear as mail in the AD.  Although you can change the hostname in each place hostname is consulted, it's easier for the long-term to have consistency across the entire Astaro configuration.

    Cheers - Bob
  • 0
    I  almost included the suggestion that you create a forward-lookup zone, yourdomain.com, in your internal DNS and add an A-record to it, 'mail.yourdomain.com -> {IP of Astaro's Internal (Address)}'.

    In any case you might be interested in: DNS Best Practice.

    Cheers - Bob
  • 0
    Hello Bob, and thanks for your reply,  I did had a device with the same name on the AD, I removed it, and try to join to the domain, but it did not work and also created a device with the astaro host name, I changed the name to something totally different and got the same output, could it be because I have Win2008 server? 
    currently I have a Win2008 server that holds Exchange, DNS and the AD.
    you have any idea on why i can't do a ping to the astaro host name?
  • 0
    you have any idea on why i can't do a ping to the astaro host name?

    I''m guessing you were writing your post when I posted #5 above, or???

    On the 'Single Sign On' tab of 'Authentication', are you sure that you don't see your domain name at the top beside Status?

    Cheers - Bob
  • 0
    Yes i was writing when you posted, [:)] and on the single sign on status it says not joined to any domain, here a picture.

  • 0
    And the date and time on both the AD server and the Astaro are within five minutes of eachother?
  • 0
    yes, both the AD server and Astaro have the same time, diference is within seconds
  • 0
    Forgive the obvious question, but are they both configured for the same time zone?