Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 3815 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cant Join AD

just2much4u
Hello,

  I am trying to join my astaro box to Active Directory.  I keep getting an error unable to join domain. 

I have tried adding the computer to AD manually and trying to join.  I tried small case domain and uppercase domain.

The Active Directory DC is on the same broadcast domain.  The server is in mixed mode.  The sever does not hold any of the fsmo roles (if that matters).

The DC at our head office (they are on the same domain) which holds the fsmo roles joined actived directory no problem.

I can not think of anything I can do to get this to join.  I know my LDAP works as I can log onto my astaro web interface with a backend user account.

I tried ssh'ing into the astaro box and I ran - net join -S Servername -U Username and it successfully joined my domain and added the computer to the Active Directory Computers.  However none of the wbinfo -t or -g or -u work I get errors so I dont think it worked.

Any ideas are welcome.  I dont think its any group policies as the astaro at the division office joined fine and both servers use the same policies.  The only thing that differs is one has fsmo roles.


This thread was automatically locked due to age.
Parents
  • 0
    Gave those a shot but no go.

    SMB and NTLM are set correctly
    Added the computer manualy to AD and that did not work
    Changed Packet filter rules to allow ALL to AD Server.
    Set A record in DNS for firewall

    Do you sucessfully have this working in an WAN Enviroment where the firewall is not in the same broadcast domain as the server with all the fsmo roles?
  • 0 in reply to just2much4u
    The full version of my process is in this note ... also every server joinerd I have done is on the same local subnet ...

    INTRODUCTION:

    The first evidence of a problem with Active Directory "Non Windows" connections was with a “non” Windows PC system joining via the standard DOMAIN join process was that of a Novell NetWare 6 Server using the Common Internet File System (CIFS)
    The” service” was not able to complete pass-through authentication with servers that were running Microsoft Windows 2000 or Microsoft Windows Server 2003. 
    This issue occurs because Novell Server and of course also Astaro "pass through" Authentication uses NTLM authentication and does not support server message block (SMB) signing. 
    This is able to be resolved by turning on the NTLM authentication feature and lowering the SMB signing requirements on your Windows server. 

    SYMPTOMS:

    The Astaro "pass through" Authentication, required for HTTP proxy user tracking and pass through in “Authentication mode”; may not be able to successfully perform pass-through authentication with a Windows 2000-based or a Windows Server 2003-based server if the server requires SMB signing or NTLMv2 authentication.
     
    CAUSE:

    This issue occurs because Astaro "pass through" Authentication uses NTLM authentication and does not support SMB signing. 
    By default, Windows Server 2003-based servers require SMB signing. 
    For example, if a NetWare 6-based server has a share that is configured as a Windows Distributed File System (DFS) link target, a domain client that tries to connect to the NetWare share receives an "access denied" error message from the Windows server. Therefore, the NetWare-based server denies the client access to the server's share. 
    Also attempting to JOIN and ASTARO system will fail also.
     
    RESOLUTION:

    To resolve this issue, the requirement is to enable NTLM authentication and lower SMB signing requirements to permit successful connections between the Astaro "pass through" Authentication and a Windows 2000-based or Windows Server 2003-based server.  The assumption is the ASTARO system will be called astaro1 

    To do so, follow these steps:
    Configure the Windows domain controller policies as indicated in the "Windows 2000 Server and Windows Server 2003 policy settings" “MORE INFORMATION” section if required.
     
    On the Windows-based domain controller, create a DNS "A" record for the Astaro. i.e astaro1 has the IP address allocated to the management (eth0) interface.

    Create a pre-Windows 2000 computer account for the Astaro. 

    To create a pre-Windows 2000 computer account for the Astaro, follow these steps: 

    In Active Directory Users and Computers, right-click Computers, and then click New. 

    In the Computer name box, type the NetBIOS name.  (astaro1)

    In the Computer name {pre-Windows 2000} box, type the NetBIOS name. (astaro1)

    Click to select the Assign this computer account as a “pre-Windows 2000 computer” check box, and then click Next. 

    Make sure that the “This is a managed computer” check box is not selected, click Next, and then click Finish. 

    Install WINS on the Windows Server 2003-based server. 

    On the Windows-based domain controller, verify that the Astaro has registered its NetBIOS names with WINS. 

    For example, confirm that WINS contains a registration record that is similar to the following registration record: 
    Name Number (h) Type Usage
    --------------------------------------------------------------------------
    astaro1  00 U Workstation Service
    astaro1  03 U Messenger Service
    astaro1  20 U File Server Service

    MORE INFORMATION:

    Windows 2000 and Windows Server 2003 policy settings.

    The following list contains the applicable policies for a default Windows Server 2003 installation (depending on inheritance blocking and on the "no override" settings). You must restart the domain controller for these settings to take effect because they are enforced during service start up:. 
    Local Security Policy (domain controller)
    Default Domain Policy 
    Default Domain Controllers Policy 

    The following relevant policy settings may vary depending on your specific installation requirements and configuration. To access the appropriate settings in Group Policy Management, follow these steps: 
    Click Start, click Run, type gpedit.msc, and then click OK. 

    Expand Computer Configuration, 
    Expand Windows Settings, 
    Expand Security Settings, 
    Expand Local Policies, and then click Security Options. 

    Configure the security settings of the following policies:-
    Windows 2000 - Double-click digitally sign server communications (always), and then click Disabled. 
    Double-click LAN Manager authentication level, and then click one of the following options:. Send LM & NTLM responses 
    Send LM & NTLM - use NTLMc2 session security if negotiated 
    Send NTLM response only 

    Windows Server 2003.  - Double-click Microsoft network server: 
    Digitally sign communications (always), and then click Disabled. 
    Double-click Network security: LAN Manager Authentication level, and then click one of the following options: 
    Send LM & NTLM responses 
    Send LM & NTLM - use NTLMc2 session security if negotiated 
    Send NTLM response only 

    For additional information about NetBIOS names, click the following article number to view the article in the Microsoft Knowledge Base: 
    163409 (http://support.microsoft.com/kb/163409/) NetBIOS suffixes (16th character of the NetBIOS name.
  • 0 in reply to RufusToofus
    Hi,

    Everything is setup correctly as you mentioned.  I know my policies work as the firewall at my main office can join AD with no problem with the same domain controller security policies.  Howerver I did double check the server and verified that it was set correctly.

    The only diffrence is my firewall is not populated in my wins server.  To do so I would need to specifiy a wins server in my firewall and there is no option to do so.  Where do I tell astaro the IP Address of my wins server?
  • 0 in reply to just2much4u
    WINS is not necessary.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Is this still accurate with v7.100?

    Thanks,
    RR
Reply Children