Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 7075 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSO Can't Join Domain

just2much4u
This is the error I get when I try to add to the domain.

2007:12:18-08:11:02 (none) [user:err] net: [2007/12/18 08:11:02, 0] libads/ldap.c:ads_get_upn(2732)
2007:12:18-08:11:02 (none) [user:err] net:   ads_get_dnshostname: No userPrincipalName attribute!
2007:12:18-08:12:15 (none) [user:err] net: [2007/12/18 08:12:15, 0] libads/ldap.c:ads_get_upn(2732)
2007:12:18-08:12:15 (none) [user:err] net:   ads_get_dnshostname: No userPrincipalName attribute!
2007:12:18-08:13:06 (none) [user:err] net: [2007/12/18 08:13:06, 0] libads/ldap.c:ads_get_upn(2732)
2007:12:18-08:13:06 (none) [user:err] net:   ads_get_dnshostname: No userPrincipalName attribute!
2007:12:18-08:14:10 (none) [user:err] net: [2007/12/18 08:14:10, 0] libads/ldap.c:ads_get_upn(2732)
2007:12:18-08:14:10 (none) [user:err] net:   ads_get_dnshostname: No userPrincipalName attribute


Does anyone know what this means?


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    are the following conditions met? (see release notes 7.1)

    - The time zone on the firewall and the DC must be the same.
    - There MUST NOT be a time difference of more than five minutes between the firewall
    clock and the DC clock.
    - The ASG hostname must exist in the AD DNS system.
    - The ASG must use the AD DNS as forwarder, or must have a DNS request route for the
    AD domain which points to the AD DNS server.

    Another hint: Do not use the NETBIOS name of the domain, use the FQDN instead. 
    What have you entered in the field "Bind User DN"?

    regards,
    Thomas
  • 0 in reply to tbrandl
    - The time zone on the firewall and the DC must be the same.


    Time Zones the same.

    There MUST NOT be a time difference of more than five minutes between the firewall clock and the DC clock.


    Time is within seconds

    - The ASG hostname must exist in the AD DNS system.

    The firewall is in the DNS and is resovable.


    - The ASG must use the AD DNS as forwarder, or must have a DNS request route for the AD domain which points to the AD DNS server.


    The ASG DNS Forwarder has only the AD Server as the Forwarder.  Going to support tools I can resolve the host name to ipaddress.

    Another hint: Do not use the NETBIOS name of the domain, use the FQDN instead. 
    What have you entered in the field "Bind User DN"?


    The system name is fire.domain.com

    I have been using DOMAIN.COM rather than the netbios name of Domain

    The Bind User DN,
    cn=administrator,cn=users,dc=domain,dc=com

    The LDAP Works as I am using LDAP to authenticate as my AD username and password to log onto webadmin and SSL VPN Client
  • 0 in reply to just2much4u
    Seems ok. Do you see anything in the security log of your dc?
  • 0 in reply to tbrandl
    Hey,

    Thanks for the replies,

      Nothing in the security log.  It did create a computer account in AD.

    When I join it through command line pointing it to the local AD server I get joined but I still get that no UserPrincipal Message.

    Thanks
  • 0 in reply to just2much4u
    Are failed login attempts logged on your dc? (security policy)
    What happens if you use "user@domain.com" instead of "user" when joining the domain?
    Note:  I had problems with "domain\user", somehow the "\" disappeared on his way from the astaro gui to my dc.....

    Domain joining has to function without an existing computer account in AD. 
    I would delete that computer account, wait for the next replication cycle and start domain joining from scratch then.

    Good luck!
  • 0 in reply to tbrandl
    When I got the userprincipal error I tired the administrator@domain.com without any luck.  I get a different error.

    ads_connect: No such file or directory.

    Nothing gets logged in the security event log on the dc
  • 0 in reply to just2much4u
    Hi folks,

    currently i'm stuck, because i've got the same error and can't fix it.
    I rechecked my box related to the checklist which was mentioned here (time-zone, time difference etc) and was not able to get it running?
    Does someone got any other hints?

    Greets

    Schroeder
  • 0 in reply to Schroeder
    Try a simplier password on the adminisrtator account; we've seen problem with long complex ones.
  • 0 in reply to ratz
    OK folks I have the exact same thing happening here.
    AD Configuration = cn=administrator,cn=users,dc=domain,dc=com
    Apply here and all seems well.
    Under SSO I have FQDN (domain.local) and am trying with the administrator account referenced above. Still cannot join domain. An AD computer account for the device is created with the correct DNS name and i can resolve DNS every which way from either end - all good. The time is synched with the same NTP server so is exactly the same. The Administrator password is not massively longwinded either.
    Anything i could have missed here would be mucho appreciated please folks as I need to setup Web filtering based on AD groups pretty sharpish!
    Cheers
    Si
  • FormerMember
    0 FormerMember in reply to cabletastic
    This thread is rather old; I assume by now that the admins who posted had their issues resolved. This is just to note for others that the same issue happened to me, all tests and parameters were working correctly. I made two changes (unfortunately at the same time) so I don't know which actually corrected the issue. First, in the device's Management>System Settings>Hostname tab, I originally just had the hostname. I changed this to the hostname with the internal domain name added (this sits behind an ASA, and doesn't have a public domain name associated.)
    I also went in and created the system in AD manually before doing the domain join. As soon as I did these things, domain join worked immediately.
Reply
  • FormerMember
    0 FormerMember in reply to cabletastic
    This thread is rather old; I assume by now that the admins who posted had their issues resolved. This is just to note for others that the same issue happened to me, all tests and parameters were working correctly. I made two changes (unfortunately at the same time) so I don't know which actually corrected the issue. First, in the device's Management>System Settings>Hostname tab, I originally just had the hostname. I changed this to the hostname with the internal domain name added (this sits behind an ASA, and doesn't have a public domain name associated.)
    I also went in and created the system in AD manually before doing the domain join. As soon as I did these things, domain join worked immediately.
Children
  • 0 in reply to FormerMember
     First, in the device's Management>System Settings>Hostname tab, I originally just had the hostname. I changed this to the hostname with the internal domain name added (this sits behind an ASA, and doesn't have a public domain name associated.)

    Yes, it's an old thread, but as it's not answered yet: this is the solution. It also helped me to a few minutes ago.