Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 6056 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

astaro 7.500 - Active Directory Prefetch Error

wizardz
hello,

(first post! after all those years! )

anyway, back to the "problem" i am experiencing.


i have my ASG joined to my domain ( windows 2008 R2 x64 using windows 2008 r2 native domain)

i can successfully pass any test that requires a username / password ( i created a specific username for my ASG , usename is astaro-admin)


basically what i want to do is prefetch all my users so that i can create specific access rules based on "user privilege".

when i go to users=>authentication=>advanced

i then select my prefetch server ( ymxdc01.spsm.ca ), then in groups i select my "domain users" group. now onto the "prefetch now" button, everything works fine except that it does not find any users at all!!

2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: Starting synchronization for adirectory 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: Searching for users 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: Connecting to ldap server 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: ldap server: ldap://172.16.10.11:389 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: No group members found for group 'CN=Domain Users,CN=Users,DC=spsm,DC=ca' 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: Performing ldap search: 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: Ldap search returned 0 users 
2009:10:04-11:07:42 ymxgw01 user_prefetch[7237]: Search time: 0m 0s 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: Adding/updating users 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: ------------------------------------------------------------ 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: 0 user objects were found: 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: 0 users were created 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: 0 users were updated 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: 0 users are authenticated locally. 
2009:10:04-11:07:43 ymxgw01 user_prefetch[7237]: Overall time: 0m 1s 


but, if i put a user, the prefetch will complete successfully and will be listed in my users tab.


any help would be greatly appreciated.

wizardz


This thread was automatically locked due to age.
  • 0
    Hi,

    I'm not the AD guru, but are you sure the UNC path is correct?
    ('CN=Domain Users,CN=Users,DC=spsm,DC=ca')

    Because, if i browse to that place on our AD (W2003 SBS), i have no users, groups in there. We have something like this:
    OU=SBSUsers,OU=Users,OU=ICRCOM,DC=ourdomain,DC=com

    This ist the path as shown in the "Active Directory Users and Computers". Not sure how it is on W2008.

    Urs
  • 0
    if i "browse" using the ASG "active directory browser" ( the little "folder icon"),

    i can navigate to the "users" OU and i can see all my users and stuff. but when i add the "domain user" group, it doesn't prefetch. i can put 1 user and it will prefetch successfully...

    but again, i aint no AD guru...so i might be doing something wrong...
  • 0
    hmmm...ok

    i created a new group called "astaro prefetch" and i assigned some other groups i already had to this new group. 

    prefetch worked like a charm.

    must be something with the "default" Domain User group not allowing pre-w2k8 to prefetch it...

    so, to resume;

    windows 2008 R2 DC
    astaro 7.500

    trying to prefecth "domain users" from ASG in the user authentication
    prefetch would not find any users attached to the group.

    created a new group "astaro prefetch"
    assigned previous AD group to "astaro prefetch"

    configured ASG to prefetch "astaro prefetch" AD Group.

    now all users are showing in the ASG!

    yay!

    (hope this solution helps other people)


    wiz,
  • 0 in reply to wizardz
    You wrote "users OU" in you reply, but you wrote "CN=Users" in the UNC path. Thats not the same!
  • 0
    You had two problems, and a picture of your configuration would have made that clear.

    #1 - As Whity pointed out, you had a typo in the definition in prefetch.

    #2 - As you discovered, Astaro is looking for a group in AD, not an Organizational Unit as you initially assumed.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    oh

    i must have used the wrong terminalogy then, i am not an AD guy so i might confuse stuff [:D]

    as in the screenshot, i have 2 groups "domain users" and "astaro prefetch"

    the ASG is able to prefetch the "astaro prefetch" but not "domain users"


    and my base DN in the server configuration is set to "DC=spsm,DC=ca"


    thanks again!
    wiz
  • 0 in reply to wizardz
    Easiest way to find the correct UNC path is to use "adsiedit.msc" which is included in the Microsoft Support Tools.

    Install the Support Tools if not done yet, and start adsiedit.msc .

    Browse to the "folder" where your user are which you want to use, right-click to it and select "New connection from here" (screenshot 1). Then you gent an additional point at the bottom on the left. Then you can open it, and there you have the full UNC path you can copy and past to the Astaro (screenshot 2).
  • 0
    I'm not an MCSE either, but I assume that the built-in groups like 'Users' and 'Domain Users' have limited permissions, and that by creating a new group in the right container, it inherited the permissions from that container, and adding 'Domain Users' to it gave them those permissions.

    Maybe someone from Astaro can tell us what attribute prefetch queries on that causes LDAP to return no results in the case of 'Domain Users'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    thanks a bunch guys,

    i will test Whity's solution and keep you posted.
  • 0 in reply to wizardz
    Hi all,

    I'm having the exact same problem; any group that I've created myself will work but not the built-in group "Domain users".

    Ideas/suggestions anyone?