Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1845 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Authentication on V8.001

NevesNET
I have multiple groups coming in from my AD, everything worked fine until I had to go with v8 for licensing reasons. Now about 50% of my computers don't authenticate and have no internet. I re-added the ASG220 to the domain and still same thing. All computers see DNS servers and can ping firewall just fine, also use FQDN for address and have a custom hosts file pointing to firewall on all computers. Why this still works on some and not others with same username completely baffles me! If I setup a temporary no-authenticate filter exception on the network, all computers have internet once again. Any help would be super! I'm at a point where I just don't know what else to try...


This thread was automatically locked due to age.
  • 0
    When you re-added the ASG to your domain, did you prepare by deleting all references to it first?

    I know you said everyone uses an FQDN, but do any of the clients who cannot connect have an IP address in the proxy settings in the browser pointing to the Astaro?

    From a computer that can't connect, can you connect with a user name that works from another computer?

    If you check the User Auth log, do you see any difference between a successful and an unsuccessful browsing attempt?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    1) Yes, I deleted all references in the domain to the ASG220 prior to re-adding the machine to the domain. The IP and FQDN are same as before.

    2) All computers' proxy settings are rewritten via the login script, and yes they all point to FQDN:
    [SIZE="3"]
    Dim $proxykey
    $proxykey = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings"
    WriteValue($proxykey,"ProxyEnable","1","REG_DWORD")
    WriteValue($proxykey,"ProxyServer","FIRE.EDUCATION.LOCAL:8080","REG_SZ")
    WriteValue($proxykey,"ProxyOverride", "FIRE.EDUCATION.LOCAL;10.10.10.101;10.10.10.20;10.10.10.25;10.10.10.30;10.10.10.40;10.10.10.50;10.10.10.60;10.10.10.70;10.10.10.80;alpha;beta;gamma;omega;apollo;storage;", "REG_SZ")[/SIZE]

    3) No, the same user has internet on some and none on others... that's what is baffling.

    4) The AUTH and WEB logs show absolutely NO activity from these non-functional machines, only if I try to go into the firewall user panel do I get and authenticity check against a DC on the logs (which passes). I believe this to be the source of the problem, as my AUTH log shows nothing except my webadmin login... any further suggestions would be great!

    Thank you,
    Tiago
  • 0
    2) I'm not familiar with doing this any way other than with a GPO or a PAC file. Have you gone to some of the misbehaving machines to see if they have the correct configuration when you open the browser and look at Internet Options?

    3) So, the problem is specific machines where no user can browse, and the rest of the PCs, any user can browse?

    From your explanations, it sounds like the traffic isn't coming to the Astaro.  Can you see anything relevant being blocked in the Packet Filter log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    GPO, PAC file, Login script... all get's us to same place, different strokes for different folks. I run multiple networks for different companies, so it's easier for me to just customize the login script for each and less time consuming than playing with their GPO unnecessarily. Kixtart can do wonders... ;-)

    The problematic machines show "authentication failed" in Firefox and the dummy network problem screen in IE8. I have temporarily bypassed Authentication on that network until I can trace down this problem. All logs are clear, that is one of the reasons this is taking so long to locate. Local machine logs, Server logs, DNS server logs, Packet log, Auth log, Web filter log = all clear of any errors or unexpected behavior.
  • 0
    What is the message that appears on the IE is it Astaro Message or the IE usual message?
  • 0
    i had that case today when i installed on a win7 computer the live essentials movie maker , seams like it also installed a microsoft sign in assistent like in that older thread https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/44358
    after deinstalling movie maker the computer could access http via proxy again ...
Cookie Information Banner