Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1167 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro AD SSO - v8.201

Syphuric1977_01
Hi,

Coming across an issue with an ASG v8.201 and AD SSO.

The issue is a user can browse to an external website which is fine, if the same user then locks the PC (with the browser still open)  for whatever reason, when they return and unlock and then browse to another site, they receive an Authentication Error from the ASG.  It can also occur if the PC is not locked.

The AD domain is Win2K3 and there are 2 DCs.  The PCs are a mix of Win XP (latest updates) and Windows 7.  It can happen on Win2k3/8 terminal servers too.

The ASG is connecting to the main DC and syncs with 500 AD users, which are listed in the users area in the ASG.

I have checked the live log under Web Security but when the issue occurs the user and PC IP is not listed.

This issue occurred in 8.1xx and 8.200.

Have logged with Astaro Support but not getting very far, hence this post.

Any input or advise would be great.  We do have other customers who have a similar setup and don't experience this issue !!

Thanks,
Simon


This thread was automatically locked due to age.
Parents
  • 0
    Cheers for posting back Bob.

    The actual is was that the proxy in the corresponding AD GPO was set as Proxy.domain (the hostname on the ASG is set as proxy.domain). Internet Explorer connection settings showed this as all lower case but the corresponding registry entry showed as per the GPO.

    The value in the registry is then used by the Kerberos when connecting to the ASG.  The ASG rejected the request as the hostname was "incorrect".  

    When the GPO was updated with the correct case, and the Kerberos ticket renewed, the Authentication Failed message disappeared.

    Cheers
    Simon
Reply
  • 0
    Cheers for posting back Bob.

    The actual is was that the proxy in the corresponding AD GPO was set as Proxy.domain (the hostname on the ASG is set as proxy.domain). Internet Explorer connection settings showed this as all lower case but the corresponding registry entry showed as per the GPO.

    The value in the registry is then used by the Kerberos when connecting to the ASG.  The ASG rejected the request as the hostname was "incorrect".  

    When the GPO was updated with the correct case, and the Kerberos ticket renewed, the Authentication Failed message disappeared.

    Cheers
    Simon
Children
No Data
Cookie Information Banner