Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2626 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Retired: Multiple AD Domain Support

AdrienBelcourt
Ladies and Gents,

We have just found out the hard way - support for multiple AD Domain controller SSO has been dropped by Astaro after 8.103.   It is a low priority for Astaro to re-instate because they only know of two customers so far affected by this.  We have one customer (and a second who will be affected when they upgrade past 8.103).   

Are any of you, or your customers also likely to be affected by this change???????

The issue is that Astaro can no longer distinguish groups of the same name (like Active Directory Users) on different DCs.  This means that if you add the group from one DC, you effectively add all the groups of the same name from all the DCs.  Not a problem if that is the required behaviour.  The work around is to make sure that all the groups added to Astaro, across all the domain controllers have unique names on the DCs.   

This workaround is only practical if you have full control and full access over all DCs.  However when you have different IT Directors/IT Teams per DC then this becomes very painful. 

So if you have, or are a customer on 8.103 or earlier with multiple AD controllers working with SSO, you might wish to take advice before going to 8.2xx or later.     

Best Regards,

Adrien


This thread was automatically locked due to age.
Parents
  • 0
    groups of the same name across multiple dcs should be different anyway unless they are different forests.  If they are on the same domain the different dc's don't matter.  I currently have two dc's in my AD sso section of my astaro.  I can pull groups from either one.  Because domain controllers in the same ad forest are effectively mirrors it doesn't matter which dc you pull from.  If you have a different setup per dc then they aren't in the same domain forest and that's going to cause issues anyway with astaro and domain trusts.
    if what i am reading is correct then folks are not synching their dc's with each other in the same domain/forest.  That's a balkanization of AD that under the same forest is supposed to be allowed..methinks their config is weird and is going to cause many more issues down the road then an astaro freaking out issue.   

    I have two dc's here and they have exactly the same everything as they should be.  if one goes down i can just switch dc's in the sso interface...which is it's own pain.

    I may be reading your post wrong if i am let me know.
Reply
  • 0
    groups of the same name across multiple dcs should be different anyway unless they are different forests.  If they are on the same domain the different dc's don't matter.  I currently have two dc's in my AD sso section of my astaro.  I can pull groups from either one.  Because domain controllers in the same ad forest are effectively mirrors it doesn't matter which dc you pull from.  If you have a different setup per dc then they aren't in the same domain forest and that's going to cause issues anyway with astaro and domain trusts.
    if what i am reading is correct then folks are not synching their dc's with each other in the same domain/forest.  That's a balkanization of AD that under the same forest is supposed to be allowed..methinks their config is weird and is going to cause many more issues down the road then an astaro freaking out issue.   

    I have two dc's here and they have exactly the same everything as they should be.  if one goes down i can just switch dc's in the sso interface...which is it's own pain.

    I may be reading your post wrong if i am let me know.
Children
  • 0 in reply to William Warren
    Hi William,

    Yes, I perhaps did not put it well.   Mirrored DCs are not an issue.   The issue is when you have different forests with trust established between them.  

    This issue only impacts on larger customers with larger deployments.  The most likely customers affected are those that have acquired companies with their own DCs/Domains, or they have remote offices with their own DCs/Domains and critically their own IT departments to manage these.  

    The ability to differentiate between groups in this case has been dropped, i.e. the "Active Directory Users" group on the Boston DC cannot be differentiated from the "Active Directory Users" group on the Paris DC.  

    The reason customers need this is to allow mobile users (i.e. the senior execs with their laptops) to login using their North American AD credentials while they are visiting the Paris office.  

    Hope this helps,

    Adrien.