Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 8798 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.2 Unable to join AD domain

SF2012
Hi,

I'm evaluating UTM v9.2 and have hit a problem with joining the machine to my domain. I've verified the required configuration is in place (hostname in DNS, AD server defined, dns route to the ad domain in place etc) and is working (I've tested dns resolution via the support tools) . Every time I try to join the domain I get the error "Joining the domain failed". The account being used is a domain admin and can successfully join windows machines to the domain. I've looked at the configuration daemon log and see the following error:

2014:05:16-09:22:08 zcopfw30 confd[17187]: W Message::err_set:1063() => id="3100" severity="warn" sys="System" sub="confd" name="SYSTEM_AD_JOIN_FAILED (Cannot join active directory domain.)" user="admin" srcip="" facility="webadmin" client="webadmin.plx" call="ad_join_domain" joinresult="Failed to join domain: failed to lookup DC info for domain '' over rpc: Logon failure" user_name="" domain=""

On the face of it looks like my password is wrong, but I'm sure as I can be this isn't the case and have even reset the password to something simple without it making a difference. The Security Event log on the domain controller does show an initial password failure from the UTM for this account, followed by a successful logon from the UTM. 

Could this be a bug? The firmware is v9.201-23 and there are no pending updates.

Thanks,

Simon


This thread was automatically locked due to age.
  • 0
    We've resolved this. Our domain controller is running Windows 2008R2 and had the default NTLM option set to only allow NTLMv2. We relaxed this to accept NTLMv1 and the domain join worked. Hopefully this will help someone else out.

    Simon
  • 0
    That's interesting. We are running Server 2012 r2 and the setting you are talking about is set to "Not Defined" in the policy.

    We have had our server sometimes (on the odd occasion) join the domain for a short period but drop off soon after. Is this something similar to what you are experiencing?
  • 0
    If anyone is having this issue and needs to support only NTLMv2 please contact Support.  There is a cc setting to turn this on in the UTM that Support can do.
  • 0 in reply to Michael Dunn
    If anyone is having this issue and needs to support only NTLMv2 please contact Support.  There is a cc setting to turn this on in the UTM that Support can do.


    What do you mean by cc setting? I am interested on trying this if it's going to help my UTM join my 2012r2 domain.
  • 0
    cc is a command line tool for setting things in the backend.

    There is a backend flag that can be set by Support to enable NTLMv2.

    Please contact support.
  • 0
    I have gone into AD and changed the default domain controllers policy option Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\Network security: LAN Manager authentication level to "Send LM & NTLM - use NTLMv2 session security if negotiate" from "Not Defined".

    The UTM seems to have joined the domain. I didn't get a "Successful" and the log files said it failed but it has created an AD computer account again and SSO seems to be working for the moment.

    Fingers crossed.
  • 0 in reply to wally2511


    The UTM seems to have joined the domain. I didn't get a "Successful" and the log files said it failed but it has created an AD computer account again and SSO seems to be working for the moment.

    Fingers crossed.


    Well it's happened again. First SSO failed and then I tried to re-join the domain and now that is failing again with the same errors as before. It appears that changing the NTLM settings on the ADs has had no effect.
  • 0
    I've not had much luck with anything other than Kerberos. I've not heard of this NTLM trouble with joining. I wonder if you aren't having problems with SSO caused by using a numeric IP in Proxy Settings instead of an internally-resolvable FQDN.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    I hope I am not jumping the gun but I'm 99.99% sure I have a workaround for this. The Sophos UTM only supports SMB1.0/NTLMv1 (this can be seen in it's SMB ComNegotiate packet it sends to the domain controller on a domain join attempt). LanmanServer in 2012r2 depends on SMB2.0 as a minimum.

    Unfortunately until the UTM supports SMB2.0 properly you will have to set your 2012r2 domain controllers to support SMB1.0. This can be done by following this blog Windows XP Clients Cannot Execute Logon Scripts against a Windows Server 2012 R2 Domain Controller – Workaround | Working Hard In IT

    I hope this helps someone else.

    Regards

    Matt
  • 0
    Hi everyone, I'll not implement the SSO yet but appreciate your comments, in advanced searching on the google I found these two URLs that maybe will be need.


    https://www.sophos.com/en-us/support/knowledgebase/121263.aspx

    https://www.sophos.com/en-us/support/knowledgebase/121221.aspx


    I'll post here if everything is OK when I'll setup the SSO in the next days.

    In advanced, what is better, authentication backend or create a locally group in the utm ?

    regards.