Active Directory Single-Sign-On:Joining the domain failed

Deine Probleme sind die selben als würde ein XP PC deiner Domain joinen.
Kann deine Astaro deine interne Domain vorwärst/rückwärts richtig auflösen ?
Wie lautet der interne DNS-Name der Astaro ?
Es gab noch einen Bug bei Passwörtern (ÖÄÜ ging nicht) sollte aber aber bei 7.3 gefixt sein.

Gregor Kemter

Hallo Tigershark,

ich kenne das Problem.
Deine Astaro sollte im gleichen Broadcast-Bereich liegen wie dein DC.

Ansonsten musst Du noch folgendes beachten:

http://portal.knowledgebase.net/display/2n/kb/article.asp?aid=149287&n=7&s=1

Using NTLM Authentication with Windows 2000/2003 Server 


Summary:

    If you have configured the HTTP proxy in NTLM mode in the Astaro Security Linux firewall, you'll find that using any Windows desktop client will work, however, using Windows 2000 or 2003 server will not work.  You'll also find that you can not use this mode if you are using the Windows Server as a Terminal Server as well. 

Further Information:
    To fix this you just have to make one change on the Windows Server.  By default all Windows desktop clients have this currently set.

    Click Start > Programs > Administrative Tools
    Click on Local Security Policy
    Expand Security Settings + Local Policy + Security Options
    Scroll down to 'Network Security: Lan manager authentication level'
    Change this to 'Send LM & NTLM - use NTLMv2 session security if negotiated'

    If this is a Domain Controller then the 'Local Security Policy' will be 'Domain Security Policy'.

Hallo,

die Info´s der anderen Comments beachten und vermeide ein zu komplexes Passwort beim Account, der den "join" machen soll.

Also am Besten kein "# ~ @ äöü" und die sonstigen Verdächtigen im Passwort...

Gruß Marc

also die Sache mit dem Kennwort trifft nicht zu. dies beinhaltet nur kleine Buchstaben und hat 8 Zeichen Länge.
das mit dem dns funktioniert auch....


nun hab ich n update auf die 7.302 aufegspielt und nun erscheint mir keinerlei Fehlermeldung wenn ich das mit dem SSO versuche, jedoch klappt die Anbindung auch nicht.


irgendwo hatte ich noch gelesen das ich Time Server überprüfen soll ob die so übereinstimmen... aber die Zeiten sind auch identisch...

ich hoffe das angehängte Bild hilft euch, somit auch mir, weiter

Heisst die Firewall auch universum-astaro.universum.com 
(Management -> System Settings -> Hostname)?

Heisst die Firewall auch universum-astaro.universum.com 
(Management -> System Settings -> Hostname)?

hab es jetzt grad ebend nochmal durchgecheckt.

Zeitserver auf der Astaro (Management » System Settings » Time and Date):NTP Server Pool (pool.ntp.org)
Windows 2003 Enterprise Server:kA. Standard Timeserver denk ich mal, hab dort  nichts verstellt, wüsste auch nicht wo ich suchen müsst. 

Funktionen des win2k3 servers:AD, DNS, 

Hostname Astaro:universum-astaro.universum.com
Hostname Server:weltall.universum.com
Domäne:universum.com

DNS Einstellungen und internal ip's seht ihr ja auf dem Bild zu der DNS-Sache.

Astaro:Users » Authentication » Global Settings:Create users automatically, Http Proxy ist auch ausgewählt.
Users » Authentication » Active Directory:
-Active Directory configuration funktioniert (User sind unten eingebunden)
-SSO:
Domain:UNIVERSUM.COM
Server[:D]er win2k3 server
Username:Administrator
Kennwort:8 Zeichen, bestehend aus kleinen Buchstaben

wenn ich dann auf Apply beim SSO klicke(es erscheint KEINE FEHLERMELDUNG!!) , erscheint im AD unter Computer der 
name "universum-astar", jedoch deaktiviert?!?!

So denke ich, sollte es hat funktionieren. Wenn ich jedoch zu dem deaktivierten PC im AD noch das hier hinzufüge:
Users » Authentication » Active Directory
-SSO stand Aktuell:
Domain:UNIVERSUM.COM
Server[:D]er hinzugefügte Win2k3 server
Username und Password: sind NICHT ausgefüllt;




Versuch aktuell:
-Ich lösche den Computer aus dem AD herraus.
-Im Prefech wähle ich die AD-Gruppe aus in der sich alle User befinden und Drücke Prefech now
-Dann vergewissere ich mich ob die User auch angelegt wurden - Wurden Sie.
-Web Security » HTTP Profiles » Filter Assignments:AD User bekommen ihr Filterprofil zugewiesen
-Web Security » HTTP Profiles » Proxy Profile: Filter Assignment wird dem Source (Internal Network)zugefügt, Operation Mode:SSO!!!!!!!
-Ich versuche die Astaro erneu mit den Benutzerdaten des Administrators erneut der domäne hinzuzufügen: "universum-astar" erscheint im AD DEAKTIVIERT!
-Nochmaliges klicken auf Active Directory unter Users » Authentication: Benutzerdaten des Administrators sind entfernt, Server und domäne stehen wie oben beschrieben, weiterhin drin.
-Nochmaliger versuch mit den Benutzerdaten die Astaro der Domäne hinzuzufügen, bringt keine Fehlermeldung, jedoch bleibt der Computer im AD deaktiviert. Wenn ich die Astaro im AD von Hand aktiviere, funktioniert das hinzufügen trotzdem nicht.

nun bekommen die user zwar ne benutzername und kennwort aufforderung (durch SSO Authentification)so wie es bei basic user authentification auch ist, jedoch funktionieren die AD Benutzerdaten dort nicht!! Diese zusätzliche authentifizierung wollte ich eigentlich nicht mehr haben.


Loggt sich einer der User ein und ich stell ich die Authentifizierung auf Basic User Authentification, dann erscheinen Benutzername und Kennwort Aufforderung. Nun sind das zwar auch gleichzeitig die selben wie bei der AD Anmeldung am Client, jedoch hatte ich mir vorgestellt das durch die Anbindung ans AD und das authentifizieren per SSO keine Benutzerdaten mehr aktiv über den Browser abgefragt werden.... es sollte so sein, user1 logg sich am PC ein, sein Zeit/Filterprofil greift direkt ohne weitere Authentifizierung. Das Zeit/Surfprofil wollte ich also mit dem Login an die Domäne unterscheiden und nicht durch unterschiedliche Benutzerdaten im Browser.


Das was ich mir vorgestellt hatte ist das wirklich das was mit SSO gemeint ist?
Oder bin ich da im moment auf dem falschen Dampfer?

wie bekomme ich mein Problem gelöst?

Standard authentification greift leider nicht direkt auf das richtige Zeit/Surfprofil ein. 
In der Livelog sieht man dann dass die Seiten dann als User="" angesurft statt mit User="AD-Benutzer".
Bei der Basic User Authentification wird richtigerweise mit User="Username" gesurft.

...
das mit dem dns funktioniert auch....
...

Deine Astaro muss deine interene AD-Domain via DNS richtig auflösen können.
(In deinem Screenshoot machst du ein Ping vom PC auf Astaro, das ist für Domainjoin uninteressant)
Beim Domainjoin, muss der Client (der joinen will) via DNS bzw LDAP den DC finden/auflösen können.
Das kannst du prüfen in Astaro unter Support/Tools

Ping: auf FQDN vom DC testen, rauskommen sollte IP vom DC
Traceroute: auf IP von DC testen, rauskommen sollte FQDN vom DC

Edit:

ändere mal den Namen der Astaro auf lhc.universum.com



Gregor Kemter

Deine Astaro muss deine interene AD-Domain via DNS richtig auflösen können.
(In deinem Screenshoot machst du ein Ping vom PC auf Astaro, das ist für Domainjoin uninteressant)
Beim Domainjoin, muss der Client (der joinen will) via DNS bzw LDAP den DC finden/auflösen können.
Das kannst du prüfen in Astaro unter Support/Tools

Ping: auf FQDN vom DC testen, rauskommen sollte IP vom DC
Traceroute: auf IP von DC testen, rauskommen sollte FQDN vom DC

Edit:

ändere mal den Namen der Astaro auf lhc.universum.com



Gregor Kemter

-hostname geändert auf "lhc.universum.com"

-DNS Lookup Result 

universum.com has address 192.168.254.10


-Universum-Astaro:/home/login # ping weltall.universum.com.
PING weltall.universum.com (192.168.254.10) 56(84) bytes of data.
64 bytes from 192.168.254.10: icmp_seq=1 ttl=128 time=0.782 ms
64 bytes from 192.168.254.10: icmp_seq=2 ttl=128 time=1.28 ms
64 bytes from 192.168.254.10: icmp_seq=3 ttl=128 time=0.710 ms
64 bytes from 192.168.254.10: icmp_seq=4 ttl=128 time=0.715 ms
64 bytes from 192.168.254.10: icmp_seq=5 ttl=128 time=0.750 ms

--- weltall.universum.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 0.710/0.848/1.285/0.221 ms
Universum-Astaro:/home/login #


-Universum-Astaro:/home/login # traceroute 192.168.254.10
traceroute to 192.168.254.10 (192.168.254.10), 30 hops max, 40 byte packets
 1  192.168.254.10 (192.168.254.10)  0.000 ms   0.000 ms   0.000 ms
Universum-Astaro:/home/login #

Und was passiert nu wenn du versuchst zu joinen ?
Wird ein Computerobjekt lhc in AD erstellt ?

Letzer Hint wäre anstelle von unviversum.com den Netbiosnamen der Domäne anzugeben (UNIVERSUM ?)

Wenn das auch nicht nicht geht,  dann ist deine Astaro "verfummelt"
Habe selbst ca. 15 Astaros in 15 verschiedene ADs "gejoint", und abgesehen von den oben genannten Problemen, lief alles glatt.
(Muss dazu sagen, daß ich immer einen WINS-Server installiere, obwohl MS sagt Wins wäre nicht mehr nötig)

Gregor Kemter

also die astaro ist nun erfolgreich der domäne gejoint. steht zwar jetzt als lhc drin, aber es läuft. nun muss ich nachher mal testen wie das mit der user authentication ist.



großartig geändert hab ichjetzt aber nichts außer den hostname auf lhc zu ändern.