Joining the domain failed.

Hi,

Thanks for the reply, dig is returning the correct IP of 10.0.0.101 

Cant see anything in the named.log

If I run net ads join -U administrator -s jaga.pps.local 

Host is not configured as a member server.
Invalid Configuration. Existing...
Failed to join domain: This operation is only allowed for the PDC of the domain.

If I run net ads testjoin -U administrator -s jaga.pps.local 
Failed to open //private/secrets.tdb
Join to domain is not valid: Access Denied. 

If I rename /etc/samba/private/secrets.tdb - still same problem. 

sudo service smbd start
returns: service: no such service smbd

Screenshot of NET ADS LOOKUP DC attached - returning all the details OK.

Screenshot of NET ADS LOOKUP DC attached - returning all the details OK.

I don't have any clients where an AD Server is defined in the UTM, yet the UTM has not been joined to the domain.  I'm not aware of whether your command indicates anything other than the presence of a functioning DC.

I noticed above that your UTM has a hostname of utm.domain.local.  I always use an FQDN that can be resolved in public DNS to the public IP on the External interface.  When a UTM so named is joined to the internal domain, an entry for utm.domain.local is created in the DC's DNS.  I don't think this is causing you your issue, but I would recommend a factory reset, clearing all mention of your UTM from the DC and giving the UTM a "proper" name.  See "The Zeroeth Rule" in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

Cheers - Bob

In UTM 9.1 we are using samba-3.6.4-2.

We have confirmed that the UTM can join to a AD 2012r2 server.

Please note that the UTM does not necessarily use resolv.conf and hosts files.  You should be using the WebAdmin console for editing that stuff.

What happens if you just:
dig pps.local

Also, is there anything interesting in named.log?

I know this is a bit late but we are having dreadful trouble with our SOPHOS UTM working with our AD 2012r2 server. We did once get it to join but it "dropped off the domain" and SSO failed. I have tried unsuccessfully for 2 months to re-join and have made multiple support requests to tech support but they simply say. Sophos UTM doesn't support server 2012r2!!!

Can anybody shed some light on their experiences? Please

Hi,

Just tried again this morning and the UTM is now joined to the domain! 

The only change I have made is setting up a second domain controller on another site, but not sure how this could have changed anything? 

Both are Server 2012 R2.

I too added a secondary domain controller and then the UTM joined the domain. It ran for about 1 week and SSO worked perfectly but then I had users calling up saying they were being prompted for a username and password.

I tried to rejoin the domain but it has failed on every attempt. The configuration daemon log mentions a "connection reset" as a reason why it failed to join the domain.

On another note one I had only one dc I found the domain membership broke on the utm when I rebooted the dc.

Does this help?

We've resolved this. Our domain controller is running Windows 2008R2 and had the default NTLM option set to only allow NTLMv2. We relaxed this to accept NTLMv1 and the domain join worked.

https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/52244-utm-9-2-unable-join-ad-domain.html

As for whether we support AD2012r2 or not - we do.  Or at least, all QA tests shows it works.

Probably not related, but we've heard about possible problems with SID compression in AD2012 but been unable to replicate in our systems.

I am not an AD guy.  I know little more than turning it on in default config.  So with the hundreds of different AD configs possible, I get a little lost.  That being said, if anyone is having trouble with AD2012 or has it working, feel free to share your experiences.  Just use simple words.  [:)]

Does this help?



https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/52244-utm-9-2-unable-join-ad-domain.html

As for whether we support AD2012r2 or not - we do.  Or at least, all QA tests shows it works.

Probably not related, but we've heard about possible problems with SID compression in AD2012 but been unable to replicate in our systems.

I am not an AD guy.  I know little more than turning it on in default config.  So with the hundreds of different AD configs possible, I get a little lost.  That being said, if anyone is having trouble with AD2012 or has it working, feel free to share your experiences.  Just use simple words.  [:)]

G'day Michael,

I have run across that post while researching this issue. I usually don't fiddle with AD at all as I try and keeps things as close to default as possible. I am thinking about tweaking NTLM just to see if I can get this to work.

It's interesting that you say AD2012 is support and yet the various support guys I spoke to on the phone told me AD 2012 wasn't support. They practically told me I was on my own until an update came up that brought the support. 

Have you tested SSO extensively after joining the UTM's to the 2012r2 domain? My utm showed that it was "ON OUR DOMAIN" but after a week or two the SSO stopped working. I checked in the Signle Sign-On section of the UTM interface and it still stated it was "Joined to our domain". It was when I tried to re-join that I had issues.

I am talking internally to support to try and determine why they are saying it is not supported.

QA testing is not much more than joining a UTM to a mostly-empty AD server and using it for a day.  We do not have week-long AD tests nor do we run AD2012 in a production environment.  I think right now we are testing against 5 AD versions.  With the dozens of versions and configs out there, we must rely on things like Beta to have customers tell us if there is a problem if we don't find it ourselves.

As per the other thread, if it is that issue, either you can set a flag on AD to allow NTLMv1 or Support can set a flag on the UTM to allow NTLMv2.

The UI will show that it is joined to the AD server after it successfully joins.  If the connection breaks somehow I don't think the UI shows that - it will still say joined.