Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 15436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[WARN-531] Directory Services synchronization

cdc_01
Hi,

I'm getting the above email notification every two hours

There was an error synchronizing subscribed groups. The Sophos UTM will continue to operate with a locally cached copy of the data but will be unable to update from Directory Services until the issue is resolved.

Error was:
failed to run samba command on company.LOCAL, exiting now

The logs are saying:

[daemon:notice] ad-sid-sync.pl[32718]:  [ad-sid-sync] Started in full mode
[daemon:notice] ad-sid-sync.pl[32718]:  [ad-sid-sync] Syncing 1 server(s)
[daemon:notice] ad-sid-sync.pl[32718]:  [ad-sid-sync] Syncing 4 adirectory group(s) from 192.168.100.5
[daemon:notice] ad-sync.pl[6546]:  [ad-sync] started
[daemon:err] ad-sync.pl[6546]:  [ad-sync] error returned from samba command on company.LOCAL
[daemon:err] ad-sync.pl[6546]:  [ad-sync] error returned from samba command on company.LOCAL
[daemon:err] ad-sync.pl[6546]:  [ad-sync] failed to run samba command on company.LOCAL, exiting now

UTM ASG 220, firmware version 9.206-35

Using SSO, the bind DN test is passing. Web filtering operational mode is set to transparent mode. AD SSO status: joined domain company.local

Any ideas what could be the cause of the above warning message? 

Thank you.


This thread was automatically locked due to age.
  • 0
    Hi, cdc, and welcome to the User BB!

    I'm going to guess that you have a misconfigured Backend Group definition.  First check #6 in Rulz, to see if you need to be syncing at all.

    The only other time this error was mentioned here was during the 9.2 beta last year: [9.171][BUG]AD Group Sync Fails.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    Cheers for the rulz, very handy indeed.

    What I didn't mention in my 1st post is that prior of receiving these errors we changed the password of the login user account that does the AD binding. Obviously I went back to Definitions & Users - Authentication Services - Server update the password, test and all went OK.

    To double check I went to the Advanced tab and did a Synchronize Now and looked like everything is OK until I had a look at the log file.

    Today I went to Definitions & Users - Authentication Services - Single Sign-On tab and filled in the new login credentials and hit Apply and the warnings stopped. 

    Not sure if it's a bug or not or I should've flushed the authentication cache from global settings?

    Thank you.
  • 0
    OK, that does sound like an "issue."  Please have your reseller submit this in a Support ticket as a bug report.

    In fact, you can join a UTM to a domain without defining an Active Directory Authentication Server.  Joining only affects AD-SSO authentication in Web Filtering.  Defining an AD auth server only lets you resolve Backend groups and sync AD groups.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I can confirm this behavior. 
    If you change the password of AD account that was used to join UTM to domain, AD group synchronization will fail until re-entering new password in the UTM (screenshot).
    This doesn't impact AD SSO, however.

    Sophos support:
    We recommend Users with Administrative privilege to be used to synchronize to the UTM.

    There is no issue if the User does not have settings of  “password never expires” but it is a good practice to enable it to prevent future problems.


    Bob, maybe you should add this fact to Rulz.
Unfiltered HTML