Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 11635 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Synchronizing suscribed groups

PepijnDeneut
We have an issue with sync with ad.

when we test it manually with "authentication services" --> servers, I get "server test passed"

single sign on in also joined to the domain.

we get following error.

There was an error synchronizing subscribed groups. The Sophos UTM will continue to operate with a locally cached copy of the data but will be unable to update from Directory Services until the issue is resolved.

Error was:
failed to run samba command on domain.LOCAL, exiting now
        
-- 
HA Status          : HA MASTER (node id: 1)
System Uptime      : 6 days 23 hours 48 minutes
System Load        : 0.38
System Version     : Sophos UTM 9.310-11

Please refer to the manual for detailed instructions.

The send limit for this notification has been reached. No further notifications of this type will be sent during this period.


This thread was automatically locked due to age.
  • 0
    First, check #6 in Rulz to see if you really need to be syncing.  Next, can you confirm that you do not have two sync processes running at the same time.  Finally, do you see anything relevant in the Fallback log?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello Bob,

    After reading the Rulz... Yes we need it.
    We only have one sync process running.

    I see this in the log: 8u43:02 is an test with the authenticated server user.
    8u43:18 is a test user also in the authenticad user.
    last is synchronize now in the advanced tab.

    2015:05:05-08:43:02 WERSG01-1 aua[11378]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2015:05:05-08:43:02 WERSG01-1 aua[11378]: id="3006" severity="info" sys="System" sub="auth" name="Bind test request: adirectory"
    2015:05:05-08:43:02 WERSG01-1 aua[11378]: id="3006" severity="info" sys="System" sub="auth" name="Bind test successfull. Method: adirectory"
    2015:05:05-08:43:18 WERSG01-1 aua[11393]: id="3006" severity="info" sys="System" sub="auth" name="Spawned child for authentication test"
    2015:05:05-08:43:18 WERSG01-1 aua[11393]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test request: m:adirectory, f:none, u:test.stad, ip:0.0.0.0, host:"
    2015:05:05-08:43:18 WERSG01-1 aua[11393]: id="3006" severity="info" sys="System" sub="auth" name="Testing method adirectory"
    2015:05:05-08:43:18 WERSG01-1 aua[11393]: id="3006" severity="info" sys="System" sub="auth" name="Trying 10.150.10.41 (adirectory)"
    2015:05:05-08:43:18 WERSG01-1 aua[11393]: id="3006" severity="info" sys="System" sub="auth" name="Authentication test successfull"
    2015:05:05-08:43:34 WERSG01-1 update_ad_bg_members[11405]: main:58 severity="info" sub="update_ad_bg_members" name="Running update_ad_bg_members"
    2015:05:05-08:43:34 WERSG01-1 update_ad_bg_members[11405]: main:176 severity="info" sub="update_ad_bg_members" name="Done"

    fallback log:

    2015:05:05-09:01:01 WERSG01-1 [daemon:notice] ad-sync.plx[13972]: [ad-sync] started
    2015:05:05-09:01:13 WERSG01-1 [daemon:err] ad-sync.plx[13972]: [ad-sync] error returned from samba command on domain.LOCAL
    2015:05:05-09:01:21 WERSG01-1 [daemon:err] ad-sync.plx[13972]: [ad-sync] error returned from samba command on domain.LOCAL
    2015:05:05-09:01:21 WERSG01-1 [daemon:err] ad-sync.plx[13972]: [ad-sync] failed to run samba command on domain.LOCAL, exiting now
  • 0
    It seems like something related to AD-SSO.  It may be a bug, so if this is not a free home-use license, you should ask your reseller to get Sophos Support involved.  There might be a workaround if you don't want to wait for their response...

    If you have joined the UTM to the domain, "un-join" it by using incorrect credentials on the 'Single Sign-On' tab.  If the sync works after that, experiment to see if it will after you've re-joined the UTM to your AD using correct administrator credentials.

    If you haven't joined the UTM to your domain, see if sync works after you do. 

    Please let us know your results.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    i have open a ticket on this bug same as you here the answer :


     The GES team has confirmed that the service is working correctly but there's an error in the check process that's causing the messages to go out.  Since it's just a bad trigger check and the system is working correctly, there won't be a patch for the issue, it will be fixed in the 9.313 release though.  Our recommendation is to leave that alert disabled and not worry about it, since it's a false positive.
  • 0
    Correct,

    I also see that the groups are being updated correctly.
    Thanks for the feedback.
  • 0 in reply to PepijnDeneut
    Hi, folks,

    I know this thread is several months old, but I wanted to ask if there might be any additional information on this issue, because I started getting the following notifications again:

    [WARN-531] Directory Services synchronization
    There was an error synchronizing subscribed groups. The Sophos UTM will continue...

    Error was:
    failed to run samba command on domain.tld, exiting now
    ...


    While looking around, I saw mention that this might be a false positive issue that would be addressed in version 9.313.  Well, I'm on 9.350, and I'm still seeing this problem.

    Take a look at the following snippets of my fallback.log both before and after I manually kick off the AD sync:

    # grep "ad-sync.plx" /var/log/fallback.log
    2015:10:15-14:39:01 utm [daemon:notice] ad-sync.plx[1111]:  [ad-sync] started
    2015:10:15-14:39:32 utm [daemon:err] ad-sync.plx[1111]:  [ad-sync] error returned from samba command on DOMAIN.TLD
    2015:10:15-14:40:02 utm [daemon:err] ad-sync.plx[1111]:  [ad-sync] error returned from samba command on DOMAIN.TLD
    2015:10:15-14:40:02 utm [daemon:err] ad-sync.plx[1111]:  [ad-sync] failed to run samba command on DOMAIN.TLD, exiting now

    # /var/storage/chroot-http/usr/bin/ad-sync.plx -v
    started
    running: /usr/sbin/net ads -w 'DOMAIN.TLD' -U 'user%password' dn '' 'defaultNamingContext' -p 3268
    default naming context: DC=domain,DC=tld
    discovered base_dn: DC=domain,DC=tld
    running: /usr/sbin/net ads -w 'DOMAIN.TLD' -U 'user%password' dn '' 'schemaNamingContext' -p 3268
    default naming context: CN=Schema,CN=Configuration,DC=domain,DC=tld
    running: /usr/sbin/net ads -w 'DOMAIN.TLD' -U 'user%password' dn 'CN=Aggregate,CN=Schema,CN=Configuration,DC=domain,DC=tld' 'attributeTypes' -p 3268
    running: /usr/sbin/net ads -w 'DOMAIN.TLD' -U 'user%password' search '(&(ObjectClass=trustedDomain))' 'cn' -p 3268
    enumerating domains: DOMAIN.TLD
    syncing the primary domain DOMAIN.TLD...
    running: /usr/sbin/net ads search '(objectClass=group)' 'distinguishedName' 'objectSID' 'memberOf' -w 'DOMAIN.TLD' -U 'user%password' -p 3268
    parsing xx replies
    running: /usr/sbin/net ads search '(&(objectClass=user)(objectClass=organizationalPerson)(!(objectClass=computer))(!(userAccountControl[:D]n:1.2.840.113556.1.4.803:=2)))' 'distinguishedName' 'objectSID' 'memberOf' 'userPrincipalName' 'sAMAccountName' 'primaryGroupID' -w 'DOMAIN.TLD' -U 'user%password' -p 3268
    parsing yy replies
    primary domain DOMAIN.TLD synched
    done

    # grep "ad-sync.plx" /var/log/fallback.log
    2015:10:15-14:39:01 utm [daemon:notice] ad-sync.plx[1111]:  [ad-sync] started
    2015:10:15-14:39:32 utm [daemon:err] ad-sync.plx[1111]:  [ad-sync] error returned from samba command on DOMAIN.TLD
    2015:10:15-14:40:02 utm [daemon:err] ad-sync.plx[1111]:  [ad-sync] error returned from samba command on DOMAIN.TLD
    2015:10:15-14:40:02 utm [daemon:err] ad-sync.plx[1111]:  [ad-sync] failed to run samba command on DOMAIN.TLD, exiting now
    2015:10:15-15:30:58 utm [daemon:notice] ad-sync.plx[5935]:  [ad-sync] started
    2015:10:15-15:30:59 utm [daemon:notice] ad-sync.plx[5935]:  [ad-sync] syncing the primary domain DOMAIN.TLD...
    2015:10:15-15:31:00 utm [daemon:notice] ad-sync.plx[5935]:  [ad-sync] parsing 69 replies
    2015:10:15-15:31:00 utm [daemon:notice] ad-sync.plx[5935]:  [ad-sync] parsing 18 replies
    2015:10:15-15:31:00 utm [daemon:notice] ad-sync.plx[5935]:  [ad-sync] primary domain DOMAIN.TLD synched
    2015:10:15-15:31:00 utm [daemon:notice] ad-sync.plx[5935]:  [ad-sync] done


    Funny thing is I didn't make any changes. I didn't resync time on my domain controller, and I didn't change any passwords.  All I did was check the log, run the script and check the log again.  I should mention that, at some point, the sync will fail again.  That's how I know to check the log and manually kick off the sync.

    What gives?  More importantly, how do I fix it?  [:S]  Help!  [:(]

    UTM 9 Home Use

  • 0
    Okay, folks,

    Never mind the question.  The following thread helped:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/81/t/65341

    I was having issues resolving my domain controller for the domain; it was resolving to an external IP address.  The solution was to add a DNS Request Route (Network Services) for my internal domain.  It doesn't explain why sometimes it worked, and sometimes it wouldn't, but all's working now.

    In retrospect, I might change my DNS setup so that my UTM looks to my domain controller for resolution, and have the domain controller have my ISP's DNS servers as its forwarders.  The way I have it set now, the UTM uses the ISP's DNS servers, and my domain controller has the UTM device as its forwarder.

    UTM 9 Home Use

  • 0
    You might try DNS Best Practice.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    You might try DNS Best Practice.


    Thanks, Bob! The Request Route definitely resolved my problem, but I'm going to change my DNS setup, per the link you provided.

    UTM 9 Home Use

Unfiltered HTML