Securepoint Support Forum

Wir möchten gern bei Externe Authentifizierung - AD/LDAP mehr als ein Domänencontroller angeben. Ist das möglich? Sollte dieser eine DC ausfallen, wäre ein Einloggen per SSL-VPN nicht mehr möglich!?
Über die Web-GUI geht es nicht, aber vlt. über die Konsole?
Wir würden uns über eine Antwort und ggf. Lösung sehr freuen.

Danke & Gruß

Thomas

Man muss den DC nicht explizit angeben. Es reicht, wenn beispielsweise "domain.local" (die lokale Domäne) als "Hostname" angegeben wird, um z.B. "DC1.domain.local" oder "DC2.domain.local" anzusprechen. Wenn einer der DCs nicht erreichbar ist, wird automatisch der andere angesprochen. Damit das funktionieren kann, müssen natürlich unter "NAMESERVER" in der Relay-Zone die zuständigen DNS-Server durch ";" getrennt angeben werden (z.B. 172.16.2.1;172.16.2.10).


Gruß

Franz

Vielen Dank Franz für das schnelle beantworten der Frage.
Technisch mit aktueller Firmware funktioniert es. Nun stellt sich uns nur die Frage an Securepoint direkt ob das auch in zukünftigen Versionen so funktioniert, da die Felder ja mit IP / Hostname betitelt sind und eben nicht mit IPS / Zone.

Moin,

wir haben zu diesem Setup Testvorgänge durchgeführt und diese nun abgeschlossen. Das beschriebene Vorgehen funktioniert, zum jetzigen Zeitpunkt, so leider nicht.

Man muss den DC nicht explizit angeben. Es reicht, wenn beispielsweise "domain.local" (die lokale Domäne) als "Hostname" angegeben wird, um z.B. "DC1.domain.local" oder "DC2.domain.local" anzuspreche

Richtig, der DC kann auch nur über die Angabe des Domain Namen eingerichtet werden.

Wenn einer der DCs nicht erreichbar ist, wird automatisch der andere angesprochen. Damit das funktionieren kann, müssen natürlich unter "NAMESERVER" in der Relay-Zone die zuständigen DNS-Server durch ";" getrennt angeben werden (z.B. 172.16.2.1;172.16.2.10).

Falsch, es wird nicht automatisch der andere DC angesprochen. Für einige Anfragen wird NUR der PDC verwendet.


Hier ein Beispiel:

Domain: testfirma.local
DC01.testfirma.local = 192.168.123.5
DC02.testfirma.local = 192.168.123.6

Einstellung für die Externe Authentifizierung:

IP oder Hostname: testfirma.local

Einstellung für den Nameserver:
Zonenname: testfirma.local
ID: 2016080800
Relaying: 192.168.123.5;192.168.123.6

------

Die AD-Anbindung funktioniert und ist als aktiv gekennzeichnet. Wird nun der DC01 mit der IP-Adresse 192.168.123.5 ausgeschaltet oder er fällt aus, wird nicht automatisch der DC02 für die externe Authentifizierung genutzt. Grund hierfür ist, dass nur der erste Server aus den Nameserver Einstellungen genutzt wird. Auf den zweiten wird nicht zugegriffen. Erschwerend kommt in diesem Setup dazu, dass für bestimmte Anfragen immer NUR der PDC verwendet wird.

Wichtig!
Es kann hierbei dazu führen, dass die Weboberfläche der UTM sich nicht mehr aufbaut, da der Daemon "spauthd" sich in den Vordergrund setzt und andere Anfragen nicht beantwortet werden. Hier hilft nur ein Neustart der UTM.

Hinweis!
Wir haben dieses Feature in unsere Roadmap mit aufgenommen. Es wird von uns geprüft und sobald wir eine Lösung dafür haben, in ein Update mit aufgenommen.

Gruß,
Pascal Mitsching

Vielen Dank für die Informationen! Gut, dass wir darüber gesprochen haben...
 
Haben Sie bei Ihren Tests eigentlich berücksichtigt, dass beide Windows-DCs auch den Global Catalog (GC ) bereitstellen müssen (per default stellt nur der erste DC den GC bereit)? Ich hatte vergessen, das zu erwähnen. Wenn nicht, können sich nämlich bei Ausfall des DC mit dem einzigen GC anschließend nur noch Admins am AD anmelden, sofern in dem AD universelle Gruppen vorhanden sind. Soweit ich weiß, spielt es dabei noch nicht mal eine Rolle, ob diese universellen Gruppen überhaupt in irgendeiner Form verwendet werden (allein das Vorhandensein führt bereits zu dem Effekt).

Gruß

Franz

Moin,

wir haben für unsere Tests den GC nicht berücksichtigt, da dieser für unsere Tests nicht benötigt wurde. Wir haben überprüft, ob ein zweiter DC von der UTM zur externen Authentifizierung genutzt wird, wenn der erste ausfällt. Dies ist aber momentan nicht so.

Grund hierfür ist, dass nur der erste Server aus den Nameserver Einstellungen genutzt wird. Auf den zweiten wird nicht zugegriffen. Erschwerend kommt in diesem Setup dazu, dass für bestimmte Anfragen immer NUR der PDC verwendet wird.

Gruß,
Pascal Mitsching

Ich wollte hier nach etwas mehr als einem Jahr mal nachfragen ob hierfür von Securepoint nun noch eine Lösung kommt, oder dieses Problem doch untergegangen ist?

Würde mich auch interessieren, aber in Hinsicht auf die proxy Authentisierung!

Mit freundlichem Gruß
T. Dittrich

Sehr geehrte Damen & Herren,
aktuell ist weiterhin nur ein DC ansprechbar.
Der richtige Ort für Featurerequests ist unsere Wunschbox.

Dann freue ich mich über Eure Stimmen:

Externe Authentifizierung - AD/LDAP / mehr als ein Domänencontroller angeben!