Foro en Español

Reply
Occasional Contributor I

Problema con integración AD en CP 6.7.4

Buenas,

Hemos intentado actualizar un CP de la versión 6.6.5 hacia la 6.7.4
Hemos seguido el proceso e instalado los parches de clearpass.

La actualización fue correcta. Pero tuvimos que hacer un Leave del AD y luego el Join AD.

Al hacer el Join AD el AD puso al 100% la CPU y no se conseguía autenticar usuarios desde ClearPass.

Tuvimos que dar marcha atrás cambiando de partición a la 6.6.5 y se solución rehaciendo de nuevo el Join y ya autenticaba de nuevo usuarios

Hay alguna lista de requerimientos para un AD para la versión 6.7.4 de clearpass?
El tac me ha dicho que ya no soportan SMBv1 pero la release note de la 6.7 dice que si se soporta.

ClearPass will support SMB v1,SMB v2,andSMB v3.

Podríais ayudarnos? Ya que el tac no nos da solución y no queremos volver a la 6.7.4 y que el AD vuelva a fallar con la autenticación

Re: Problema con integración AD en CP 6.7.4

No hay cambios de comportamiento en relación a añadir el AD en versiones 6.7.x, debería ser similar. En relación al SMB, echa un vistazo a este enlace: https://www.arubanetworks.com/techdocs/ClearPass/CP_ReleaseNotes_6.7.4/Default.htm#PriorImportant/BehaviorChangesPrevious.htm 

ClearPass will negotiate and use the highest SMB protocol version supported by the server. ClearPass will support SMB v1, SMB v2, and SMB v3. This adds additional TCP dynamic port requirements.

En la guía de Hardening de ClearPass verás detalle de los puertos necesarios entre el CPPM y el AD, así como el comportamiento de uso de SMB v3, v2 y v1. Aquí está la guía disponible: https://support.arubanetworks.com/Documentation/tabid/77/DMXModule/512/Default.aspx?EntryId=7961


Rafael del Cerro Flores
ACMP, ACCP, ACDX#324, ACCX#711

Re: Problema con integración AD en CP 6.7.4

Estas utilizando un ClearPass virtual or hardware ?

Sent from Mail for Windows 10
Thank you

Victor Fabian
Lead Mobility Architect @WEI
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor I

Re: Problema con integración AD en CP 6.7.4

Hola

Es un ClearPass virtual.
Al actualizar clearpass perdió conexión con el AD y tuvimos que hacer el Leave y Join con el AD
Es esto normal que pase con cada actualización?

Después de hacer el Join las CPUs de los 3 DCs se pusieron al 100%. Es normal que pase esto?
Cuánto tiempo tarda en sincronizar ClearPass con el AD? Imagino que dependerá del número de registros del AD, pero estuvieron más de 20-30 minutos al 100% los DCs y el cliente nos obligó a dar marcha atrás y tuvimos que cambiar la partición a la antigua 6.6.5

Re: Problema con integración AD en CP 6.7.4

Buenas Ricardo;

 

 ¿Como realizaste la actualizacion?

 

 Yo he llegado a realizar actualizaciones parecidas a las que comentas y no debe perder el join contra el controlador de dominios. El cuanto tardar realizar el join... El tiempo que indicas me parece excesivo pero si es verdad que cada red es un mundo.

 

Un saludo.

Angel De la Encarnacion

ACMP, ACCP, ACDX #544, ACSA
Occasional Contributor I

Re: Problema con integración AD en CP 6.7.4

Buenas,

 

Solo tenemos un ClearPass, cargamos la version 6.7.0 y el patch 6.7.4 manualmente ya que no dispone de acceso a internet.

Adjunto imagen con el error que nos salia tras actualizar, un AD Connection y unable to establish connection.

 

y hasta que no haciamos el Leave/Join no volvia a funcionar el AD, es algo extraño, pero nos paso tanto cuando subimos de version a la 6.7.4 como cuando hicimos el cambio de particion a la antigua 6.6.5

Re: Problema con integración AD en CP 6.7.4

Buenas;

 

 Mi recomendacion seria que actualizaras primero a la version 6.6.10 y de aqui pases a la 6.7.0, para despues actualizar a la version 6.7.4.

 

No pases directamente de la 6.6.5 a la version 6.7.0.

 

Espero que sea de ayuda.

 

Un saludo

Angel De la Encarnacion

ACMP, ACCP, ACDX #544, ACSA
Occasional Contributor I

Re: Problema con integración AD en CP 6.7.4

ok, como en las release notes decian esto:

Upgrade Paths and Version Considerations

Direct upgrades to 6.7.0 are only supported from 6.6.x, 6.5.7, and 6.5.3, with some caveats as described in this section.

 

ok probaremos como indicas, ya os contare que ocurre.

 

gracias y un saludo.

Re: Problema con integración AD en CP 6.7.4

Buenas;

 

 Yo lo he realizado como te comento y no he tenido problemas ninguno con el controlador de dominio ni con el AD.

 

Un saludo.

Angel De la Encarnacion

ACMP, ACCP, ACDX #544, ACSA
Occasional Contributor I

Re: Problema con integración AD en CP 6.7.4

Hola,

 

seguimos el proceso 6.6.5 (la que tenian) -> 6.6.10 -> 6.7.0 -> 6.7.4 -> 6.7.5

 

En la 6.6.10 ya tuvimos que hacer el rejoin del AD, al hacer el rejoin los usuarios se volvieron a autenticar (un mal menor).

Pero el problema empezo a partir de la 6.7.0, estando con el TAC de Aruba en directo, empezo a dar timeout con el AD, y no conseguiamos autenticar usuarios ni haciendo el rejoin.

Fuimos pasando por la 6.7.4 y 6.7.5 a ver si se solucionaba el problema pero sin éxito. 

Ahora mismo esta Aruba analizando los logs y demás.

 

Desde que hicimos el rejoin en la versión 6.7.4 nos ha salido el siguiente error:

 

Session failed for Host=http://127.0.0.1:8100/tips/Xpip/TacacsPolicyEvaluate.fcgi, Reason=[post::<easy_perform>, (error=28) Timeout was reached]

 

Que es un bug detectado 6.6.3 y en la versión 6.6.9.

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: