Zur Startseite gehen
0,00 €*

SSO-Konflikt führt zu STAS-Abmeldung

von: Daniel Benmoussa - Mahi | 5. November 2025

Ein Praxisfall aus dem Administrationsalltag

In einer produktiven Sophos XGS-Umgebung kam es im Sommer 2025 zu einem wiederkehrenden Verhalten: Nach mehreren Minuten bis hin zu mehreren Stunden Laufzeit verloren Benutzer plötzlich ihre STAS-Authentifizierung.

Teilweise ließ sich das Verhalten bereits innerhalb von fünf Minuten reproduzieren. Windows zeigte erneut das Anmeldefenster, obwohl die Internetverbindung selbst stabil blieb.

Das Phänomen betraf ausschließlich interne Netzwerkressourcen und trat unabhängig von Tageszeit oder Benutzergruppe auf. In Zusammenarbeit zwischen technischem Partner-Support und Sophos Technical Support wurde das Verhalten detailliert untersucht.

Ausgangssituation

  • Appliance: Sophos XGS 2300
  • Funktion: Authentifizierung über STAS-Agent (Server-based)
  • Symptom: Benutzer werden nach kurzer oder längerer Laufzeit erneut zur Anmeldung aufgefordert
  • Folge: Verlust interner Netzwerkverbindungen, Internet bleibt aktiv
  • Beobachtung: Keine Fehlermeldungen in den System- oder Authentifizierungslogs

Erste Analyse

Im ersten Schritt wurden alle beteiligten Komponenten überprüft:

„STAS scheint nach einer gewissen Laufzeit einfach die Verbindung zu verlieren. Nach einer manuellen Neuanmeldung funktioniert alles sofort wieder.“ 

UTMshop Technical Support Durchgeführte Prüfungen:

  • STAS-Dienststatus und Heartbeat-Überwachung
  • Erreichbarkeit der Ports 6060 / 6677
  • Analyse der Authentifizierungs-Logs (/log/authd.log, /log/aua.log)
  • Zeitsynchronisation zwischen Firewall und Domain Controller
  • Überprüfung der Contrac-Logs auf der XGS
  • Kontrolle der WMI-Polling-Einstellungen für STAS-Kommunikation

Ergebnis: Die Netzwerkverbindung und Log-Kommunikation waren stabil. Das Verhalten trat weiterhin nach unregelmäßigen Intervallen auf – teilweise bereits nach wenigen Minuten.

Eskalation an Sophos Support

Da das Verhalten nicht eindeutig reproduzierbar war, wurde ein offizieller Hersteller-Case bei Sophos eröffnet.

Ziel war die Untersuchung des STAS-Agents im Dauerbetrieb sowie die Analyse der Heartbeat-Kommunikation zwischen Agent und Firewall.

Von Sophos angeforderte Daten:

  • STAS-Debug-Logs (stas.log)
  • Live-Tcpdumps während eines Session-Verlusts
  • Temporärer Support-Zugriff auf die Firewall

Parallel wurden Zeitfenster für eine gemeinsame Remote-Session abgestimmt, um das Verhalten im Live-Betrieb nachzustellen.

Analyseergebnis: STAS und SSO schließen sich gegenseitig aus 

Im Verlauf der Untersuchung wurde festgestellt, dass die Authentifizierung ausschließlich dann verloren ging, wenn auf der Firewall sowohl STAS (Sophos Transparent Authentication Suite) als auch Active Directory SSO aktiv waren.

STAS arbeitet nach dem Push-Prinzip: Der Domain Controller sendet bei jeder Benutzeranmeldung entsprechende Login-Events aktiv an die Firewall. 

Dadurch kann die Firewall Benutzerzuordnungen in Echtzeit durchführen, ohne selbst Polling-Anfragen zu starten. 

Active Directory SSO hingegen arbeitet Pull-basiert: Hier fragt die Firewall den Domain Controller regelmäßig über WMI (Windows Management Instrumentation) ab, welche Benutzer aktuell an den Clients angemeldet sind.

Wenn beide Verfahren gleichzeitig aktiv sind, kommt es zu WMI-Polling-Konflikten. Dadurch werden Benutzersitzungen durch widersprüchliche Anmeldeinformationen überschrieben.

Das führt zu periodischem Verlust der Benutzerzuordnung – sichtbar als STAS-Abmeldung nach kurzer oder längerer Laufzeit. Nach Deaktivierung von SSO in der ACL-Konfiguration funktionierte STAS sofort wieder stabil.

Empfohlene Prüfungen 

Um die Ursache eindeutig zu verifizieren, wurden folgende Punkte überprüft: 

  1. STAS-Logs: C:\Program Files (x86)\Sophos\STAS\Logs\stas.log 
  2. Firewall-Logs: /log/authd.log und /log/aua.log 3
  3. Debug aktivieren: 
  4. set advanced-firewall-auth debug on
  5. service -ds nosync authd:restart 
  6. Verbindung zum Domain Controller prüfen: 
  7. telnet 6060 
  8. telnet 6677 
  9. Windows-Ereignisanzeige analysieren: Neustarts des STAS-Dienstes & Netlogon-Fehler o Kerberos-Warnungen

Zusammenarbeit als Erfolgsfaktor

Die enge Abstimmung zwischen UTMshop-Technik und der Support durch unseren TAM von Sophos war entscheidend, um das Verhalten reproduzierbar zu machen. Nur durch koordinierte Logaufzeichnung, Vergleich der Contrac-Logs und parallele Debug-Sitzungen ließ sich die Ursache zweifelsfrei feststellen.

Ergebnis

  • Nach der Deaktivierung von Active Directory SSO innerhalb der Access Control Lists (ACL) und dem alleinigen Einsatz von STAS blieb die Authentifizierung dauerhaft stabil.
  • Die zuvor beobachteten Abmeldungen traten nicht mehr auf. Damit wurde bestätigt: STAS und SSO dürfen auf Sophos Firewalls ( Sophos Firewall OS  ) nicht gleichzeitig aktiv sein.
  • Beide Authentifizierungsmethoden verwenden unterschiedliche Mechanismen, die sich gegenseitig im Authentifizierungsprozess beeinflussen.

Fazit

Wiederkehrende STAS-Abmeldungen können auftreten, wenn mehrere Authentifizierungsdienste parallel auf denselben Active Directory-Datenbestand zugreifen.

Im vorliegenden Fall lag die Ursache im gleichzeitigen Betrieb von STAS und AD SSO, verstärkt durch die WMI-Polling-Prozesse im SSO-Modul. Nach Deaktivierung von SSO in der ACL war die Authentifizierung vollständig stabil.

Damit gilt: Für konsistente Benutzeranmeldungen sollte in AD-gebundenen Umgebungen ausschließlich STAS verwendet werden.

Zusammenfassung

Dieser Fall dokumentiert den vollständigen Ablauf einer strukturierten Fehleranalyse: vom ersten Auftreten über Logprüfung, Herstellereskalation und Ursachenbestätigung bis zur endgültigen Lösung durch Deaktivierung von SSO in den ACL-Regeln.

Alle genannten Punkte, Prüfungen und Ergebnisse basieren auf realen Support-Daten und wurden ohne Annahmen oder Interpretationen übernommen.

Support kontaktieren

Sollten Sie ein ähnliches Verhalten in Ihrer Sophos-Umgebung feststellen oder Unterstützung bei der Analyse von STAS- und SSO-Authentifizierungen benötigen, können Sie direkt ein Ticket über unseren technischen Support eröffnen:

Support-Ticket öffnen

Unser Team prüft Ihre Umgebung, analysiert Logdaten und unterstützt bei der nachhaltigen Behebung.

Autor: Daniel Benmoussa - Mahi

7 Jahre Technischer Support 


Zertifizierung: 

  • Sophos MDR Sales Consultant
  • Sophos Firewall Sales Consultant
  • Sophos Central Sales Consultant
  • Sophos Central Engineer
  • Sophos Central Technician
  • Sophos Central Architect
  • Sophos Firewall Engineer
  • Sophos Firewall Technician
  • Sophos Firewall Architect 

Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung