购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
3897
查看次数
0
有帮助
5
回复

【代发】ise 集成AD问题,无法加入

one-time
Level 13
Level 13

发布时间 ‎12-21-2020 12:13 AM

CCO 账户:wangyong
在ISE上可以ping能DNS,也可以解析主机,但是提示还是DNS有问题
161134gfttqrce9e1bqhv9.png
161134so8h4fco04rrhsfe.png
161134cwcc4ec11ooscios.png
161135nzqqmzu4tuqphrt4.png
161135kzqzztzkb4zmbqk4.png
标签:
0 有帮助
5 条回复5

one-time
Level 13
Level 13

发布时间 ‎12-21-2020 12:24 AM

用户:gengchunlin CCO账户:ilay
看你的问题,发现个疑问点:ise去进行dns查询cn.xxxx.net的时候使用的是tcp,而解析zsm430-xxx.cn.xxxx.net的时候却正常使用的udp
这点有点想不太通
还有一些需要再进一步确认一下:
1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3,是否仅此一个?
2. ISE到dns server之间是否存在拦截或者过滤
3. cn.xxxx.net这个域名是哪个服务器在维护,你所指定的dns server 与维护cn.xxxx.net的域控制器之间是什么关系?是同一台设备,还是中间设置了一些规则,或者条件转发?建议可以直接使用维护cn.xxxx.net的域控制器作为ise的dns server

正常情况下在ise上nslookup域名的话,应该可以看到和这个domain相关的一些信息
例如:
ise1/admin# nslookup dc.local
Trying "dc.local"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19985
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 3
;; QUESTION SECTION:
;dc.local.                      IN      ANY
;; ANSWER SECTION:
dc.local.               600     IN      A       10.0.2.78
dc.local.               600     IN      A       10.0.2.79
dc.local.               3600    IN      NS      nce.dc.local.
dc.local.               3600    IN      NS      ncs.dc.local.
dc.local.               3600    IN      SOA     ncs.dc.local. hostmaster.dc.local. 6516 900 600 86400 3600
dc.local.               3600    IN      MX      10 mail.dc.local.
;; ADDITIONAL SECTION:
nce.dc.local.           3600    IN      A       10.0.2.79
ncs.dc.local.           3600    IN      A       10.0.2.78
mail.dc.local.          3600    IN      A       10.0.2.77
Received 210 bytes from 10.0.2.78#53 in 1 ms
ise1/admin#
0 有帮助

one-time
Level 13
Level 13

发布时间 ‎12-21-2020 12:26 AM

管理员 发表于 2020-12-21 16:24
用户:gengchunlin CCO账户:ilay

CCO 账户:wangyong
1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3,是否仅此一个?
还有一个是10.48.180.4 的,这两个测试都是不行。如果用其他的指定ip host cn.x.x.x.net 10.x.x.x别的主机解析都是正常的。
2. ISE到dns server之间是否存在拦截或者过滤
中间有防火墙,但是规则都是放行的。
3. cn.xxxx.net这个域名是哪个服务器在维护,你所指定的dns server 与维护cn.xxxx.net的域控制器之间是什么关系?是同一台设备,还是中间设置了一些规则,或者条件转发?建议可以直接使用维护cn.xxxx.net的域控制器作为ise的dns server
这个有多个DNS解析 10.48.180.3的4是未为正式使用
162527xq9flygfwqy9w0y9.png
0 有帮助

one-time
Level 13
Level 13

发布时间 ‎12-21-2020 12:27 AM

管理员 发表于 2020-12-21 16:26
CCO 账户:wangyong
1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3, ...

CCO账户:wangyong
其它解析
162626tnv7x9g7fv99rcxo.png
0 有帮助

one-time
Level 13
Level 13

发布时间 ‎12-21-2020 12:27 AM

管理员 发表于 2020-12-21 16:27
CCO账户:wangyong

用户:gengchunlin CCO账户:ilay
你的意思是多台dns server共同维护cn.xxxx.net的记录,使用10.48.180.3/4这两个解析有问题,其他的解析正常?
如果是这种情况的下就需要检查这两台dns的问题了,或者直接更换成其他的dns server

"如果用其他的指定ip host cn.x.x.x.net 10.x.x.x别的主机解析都是正常的" 这个里面的 ip host cn.x.x.x.net 10.x.x.x 具体做的是什么操作,没看太懂?(感觉像是ios手动设置dns记录)截图的时候尽量把命令也包含进去吧

ise join domain的时候需要查找的记录很多,并非只是检查域名的A记录
0 有帮助

one-time
Level 13
Level 13

发布时间 ‎12-21-2020 12:27 AM

管理员 发表于 2020-12-21 16:27
用户:gengchunlin CCO账户:ilay

CCO 账户:wangyong
谢谢,已解决,防火墙规则的问题
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents