取消
显示结果 
搜索替代 
您的意思是: 
cancel
5250
查看次数
0
有帮助
5
回复

ise 集成AD问题,无法加入

wangyong
Level 1
Level 1

在ISE上可以ping能DNS,也可以解析主机,但是提示还是DNS有问题

pic1.pngpic2.pngpic3.pngpic4.pngpic5.png

1 个已接受解答

已接受的解答

谢谢,已解决,防火墙规则的问题

在原帖中查看解决方案

5 条回复5

ilay
VIP
VIP

看你的问题,发现个疑问点:ise去进行dns查询cn.xxxx.net的时候使用的是tcp,而解析zsm430-xxx.cn.xxxx.net的时候却正常使用的udp

这点有点想不太通

还有一些需要再进一步确认一下:

1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3,是否仅此一个?

2. ISE到dns server之间是否存在拦截或者过滤

3. cn.xxxx.net这个域名是哪个服务器在维护,你所指定的dns server 与维护cn.xxxx.net的域控制器之间是什么关系?是同一台设备,还是中间设置了一些规则,或者条件转发?建议可以直接使用维护cn.xxxx.net的域控制器作为ise的dns server

 

正常情况下在ise上nslookup域名的话,应该可以看到和这个domain相关的一些信息

例如:

ise1/admin# nslookup dc.local
Trying "dc.local"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19985
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 3

;; QUESTION SECTION:
;dc.local.                      IN      ANY

;; ANSWER SECTION:
dc.local.               600     IN      A       10.0.2.78
dc.local.               600     IN      A       10.0.2.79
dc.local.               3600    IN      NS      nce.dc.local.
dc.local.               3600    IN      NS      ncs.dc.local.
dc.local.               3600    IN      SOA     ncs.dc.local. hostmaster.dc.local. 6516 900 600 86400 3600
dc.local.               3600    IN      MX      10 mail.dc.local.

;; ADDITIONAL SECTION:
nce.dc.local.           3600    IN      A       10.0.2.79
ncs.dc.local.           3600    IN      A       10.0.2.78
mail.dc.local.          3600    IN      A       10.0.2.77

Received 210 bytes from 10.0.2.78#53 in 1 ms

ise1/admin# 

 

 

1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3,是否仅此一个?

  还有一个是10.48.180.4 的,这两个测试都是不行。如果用其他的指定ip host cn.x.x.x.net  10.x.x.x别的主机解析都是正常的。

2. ISE到dns server之间是否存在拦截或者过滤

  中间有防火墙,但是规则都是放行的。

 

3. cn.xxxx.net这个域名是哪个服务器在维护,你所指定的dns server 与维护cn.xxxx.net的域控制器之间是什么关系?是同一台设备,还是中间设置了一些规则,或者条件转发?建议可以直接使用维护cn.xxxx.net的域控制器作为ise的dns server

这个有多个DNS解析 10.48.180.3的4是未为正式使用

内容透露标签
pic6.png

 

 

其它解析

pic7.png

你的意思是多台dns server共同维护cn.xxxx.net的记录,使用10.48.180.3/4这两个解析有问题,其他的解析正常?

如果是这种情况的下就需要检查这两台dns的问题了,或者直接更换成其他的dns server

 

"如果用其他的指定ip host cn.x.x.x.net  10.x.x.x别的主机解析都是正常的" 这个里面的 ip host cn.x.x.x.net 10.x.x.x 具体做的是什么操作,没看太懂?(感觉像是ios手动设置dns记录)截图的时候尽量把命令也包含进去吧

 

ise join domain的时候需要查找的记录很多,并非只是检查域名的A记录

谢谢,已解决,防火墙规则的问题

快捷链接