ISE 2.x 以降の逆引き DNS 設定について

kkarasak · ‎2018-04-11

ISE 2.x 以降 ISE をご利用頂く上で内部動作として逆引き DNS を利用する局面
が増えております。その為、ご利用頂く場合には、全ノードに対して正引き DNS
の設定と併せて逆引き DNS の設定を実施頂けますようお願いいたします。
※ ISE 2.1 以降のリリースノートにも逆引き DNS の必要性について記載がござ
いますので併せてご確認ください。

ISE 2.1 - 2.3 のリリースノート

   - ISE リリースノート一覧
   - Reverse DNS Lookup Configuration ( ISE 2.1 における該当記述へのリンク)

   ISE 2.4 のアップグレードガイド
   - Guidelines for Setting Up a Distributed Deployment

逆引き DNS が無い場合に発生した障害例 :
- ISE 2.1 以降へのアップグレード後様々なエラーが発生する、ノード間通信に
問題が発生する等
- ISE Indexing Engine が正常に起動しない
- Primary PAN と Secondary PAN の同期不全
- Context Visibility でエラーメッセージが出力される

ISE での逆引き動作確認は CLI より"nslookup x.x.x.x" ( x.x.x.x は調査対象
の IP ) にてご確認頂けます。

ise-1/admin# nslookup x.x.x.x
Trying "x.x.x.x.in-addr.arpa"
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 32960
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;x.x.x.x.in-addr.arpa.      IN      PTR

;; ANSWER SECTION:
x.x.x.x.in-addr.arpa. 3600  IN      PTR     ise-2.exsample.local.

Received 81 bytes from z.z.z.z#53 in 0 ms

ise-1/admin#

M T · ‎2018-04-12

こんにちは

逆引きは、ISEのFQDNが返ってくるようにする必要がありますか？

※違う名前でも返ってくれば問題が無いかを知りたいです。

kkarasak · ‎2018-04-12

M T 様

コメント頂きありがとうございます。

逆引きの結果として ISE の FQDN が返される事が期待値となります。
アップグレード時の動作を確認してはおりませんが、Context Visibility の動
作等で問題が発生する事は確認済みです。

以上となります。
どうぞよろしくお願いいたします。

M T · ‎2018-04-12

kkarasak 様

　ISEに使用するIPアドレスは、PTR設定も行う必要が

　ある　と理解しました。

　FQDNを返すのが期待値と言うのは同意しますが

　良くある逆引きの設定は、十把一絡げでホスト名を

　意識しない物が、デフォルトで設定してあったりする

　と思うので、そのままでも大丈夫か・・という疑問でした

回答ありがとうございました。