请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 295|回复: 5

【代发】ise 集成AD问题,无法加入

[复制链接]
发表于 2020-12-21 16:13:34 | 显示全部楼层 |阅读模式
0可用金钱
CCO 账户:wangyong


在ISE上可以ping能DNS,也可以解析主机,但是提示还是DNS有问题









附件: 您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-12-21 16:24:45 | 显示全部楼层
用户:gengchunlin    CCO账户:ilay


看你的问题,发现个疑问点:ise去进行dns查询cn.xxxx.net的时候使用的是tcp,而解析zsm430-xxx.cn.xxxx.net的时候却正常使用的udp

这点有点想不太通

还有一些需要再进一步确认一下:

1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3,是否仅此一个?

2. ISE到dns server之间是否存在拦截或者过滤

3. cn.xxxx.net这个域名是哪个服务器在维护,你所指定的dns server 与维护cn.xxxx.net的域控制器之间是什么关系?是同一台设备,还是中间设置了一些规则,或者条件转发?建议可以直接使用维护cn.xxxx.net的域控制器作为ise的dns server



正常情况下在ise上nslookup域名的话,应该可以看到和这个domain相关的一些信息

例如:

  1. ise1/admin# nslookup dc.local
  2. Trying "dc.local"
  3. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 19985
  4. ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 3

  5. ;; QUESTION SECTION:
  6. ;dc.local.                      IN      ANY

  7. ;; ANSWER SECTION:
  8. dc.local.               600     IN      A       10.0.2.78
  9. dc.local.               600     IN      A       10.0.2.79
  10. dc.local.               3600    IN      NS      nce.dc.local.
  11. dc.local.               3600    IN      NS      ncs.dc.local.
  12. dc.local.               3600    IN      SOA     ncs.dc.local. hostmaster.dc.local. 6516 900 600 86400 3600
  13. dc.local.               3600    IN      MX      10 mail.dc.local.

  14. ;; ADDITIONAL SECTION:
  15. nce.dc.local.           3600    IN      A       10.0.2.79
  16. ncs.dc.local.           3600    IN      A       10.0.2.78
  17. mail.dc.local.          3600    IN      A       10.0.2.77

  18. Received 210 bytes from 10.0.2.78#53 in 1 ms

  19. ise1/admin#
复制代码
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-12-21 16:26:06 | 显示全部楼层
管理员 发表于 2020-12-21 16:24
用户:gengchunlin    CCO账户:ilay

CCO 账户:wangyong

1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3,是否仅此一个?

  还有一个是10.48.180.4 的,这两个测试都是不行。如果用其他的指定ip host cn.x.x.x.net  10.x.x.x别的主机解析都是正常的。

2. ISE到dns server之间是否存在拦截或者过滤

  中间有防火墙,但是规则都是放行的。



3. cn.xxxx.net这个域名是哪个服务器在维护,你所指定的dns server 与维护cn.xxxx.net的域控制器之间是什么关系?是同一台设备,还是中间设置了一些规则,或者条件转发?建议可以直接使用维护cn.xxxx.net的域控制器作为ise的dns server

这个有多个DNS解析 10.48.180.3的4是未为正式使用



本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-12-21 16:27:01 | 显示全部楼层
管理员 发表于 2020-12-21 16:26
CCO 账户:wangyong

1. ISE当前配置了几个dns server,看nslookup正常返回结果的地址是10.48.180.3, ...

CCO账户:wangyong


其它解析


本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-12-21 16:27:24 | 显示全部楼层

用户:gengchunlin    CCO账户:ilay


你的意思是多台dns server共同维护cn.xxxx.net的记录,使用10.48.180.3/4这两个解析有问题,其他的解析正常?

如果是这种情况的下就需要检查这两台dns的问题了,或者直接更换成其他的dns server



"如果用其他的指定ip host cn.x.x.x.net  10.x.x.x别的主机解析都是正常的" 这个里面的 ip host cn.x.x.x.net 10.x.x.x 具体做的是什么操作,没看太懂?(感觉像是ios手动设置dns记录)截图的时候尽量把命令也包含进去吧



ise join domain的时候需要查找的记录很多,并非只是检查域名的A记录
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-12-21 16:27:59 | 显示全部楼层
管理员 发表于 2020-12-21 16:27
用户:gengchunlin    CCO账户:ilay

CCO 账户:wangyong


谢谢,已解决,防火墙规则的问题
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2021-1-28 17:47 , Processed in 0.079846 second(s), 46 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表