安全 : 用于 Windows 的思科安全访问控制服务器

ACS 5 无法加入Windows AD domain

2011 年 6 月 22 日 - 原创文档
其他版本: PDFpdf | 反馈

目录

问题描述
软件及版本要求
网络拓扑
解决方法
结论

问题描述

ACS 5无法加入到Windows域,并且伴随有相应的报错信息出现,仔细阅读这些报错信息会对我们排查问题有很大帮助。

软件及版本要求

Windows server 2003

ACS 5.2. 5.2.0.26

网络拓扑

图3.1

解决方法

在加入域时我们经常碰到的报错大致有两种:

4.1 第一种DNS在ACS上指定错误

 

如下图我们在加入域时出现报错

Error while configuring Active Directory:Error while configuring Active Directory:DNS problem: DNS is not availableJoin to domain ‘tac.com’, zone ‘null’ failed

 

图4.1

从报错信息我们可以得知ACS无法正确解析到tac.com。所以我们检查DNS 在ACS上的相关配置即可。经过查看我们发现DNS设置不正确,并通过下面命令予以更正后问题解决。

acs1121/admin# config t
Enter configuration commands, one per line. End with CNTL/Z.
acs1121/admin(config)# ip domain-name 10.75.61.177

4.2 ACS系统时间与Windows AD不同步:

Clock skew too great between machine and domain server. Please check ACS machine clock settings and daylight saving configuration on AD machine.

 

图4.2A

 

通过调整系统时间我们可以解决此问题. 具体命令如下:

acs1121/admin# config t
Enter configuration commands, one per line. End with CNTL/Z.
acs1121/admin(config)# clock timezone Asia/Shanghai
acs1121/admin(config)# ntp server 10.75.61.177
The NTP server was modified.

下面让我们再尝试加入一次AD域:

 

图4.2B

恭喜你ACS 成功加入AD域。

结论

当我们尝试将ACS 加入到Windows AD域的时候,我们一定要注意两方面设置。

第一在DNS方面要确定DNS server 配置正确,确保ACS 指向了正确的DNS server。

第二在系统时间方面一定要确保ACS与AD 的系统时间同步,在此我们建议设置NTP SERVER。