DNS設定の問題によるセキュアアクセスZTA登録通信エラー

お問い合わせ内容

ユーザがCisco Secure Access Zero Trust Access(ZTA)システムに登録できません。以前は正しく機能しており、サーバ接続エラーが表示される可能性があります。登録プロセスは、登録サーバへの通信エラーで失敗し、ユーザはZTA登録手順を完了できません。この問題は多数のユーザに影響を与え、セキュアなアクセスサービスに大きな混乱をもたらします。

環境

• テクノロジー：ソリューションサポート（SSPT – 契約が必要）

• サブテクノロジー：Cisco Secure Access

• 製品ファミリ：SECACCS

• デフォルトのDNSモードが有効なVPN設定

• 応答しないサーバを指すDNSサーバ設定

解決策

ZTA登録の通信エラーは、DNSサーバの設定の問題を修正することで解決されます。この問題は、DNSルックアップに応答しないDNSサーバを指すデフォルトDNSモードでVPNが設定されている場合に発生します。

ステップ1:DNS設定の問題を特定する

VPNのデフォルトDNSモードが有効になっていることを確認し、設定されているDNSサーバがDNSクエリに応答しているかどうかを確認します。DNS解決が失敗すると、登録サーバーに到達できません。

ステップ2:DNSサーバの問題を修正する

DNSサーバの設定を修正し、DNSルックアップに正しく応答するようにします。これには次のものが含まれます。

• DNSサーバのIPアドレスを稼働中のサーバにアップデートする

• 構成されたサーバーでDNSサービスを再起動しています

• DNSサーバへのネットワーク接続の確認

• DNS解決機能のテスト

ステップ3:ZTA登録機能の確認

DNSサーバの問題を修正した後、ZTA登録プロセスをテストし、ユーザが正常に登録できることを確認します。DNS解決が正常に機能すると、登録は正常に機能します。

トラブルシューティングに関するその他の考慮事項

DNSの設定は正しいにも関わらず、登録の問題が解決しない場合は、ファイアウォールなどのネットワークデバイスがユーザPCからSecure Access ZTA登録サーバへのアクセスを制限していないことを確認します。ZTNA登録に必要なすべての宛先が、ネットワークインフラストラクチャを介してアクセス可能であることを確認します。

原因

ZTA登録通信エラーの根本原因は、VPNのデフォルトDNSモードが有効になっていて、DNSルックアップに応答しないDNSサーバを指しているDNS設定の問題です。DNS解決が失敗すると、ZTA登録プロセスが登録サーバと通信できず、ユーザは登録手順を正常に完了できません。

関連コンテンツ

• シスコのテクニカルサポートとダウンロード