ISE не удалось подключиться к Active Directory: Error_Access_Denied, как исправить?
-
Здравствуйте, Я пытаюсь подключить ISE 3.4 VM к Active Directory, но это не удается, и я получаю следующие журналы в графическом интерфейсе ISE. Описание ошибки: Доступ запрещен.
Подробности поддержки...
Название ошибки: ERROR_ACCESS_DENIED
Код ошибки: 5 Подробный журнал:
10:49:39 Присоединение к домену hash.local с использованием пользователя ise.admin
10:49:39 Поиск DC в домене hash.local
10:49:39 Найден DC: AD01.hash.local , сайт клиента — Default-First-Site-Name , сайт DC — Default-First-Site-Name
10:49:39 Проверка учетных данных пользователя ise.admin
10:49:39 Получение TGT для учетной записи ise.admin@hash.local
10:49:39 TGT для учетной записи ise.admin@hash.local успешно
получен 10:49:39 Учетные данные пользователя ise.admin проверены
10:49:39 Поиск DC в домене hash.local
10:49:39 Найден DC: AD02.hash.local , сайт клиента — Default-First-Site-Name , сайт контроллера — Default-First-Site-Name
10:49:39 Создание имени учетной записи для компьютера ISE в hash.local
10:49:39 Поиск существующей учетной записи
компьютера 10:49:39 Поиск объекта по фильтру : (&(objectCategory=computer)(servicePrincipalName=host/ise01.hash.local))
10:49:39 Учетная запись: ise01 найдена
10:49:39 Имя учетной записи машины ISE: ise01$
10:49:39 Создание учетной записи машины ise01$
10:49:39 Подключение к AD с помощью DC AD02.hash.local
10:49:39 Соединение с AD02.hash.local установлено
10:49:39 Открытие хэша домена
10:49:39 Хэш домена открыт успешно
10:49:39 Учетная запись компьютера: ise01$ уже существует, открытие учетной записи.
10:49:39 Учетная запись компьютера ise01$ успешно
открыта 10:49:39 Запрос информации об учетной
записи ise01$ 10:49:39 Информация об учетной записи ise01$ успешно получена
10:49:39 Включение учетной записи компьютера : ise01$
10:49:39 Учетная запись компьютера ise01$ успешно включена
10:49:39 Установка пароля для учетной записи : ise01$
10:49:39 Пароль для учетной записи: ise01$ успешно
установлен 10:49:39 Учетная запись ise01$ успешно
создана 10:49:39 Проверка доступности учетной записи компьютера: ise01$ доступна
10:49:39 Поиск объекта по фильтру: (&(objectClass=computer)(sAMAccountName=ise01$))
10:49:39 Учетная запись компьютера ise01$ доступна с DN: CN=ise01,OU=ISE-Computers OU,DC=hash,DC=local
10:49:39 Установка атрибутов для объекта: CN=ise01,OU=ISE-Computers OU,DC=hash,DC=local
10:49:39 Установка атрибута dNSHostName : ise01.hash.local для объекта
10:49:39 Атрибут dNSHostName : ise01.hash.local был успешно
установлен 10:49:39 Установка атрибута servicePrincipalName : HOST/ise01.hash.local для объекта
10:49:39 Атрибут servicePrincipalName : HOST/ise01.hash.local был успешно
установлен 10:49:39 Установка атрибута servicePrincipalName : HTTP/ise01 для объекта
10:49:39 Атрибут servicePrincipalName : HTTP/ise01 был успешно
установлен 10:49:39 Установка атрибута operatingSystem : Cisco Identity Services Engine для объекта
10:49:39 Атрибут operatingSystem : Cisco Identity Services Engine был успешно
установлен 10:49:39 Установка атрибута operatingSystemVersion : 3.4.0.608 для объекта
10:49:39 Атрибут operatingSystemVersion : 3.4.0.608 успешно
установлен 10:49:39 Установка атрибута userAccountControl : 4096 для объекта
10:49:39 Атрибут userAccountControl : 4096 был успешно
установлен 10:49:39 Установка атрибута msDS-SupportedEncryptionTypes : 28 для объекта
10:49:39 Атрибут msDS-SupportedEncryptionTypes : 28 был успешно
установлен 10:49:39 Атрибуты были успешно установлены в ISE cli я получаю следующий журнал 2026-01-09 10:57:15,506 ОШИБКА ,140362249123584,Не удалось получить статус lsass -> ошибка = 40074, символ = LW_ERROR_NOT_JOINED_TO_AD, pid клиента = 17599,lsass/server/api/status.c:366
2026-01-09 10:57:15,570 ОШИБКА ,140362249123584,Не удалось получить статус lsass -> ошибка = 40074, символ = LW_ERROR_NOT_JOINED_TO_AD, pid клиента = 17599, lsass/server/api/status.c:223
2026-01-09 10:57:44,792 ОШИБКА ,140362282694400,Не удалось получить статус lsass -> ошибка = 40074, символ = LW_ERROR_NOT_JOINED_TO_AD, pid клиента = 17599,lsass/server/api/status.c:223
2026-01-09 10:57:44,815 ПРЕДУПРЕЖДЕНИЕ,140362249123584,DCPriorityList::isBestDC: dc=[AD02.dc.local], адрес=[10.70.77.15] не найден в карте оценок, lwadvapi/threaded/dc_pri_list.cpp:450
2026-01-09 10:57:44,815 ПРЕДУПРЕЖДЕНИЕ,140362249123584,DCPriorityList::getDCScoreByAddress: dc=[AD02.dc.local], адрес=[10.70.77.15] не найден, lwadvapi/threaded/dc_pri_list.cpp:468
2026-01-09 10:57:45,854 ОШИБКА ,140362282694400,Не удалось получить статус lsass -> ошибка = 40074, символ = LW_ERROR_NOT_JOINED_TO_AD, pid клиента = 17599,lsass/server/api/status.c:366
2026-01-09 10:57:45,927 ОШИБКА ,140362249123584,Не удалось получить статус lsass -> ошибка = 40074, символ = LW_ERROR_NOT_JOINED_TO_AD, pid клиента = 17599, lsass/server/api/status.c:223 Когда я запустил диагностический тест AD на ISE, он показал успех по всем запрос API высокого уровня на запись DNS A/AAAA Запрос на запись DNS A/AAAA с использованием конфигурации resolv.conf и gethostbyname
HASH-AD
Успешно найдена
запись
адреса 10:36:19 09.01.2026 GST
<1 DNS A/AAAA запись низкоуровневого API запроса Запрос на DNS A/AAAA запись с использованием конфигурации resolv.conf и res_query
HASH-AD
Успешно найдена
запись
адреса 10:36:19 09.01.2026 GST
<1 Запрос записи DNS SRV Запрос записи DNS SRV с использованием конфигурации resolv.conf и gethostbyaddr
HASH-AD
Успешно найдена
запись SRV.
10:36:19 09.01.2026 GST
<1 Размер записи DNS SRV Запрос размера записи DNS SRV с использованием конфигурации resolv.conf и gethostbyaddr
HASH-AD
Успешно Размер
запроса SRV не превышает максимальный предел в 4 кБ.
10:36:19 09.01.2026 GST
<1 Проверка Kerberos SASL-соединение с AD Проверяет безопасное соединение с AD (с помощью механизма SASL)
HASH-AD
Успешно
SASL-тест соединения с AD прошел успешно
10:36:19 09.01.2026 GST
<1 Kerberos тестирует связь и запрос к ROOT DSE Проверяет, может ли анонимный пользователь подключиться к каталогу ROOT DSE и запросить свойства из него
HASH-AD
Успешно
ROOT_DSE был успешно достигнут
10:36:19 09.01.2026 GST
<1 Тест Kerberos на получение точки присоединения TGT Проверяет получение TGT в точке
присоединения HASH-AD
Успешно
TGT был успешно
получен 10:36:19 09.01.2026 GST
<1 LDAP test - DC locator Проверяет процент доступных DC на сайте.Если сайт не связан, то проверяет процент всех доступных DC (Доступно: все KDC с подключением LDAP, RPC и Kerberos)
HASH-AD Тест
доступности DC прошел
успешно Список статусов подключения серверов RPC/LDAP и Kerberos, представленный в формате: имя сервера, статус подключения RPC/LDAP, статус подключения Kerberos ad02.hash.local: успешно, успешно ad01.hash.local: успешно, успешно
10:36:19 09.01.2026 GST
<1 LDAP test - GC locator Проверяет процент доступных GC на сайте.Если сайт не связан, то проверяет процент всех доступных GC (доступно: все KDC с подключением LDAP и RPC)
HASH-AD Тест
доступности GC прошел
успешно Список доступных GC, найдено 2: ad01.hash.local ad02.hash.local
10:36:19 09.01.2026 GST
<1 LDAP test AD site association Проверяет связь сайта AD с ISE.
HASH-AD
Successful Имя
сайта успешно найдено (Default-First-Site-Name).
10:36:19 09.01.2026 GST
<1 LDAP-тест доступности DC Проверяет процент доступных DC на сайте. Если сайт не связан, проверяет процент всех доступных DC (доступные: ICMP доступны)
HASH-AD
Успешно Тест
доступности ICMP прошел успешно Список доступных DC, найдено 2: ad02.hash.local ad01.hash.local
10:36:19 09.01.2026 GST
<1 LDAP тест времени отклика DCs Измеряет время до ответа от первого доступного DC
HASH-AD
Успешно Тест времени
отклика прошел успешно. Это первый DC, ответивший: AD01.hash.local
10:36:19 09.01.2026 GST
<1 Состояние системы — проверка службы AD Проверяет состояние службы AD
Система
Успешно
Служба AD работает
10:36:15 09.01.2026 GST
<1 Состояние системы — проверка конфигурации DNS Проверяет конфигурацию DNS: доступные серверы имен, домен и инструкции по
поиску Система Тест конфигурации и
состояния DNS прошел
успешно
10:36:15 09.01.2026 GST
4 Состояние системы — проверка NTP Проверяет конфигурацию NTP: доступные одноранговые узлы (не локальные) и синхронизацию времени
Система
Успешно Тест конфигурации
и состояния NTP прошел успешно -
Есть ли в вашем домене AD какой-либо сервер 2025 DC? Если да, то это может вызвать проблему, подобную той, с которой вы столкнулись.
-
Здравствуйте, Для поддержки интеграции с Windows 2025 AD см. здесь версию ISE и уровень патча, которые необходимо запустить, а также необходимые изменения GP, которые необходимо выполнить на стороне DC: https://www.cisco.com/c/en/us/support/docs/field-notices/743/fn74321.html https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwn62873 Спасибо, Кристиан.
-
Здравствуйте, Марвин, Спасибо за ответ. Да, это Server 2025 DC. Сначала я настроил LDAPS, и все работало нормально, но через несколько дней LDAPS внезапно перестал работать и начал выдавать ошибку «ldap bind ended with an error» (LDAPS-связь завершена с ошибкой), когда я тестировал пользователя LDAPS. Затем я попробовал метод AD Join, и вы можете увидеть вышеуказанные журналы. Есть ли какое-нибудь решение?
-
Здравствуйте, Крис, я думаю, что эта проблема возникла после того, как администратор AD применил GP для тестирования, до этого я тестировал LDAPS, и все работало нормально. В настоящее время у меня уже установлен патч 3 для ISE 3.4, я внесу эти изменения в GP и протестирую, в противном случае установлю патч 4. Ptach 3 — это патч, рекомендованный Cisco, возможно, он также затрагивает эту ошибку.
-
Здравствуйте, Прежде чем переходить к следующему патчу, я бы также подтвердил и дважды проверил у ваших коллег, управляющих инфраструктурой Windows, что учетная запись, используемая для присоединения к AD, имеет достаточные права, в соответствии с требованиями ISE. Следующее сообщение, которое вы получаете, также может означать недостаточные права: ,Failed to get lsass status -> error = 40074, symbol = LW_ERROR_NOT_JOINED_TO_AD, client pid = 17599,lsass/server/api/status.c:366 Необходимые права см. здесь, в разделе «Права учетной записи Active Directory, необходимые для выполнения различных операций»: https://www.cisco.com/c/en/us/td/docs/security/ise/3-4/admin_guide/b_ise_admin_3_4/b_ISE_admin_asset_visibility.html#reference_F19556CAD5C949B58DF89334E2C6255D Спасибо, Кристиан.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти