сбой присоединения к AD
-
У нас есть WSA (S695, SW v14.0.4-005) с проблемами присоединения к домену. Все настроено правильно (имена DNS, сетевое подключение, домен AD/серверы/пользователи с правом присоединения компьютеров к AD). Ситуация
:WSA не существует в AD как объект компьютера. Пользователь добавляет его в домен. Объект создан, WSA показывает (сразу после присоединения), что WSA присоединен
.НО! Через некоторое время (например, после обновления GUI) WSA показывает, что он НЕ присоединен к домену (Статус: учетная запись компьютера WSADEVICE$ еще не создана). Тест на странице аутентификации показывает следующую ошибку: Attempting to get TGT...
Failure: Error while fetching Kerberos Tickets from server '10.101.33.40' :
kinit: Password incorrect Такая же проблема на другом WSA (такая же версия ПО). Мы не можем решить эту проблему. Мы пробовали добавить его с другим именем, пробовали добавить вручную (со стороны AD),... но без успеха. Что еще мы можем проверить, чтобы решить эту проблему? Мартин -
После нескольких попыток добавления/удаления компьютерного объекта «wsa» присоединение прошло успешно. Решение в нашем случае:
- найти и удалить (компьютерный) объект «WSA» в AD
- дважды проверить записи DNS для «WSA» (включая обратные записи DNS) в AD
- подождать 10 минут (для
репликации между серверами AD) - после этого подключение WSA к AD будет успешным
-
Несколько вещей, которые нужно проверить: 1. Убедитесь, что время NTP в порядке с обеих сторон. 2. Какой сервер AD? 3. Убедитесь, что пользователь использовал права администратора на стороне AD. 4. Попробуйте отключить WSA и включить тест. BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Спасибо,
@balaji.bandi
, все выглядит правильно: время на обеих сторонах верное (ntp), права администратора с правом добавлять новые устройства в AD, AD (версия 10.0.x) работает на Win Server 2016. WSA был перезапущен, но это не помогло. -
Привет
[, @Martin Kyrc] Как упомянул @Balaji, убедитесь, что у вас есть необходимые права администратора. Также убедитесь, что нет дубликатов имен и/или вы полностью удалили WSA из AD. Несмотря на то, что сообщение об ошибке указывает на сбой из-за неверного пароля, на самом деле эта проблема вызвана проблемой конфигурации, когда пользователь установил доменное имя AD (Active Directory) в конфигурации NTLM Realm с использованием строчных букв, а фактическое доменное имя на сервере AD настроено с использованием заглавных букв. Примечание: в поле «Домен Active Directory» во время настройки NTLM Realm есть окно справки (?), в котором говорится: Домен Active Directory также известен как домен DNS или область. Это значение чувствительно к регистру. Используйте учетную запись администратора домена для присоединения к домену, который не содержит символ $ в пароле. Если вышеуказанные рекомендации не помогли, попробуйте изменить уровень ведения журнала Auth_logs на отладочный, чтобы лучше понять суть проблемы. С уважением, Амирхоссейн Моджаррад +++++++++++++++++++++++++++++++++++++++++++++++++++ ++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++ +++++++++++++++++++++++++++++++++++++++++++++++++++ С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++ -
@amojarra,
спасибо за подсказки. Я проверю символ «$» в пароле администратора. Доменное имя написано заглавными буквами на стороне AD, также настроено на WSA. Тот же AD является DNS-сервером для клиентов (включая WSA) в сети. Объект «my-wsa-03» создан как объект AD типа «компьютер» (имя заглавными буквами), но WSA сообщает: «Я не присоединен к домену AD». Хорошо, я попробую изменить уровень журнала на стороне WSA. Правильный журнал — это журнал аутентификации? -
Дополнение к комментарию: убедитесь, что учетная запись пользователя, которую вы используете для присоединения к домену, не принадлежит к различным группам. Возможно, я создам учетную запись службы в AD с правами администратора домена и буду использовать этот ID для присоединения к AD. BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
@balaji.bandi
почему это важно (пользователь с правами администратора, не являющийся членом других групп)? Клиент использует администратора для добавления WSA в AD, и WSA успешно создается (но с точки зрения WSA не присоединяется к домену). Я завтра еще раз проверю это с клиентом, но мне это интересно. Можете ли вы мне это пояснить? Извините за «решение», оно еще не найдено. -
Не знаю, в чем причина, но я столкнулся с этой проблемой: администратор сервера пытался войти в систему, используя свой логин, но у меня не получилось, поэтому я не помню документ (но позже мы создали служебную учетную запись, чтобы мы могли регистрироваться, когда нам это нужно) — все работает как положено. Возможно, ваш случай другой, но я просто делюсь своим опытом. BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью в сообщество Cisco -
Спасибо
[, @Martin Kyrc] Да, Auth_logs Пожалуйста С уважением,
Амирхоссейн Моджаррад
+++++++++++++++++++++++++++++++++++++++++++++++++++
++++ Если этот ответ оказался полезным, пожалуйста, оцените его ++++
+++++++++++++++++++++++++++++++++++++++++++++++++++
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти