当控制器对接 LDAP 做企业认证时,需使用虚拟服务器功能,本文主要为 NAC 对接虚拟服务器加入域失败提供基本的排查方法。
在配置好虚拟服务器后,常遇到在【认证授权】-【外部服务器】-【虚拟服务器】,显示加入域失败。
NAC 对接虚拟服务器配置手册参见《虚拟服务器企业级认证测试指导书》
在配置虚拟服务器时,无线控制器提示加入域失败,可按照以下步骤排查。
在【认证授权】-【外部服务器】,添加 AD 域后,可以测试 AD 域服务器的有效性。【服务可用】表示 AD 域可用。若显示其他错误,请检测 AD 域的配置。
在 windows server 命令窗口中输入 nbtstat -n ,检查是否能显示 NetBIOS 本地缓存表,如果显示不出,则表示 NetBIOS 服务器未启用。
此时,按照如下方法将 NetBIOS 服务开启:
检查 NetBIOS 缓存表中 AD 域 NetBIOS 名与 AD 域域名是否相同(忽略大小写差异)。
如果不相同,则在 LDAP 服务器配置字段 NETBIOS 名中将 AD 域 NetBIOS 名填入。
如果依然无法加入 AD 域,则将计算机 NetBIOS 名填入 ldap 服务器的计算机名选框。
控制器 NAC 虚拟服务器加入 AD 域功能是使用的是服务器的 445 端口,客户的服务器 可能会防止 WannaCry 病毒破坏禁用了 445 端口,如果客户那边虚拟服务器加入 AD 域失败,
请按以下步骤操作:
1 、请先确认服务器的 445 端口是否被禁用(Telnet 服务器的 445 端口进行检测)。
2 、如果 445 端口被禁用,请先给服务器升级系统补丁包。
3 、补丁包升级成功后,修改服务器的防火墙规则,放通 445 端口。