无法将 ISE 加入 Active Directory

网络工程 思科
2021-07-18 15:25:17

我无法将 ISE 加入 Windows 域。我尝试使用登录 ISE 的管理员帐户。第一个错误表明用户名和密码不正确。所以我在 AD 中创建了一个管理员帐户,并将其设为域管理员。现在,当我尝试将它加入 ISE 中的域时,我收到一个新错误,指出“无法在域中找到域控制器,没有可用的 DC”。这是在详细日志中,但错误的名称是 LW_ERROR_CLOCK_SKEW。错误代码 40087

我可以从 ISE ping 域控制器,也可以从域控制器 ping ISE。时间在 ISE 和 NTP 源(即核心交换机)之间正确同步。

1个回答

如果您的 ISE 服务器的时钟与 Active Directory DC 不同步,则身份验证可能会失败。这是因为 AD 使用带有时间戳票证的 Kerberos 身份验证。您已经声明您的 ISE 与核心交换机同步,但是 DC 还与该 NTP 源同步什么?

此外,您提到您为您创建的服务帐户授予了域管理员权限。对于此帐户,这可能是太高的权限级别。您应该参考 ISE 文档以获得所需的权限。但根据我的经验,标准用户帐户就足够了。

ISE 2.0 AD 集成指南

其它你可能感兴趣的问题
上一篇PPPOE 配置不起作用 下一篇如何定义从 LAN 设备通过 IPSec 端点到 Peer 的静态路由