AD server 关闭 445 端口导致Clearpass域离线

客户使用Clearpass+AD进行802.1X的认证,当时Clearpass的版本为6.6.1。

问题现象,起初客户反应客户端在进行链接时都无法正常连接,在Clearpass上看到所有的客户端认证全部被拒绝,显示的错误信息为AD status:No logon server。

从认证源上看是可以正常打开AD的树结构的。

登录到Clearpass的后台查看AP状态,显示所使用的AD为离线状态。

查看到此后认为是clearpass脱域,随后进行了加域操作,在加域时没有出现任何问题,可以正常的加入。但加完后在后台再使用show domain命令查看域状态时发现输出交替显示为一次online两次offline。

进行ad testjoin测试也显示为不成功。

客户端仍然无法继续进行认证。

随后开case处理。tac建议先进行版本更新,将版本更新到了6.6.10。

再次进行加域操作时会出现如下错误:

正在将主机添加到 AD 域...
INFO - Fetched REALM 'Z.COM' from domain FQDN
'cnb.com'
INFO - Fetched the NETBIOS name 'Z'
INFO - Creating domain directories for 'Z
Enter administrator's password:
Failed to join domain: failed to lookup DC info for domain 'Z.COM'
over rpc: {Device Timeout} The specified I/O operation on %hs was not completed before the time-out period expired.
INFO - Restoring smb configuration
INFO - Deleting domain directories for 'Z'
ERROR - 172.16.2.201 failed to join the domain Z.COM with domain
controller as cnbj.com
Join domain failed

再次与TAC沟通后,tac回复有可能是139和445端口被禁用导致。随后与客户沟通并确认是由于AD server上的445端口被block掉。在将此策略删除后重新加域正常。

进行了aaa test,ad jointest以及策略仿真测试后确认与AD通信正常。随后让客户发公告,业务恢复。

下图为TAC提供的对两个端口的描述。

发表评论

电子邮件地址不会被公开。 必填项已用*标注