今天访问客户remote vpn的时候,发现AD账户不能验证成功,但是本地验证OK,于是怀疑是AD和ASA之间联动出现问题。先ping一下AD 服务,通的ok。
检查一下配置
aaa-server Cortina protocol nt (协议)
aaa-server CORTIADhost 192.168.100.11 (地址)
nt-auth-domain-controller CORTI(domain-controller 的名称)
tunnel-group remotevpn type remote-access
tunnel-group remotevpn general-attributes
address-pool remotevpn-ip
authentication-server-group CORTIAD LOCAL (先采用AD验证,验证不成功再采用本地验证)
default-group-policy remotevpn
配置都没有问题
test 一下AAA 服务器是否是成功
ASA-DongGuan# test aaa authentication CORTIAD host 192.168.100.11 username xxx xxxx
INFO: Attempting Authentication test to IP address <192.168.100.11> (timeout: 12 seconds)
ERROR: Authentication Server not responding: No error
果然有问题,服务器没有响应,都是通的,和服务器通讯也没有问题,尴尬了。。。
平常我们一般采用的都是radius 或者是tacacs 验证,NT验证我也很少遇到过,不知道他们之间联通采用什么协议。所以 不好排查
然后再随便看看呗
show aaa-server 发现问题了
他们通讯的端口采用的139端口,并且状态是FAILED,现在就比较明了了。。139端口,139端口对应的服务是NETBIOS服务。
难道是服务器的NETBIOS服务关掉了?去看看。在本地连接的tcp/ip --高级--wins里面果然NETBIOS被禁用掉了。(不知道是什么原因)
把NETBIOS启用以后AD验证成功。问题解决。
本文为旋风网络家园原创,转载请注明出处,谢谢。