ACS 5.X 无法加入Windows AD domain

问题描述

ACS 5无法加入到Windows域，并且伴随有相应的报错信息出现，仔细阅读这些报错信息会对我们排查问题有很大帮助。

软件及版本要求

Windows server 2003

ACS 5.2. 5.2.0.26

网络拓扑

图3.1

解决方法

在加入域时我们经常碰到的报错大致有两种：

4.1 第一种DNS在ACS上指定错误

 

如下图我们在加入域时出现报错

Error while configuring Active Directory:Error while configuring Active Directory:DNS problem: DNS is not availableJoin to domain ‘tac.com’, zone ‘null’ failed

 

图4.1

从报错信息我们可以得知ACS无法正确解析到tac.com。所以我们检查DNS 在ACS上的相关配置即可。经过查看我们发现DNS设置不正确,并通过下面命令予以更正后问题解决。

acs1121/admin# config t
Enter configuration commands, one per line. End with CNTL/Z.
acs1121/admin(config)# ip domain-name 10.75.61.177

4.2 ACS系统时间与Windows AD不同步：

Clock skew too great between machine and domain server. Please check ACS machine clock settings and daylight saving configuration on AD machine.

 

图4.2A

 

通过调整系统时间我们可以解决此问题. 具体命令如下：

acs1121/admin# config t
Enter configuration commands, one per line. End with CNTL/Z.
acs1121/admin(config)# clock timezone Asia/Shanghai
acs1121/admin(config)# ntp server 10.75.61.177
The NTP server was modified.

下面让我们再尝试加入一次AD域：

 

图4.2B

恭喜你ACS 成功加入AD域。

结论

当我们尝试将ACS 加入到Windows AD域的时候，我们一定要注意两方面设置。

第一在DNS方面要确定DNS server 配置正确，确保ACS 指向了正确的DNS server。

第二在系统时间方面一定要确保ACS与AD 的系统时间同步，在此我们建议设置NTP SERVER。