网络控制器NAC

信锐新一代网络控制器是信锐技术自主研发的多元化、高性能的网络控制器设备,集信锐新一代网络控制器、认证服务器、内网终端状态可视化分析、上网行为管理、上网行为审计、流量控制、VPN、防火墙、有线无线管理系统。 结合AI运维技术,极大程度的提升网络运维效率!
NAC3.9.0及以下版本
网络控制器NAC 文档 故障案例FAQ NAC对接虚拟服务器加入域失败排查指导
{{sendMatomoQuery("网络控制器NAC","NAC对接虚拟服务器加入域失败排查指导")}}

NAC对接虚拟服务器加入域失败排查指导

更新时间:2025-11-04

当控制器对接 LDAP 做企业认证时,需使用虚拟服务器功能,本文主要为 NAC 对接虚拟服务器加入域失败提供基本的排查方法。

1、加入域失败问题现象

在配置好虚拟服务器后,常遇到在【认证授权】-【外部服务器】-【虚拟服务器】,显示加入域失败。

NAC 对接虚拟服务器配置手册参见《虚拟服务器企业级认证测试指导书》

2、加入域失败的基本排查

在配置虚拟服务器时,无线控制器提示加入域失败,可按照以下步骤排查。

2.1AD 域配置错误

在【认证授权】-【外部服务器】,添加 AD 域后,可以测试 AD 域服务器的有效性。【服务可用】表示 AD 域可用。若显示其他错误,请检测 AD 域的配置。

 

2.2NetBIOS 服务未启用

 windows server 命令窗口中输入 nbtstat -n ,检查是否能显示 NetBIOS 本地缓存表,如果显示不出,则表示 NetBIOS 服务器未启用。

此时,按照如下方法将 NetBIOS 服务开启:

2.3用户 AD 域的域名和 NetBIOS 名不一致

检查 NetBIOS 缓存表中 AD  NetBIOS 名与 AD 域域名是否相同(忽略大小写差异)

如果不相同,则在 LDAP 服务器配置字段 NETBIOS 名中将 AD  NetBIOS 名填入。

 

2.4计算机 NetBIOS 名填入 ldap 服务器的计算机名选框

如果依然无法加入 AD 域,则将计算机 NetBIOS 名填入 ldap 服务器的计算机名选框。

 

2.5关闭禁止跨三层的nbns报文功能

2016以上的版本可能默认开启了禁止跨三层的nbns报文功能,需要在服务器上使用管理员权限打开cmd窗口执行命令:

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters -Name AllowNBToInternet -Type DWord -Value 1

 

2.6、winserver 2019使用SMB2协议

winserver 2019以上版本的服务器,建议使用SMB2协议对接。因为winseveri2019默认不启用SMB1协议,低于2019的版本,理论上是兼容SMB1和SMB2的。

 

2.7、可能是由于客户端和服务器端的协议不匹配

查看服务器端协议状态的方法如下:

1、服务器为2008版本:

查看SMBv1服务状态:

powershell中运行命令:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

如果找不到SMB1项或者找到SMB1项且值为1:这意味着系统处于默认状态,SMB1 协议是启用的。

如果找到SMB1项且值为0,意味着SMBv1协议被禁用

启用SMBv1服务:

Powershell中执行以下命令:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "SMB1" -Value 1 -Force

然后重启服务器

 

查看SMBv2服务状态:

Get-Item HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters | ForEach-Object {Get-ItemProperty $_.pspath}

查看输出中SMB2参数的值:存在且值为0表示SMBv2 已禁用。存在且值为1表示SMBv2 已启用。

 

启用SMBv2服务:

Powershell中执行以下命令:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" -Name "SMB2" -Value 1 -Force

然后重启服务器

 

2、服务器为2012以上版本:

查看SMBv1协议是否启用:

Get-SmbServerConfiguration | Select EnableSMB1Protocol

若返回 False表示SMBV1已禁用

 

启用SMBv1协议:

Set-SmbServerConfiguration -EnableSMB1Protocol $true -Force 

 

查看SMBv2协议是否启用:

Get-SmbServerConfiguration | Select EnableSMB2Protocol 

若返回 False表示SMBV2已禁用

 

启用SMBv2协议:

Set-SmbServerConfiguration -EnableSMB2Protocol $true -Force 

 

2.8、服务器端可能通过防火墙封堵了SMB协议相关的端口

解决方法:检查链路上的网络设备,放通对应端口,比如SMB1协议使用TCP的139端口和445端口,SMB2协议使用TCP的445端口

请按以下步骤操作:

1 、先确认服务器的 445 端口是否被禁用(Telnet 服务器的 445 端口进行检测)。

2 、如果 445 端口被禁用,请先给服务器升级系统补丁包。

3 、补丁包升级成功后,修改服务器的防火墙规则,放通 445 端口。