Как правильно настроить доменный компьютер для работы с Cisco ISE?

Question

[Aleksey Klimenko]

Для Cisco ISE имеются только базовые лицензии.

На компьютере с Win10 Enterprise запущена служба "Проводная автоконфигурация", на сетевом интерфейсе настроена работа по протоколу PEAP, выбрана аутентификация пользователя и выбран сертификат для проверки сервера Cisco ISE по протоколу EAP-TLS.

Со стороны сервера настройки аутентификации и авторизации тоже сделаны на работу через локальный AD сервер.

В итоге, аутентификация и авторизация проходит успешно, я захожу в систему, компьютер получает доступ в сеть, но в Центре управления сетями статус сети Общедоступная, в связи с чем нет доступа к доменным сервисам.
И если пользователь ни разу не логинился на этом компьютере, то он не может залогиниться вообще. Компьютер не видит домен.

Перелопатил кучу ресурсов, но найти похожую ситуацию не смог.

Answer 1

[Sergey Ryzhkin]

И если пользователь ни разу не логинился на этом компьютере, то он не может залогиниться вообще.

Что вполне логично для доменного пользователя.

Компьютер не видит домен.

Уверены? Как проверяли? Контроллер не пингуется или еще как?

Суть вопроса заключается в том, как сменить статус сети с Общедоступная на "Доменную"?
Насколько я помню, когда компьютер введен в домен (а не рабочую группу), и при втыкании витой пары в ПК он получает адрес автоматически по DHCP (а не руками вбит в сетевой), то статус сети автоматом ставится "Доменная". Если же адрес у вас вбит руками то соответственно статую становится "Общественная" или "Частная" в зависимости от того, какую вы выбрали при первоначальном подключении ПК в сеть.

Рекомендую проверить в Домене ли ПК и выдать ему адрес по ДХЦП, тогда состояние сети будет какое нужно.
Или у вас банально не настроен Firewall. Зайдите в его настройки и на время теста "Разрешите все входящие".

Comments

[Aleksey Klimenko]

Уверены? Как проверяли? Контроллер не пингуется или еще как?

Вся сеть доступна, но нет доступа к сетевым папкам и к ресурсам требующим доменной авторизации. Т.е. сейчас не пускает на корпоративные веб-ресурсы автоматически, а начинает требовать пароль.

Суть вопроса заключается в том, как сменить статус сети с Общедоступная на "Доменную"?

Да, только с небольшим уточнением, что при подключении компьютера в порт коммутатора без настроенного 802.1x сетевое соединение получает статус "Доменной сети". Подключение в порт с настроенным 802.1х -- статус "Общедоступная".

Получение IP адреса происходит только через DHCP. Фаервол на компьютере отключен.

У меня подозрение на дефолтный ACL, который устанавливается на порту коммутатора и потом перезаписывается новым (разрешает весь трафик) после успешной аутентификации компьютера на сервере Cisco ISE. Но ни в одном руководстве не пишут, что для доменных компьютеров необходимо открыть в дефолтном ACL доступ к AD. Везде пишут, что нужно открыть порты для работы DHCP, DNS и возможность пинговать.

[Sergey Ryzhkin]

Aleksey Klimenko, Ну попробуйте открыть на железке порты 53 и 67/68

Answer 2

[Aleksey Klimenko]

Век живи - век учись.

Все правильно сделал, но на самом последнем шаге не указал какие настройки отправить на коммутатор.