Cisco Cisco Identity Services Engine 1.3 Leaflet
•
参加したドメインは使用できません
•
認証ドメインは使用できません
• Active Directory フォレストは使用できません
• AD コネクタを再起動する必要があります
• AD:ISE アカウント パスワードの更新に失敗しました
• AD:マシン TGT の更新に失敗しました
レポート
次の 2 つのレポートで Active Directory 関連のアクティビティをモニタできます。
• RADIUS 認証レポート:このレポートには、Active Directory の認証および認可に関する詳細な手順が示されてい
ます。 このレポートは、次の場所にあります。[操作(Operations)] > [レポート(Reports)] > [認証サービス ス
テータス(Auth Services Status)] > [RADIUS 認証(RADIUS Authentications)]
テータス(Auth Services Status)] > [RADIUS 認証(RADIUS Authentications)]
• AD コネクタ操作レポート:AD コネクタ操作レポートには、Cisco ISE サーバのパスワード更新、Kerberos チケッ
トの管理、DNS クエリー、DC 検出、LDAP、および RPC 接続管理など、AD コネクタによって実行されるバック
グラウンド操作のログが示されています。 Active Directory の障害が発生した場合、このレポートの詳細を確認し
て、考えられる原因を特定することができます。 このレポートは、次の場所にあります。[操作(Operations)] >
[レポート(Reports)] > [認証サービス ステータス(Auth Services Status)] > [AD コネクタ操作(AD Connector
Operations)]
グラウンド操作のログが示されています。 Active Directory の障害が発生した場合、このレポートの詳細を確認し
て、考えられる原因を特定することができます。 このレポートは、次の場所にあります。[操作(Operations)] >
[レポート(Reports)] > [認証サービス ステータス(Auth Services Status)] > [AD コネクタ操作(AD Connector
Operations)]
あいまいな ID エラーの検索
1 つのフォレスト内に同じ名前の ID が複数出現することがあります。 Multi-Join シナリオ、特に、Active Directory ドメ
インに複数の無関係の会社があり、ユーザ名を相互に制御していない場合に、このことがよく発生します。 SAM 名を
使用すると、名前が競合する可能性も高まります。 NetBIOS プレフィクスでさえ、フォレストごとに一意ではありま
せん。 UPN が適切に機能していても代替 UPN は競合する可能性があります。 このようなすべてのシナリオで、あい
まいな ID エラーが発生します。
インに複数の無関係の会社があり、ユーザ名を相互に制御していない場合に、このことがよく発生します。 SAM 名を
使用すると、名前が競合する可能性も高まります。 NetBIOS プレフィクスでさえ、フォレストごとに一意ではありま
せん。 UPN が適切に機能していても代替 UPN は競合する可能性があります。 このようなすべてのシナリオで、あい
まいな ID エラーが発生します。
[オペレーション(Operations)] タブの下の [認証(Authentications)] ページを使用して、次の属性を検索できます。 次
の属性は、あいまい ID エラーが発生した場合に、実際に使用されている ID を理解し、制御するために役立ちます。
の属性は、あいまい ID エラーが発生した場合に、実際に使用されている ID を理解し、制御するために役立ちます。
• AD-Candidate-Identities:あいまいな ID が最初に検出されると、この属性が検出された ID を示します。 ID があい
まいである理由の特定に役立ちます。
• AD-Resolved-Identities:ID が検出されて、認証、get-groups、get-attributes などの操作で使用された後、この属性は
検出された ID で更新されます。 ID のクラッシュ時にはこれが複数になる場合があります。
• AD-Resolved-Providers:この属性は、ID が検出された Active Directory の参加ポイントを示します。
ノードの Active Directory の参加の表示
[Active Directory] ページの [ノード ビュー(Node View)] ボタンを使用して、特定の Cisco ISE ノードのすべての Active
Directory 参加ポイントのステータス、またはすべての Cisco ISE ノードの全参加ポイントのリストを表示できます。
31