Cisco Cisco Identity Services Engine 1.3 전단
• AD 连接器必须重新启动
• AD:ISE 帐户密码更新失败
• AD:机器 TGT 刷新失败
报告
您可以通过以下两种报告监控 Active Directory 相关活动:
• RADIUS 身份验证报告 - 此报告显示 Active Directory 身份验证和授权的详细步骤。 您可以在以下位置找到此报告:
Operations(操作) > Reports(报告) > Auth Services Status(身份验证服务状态) > RADIUS Authentications
(RADIUS 身份验证)。
(RADIUS 身份验证)。
• AD 连接器操作报告 - AD 连接器操作报告提供 AD 连接器执行的后台操作的日志,例如思科 ISE 服务器密码更新、
Kerberos 票证管理、DNS 查询、DC 发现、LDAP 和 RPC 连接管理。 如果遇到 Active Directory 失败,您可以查看此
报告的详细信息以确定可能的原因。 您可以在以下位置找到此报告:Operations(操作) > Reports(报告) > Auth
Services Status(身份验证服务状态) > AD Connector Operations(AD 连接器操作)。
报告的详细信息以确定可能的原因。 您可以在以下位置找到此报告:Operations(操作) > Reports(报告) > Auth
Services Status(身份验证服务状态) > AD Connector Operations(AD 连接器操作)。
查找不明确身份错误
一个林中可能存在具有相同名称的多个身份。 在多加入情况下更可能发生这种问题,特别是在 Active Directory 域中有几
家不相关公司不相互控制其用户名时。 使用 SAM 名称也会增加名称冲突的可能性。 甚至每个林的 NetBIOS 前缀也不是
唯一的。 UPN 能正常工作,但备用 UPN 可能发生冲突。 所有此类情况都将产生模糊身份错误。
家不相关公司不相互控制其用户名时。 使用 SAM 名称也会增加名称冲突的可能性。 甚至每个林的 NetBIOS 前缀也不是
唯一的。 UPN 能正常工作,但备用 UPN 可能发生冲突。 所有此类情况都将产生模糊身份错误。
您可以使用 Operations(操作)选项卡下的 Authentications(身份验证)页查找以下属性。 如果您遇到模糊身份错误,
这些属性可帮助您了解和控制实际使用的身份。
这些属性可帮助您了解和控制实际使用的身份。
• AD-Candidate-Identities - 当首次发现模糊身份时,此属性会显示找到的身份。 它可用于确定身份模糊的原因。
• AD-Resolved-Identities - 如果找到身份且身份在身份验证、取得组和取得属性之类的操作中使用,则会使用找到的身
份更新此属性。 在身份冲突情况下,这可能不止一个。
• AD-Resolved-Providers - 此属性提供找到的身份所在的 Active Directory 加入点。
查看节点的 Active Directory 加入
可以使用 Active Directory 页面上的 Node View(节点视图)按钮,查看给定思科 ISE 节点的所有 Active Directory 加入点
的状态或所有思科 ISE 节点上所有加入点的列表。
的状态或所有思科 ISE 节点上所有加入点的列表。
过程
步骤 1
选择 Administration(管理) > Identity Management(身份管理) > External Identity Source(外部身份源)
> Active Directory。
> Active Directory。
步骤 2
点击 Node View(节点视图)。
步骤 3
从 ISE Node(ISE 节点)下拉列表选择节点。
28