Cisco Cisco Identity Services Engine 1.3 전단
2
IP アドレスのない DNS SRV の DNS 解決を実行します。
3
SRV レコードの優先順位に従って CLDAP ping 要求をドメイン コントローラに送信し、応答がある場合は最初の応
答のみを処理します。 CLDAP 応答には、DC サイトとクライアント サイト(Cisco ISE マシンが割り当てられたサ
イトなど)が含まれます。
答のみを処理します。 CLDAP 応答には、DC サイトとクライアント サイト(Cisco ISE マシンが割り当てられたサ
イトなど)が含まれます。
4
DC サイトとクライアント サイトが同じ場合、応答の送信元(DC)が選択されます。
5
DC サイトとクライアント サイトが同じでない場合、AD コネクタは、検出されたクライアント サイトにスコープ
された DNS SRV クエリーを実行し、クライアント サイトを使用するドメイン コントローラのリストを取得し、こ
れらのドメイン コントローラに CLDAP ping 要求を送信し、応答がある場合は最初の応答のみを処理します。 応答
の送信元(DC)が選択されます。 サイトを使用するクライアント サイトに DC がない場合や、現在使用できる DC
がサイトにない場合は、手順 2 で検出された DC が選択されます。
された DNS SRV クエリーを実行し、クライアント サイトを使用するドメイン コントローラのリストを取得し、こ
れらのドメイン コントローラに CLDAP ping 要求を送信し、応答がある場合は最初の応答のみを処理します。 応答
の送信元(DC)が選択されます。 サイトを使用するクライアント サイトに DC がない場合や、現在使用できる DC
がサイトにない場合は、手順 2 で検出された DC が選択されます。
Active Directory サイトを作成および使用することで、Cisco ISE が使用するドメイン コントローラに影響を与える場合
があります。 サイトの作成および使用方法については、Microsoft Active Directory のマニュアルを参照してください。
Cisco ISE は、ドメインごとに優先 DC のリストも定義できます。 DC のリストは、DNS SRV クエリーの前に選択の優
先順位が付けられます。 ただし、この優先 DC のリストは除外リストではありません。 優先 DC が使用できない場合
は、その他の DC が選択されます。 優先 DC のリストは、次の場合に作成できます。
があります。 サイトの作成および使用方法については、Microsoft Active Directory のマニュアルを参照してください。
Cisco ISE は、ドメインごとに優先 DC のリストも定義できます。 DC のリストは、DNS SRV クエリーの前に選択の優
先順位が付けられます。 ただし、この優先 DC のリストは除外リストではありません。 優先 DC が使用できない場合
は、その他の DC が選択されます。 優先 DC のリストは、次の場合に作成できます。
• SRV レコードが不良か、存在しないか、設定されていない場合。
•
サイト関連が間違っているか、存在しないか、サイトを使用できない場合。
• DNS 設定が間違っているか、編集できない場合。
DC のフェールオーバー
ドメイン コントローラ(DC)のフェールオーバーは、次の条件によってトリガーされます。
• AD コネクタは、現在選択している DC が LDAP、RPC、または Kerberos の通信試行時に使用できなくなった場合
に検出します。 DC はダウンしているかネットワーク接続されていないために使用できない可能性があります。
このような場合、AD コネクタは DC の選択を開始し、新しく選択した DC にフェールオーバーします。
このような場合、AD コネクタは DC の選択を開始し、新しく選択した DC にフェールオーバーします。
• DC が起動していて CLDAP ping に応答しますが、AD コネクタはいくつかの理由で DC と通信できません。たと
えば、RPC ポートがブロックされている場合、DC は破損複製状態になっているか、適切に使用停止されていませ
ん。 このような場合、AD コネクタは、ブラックリストを使用する DC の選択(「不良」DC はブラック リストに
置かれます)を開始して、選択した DC との通信を試します。 ブラックリストを使用して選択した DC とブラッ
クリストのどちらもキャッシュされません。
ん。 このような場合、AD コネクタは、ブラックリストを使用する DC の選択(「不良」DC はブラック リストに
置かれます)を開始して、選択した DC との通信を試します。 ブラックリストを使用して選択した DC とブラッ
クリストのどちらもキャッシュされません。
DNS のフェールオーバー
最大 3 つの DNS サーバと 1 つのドメイン サフィックスを設定できます。 Cisco ISE で Active Directory の ID ストア順
序を使用している場合、すべての DNS サーバが、使用するすべての Active Directory DNS ドメインの正引きおよび逆引
き DNS クエリーに応答できるようにする必要があります。 DNS のフェールオーバーは、最初の DNS がダウンしてい
るときにのみ発生します。フェールオーバー DNS には最初の DNS と同じレコーダが必要です。 DNS サーバがクエリー
の解決に失敗する場合、DNS クライアントは別の DNS サーバを試行しません。 デフォルトでは、DNS サーバはクエ
リーを 2 回再試行し、3 秒でクエリーをタイムアウトします。
序を使用している場合、すべての DNS サーバが、使用するすべての Active Directory DNS ドメインの正引きおよび逆引
き DNS クエリーに応答できるようにする必要があります。 DNS のフェールオーバーは、最初の DNS がダウンしてい
るときにのみ発生します。フェールオーバー DNS には最初の DNS と同じレコーダが必要です。 DNS サーバがクエリー
の解決に失敗する場合、DNS クライアントは別の DNS サーバを試行しません。 デフォルトでは、DNS サーバはクエ
リーを 2 回再試行し、3 秒でクエリーをタイムアウトします。
34