Cisco Cisco Identity Services Engine 1.3

Choose Administration > Identity Management > External Identity Sources > Active Directory.

Choose one of the following options:

• To run the test on all join points, choose Advanced Tools > Test User for All Join Points.

• To run the test for a specific join point, select the joint point and click Edit. Select the Cisco ISE node and click Test

User.

Enter the username and password of the user (or host) in Active Directory.

Choose the authentication type. Password entry in Step 3 is not required if you choose the Lookup option.

Select the Cisco ISE node on which you want to run this test, if you are running this test for all join points.

Check the Retrieve Groups and Attributes check boxes if you want to retrieve the groups and attributes from Active
Directory.

Click Test.
The result and steps of the test operation are displayed. The steps can help to identify the failure reason and troubleshoot.

Cisco ISE supports multiple joins to Active Directory domains. Cisco ISE supports up to 50 Active Directory joins. Cisco ISE can
connect with multiple Active Directory domains that do not have a two-way trust or have zero trust between them. Active Directory
multi-domain join comprises a set of distinct Active Directory domains with their own groups, attributes, and authorization policies
for each join.

You can join the same forest more than once, that is, you can join more than one domain in the same forest, if necessary.

Cisco ISE now allows to join domains with one-way trust. This option helps bypass the permission issues caused by a one-way trust.
You can join either of the trusted domains and hence be able to see both domains.

• Join Point—In Cisco ISE, each independent join to an Active Directory domain is called a join point. The Active Directory join

point is an Cisco ISE identity store and can be used in authentication policy. It has an associated dictionary for attributes and
groups, which can be used in authorization conditions.

• Scope—A subset of Active Directory join points grouped together is called a scope. You can use scopes in authentication policy

in place of a single join point and as authentication results. Scopes are used to authenticate users against multiple join points.
Instead of having multiple rules for each join point, if you use a scope, you can create the same policy with a single rule and
save the time that Cisco ISE takes to process a request and help improve performance. A join point can be present in multiple
scopes. A scope can be included in an identity source sequence. You cannot use scopes in an authorization policy condition
because scopes do not have any associated dictionaries.

When you perform a fresh Cisco ISE install, by default no scopes exist. This is called the no scope mode. When you add a
scope, Cisco ISE enters multi-scope mode. If you want, you can return to no scope mode. All the join points will be moved to
the Active Directory folder.

• Initial_Scope is an implicit scope that is used to store the Active Directory join points that were added in no scope mode.

When multi-scope mode is enabled, all the Active Directory join points move into the automatically created Initial_Scope.
You can rename the Initial_Scope.