Cisco Cisco Identity Services Engine 1.3

Active Directory debug logging must be enabled.

Choose Operations > Troubleshoot > Download Logs.

Click the node from which you want to obtain the Active Directory debug log file.

Click the Debug Logs tab.

Scroll down this page to locate the ad_agent.log file. Click this file to download it.

The advanced tuning feature provides node-specific settings used for support action under the supervision of Cisco support personnel,
to adjust the parameters deeper in the system. These settings are not intended for normal administration flow, and should be used
only under guidance.

The following sections describe the internal operations that take place in the AD connector.

The Cisco ISE performs domain discovery in three phases:

Queries joined domains—Discovers domains from its forest and domains externally trusted to the joined domain.

Queries root domains in its forest—Establishes trust with the forest.

Queries root domains in trusted forests—Discovers domains from the trusted forests.

Additionally, Cisco ISE discovers DNS domain names (UPN suffixes), alternative UPN suffixes and NTLM domain names.

The default domain discovery frequency is every two hours. You can modify this value from the Advanced Tuning page, but only
in consultation with the Cisco support personnel.

AD connector selects a domain controller (DC) for a given domain as follows:

Performs a DNS SRV query (not scoped to a site) to get a full list of domain controllers in the domain.

Performs DNS resolution for DNS SRVs that lack IP addresses.

Sends CLDAP ping requests to domain controllers according to priorities in the SRV record and processes only the first response,
if any. The CLDAP response contains the DC site and client site (for example, site to which the Cisco ISE machine is assigned).

If the DC site and client site are the same, the response originator (that is, DC) is selected.