Cisco Cisco Identity Services Engine 1.2 产品宣传页
Active Directory 高级调整
高级调整功能提供特定节点的设置,用于在思科支持人员指导下的支持操作,以更深入地调整系统中的参数。 这些设置
不适用于正常管理流程,而只能在指导下使用。
不适用于正常管理流程,而只能在指导下使用。
AD 连接器内部操作
以下部分介绍 AD 连接器中发生的内部操作。
域发现算法
思科 ISE 分三个阶段执行域发现:
1
查询加入域 - 发现加入域林中的域和加入域外部信任的域。
2
查询林中的根域 - 建立与林的信任。
3
查询受信任林中的根域 - 发现受信任林中的域。
此外,思科 ISE 会发现 DNS 域名(UPN 后缀)、备选 UPN 后缀和 NTLM 域名。
默认域发现频率为每两小时一次。 您可以从 Advanced Tuning(高级调整)页面修改此值,但必须事先咨询思科支持人
员。
员。
DC 发现
AD 连接器对给定域选择域控制器 (DC),如下所示:
1
执行 DNS SRV 查询(不将范围限制为一个站点),以获得域中域控制器的完整列表。
2
对没有 IP 地址的 DNS SRV 执行 DNS 解析。
3
根据 SRV 记录中的优先级将 CLDAP ping 请求发送到域控制器,并只处理第一个响应(如果有的话)。 CLDAP 响应
包含 DC 站点和客户端站点(例如,分配了思科 ISE 机器的站点)。
包含 DC 站点和客户端站点(例如,分配了思科 ISE 机器的站点)。
4
如果 DC 站点和客户端站点相同,则会选择最初响应方(即 DC)。
5
如果 DC 站点和客户端站点不同,则 AD 连接器会执行将范围限制为所发现客户端站点的 DNS SRV 查询,获取服务于
客户端站点的域控制器列表,将 CLDAP ping 请求发送到这些域控制器,并只处理第一个响应(如果有的话)。 会选
择最初响应方(即 DC)。 如果客户端站点中没有服务于站点的 DC,或站点中当前没有可用的 DC,则选择在步骤 2
中检测到的 DC。
客户端站点的域控制器列表,将 CLDAP ping 请求发送到这些域控制器,并只处理第一个响应(如果有的话)。 会选
择最初响应方(即 DC)。 如果客户端站点中没有服务于站点的 DC,或站点中当前没有可用的 DC,则选择在步骤 2
中检测到的 DC。
您可以通过创建和使用 Active Directory 站点来影响思科 ISE 使用的域控制器。 有关如何创建和使用站点的信息,请参阅
Microsoft Active Directory 文档。
思科 ISE 还能够定义每个域的首选 DC 列表。 在 DNS SRV 查询之前会优先选择此 DC 列表。 但是,此首选 DC 列表不是
独占列表。 如果首选 DC 不可用,则选择其他 DC。 您可以在以下情况下创建首选 DC 列表:
Microsoft Active Directory 文档。
思科 ISE 还能够定义每个域的首选 DC 列表。 在 DNS SRV 查询之前会优先选择此 DC 列表。 但是,此首选 DC 列表不是
独占列表。 如果首选 DC 不可用,则选择其他 DC。 您可以在以下情况下创建首选 DC 列表:
• SRV 记录已损坏、丢失或者未配置。
30