Cisco Cisco Identity Services Engine 1.2 产品宣传页

您必须明确地执行此操作，即使已保存配置。 要通过单个操作将多个思科 ISE 节点加入到域，必须对所有加入
操作使用相同的帐户用户名和密码。 如果需使用不同的用户名和密码加入每个思科 ISE 节点，应为每个思科
ISE 节点单独执行加入操作。

步骤 6

输入 Active Directory 用户名和密码。
用于加入操作的用户本身应在域中存在。 如果该用户位于其他域中或子域中，应使用 UPN 符号注解用户名，
如 jdoe@acme.com。

步骤 7

（可选） 选中 Specify Organizational Unit（指定组织单位）复选框。
如果思科 ISE 节点机器帐户位于除 CN=Computers,DC=someDomain,DC=someTLD 外的特定组织单位中，应选中
此复选框。 思科 ISE 会在指定的组织单位下创建机器帐户，但是如果机器帐户已存在，ISE 会将该帐户移至此
位置。 如果未指定组织单位，思科 ISE 将使用默认位置。 应以完整的可分辨名称 (DN) 格式指定值。 语法必须
符合 Microsoft 规范。 特殊保留字符，例如 /'+,;=<> 换行符、空格和回车符，必须用反斜线转义。 例如，OU=Cisco
ISE\,US,OU=IT Servers,OU=Servers\ 和 Workstations,DC=someDomain,DC=someTLD。 如果机器帐户已创建，则
不需要选中此复选框。 加入 Active Directory 域之后，您也可以更改机器帐户的位置。

步骤 8

点击 OK（确定）。
您可以选择多个要加入 Active Directory 域的节点。

如果加入操作不成功，则会显示失败消息。 点击每个节点的失败消息可查看该节点的详细日志。

完成加入后，思科 ISE 会检查是否有组 SIDS 仍采用旧的思科 ISE 1.2 格式。 如果采用，思科 ISE 将自
动启动 SID 更新过程。 您必须确保此过程能够完成。

注释

如果缺少 DNS SRV 记录，您可能无法将思科 ISE 加入到 Active Directory 域（域控制器不会对您尝试加
入的域公布其 SRV 记录）。 请参阅以下 Microsoft Active Directory 文档，以获取故障排除信息：

注释

•

•

接下来的操作

配置身份验证域。

相关主题

配置身份验证域 ，第 10 页

退出 Active Directory 域

如果不再需要从 Active Directory 域或此加入点对用户或机器进行身份验证，您可以退出 Active Directory 域。

当您从命令行界面重置思科 ISE 应用配置或在备份或升级后恢复配置时，如果它已经加入，则会执行退出操作，将思科
ISE 节点从 Active Directory 域断开。 但是，思科 ISE 节点帐户不会从 Active Directory 域删除。 我们建议您使用 Active

Directory 凭证从管理员门户执行退出操作，因为此方法会同时从 Active Directory 域中删除节点帐户。 当您更改思科 ISE
主机名时，也建议采用此方法。