Cisco Cisco Identity Services Engine 2.1

Cisco ISE provides several tools to diagnose and troubleshoot Active Directory errors.

The Diagnostic Tool is a service that runs on every Cisco ISE node. It allows you to automatically test and diagnose the Active
Directory deployment and execute a set of tests to detect issues that may cause functionality or performance failures when Cisco ISE
uses Active Directory.

There are multiple reasons for which Cisco ISE might be unable to join or authenticate against Active Directory. This tool helps
ensure that the prerequisites for connecting Cisco ISE to Active Directory are configured correctly. It helps detect problems with
networking, firewall configurations, clock sync, user authentication, and so on. This tool works as a step-by-step guide and helps you
fix problems with every layer in the middle, if needed .

Choose Administration > Identity Management > External Identity Sources > Active Directory.

Click the Advanced Tools drop-down and choose Diagnostic Tools.

Select a Cisco ISE node to run the diagnosis on.
If you do not select a Cisco ISE node then the test is run on all the nodes.

Select a specific Active Directory join point.
If you do not select an Active Directory join point then the test is run on all the join points.

Click Run All Tests on Node to start the test.

Click View Test Details to view the details for tests with Warning or Failed status.
This table allows you to rerun specific tests, stop running tests, and view a report of specific tests.

Cisco ISE provides various alarms and reports to monitor and troubleshoot Active Directory related activities.

The following alarms are triggered for Active Directory errors and issues:

• Configured nameserver not available

• Joined domain is unavailable

• Authentication domain is unavailable

• Active Directory forest is unavailable

• AD Connector had to be restarted

• AD: ISE account password update failed

• AD: Machine TGT refresh failed