دمج Active Directory باستخدام VA أو CSC

المقدمة

يصف هذا المستند طريقتين لدمج Active Directory (AD) مع Umbrella: الجهاز الظاهري (VA) أو Cisco Secure Client (CSC).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• موصل الإعلان: مزامنة شجرة AD لمجال Active Directory واحد مع لوحة المعلومات. لتطبيق VA، فإنه يقوم أيضا بمزامنة أحداث تسجيل الدخول من مراكز البيانات على نفس موقع Umbrella إلى وحدات VA. تتم مزامنة شجرة AD للمؤسسة إلى Umbrella بواسطة موصل AD، وسحب هذه البيانات من وحدة التحكم بالمجال DC المسجلة. يتم اكتشاف تحديثات الشجرة ويتم تحديث مجموعة النظراء Umbrella في غضون عدة ساعات. 
• وحدة التحكم بالمجال (خادم الإعلان): يتم تسجيل وحدات التحكم في الوصول (DCs) إلى لوحة المعلومات من خلال البرنامج النصي لتكوين التسجيل .wsf كما تم تنزيله من لوحة المعلومات. يؤدي هذا إلى إضافة الاسم والمجال و IP الداخلي إلى لوحة المعلومات لإعلام الموصل بموصلات IP التي تحاول المزامنة معها. إذا لم تتمكن من تشغيل البرنامج النصي، يمكن أيضا التسجيل اليدوي. اتصل بدعم Umbrella للحصول على مزيد من المعلومات والدعم.
• الجهاز الظاهري: Umbrella on Premise DNS forDer. يطبق (إختياري) هوية AD على الشبكة بالإضافة إلى عناوين IP الداخلية على التقارير. يؤدي ذلك إلى تشغيل جميع العملاء المتجولين خلفه لتعطيل حماية DNS والتأجيل إلى وضع "خلف حماية VA". 
• Cisco Secure Client: خدمة Umbrella On Premise Software التي توفر تشفير DNS بالإضافة إلى تعريف المستخدم لنظام التشغيل Windows و MacOS. تأتي أيضا كوحدة AnyConnect النمطية. 

ملاحظة: تختلف المتطلبات الأساسية بين المنفذين بشكل كبير. يرجى الرجوع إلى التطبيق المحدد للحصول على المتطلبات الأساسية الكاملة.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

يوضح هذا المقال ويستكشف الطريقتين المختلفتين لدمج Active Directory مع لوحة معلومات Umbrella. حاليا، يمكن تطبيق مستخدمي AD على السياسة وإعداد التقارير عبر الأجهزة الظاهرية Umbrella أو Cisco Secure Client. 

التنفيذ الآمن للعملاء

المتطلبات

• موصل إعلان واحد
• تيار مستمر واحد في لوحة المعلومات
• يجب أن يكون لدى المستخدم OpenDNS_Connector إذن وحدة التحكم بالمجال للقراءة فقط.
• الحد الأدنى لإصدارات Secure Client للعميل المستقل (وحدة AnyConnect):
  • Windows: 2.1.0 (4.5.01044)
  • OSX: 2. 0. 39 (4. 5. 02033). 

كيف يعمل

• يتم تحديد مستخدم الإعلان المسجل دخوله حاليا مباشرة على الكمبيوتر المحلي من خلال قراءة العميل المتجول للسجل المحلي.
• يدعم بحد أقصى مستخدم واحد مسجل الدخول بشكل متزامن على محطة العمل.
• يمكن أن ينتج عن إثنين من المستخدمين المتزامنين عدم تطبيق مستخدم AD.
• يتم إرفاق GUID الخاص بمستخدم AD و IP الداخلي عبر EDNS0 داخل وكيل DNS الخاص بالعميل المتجول باستعلام DNS الذي تم إرساله إلى محللي Umbrella، مما يحدد مستخدم AD بشكل فريد.
• يتم تطبيق كافة السياسات على جهة الحل.
• لا يلزم وجود موصل نشط. ومع ذلك، يمكن أن يعكس تطبيق نهج المجموعة ومستخدم AD أحدث مزامنة ناجحة لشجرة AD. 

أين يعمل

• أي شبكة بشكل عام.
• لا يعمل خلف جهاز ظاهري ل Umbrella حيث تم تعطيل طبقة DNS لإرجاعها إلى VAs المحلية. 

القيود

• يتطلب عامل نقطة نهاية نشط وممكن على محطة العمل.
• لا يعتمد أنظمة تشغيل الخادم.
• لا يمكن تطبيق السياسة استنادا إلى IP للشبكة الداخلية.
• يتعذر تطبيق النهج أو إعداد التقارير على كمبيوتر AD (أستخدم اسم المضيف المتجول بدلا من ذلك).

لا يزال بإمكان الموصل محاولة سحب أحداث تسجيل دخول AD من وحدة التحكم بالمجال DC المسجلة. قد يؤدي ذلك إلى حدوث خطأ في لوحة المعلومات غير ذي صلة بتكامل AD المستند إلى العميل المتجول. لإزالة الأخطاء المتعلقة بالأذونات المتعلقة بسحب أحداث تسجيل الدخول دون القيام بالفعل بأي أحداث، قم بتعطيل تدقيق حدث تسجيل الدخول (إذا لم يتم إستخدامه بشكل آخر) من خلال عكس تعليمات التدقيق من هنا. 

تنفيذ الجهاز الظاهري

المتطلبات

• وحدتا فولط لكل موقع مظلة
• موصل إعلان واحد (إختياري ثان إحتياطي) لكل موقع Umbrella
• يجب تسجيل كل DC (الذي لا يكون DC للقراءة فقط) للوحة المعلومات.
• يجب أن يكون لدى مستخدم OpenDNS_Connector المجموعة الكاملة لأذونات المتطلبات الأساسية.
• يجب تمكين أحداث تسجيل الدخول لتسجيل سجلات أحداث أمان 4624 على جميع وحدات التحكم بالمجال DC. راجع تلميحات أستكشاف المشكلات وإصلاحها بالكامل.

كيف يعمل

• تتلقى VAs تعيينات مستخدمي AD استنادا إلى سجلات أحداث تسجيل الدخول إلى أمان Windows DC. 
• يتم تسجيل كل تسجيل دخول إلى سجل أحداث أمان DC الخاص بخادم تسجيل الدخول كحدث تسجيل دخول فريد، باسم مستخدم AD أو اسم كمبيوتر AD و IP الداخلي لمحطة العمل.
• يقوم الموصل بتحليل هذه الأحداث في الوقت الفعلي عبر اشتراك WMI ومزامنة هذه الأحداث مع كل VA على موقع Umbrella عبر TCP 443.
• تنشئ VA تعيين مستخدم حي بين IP الداخلي لمستخدم/كمبيوتر AD واسم مستخدم/كمبيوتر AD. 
• تتضمن VA إمكانية رؤية فقط في IP المصدر الداخلي لاستعلام DNS وتستخدم ملف التعيين المذكور مسبقا الذي تم إنشاؤه بواسطة الأحداث التي تمت مزامنتها بواسطة الموصل. لا توجد رؤية مباشرة ل VA إلى من قام بتسجيل الدخول إلى الجهاز حاليا. يقوم هذا بإرفاق GUID للمستخدم AD و IP الداخلي عبر EDNS0 باستعلام DNS الذي تم إرساله إلى محللي Umbrella بواسطة VA، مما يحدد مستخدم AD بشكل فريد.
• يتم تطبيق تجزئة كمبيوتر AD بنفس الطريقة.
• يتم تطبيق كافة السياسات على جهة الحل. 
• يجب أن يكون الموصل عاملا ونشطا في المؤسسة لتلقي مستخدم AD، ويجب أن تكون أحداث تسجيل الدخول حديثة.
• يجب أن يكون المستخدم آخر مستخدم AD تتم مصادقته لهذا الجهاز كما هو موضح في سجلات الأحداث. 

أين يعمل

على شبكة الشركة المحلية حيث تتم الإشارة إلى جميع DNS في جهاز ظاهري Umbrella ينتمي إلى نفس موقع Umbrella الخاص بالتيار المستمر الذي قام المستخدم بالتصديق عليه.

القيود

• يتعذر على الكمبيوتر الإشارة إلى VA تنتمي إلى مجال AD أو موقع Umbrella مختلف (لا يمكن لعمليات النشر الكبيرة على مجالات متعددة رؤية تطبيق AD من الشبكة الأساسية الخاصة بها).
• قد تتطلب عمليات النشر الكبيرة تقسيما فرعيا في مواقع Umbrella مع وحدات توزيع خاصة منفصلة.
• يمكن أن تكون هناك حاجة لاستثناءات AD لمستخدمي الخدمة AD.
• توجد الحد الأقصى لحوادث تسجيل الدخول في الثانية للموصل المذكور سابقا والذي يمكن أن يؤخر تطبيق المستخدم. هذا عامل من زمن انتقال الشبكة وعدد وحدات VA.