Einleitung
In diesem Dokument wird die Unterstützung mehrerer AD-Domänen in Cisco Umbrella beschrieben.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Cisco Umbrella.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Überblick
Die Unterstützung für mehrere Active Directory-Domänen in Ihrer Umbrella-Organisation ist jetzt standardmäßig aktiviert.
Wenn Sie bereits mehrere AD-Domänen in separaten Umbrella-Organisationen integriert haben, können diese Organisationen in einer einzelnen Umbrella-Organisation mit Unterstützung für mehrere AD-Domänen konsolidiert werden. Weitere Informationen finden Sie in diesem Artikel.
Voraussetzungen für die Unterstützung mehrerer AD-Domänen
- Ein Benutzerkonto mit dem Anmeldenamen OpenDNS_Connector muss in jeder Domäne erstellt werden und die Anforderungen erfüllen, die in der Umbrella-Dokumentation angegeben sind. Es wird empfohlen, für dieses Konto in allen AD-Domänen dasselbe Kennwort zu verwenden.
- Für die Bereitstellung mit virtuellen Appliances ist ein AD-Connector für jede AD-Domäne eines Umbrella-Standorts erforderlich, ggf. mit einem optionalen zweiten Connector für Redundanz.
- Wenn Ihre Bereitstellung nur Roaming-Clients oder AnyConnect umfasst, kann ein einzelner AD Connector mit mehreren Domänen* AD-Benutzer/Gruppen aus mehreren Domänen synchronisieren. Dazu muss das OpenDNS_Connector-Konto mit dem gleichen Kennwort in jeder Domäne erstellt werden. Diese Funktion ist nicht standardmäßig aktiviert, und Sie müssen ein Support-Ticket erstellen, um diese Funktion zu aktivieren.
- Der AD Connector muss Version 1.2.3 oder höher ausführen.
- Alle anderen in der Umbrella-Dokumentation angegebenen Voraussetzungen gelten auch für Multi-AD-Domänen.
Einschränkungen bei der Unterstützung mehrerer AD-Domänen (Bereitstellungen virtueller Appliances)
- Die domänenübergreifende Authentifizierung wird derzeit vom AD Connector nicht erkannt. Wenn sich ein AD-Benutzer anhand eines lokalen Domänencontrollers authentifiziert, der zu einer anderen AD-Domäne gehört, kann der AD Connector die AD-Benutzer-IP-Zuordnung für diesen Benutzer nicht abrufen. Die virtuelle Appliance kann dieser IP-Adresse keine Benutzeridentität zuordnen. Daher können für diesen Benutzer keine AD-basierten Richtlinien durchgesetzt werden. Die Problemumgehung besteht darin, Domänencontroller aus beiden AD-Domänen in derselben Umbrella-Site zu integrieren, solange die Kriterien für Umbrella-Sites (in der Umbrella-Dokumentation angegeben) nicht betroffen sind.
- Domänenübergreifende Richtlinien gelten nicht für AD-Gruppen mit domänenübergreifenden Mitgliedern. Um eine Richtlinie zu erstellen, die für Benutzer aus mehreren Domänen gilt, müssen Sie der Richtlinie die relevanten Gruppen/Benutzer jeder Domäne hinzufügen.
Einschränkungen bei der Unterstützung mehrerer AD-Domänen (Roaming-Client-Bereitstellungen)
- Bereitstellungen von Roaming-Clients/AnyConnect werden nicht durch domänenübergreifende Authentifizierungsbeschränkungen beeinträchtigt.
- Bei aktivierter Funktion des AD Connectors für mehrere Domänen kann Umbrella AD-Gruppen mit domänenübergreifenden Gruppenmitgliedern unterstützen. Dies muss explizit durch das Auslösen eines Support-Tickets angefordert werden. Mit derselben Funktion kann auch ein einzelner Connector AD-Identitäten aus mehreren AD-Domänen synchronisieren.
Feedback