Configuration de la procédure PIC ISE 2.2 avec le fournisseur WMI Active Directory

Options de téléchargement

  • PDF     (1.0 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.0 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:19 mars 2018
ID du document:210522

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment configurer et dépanner le déploiement du connecteur ISE PIC (Passive Identity Connector) Identity Services Engine avec le fournisseur Active Directory Windows Management Instrumentation (AD WMI). ISE PIC est une version ISE légère qui se concentre sur les fonctions d'ID passif.

    ISE PIC est une solution d'ID unique pour toute la gamme de solutions de sécurité Cisco qui utilise uniquement l'identité passive. Cela signifie que l'autorisation ou les politiques ne peuvent pas être configurées sur ISE PIC. Il prend en charge différents fournisseurs (agents, WMI, Syslog, API) et peut être intégré via l'API REST. Il peut interroger des points de terminaison (l'utilisateur est-il connecté ? Le terminal est-il toujours connecté ?)

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Cisco Identity Service Engine

    • Microsoft Active Directory
    • Microsoft WMI

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • Cisco Identity Service Engine Passive Identity Connector version 2.2.0.470
    • Microsoft Windows 7 Service Pack 1
    • Microsoft Windows Server 2012 r2

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Informations générales

    La quantité maximale de noeuds dans le déploiement PIC ISE est de 2. Cet exemple montre comment configurer le déploiement PIC ISE pour la haute disponibilité, de sorte que 2 machines virtuelles (VM) soient utilisées. Dans un déploiement ISE PIC, les noeuds peuvent avoir des rôles : Primaire et Secondaire. Dans ce seul noeud peut être principal à la fois et les rôles ne peuvent être modifiés manuellement que via l'interface utilisateur graphique. En cas de défaillance principale, toutes les fonctionnalités sont toujours exécutées sur Secondaire, sauf pour l'interface utilisateur. Seule la promotion manuelle vers Primary active l'interface utilisateur.

    Cet exemple montre comment configurer le fournisseur WMI pour Active Directory. WMI consiste en un ensemble d'extensions du modèle de pilote Windows qui fournit une interface de système d'exploitation par laquelle les composants instrumentés fournissent des informations et des notifications. WMI est la mise en oeuvre par Microsoft des normes WBEM (Web-Based Enterprise Management) et CIM (Common Information Model) du Distributed Management Task Force (DMTF).

    Note: Pour plus d'informations sur WMI, consultez le site officiel de Microsoft : À propos de WMI

    Diagramme du réseau


    Les informations contenues dans le document utilisent la configuration réseau illustrée dans l'image :

    Flux de travail

    1. Connectez-vous au PC et obtenez l'authentification sur AD.

    2. WMI informe le PIC ISE de cette authentification.

    3. ISE ajoute la liaison Username:IP_Address à son répertoire de session.

    4. ISE récupère les groupes et les attributs d'utilisateur à partir d'AD.

    5. ISE enregistre ces informations dans son répertoire de sessions.

    6. Toutes les 4 heures (non configurable), le PIC ISE exécute la recherche de point de terminaison :
      • Il commence par essayer WMI sur le point de terminaison.
      • Si WMI échoue, ISE PIC exécute ISEExec. Il interroge le point de terminaison pour l'utilisateur et active WMI pour la prochaine fois.
      • ISE PIC récupère également l'adresse MAC du point de terminaison et du type de système d'exploitation.

    Sur ISE PIC, il n'est possible que d'activer/de désactiver les sondes de point de terminaison. Le noeud principal interroge tous les points de terminaison, le noeud secondaire est réservé à la haute disponibilité.

    Configuration

    Configurer le déploiement PIC ISE

    Étape 1 (Facultatif) Installez les certificats de confiance.

    Toute la chaîne de certificats de votre autorité de certification (CA) doit être installée dans un magasin de confiance ISE. Connectez-vous à l'interface utilisateur graphique PIC d'ISE et accédez à Certificates > Certificates Management > Trusted Certificates. Cliquez sur Importer et sélectionnez le certificat de votre CA à partir de votre PC.

    Comme le montre l'image, cliquez sur Soumettre pour enregistrer les modifications. Répétez cette étape pour tous les certificats de la chaîne. Répétez également les étapes sur le noeud secondaire.

    Étape 2 (Facultatif) Installez les certificats système.

    Option 1. Certificats déjà générés par CA avec clé privée.

    Accédez à Certificates > Certificates Management > System Certificates et cliquez sur Import. Sélectionnez Fichier de certificat et Fichier de clé privée, entrez le champ Mot de passe si la clé privée est chiffrée.

    Comme indiqué dans les options de vérification de l'image Utilisation :

    Note: Étant donné que le PIC ISE est basé sur le code ISE et peut facilement être converti en ISE complète avec les licences appropriées, toutes les options d'utilisation sont disponibles. Les rôles tels que EAP Authentication, RADIUS DTLS, SAML et Portal ne sont pas utilisés par ISE PIC.

    Cliquez sur Submit pour installer le certificat. Répétez également cette procédure sur un noeud secondaire.

    Note: Tous les services du noeud PIC ISE redémarrent après l'importation du certificat de serveur.

    Option 2. Générez une demande de signature de certificat (CSR), signez-la avec CA et liez-vous sur ISE.

    Accédez à la page Certificates > Certificates Management > Certificate Signing Requests et cliquez sur Generate Certificate Signing Requests (CSR).

    Sélectionnez le noeud et l'utilisation, saisissez les autres champs si nécessaire :

    Cliquez sur Generate. Une nouvelle fenêtre apparaît avec une option pour Exporter CSR généré :

    Cliquez sur Exporter, enregistrez le fichier *.pem généré et signez-le avec CA. Une fois le CSR signé, revenez à la page Certificates > Certificates Management > Certificate Signing Requests, sélectionnez votre CSR et cliquez sur Bind Certificate :

    Sélectionnez le certificat qui a été signé avec votre autorité de certification et cliquez sur Soumettre pour appliquer les modifications :

    Tous les services du noeud PIC ISE redémarrent après avoir cliqué sur Soumettre pour installer le certificat.

    Étape 3. Ajoutez un noeud secondaire au déploiement.

    ISE PIC permet d'avoir 2 noeuds dans un déploiement pour la haute disponibilité. Il n'est pas nécessaire d'avoir une confiance bidirectionnelle des certificats (par rapport au déploiement ISE habituel). Afin d'ajouter un noeud secondaire au déploiement, accédez à Administration > Deployment page sur votre noeud PIC ISE principal, comme illustré dans l'image :

    Entrez le nom de domaine complet (FQDN) du noeud secondaire, les informations d'identification de l'administrateur de ce noeud et cliquez sur Enregistrer. Si le noeud PIC ISE principal n'est pas en mesure de vérifier le certificat d'administrateur du deuxième noeud, il demande une confirmation avant d'installer ce certificat dans un magasin de confiance.

    Dans ce cas, cliquez sur Importer le certificat et continuer afin de joindre le noeud au déploiement. Vous devez recevoir une notification indiquant que le noeud a été ajouté avec succès. Tous les services du noeud secondaire redémarrent.

    Dans les 10 à 20 minutes, les noeuds doivent être synchronisés et l'état du noeud doit changer de 

    Configurer les fournisseurs Active Directory

    ISE PIC utilise Windows Management Instrumentation (WMI) pour collecter des informations sur les sessions d'AD et agit comme une communication Pub/Sub, ce qui signifie :

    • ISE PIC s'abonne à certains événements
    • WMI alerte le PIC ISE lorsque ces événements se produisent :
      • 4768 (octroi de billets Kerberos) et 4770 (renouvellement de billets Kerberos)
      • Les entrées du répertoire de session expirent (purge)

    Étape 1. Rejoignez le PIC ISE au domaine.

    Afin de joindre la PIC ISE au domaine, accédez à Providers > Active Directory et cliquez sur Add:

    Renseignez les champs Nom du point de jointure et Domaine Active Directory et cliquez sur Soumettre pour enregistrer les modifications. Le nom du point de jointure est un nom utilisé uniquement dans le PIC ISE. Le domaine Active Directory est le nom du domaine dans lequel le PIC ISE doit être joint et il doit pouvoir être résolu avec le serveur DNS configuré sur le PIC ISE.

    Après la création de Join Point ISE PIC doit vous demander si vous souhaitez joindre des noeuds au domaine. Cliquez sur Yes. Une fenêtre doit s'afficher pour vous permettre de fournir des informations d'identification pour rejoindre le domaine :

    Renseignez les champs Administrateur de domaine et Mot de passe, puis cliquez sur OK.

    Même si le champ est appelé Administrateur de domaine, il n'est pas nécessaire d'utiliser l'utilisateur administrateur pour rejoindre le PIC ISE au domaine. Cet utilisateur doit disposer de privilèges suffisants pour créer et supprimer des comptes d'ordinateurs dans le domaine, ou modifier les mots de passe des comptes d'ordinateurs précédemment créés. Les autorisations de compte Active Directory requises pour effectuer diverses opérations sont disponibles dans ce document.

    Cependant, il est nécessaire d'utiliser les informations d'identification de l'administrateur de domaine lors de la jointure si vous souhaitez utiliser WMI. L'option WMI de configuration requiert :
       

    • Modifications du registre

    • Autorisations d'utilisation de DCOM

    • Autorisations d'utilisation de WMI à distance

    • Accès pour lire le journal des événements de sécurité du contrôleur de domaine AD

    • Le Pare-feu Windows doit autoriser le trafic de/vers ISE PIC (les stratégies de Pare-feu Windows correspondantes seront créées lors de la configuration WMI)

    Note: Les informations d'identification de magasin sont toujours activées sur ISE PIC car elles sont requises pour les sondes de point de terminaison et la configuration WMI. ISE les stocke en interne.

    Comme l'illustre l'image, le PIC ISE affiche le résultat de l'opération dans une nouvelle fenêtre :

    Étape 2. Régler les autorisations sur AD.

    Vérifier et régler les autorisations de l'utilisateur sur AD selon le document : Guide d'installation et d'administration d'ISE-PIC (Passive Identity Connector) Identity Services Engine :

    Définir les autorisations lorsque l'utilisateur AD se trouve dans le groupe d'administration du domaine

    Pour Windows 2008 R2, Windows 2012 et Windows 2012 R2, le groupe Admin du domaine ne dispose pas par défaut d'un contrôle complet sur certaines clés de Registre du système d'exploitation Windows. L'administrateur Active Directory doit accorder à l'utilisateur Active Directory des autorisations de contrôle total sur la clé de Registre suivante

    • HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}
    • HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}

    Étape 3. Ajoutez des agents PassiveID.

    Sur la page du domaine AD, accédez à l'onglet PassiveID et cliquez sur Ajouter des contrôleurs de domaine, comme illustré dans l'image :

    Une nouvelle fenêtre apparaît et ISE charge une liste de tous les contrôleurs de domaine disponibles. Sélectionnez les contrôleurs de domaine dans lesquels vous souhaitez configurer WMI et cliquez sur OK pour enregistrer les modifications, comme illustré dans l'image :

    Les contrôleurs de domaine sélectionnés sont ajoutés à la liste des contrôleurs de domaine PassiveID. Sélectionnez vos contrôleurs de domaine et cliquez sur le bouton Config WMI :

    La PIC ISE affiche un message indiquant que le processus de configuration est en cours :

    Au bout de quelques minutes, il affiche un message indiquant que WMI est correctement configuré sur certains contrôleurs de domaine :

      

    Vérification

    Déploiement

    L'état du déploiement peut être vérifié de plusieurs manières :

    Page de déploiement

    Accédez à Administration > Page Déploiement pour vérifier l'état actuel du déploiement :

    À partir de cette page, le noeud secondaire peut être désinscrit si nécessaire. La synchronisation manuelle peut être démarrée et l'état de synchronisation peut être vérifié.

    Page Tableau de bord

    Sur une page PIC ISE principale, il y a un dashlet appelé Abonnés. Avec ce dashlet, vous pouvez vérifier l'état actuel de vos noeuds PIC ISE, comme illustré dans l'image :

    ISE PIC crée 2 abonnés pour chaque noeud - admin et mnt. Tous doivent être en état Online, ce qui signifie que les noeuds sont accessibles et opérationnels.

    Abonnés

    La page des abonnés est une version étendue du dashlet des abonnés de la page d'accueil de ISE PIC. Cette page affiche tous les noeuds pxGrid associés, mais l'état des noeuds PIC ISE peut également être vérifié ici :

    Récapitulatif du système

    ISE PIC permet également de surveiller le résumé de l'état des noeuds. Ce dashlet se trouve à l'adresse Accueil > Tableau de bord > Supplémentaire :

    La latence d'authentification est toujours de 0 ms, car le PIC ISE n'effectue aucune authentification/autorisation.

    Fournisseurs et sessions

    Page d'accueil

    Les statuts des fournisseurs, leur quantité et leur nombre de sessions trouvées peuvent être vérifiés lorsque vous accédez à Accueil > Page Tableau de bord :

    Sessions en direct

    Des informations détaillées sur toutes les sessions utilisateur trouvées sont disponibles à la page Sessions en direct :

    Il contient des informations telles que :

    • Fournisseur : quels fournisseurs ont été utilisés pour identifier cette session

    • Initié et mis à jour : horodatages lors de l'ouverture et de la mise à jour de la session en conséquence

    • Adresse IP : adresse du point de terminaison.

    • Action : actions que ISE peut effectuer (par exemple, vérifier l'état du point de terminaison ou si ISE PIC est intégré à pxGrid, puis envoyer une demande de suppression de session)

    Dépannage

    Déploiement

    Pour résoudre les problèmes de déploiement et de réplication, consultez ces fichiers journaux :

    • réplication.log
    • déploiement.log
    • ise-psc.log

    Afin d'activer les débogages, accédez à Administration > Logging > Debug Log Configuration :

    Ces débogages sont écrits dans le fichier Replication.log. Voici un exemple de processus de réplication normal :

    2017-02-24 10:11:06,893 INFO [pool-215-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Calling the publisher job from clusterstate processor
    2017-02-24 10:11:06,893 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Started executing publisher job
    2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Number of messages with no sequence number is 0
    2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished executing publisher job
    2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
    2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
    2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -::::- Calling setClusterState(name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015})
    2017-02-24 10:11:06,896 INFO [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished sending the clusterState !!!
    2017-02-24 10:11:06,899 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- MonitorJob starting
    2017-02-24 10:11:06,901 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -:::NodeStateMonitor:- Calling getNodeStates()
    2017-02-24 10:11:06,904 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Nodes in distrubution: {ise22-pic-2=nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364} --- Nodes in cluster: [name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime: 2017-02-24 10:04:26.364]
    2017-02-24 10:11:06,904 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ] to liveDeploymentMembers
    2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
    2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
    2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Primary node current status minmum sequence[ 1600 ], cluster state: [ name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015} ]
    2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Processing node state [ name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime:2017-02-24 10:04:26.364 ]
    2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- ise22-pic-2 - [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ]
    2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 to liveJGroupMembers
    2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- No Of deployedNodes: [ 1 ], No Of liveJGroupNodes: [ 1 ], deadOrSyncInPrgMembersExist: [ false ], latestMinSequence: [ 502 ]
    2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- deadOrSyncInPrgMembersExist =[false], minSequence=[1598],clusterState=[502]

    Message de ise-psc.log

    2017-02-24 10:19:36,902 INFO   [pool-216-thread-1][] api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise22-pic-2, DB 'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECONDARY, ReplicationStatus obj status: SYNC_COMPLETED

    Problème commun : noeud secondaire inaccessible

    Si le noeud secondaire devient inaccessible, il s'affiche à la page Administration > Deployment :

    ise-psc.log contient le message suivant : 

    2017-02-24 10:43:21,587 INFO   [admin-http-pool155][] admin.restui.features.deployment.DeploymentIDCUIApi -::::- Replication status for node ise22-pic-2 = NODE NOT REACHABLE

    Ce message explique ce qui n'est pas accessible, par exemple, le noeud ne répond pas à la requête ping :

    2017-02-24 11:03:53,359 INFO   [counterscheduler-call-1][] cisco.cpm.infrastructure.utils.GenericUtil -::::- Received pingNode response : Node is reachable

    Mesures à prendre : vérifiez si le nom de domaine complet (FQDN) du noeud canonique est résolvable, vérifiez la connectivité réseau de base entre les noeuds.

    Si les applications ne sont pas en état d'exécution sur le noeud secondaire ou s'il existe un pare-feu entre les noeuds, ise-psc.log peut afficher ces messages :

    2017-02-24 11:08:14,656 INFO   [Thread-10][] com.cisco.epm.util.NodeCheck -::::- Now checking against secondary pap ise22-pic-2
2017-02-24 11:08:14,656 INFO   [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::-  inside getHostConfigRemoteServer
2017-02-24 11:08:14,766 WARN   [Thread-10][] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::::- Error while connecting to host: ise22-pic-2.vkumov.local. java.net.ConnectException: Connection refused
2017-02-24 11:08:14,871 WARN   [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- Unable to retrieve the host config from standby pap java.net.ConnectException: Connection refused
2017-02-24 11:08:14,871 WARN   [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- returning null from getHostConfigRemoteServer
2017-02-24 11:08:14,871 INFO   [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remotePrimaryConfig.getNodeRoleStatus() NULL
2017-02-24 11:08:14,871 INFO   [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remoteClusterInfo.getDeploymentName NULL

    Actions à entreprendre : vérifier l'état de l'application sur le noeud secondaire, vérifier la connectivité réseau si toutes les connexions sont autorisées entre les noeuds.

    Active Directory et WMI

    Pour dépanner Active Directory WMI, recherchez ces fichiers :

    • passive-wmi.log
    • passive-endpoint.log
    • ise-psc.log
    • ad_agent.log

    Et les débogages utiles peuvent être activés dans Administration > Logging > Debug Log Configuration :

    ET:

    Voici un exemple d'une nouvelle session apprise de passive-wmi.log avec débogages activés :

    2017-02-24 11:36:22,584 DEBUG  [Thread-11][] com.cisco.idc.dc-probe- New login event retrieved from Domain Controller. Identity Mapping.ticket = 
instance of __InstanceCreationEvent
{
	SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
	TargetInstance = 
instance of Win32_NTLogEvent
{
	Category = 14339;
	CategoryString = "Kerberos Authentication Service";
	ComputerName = "MainDC.vkumov.local";
	EventCode = 4768;
	EventIdentifier = 4768;
	EventType = 4;
	InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""};
	Logfile = "Security";
	Message = "A Kerberos authentication ticket (TGT) was requested.
\n
\nAccount Information:
\n\tAccount Name:\t\tAdministrator
\n\tSupplied Realm Name:\tvkumov.local
\n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500
\n
\nService Information:
\n\tService Name:\t\tkrbtgt
\n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502
\n
\nNetwork Information:
\n\tClient Address:\t\t::1
\n\tClient Port:\t\t0
\n
\nAdditional Information:
\n\tTicket Options:\t\t0x40810010
\n\tResult Code:\t\t0x0
\n\tTicket Encryption Type:\t0x12
\n\tPre-Authentication Type:\t2
\n
\nCertificate Information:
\n\tCertificate Issuer Name:\t\t
\n\tCertificate Serial Number:\t
\n\tCertificate Thumbprint:\t\t
\n
\nCertificate information is only provided if a certificate was used for pre-authentication.
\n
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
	RecordNumber = 918032;
	SourceName = "Microsoft-Windows-Security-Auditing";
	TimeGenerated = "20170224103621.575178-000";
	TimeWritten = "20170224103621.575178-000";
	Type = "Audit Success";
};
	TIME_CREATED = "131324061825752057";
};
 , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , 
2017-02-24 11:36:22,587 DEBUG  [Thread-11][] com.cisco.idc.dc-probe- Replaced local IP. Identity Mapping.ticket = 
instance of __InstanceCreationEvent
{
	SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
	TargetInstance = 
instance of Win32_NTLogEvent
{
	Category = 14339;
	CategoryString = "Kerberos Authentication Service";
	ComputerName = "MainDC.vkumov.local";
	EventCode = 4768;
	EventIdentifier = 4768;
	EventType = 4;
	InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""};
	Logfile = "Security";
	Message = "A Kerberos authentication ticket (TGT) was requested.
\n
\nAccount Information:
\n\tAccount Name:\t\tAdministrator
\n\tSupplied Realm Name:\tvkumov.local
\n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500
\n
\nService Information:
\n\tService Name:\t\tkrbtgt
\n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502
\n
\nNetwork Information:
\n\tClient Address:\t\t::1
\n\tClient Port:\t\t0
\n
\nAdditional Information:
\n\tTicket Options:\t\t0x40810010
\n\tResult Code:\t\t0x0
\n\tTicket Encryption Type:\t0x12
\n\tPre-Authentication Type:\t2
\n
\nCertificate Information:
\n\tCertificate Issuer Name:\t\t
\n\tCertificate Serial Number:\t
\n\tCertificate Thumbprint:\t\t
\n
\nCertificate information is only provided if a certificate was used for pre-authentication.
\n
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
	RecordNumber = 918032;
	SourceName = "Microsoft-Windows-Security-Auditing";
	TimeGenerated = "20170224103621.575178-000";
	TimeWritten = "20170224103621.575178-000";
	Type = "Audit Success";
};
	TIME_CREATED = "131324061825752057";
};
 , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 , 
2017-02-24 11:36:22,589 DEBUG  [Thread-11][] com.cisco.idc.dc-probe- Received login event. Identity Mapping.ticket = 
instance of __InstanceCreationEvent
{
	SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
	TargetInstance = 
instance of Win32_NTLogEvent
{
	Category = 14339;
	CategoryString = "Kerberos Authentication Service";
	ComputerName = "MainDC.vkumov.local";
	EventCode = 4768;
	EventIdentifier = 4768;
	EventType = 4;
	InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""};
	Logfile = "Security";
	Message = "A Kerberos authentication ticket (TGT) was requested.
\n
\nAccount Information:
\n\tAccount Name:\t\tAdministrator
\n\tSupplied Realm Name:\tvkumov.local
\n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500
\n
\nService Information:
\n\tService Name:\t\tkrbtgt
\n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502
\n
\nNetwork Information:
\n\tClient Address:\t\t::1
\n\tClient Port:\t\t0
\n
\nAdditional Information:
\n\tTicket Options:\t\t0x40810010
\n\tResult Code:\t\t0x0
\n\tTicket Encryption Type:\t0x12
\n\tPre-Authentication Type:\t2
\n
\nCertificate Information:
\n\tCertificate Issuer Name:\t\t
\n\tCertificate Serial Number:\t
\n\tCertificate Thumbprint:\t\t
\n
\nCertificate information is only provided if a certificate was used for pre-authentication.
\n
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
	RecordNumber = 918032;
	SourceName = "Microsoft-Windows-Security-Auditing";
	TimeGenerated = "20170224103621.575178-000";
	TimeWritten = "20170224103621.575178-000";
	Type = "Audit Success";
};
	TIME_CREATED = "131324061825752057";
};
 , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.event-user-name = Administrator , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,

    Exemple de vérification du point de terminaison à partir de passive-endpoint.log (dans ce cas, le point de terminaison n'était pas accessible à partir de ISE) :

    2017-02-23 13:48:29,298 INFO   [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51]  is User=vkumov.local/Administrator Still There ? ...
2017-02-23 13:48:32,335 INFO   [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51]  Identity check result is - > Endpoint UNREACHABLE

    Problème commun : ISE PIC lance « Impossible d'exécuter l'exécutable sur <nom du contrôleur de domaine>... » erreur 

    Si l'utilisateur utilisé pour joindre le PIC ISE au domaine ne dispose pas des autorisations suffisantes, le PIC ISE émet une erreur lors de la configuration WMI :

    Les débogages appropriés se trouvent dans le fichier ad_agent.log (le niveau du journal Active Directory doit être défini sur DEBUG) :

    26/02/2017 19:15:45,VERBOSE,139954093012736,SMBGSSContextNegotiate: state = 1,lwio/server/smbcommon/smbkrb5.c:460
26/02/2017 19:15:45,VERBOSE,139956055955200,Session 0x7f49bc001430 is eligible for reaping,lwio/server/rdr/session2.c:290
26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7503
26/02/2017 19:15:45,VERBOSE,139954101405440,Extended Error code: 60190 (symbol: LW_ERROR_ISEEXEC_CP_OPEN_REMOTE_FILE),lsass/server/auth-providers/ad-open-provider/provider-main.c:7627
26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7628
26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7782
26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7855
26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/api/api2.c:2713
26/02/2017 19:15:45,VERBOSE,139956064347904,(session:ee880a4e15e682f4-08401b84f371a140) Dropping: LWMSG_STATUS_PEER_CLOSE,lwmsg/src/peer-task.c:625
26/02/2017 19:15:50,VERBOSE,139956055955200,RdrSocketRelease(0x7f496800b6e0, 38): socket is eligible for reaping,lwio/server/rdr/socket.c:2239

    Actions à entreprendre : Rejoindre les noeuds PIC ISE au domaine avec des informations d'identification d'administrateur de domaine ou ajouter l'utilisateur utilisé pour l'opération de jointure au groupe Administrateurs de domaine dans AD.

    TAC Authored

    Contribution d’experts de Cisco

    • Vitaly Kumov

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits