包括AD統合と仮想アプライアンスの理解

はじめに

このドキュメントでは、仮想アプライアンスを使用する際にUmbrella Active Directory(AD)統合がどのように機能するかについて説明します。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、Cisco Umbrellaに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

Umbrella Active Directoryと仮想アプライアンスの統合機能の概要

1. Umbrellaコネクタサービスは、ID 4624、528、540、538、4647、4634、4768、および4769のログオンイベントを、コネクタサーバーと同じUmbrellaサイトにあるすべてのドメインコントローラーのWindowsイベントビューアからプルします。 これらのログオンイベントには、ADユーザ/コンピュータ名とワークステーションのIPアドレスが含まれます。

2. コネクタは、新しいFOUNDイベントエントリの概要を同じUmbrellaサイト内のすべての仮想アプライアンスに転送します。  

注：コネクタは、パフォーマンスを最適化するためにログオンイベント情報をキャッシュするため、サマリーが常に送信されるわけではありません。 また、ADユーザ、ADグループ、またはUmbrellaサービスアカウント例外リストに追加されたIPアドレスに対しても、サマリーは送信されません。

3. 個々のVAはサマリーを使用して、IPアドレスとActive Directoryユーザ/コンピュータ間のマッピングファイルを作成します。

4. 特定のIPアドレスからVAにDNS要求が送信されると、マッピングファイルを使用して関連するADユーザ/コンピュータが検索されます。

5. ユーザー/コンピュータは、要求のポリシーを決定し、レポートで要求を識別します。

意図された機能

1. ユーザは、Umbrellaに登録されているDCを使用してADドメインにログインします。

2. そのDCと同じUmbrellaサイトにあるUmbrellaコネクタが、同じUmbrellaサイト内のすべてのVAにサマリーを転送します。

3. DHCPまたはその他の方法により、ユーザのDNSサーバがそのDCと同じUmbrellaサイト内のVAであることが保証されます。

4. ユーザーからのDNS要求がUmbrellaによって適切に識別されます。

Umbrellaでの未登録DCのシナリオ

逆に、Umbrellaに登録されていないDCを使用してADドメインにログインするとします。

1. Umbrellaコネクタはログオンイベントを認識せず、VAに転送するADユーザ/コンピュータ+ IPアドレスがありません。 

2. VAはマッピング・エントリを追加/編集できません。 

3. ユーザーからのDNS要求は、（キャッシュされたものがない限り）ユーザーに関連付けることができません。