본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
이 문서에서는 AD WMI(Active Directory Windows Management Instrumentation) 공급자를 사용하여 ISE PIC(Identity Services Engine Passive Identity Connector) 구축을 구성하고 문제를 해결하는 방법에 대해 설명합니다.ISE PIC는 패시브 ID 기능에 중점을 둔 경량 ISE 버전입니다.
ISE PIC는 수동 ID만 사용하는 모든 Cisco 보안 포트폴리오에 대한 단일 ID 솔루션입니다.이는 권한 부여 또는 정책을 ISE PIC에서 구성할 수 없음을 의미합니다.다양한 공급자(에이전트, WMI, Syslog, API)를 지원하며 REST API를 통해 통합할 수 있습니다.엔드포인트를 쿼리할 수 있습니다(사용자가 로그인되었습니까?엔드포인트가 여전히 연결되어 있습니까?)
Cisco에서는 이러한 주제에 대한 기본적인 지식을 얻을 것을 권장합니다.
Cisco Identity Service Engine
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
ISE PIC 구축의 최대 노드 수는 2입니다. 이 예에서는 고가용성을 위해 ISE PIC 구축을 구성하는 방법을 보여 주기 때문에 VM(가상 머신)이 2개 사용됩니다.ISE PIC 구축에서 노드는 다음 역할을 가질 수 있습니다.기본 및 보조.이 경우 한 번에 하나의 노드만 Primary일 수 있으며 역할은 GUI를 통해서만 수동으로 변경할 수 있습니다.기본 장애가 발생한 경우에도 UI를 제외한 모든 기능이 보조 에서 계속 실행됩니다.Primary로 수동 프로모션만 UI를 활성화합니다.
이 예에서는 Active Directory용 WMI 공급자를 구성하는 방법을 보여 줍니다.WMI는 계측된 구성 요소가 정보 및 알림을 제공하는 운영 체제 인터페이스를 제공하는 Windows 드라이버 모델에 대한 확장 집합으로 구성됩니다.WMI는 DMTF(Distributed Management Task Force)에서 WBEM(Web-Based Enterprise Management) 및 CIM(Common Information Model) 표준을 구현하는 Microsoft의 구현입니다.
참고:WMI에 대한 자세한 내용은 공식 Microsoft 사이트를 참조하십시오.WMI 정보
문서의 정보는 이미지에 표시된 네트워크 설정을 사용합니다.
ISE PIC에서는 엔드포인트 프로브를 활성화/비활성화하는 것만 가능합니다.기본 노드는 모든 엔드포인트를 쿼리하며, 보조 노드는 고가용성에만 사용됩니다.
CA(Certificate Authority)의 전체 인증서 체인은 ISE 트러스트된 저장소에 설치해야 합니다.ISE PIC GUI에 로그인하여 Certificates(인증서) > Certificates Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서)로 이동합니다.Import(가져오기)를 클릭하고 PC에서 CA 인증서를 선택합니다.
이미지에 표시된 대로 Submit(제출)을 클릭하여 변경 사항을 저장합니다.체인의 모든 인증서에 대해 이 단계를 반복합니다.보조 노드에서도 단계를 반복합니다.
옵션 1. 개인 키와 함께 CA에서 이미 생성한 인증서입니다.
Certificates(인증서) > Certificates Management(인증서 관리) > System Certificates(시스템 인증서)로 이동하고 Import(가져오기)를 클릭합니다.Certificate File and Private Key File(인증서 파일 및 개인 키 파일을 선택하고 개인 키가 암호화된 경우 Password(비밀번호) 필드를 입력합니다.
이미지 체크 사용 옵션에 표시된 대로
참고:ISE PIC는 ISE 코드를 기반으로 하며, 적절한 라이센스로 모든 기능을 갖춘 ISE로 쉽게 변환할 수 있으므로 모든 사용 옵션을 사용할 수 있습니다.EAP 인증, RADIUS DTLS, SAML 및 포털 등의 역할은 ISE PIC에서 사용되지 않습니다.
Submit(제출)을 클릭하여 인증서를 설치합니다.보조 노드에서도 이 절차를 반복합니다.
참고:서버 인증서 가져오기 후 ISE PIC 노드의 모든 서비스가 다시 시작됩니다.
옵션 2. CSR(Certificate Signing Request)을 생성하고 CA로 서명하고 ISE에 바인딩합니다.
Certificates(인증서) > Certificates Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청) 페이지로 이동하고 Generate Certificate Signing Requests (CSR)(CSR(인증서 서명 요청 생성)를 클릭합니다.
노드 및 사용량을 선택하고 필요한 경우 다른 필드를 입력합니다.
Generate(생성)를 클릭합니다.생성된 CSR을 내보낼 수 있는 옵션이 포함된 새 창이 나타납니다.
Export(내보내기)를 클릭하고 생성된 *.pem 파일을 저장하고 CA로 서명합니다.CSR이 서명되면 Certificates(인증서) > Certificates Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청) 페이지로 다시 이동한 후 CSR을 선택하고 Bind Certificate(인증서 바인딩)를 클릭합니다.
CA로 서명된 인증서를 선택하고 Submit(제출)을 클릭하여 변경 사항을 적용합니다.
Submit(제출)을 클릭하여 인증서를 설치한 후 ISE PIC 노드의 모든 서비스를 재시작합니다.
ISE PIC는 고가용성을 위해 한 구축에서 2개의 노드를 가질 수 있습니다.인증서를 양방향으로 신뢰할 필요가 없습니다(일반적인 ISE 구축과 비교). 구축에 보조 노드를 추가하려면 이미지에 표시된 대로 기본 ISE PIC 노드에서 Administration(관리) > Deployment(구축) 페이지로 이동합니다.
보조 노드의 FQDN(Fully Qualified Domain Name)을 입력하고 해당 노드의 관리자 자격 증명을 입력하고 Save를 클릭합니다.기본 ISE PIC 노드가 두 번째 노드의 관리자 인증서를 확인할 수 없는 경우 해당 인증서를 신뢰할 수 있는 저장소에 설치하기 전에 확인을 요청합니다.
이 경우 Import Certificate and Proceed를 클릭하여 노드를 구축에 조인합니다.노드가 성공적으로 추가되었다는 알림을 받아야 합니다.보조 노드의 모든 서비스가 다시 시작됩니다.
10~20분 내에 노드를 동기화해야 하며 노드의 상태가 다음 위치에서 변경되어야 합니다.
ISE PIC는 WMI(Windows Management Instrumentation)를 사용하여 AD에서 세션에 대한 정보를 수집하고 Pub/Sub 커뮤니케이션과 같은 역할을 합니다. 이는 다음을 의미합니다.
ISE PIC를 도메인에 가입시키려면 Providers(제공자) > Active Directory(Active Directory)로 이동하고 Add(추가)를 클릭합니다.
가입 포인트 이름 및 Active Directory 도메인 필드를 입력하고 Submit(제출)을 클릭하여 변경 사항을 저장합니다.가입 포인트 이름은 ISE PIC에서만 사용되는 이름입니다.Active Directory 도메인은 ISE PIC가 조인되어야 하는 도메인의 이름이며 ISE PIC에 구성된 DNS 서버로 확인할 수 있어야 합니다.
가입 포인트 ISE PIC를 만든 후 노드를 도메인에 가입시킬 것인지 묻는 메시지가 표시됩니다.예를 클릭합니다.도메인에 가입하기 위한 자격 증명을 제공하는 창이 팝업되어야 합니다.
도메인 관리자 및 비밀번호 필드를 입력하고 확인을 클릭합니다.
이 필드를 도메인 관리자라고 하지만 관리자 사용자를 사용하여 ISE PIC를 도메인에 조인할 필요는 없습니다.이 사용자는 도메인에서 컴퓨터 계정을 만들고 제거하거나 이전에 만든 컴퓨터 계정의 암호를 변경할 수 있는 충분한 권한이 있어야 합니다. 다양한 작업을 수행하는 데 필요한 Active Directory 계정 권한은 이 문서에서 찾을 수 있습니다.
그러나 WMI를 사용하려면 가입 중에 도메인 관리자 자격 증명을 사용해야 합니다.구성 WMI 옵션에는 다음이 필요합니다.
참고:저장소 자격 증명은 엔드포인트 프로브 및 WMI 구성에 필요하므로 ISE PIC에서 항상 활성화됩니다.ISE는 내부적으로 암호화됩니다.
이미지에 표시된 대로 ISE PIC는 새 창에 작업 결과를 표시합니다.
문서에 따라 AD에 대한 사용자의 권한을 확인 및 조정합니다.ISE-PIC(Identity Services Engine Passive Identity Connector) 설치 및 관리자 안내서:
Windows 2008 R2, Windows 2012 및 Windows 2012 R2의 경우 도메인 관리자 그룹은 기본적으로 Windows 운영 체제의 특정 레지스트리 키에 대한 모든 권한을 가지고 있지 않습니다.Active Directory 관리자는 다음 레지스트리 키에 대해 Active Directory 사용자에게 모든 권한을 부여해야 합니다
AD 도메인 페이지에서 PassiveID 탭으로 이동한 다음 이미지에 표시된 대로 Add DCs(DC 추가)를 클릭합니다.
새 창이 열리고 ISE가 사용 가능한 모든 도메인 컨트롤러 목록을 로드합니다.WMI를 구성하려는 DC를 선택하고 OK를 클릭하여 변경 사항을 저장합니다. 이미지에 표시된 대로
선택한 DC가 PassiveID 도메인 컨트롤러 목록에 추가됩니다.DC를 선택하고 Config WMI 버튼을 클릭합니다.
ISE PIC는 컨피그레이션 프로세스가 진행 중이라는 메시지를 표시합니다.
몇 분 후에 선택한 DC에서 WMI가 성공적으로 구성되었다는 메시지가 표시됩니다.
구축 상태를 몇 가지 방법으로 확인할 수 있습니다.
Administration(관리) > Deployment(구축) 페이지로 이동하여 구축의 현재 상태를 확인할 수 있습니다.
필요한 경우 이 페이지에서 보조 노드의 등록을 취소할 수 있습니다.수동 동기화를 시작하고 동기화 상태를 선택할 수 있습니다.
기본 ISE PIC 페이지에는 가입자라는 dashlet이 있습니다.이 dashlet을 사용하여 다음 이미지에 표시된 대로 ISE PIC 노드의 현재 상태를 확인할 수 있습니다.
ISE PIC는 각 노드에 대해 2개의 가입자(admin 및 mnt)를 생성합니다.모든 노드가 온라인 상태에 있어야 합니다. 즉, 노드가 연결 가능하고 작동 가능합니다.
가입자 페이지는 ISE PIC의 홈 페이지에서 가입자 dashlet의 확장 버전입니다.이 페이지에는 모든 pxGrid 관련 정보가 표시되지만 ISE PIC 노드의 상태도 여기에서 확인할 수 있습니다.
ISE PIC에서는 노드의 상태 요약도 모니터링할 수 있습니다.이 대시릿은 홈 > 대시보드 > 추가에서 찾을 수 있습니다.
ISE PIC가 인증/권한 부여를 수행하지 않으므로 인증 대기 시간은 항상 0ms입니다.
제공자 상태, 해당 세션의 수량 및 찾은 세션의 양을 확인할 수 있으며, 홈 > 대시보드 페이지로 이동할 수 있습니다.
검색된 모든 사용자 세션에 대한 자세한 내용은 라이브 세션 페이지에서 확인할 수 있습니다.
여기에는 다음과 같은 정보가 포함됩니다.
구축 및 복제 문제를 해결하려면 다음 로그 파일을 확인하십시오.
디버그를 활성화하려면 Administration(관리) > Logging(로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)으로 이동합니다.
이러한 디버그는 replication.log 파일에 기록됩니다.다음은 일반적인 복제 프로세스의 예입니다.
2017-02-24 10:11:06,893 INFO [pool-215-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Calling the publisher job from clusterstate processor
2017-02-24 10:11:06,893 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Started executing publisher job
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Number of messages with no sequence number is 0
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished executing publisher job
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -::::- Calling setClusterState(name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015})
2017-02-24 10:11:06,896 INFO [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished sending the clusterState !!!
2017-02-24 10:11:06,899 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- MonitorJob starting
2017-02-24 10:11:06,901 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -:::NodeStateMonitor:- Calling getNodeStates()
2017-02-24 10:11:06,904 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Nodes in distrubution: {ise22-pic-2=nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364} --- Nodes in cluster: [name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime: 2017-02-24 10:04:26.364]
2017-02-24 10:11:06,904 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ] to liveDeploymentMembers
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Primary node current status minmum sequence[ 1600 ], cluster state: [ name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015} ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Processing node state [ name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime:2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- ise22-pic-2 - [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 to liveJGroupMembers
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- No Of deployedNodes: [ 1 ], No Of liveJGroupNodes: [ 1 ], deadOrSyncInPrgMembersExist: [ false ], latestMinSequence: [ 502 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- deadOrSyncInPrgMembersExist =[false], minSequence=[1598],clusterState=[502]
ise-psc.log의 메시지:
2017-02-24 10:19:36,902 INFO [pool-216-thread-1][] api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise22-pic-2, DB 'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECONDARY, ReplicationStatus obj status: SYNC_COMPLETED
보조 노드에 도달할 수 없게 되면 Administration(관리) > Deployment(구축) 페이지에 표시됩니다.
ise-psc.log에는 다음 메시지가 포함됩니다.
2017-02-24 10:43:21,587 INFO [admin-http-pool155][] admin.restui.features.deployment.DeploymentIDCUIApi -::::- Replication status for node ise22-pic-2 = NODE NOT REACHABLE
이 메시지는 연결할 수 없는 항목에 대해 설명합니다. 예를 들어 노드가 ping에 응답하지 않습니다.
2017-02-24 11:03:53,359 INFO [counterscheduler-call-1][] cisco.cpm.infrastructure.utils.GenericUtil -::::- Received pingNode response : Node is reachable
수행할 작업:FQDN을 확인할 수 있는지 확인하고 노드 간의 기본 네트워크 연결을 확인합니다.
애플리케이션이 보조 노드에서 실행 중인 상태가 아니거나 노드 간에 방화벽이 있는 경우 ise-psc.log에서 이러한 메시지를 표시할 수 있습니다.
2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- Now checking against secondary pap ise22-pic-2 2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- inside getHostConfigRemoteServer 2017-02-24 11:08:14,766 WARN [Thread-10][] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::::- Error while connecting to host: ise22-pic-2.vkumov.local. java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- Unable to retrieve the host config from standby pap java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- returning null from getHostConfigRemoteServer 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remotePrimaryConfig.getNodeRoleStatus() NULL 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remoteClusterInfo.getDeploymentName NULL
수행할 작업: 보조 노드에서 애플리케이션 상태를 확인하고 노드 간에 모든 연결이 허용되는지 네트워크 연결을 확인합니다.
Active Directory WMI에서 이러한 파일을 확인하는 문제를 해결하려면 다음을 수행합니다.
또한 유용한 디버그는 Administration(관리) > Logging(로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)에서 활성화할 수 있습니다.
및:
다음은 디버그가 활성화된 passive-wmi.log에서 새로 학습된 세션의 예입니다.
2017-02-24 11:36:22,584 DEBUG [Thread-11][] com.cisco.idc.dc-probe- New login event retrieved from Domain Controller. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , 2017-02-24 11:36:22,587 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Replaced local IP. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 , 2017-02-24 11:36:22,589 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Received login event. Identity Mapping.ticket = instance of __InstanceCreationEvent { SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0}; TargetInstance = instance of Win32_NTLogEvent { Category = 14339; CategoryString = "Kerberos Authentication Service"; ComputerName = "MainDC.vkumov.local"; EventCode = 4768; EventIdentifier = 4768; EventType = 4; InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""}; Logfile = "Security"; Message = "A Kerberos authentication ticket (TGT) was requested. \n \nAccount Information: \n\tAccount Name:\t\tAdministrator \n\tSupplied Realm Name:\tvkumov.local \n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500 \n \nService Information: \n\tService Name:\t\tkrbtgt \n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502 \n \nNetwork Information: \n\tClient Address:\t\t::1 \n\tClient Port:\t\t0 \n \nAdditional Information: \n\tTicket Options:\t\t0x40810010 \n\tResult Code:\t\t0x0 \n\tTicket Encryption Type:\t0x12 \n\tPre-Authentication Type:\t2 \n \nCertificate Information: \n\tCertificate Issuer Name:\t\t \n\tCertificate Serial Number:\t \n\tCertificate Thumbprint:\t\t \n \nCertificate information is only provided if a certificate was used for pre-authentication. \n \nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120."; RecordNumber = 918032; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20170224103621.575178-000"; TimeWritten = "20170224103621.575178-000"; Type = "Audit Success"; }; TIME_CREATED = "131324061825752057"; }; , Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.event-user-name = Administrator , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,
passive-endpoint.log에서 엔드포인트 확인의 예(이 경우 엔드포인트가 ISE에서 도달할 수 없음):
2017-02-23 13:48:29,298 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] is User=vkumov.local/Administrator Still There ? ... 2017-02-23 13:48:32,335 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] Identity check result is - > Endpoint UNREACHABLE
ISE PIC를 도메인에 가입시키는 데 사용되는 사용자에게 충분한 권한이 없는 경우 ISE PIC는 WMI 구성 중에 오류를 throw합니다.
ad_agent.log 파일에서 적절한 디버깅을 찾을 수 있습니다(Active Directory 로그 수준은 DEBUG로 설정되어야 함).
26/02/2017 19:15:45,VERBOSE,139954093012736,SMBGSSContextNegotiate: state = 1,lwio/server/smbcommon/smbkrb5.c:460 26/02/2017 19:15:45,VERBOSE,139956055955200,Session 0x7f49bc001430 is eligible for reaping,lwio/server/rdr/session2.c:290 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 26/02/2017 19:15:45,VERBOSE,139954101405440,Extended Error code: 60190 (symbol: LW_ERROR_ISEEXEC_CP_OPEN_REMOTE_FILE),lsass/server/auth-providers/ad-open-provider/provider-main.c:7627 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7782 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7855 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/api/api2.c:2713 26/02/2017 19:15:45,VERBOSE,139956064347904,(session:ee880a4e15e682f4-08401b84f371a140) Dropping: LWMSG_STATUS_PEER_CLOSE,lwmsg/src/peer-task.c:625 26/02/2017 19:15:50,VERBOSE,139956055955200,RdrSocketRelease(0x7f496800b6e0, 38): socket is eligible for reaping,lwio/server/rdr/socket.c:2239
수행할 작업: 도메인 관리자 자격 증명을 사용하여 ISE PIC 노드를 도메인에 다시 가입시키거나 가입 작업에 사용되는 사용자를 AD의 도메인 관리자 그룹에 추가합니다.