Active Directory WMI 공급자를 사용하여 ISE 2.2 PIC 구성
목차
소개
이 문서에서는 AD WMI(Active Directory Windows Management Instrumentation) 공급자를 사용하여 ISE PIC(Identity Services Engine Passive Identity Connector) 구축을 구성하고 문제를 해결하는 방법에 대해 설명합니다.ISE PIC는 패시브 ID 기능에 중점을 둔 경량 ISE 버전입니다.
ISE PIC는 수동 ID만 사용하는 모든 Cisco 보안 포트폴리오에 대한 단일 ID 솔루션입니다.이는 권한 부여 또는 정책을 ISE PIC에서 구성할 수 없음을 의미합니다.다양한 공급자(에이전트, WMI, Syslog, API)를 지원하며 REST API를 통해 통합할 수 있습니다.엔드포인트를 쿼리할 수 있습니다(사용자가 로그인되었습니까?엔드포인트가 여전히 연결되어 있습니까?)
사전 요구 사항
요구 사항
Cisco에서는 이러한 주제에 대한 기본적인 지식을 얻을 것을 권장합니다.
-
Cisco Identity Service Engine
- Microsoft Active Directory
- Microsoft WMI
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Cisco Identity Service Engine Passive Identity Connector 버전 2.2.0.470
- Microsoft Windows 7 서비스 팩 1
- Microsoft Windows Server 2012 r2
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
ISE PIC 구축의 최대 노드 수는 2입니다. 이 예에서는 고가용성을 위해 ISE PIC 구축을 구성하는 방법을 보여 주기 때문에 VM(가상 머신)이 2개 사용됩니다.ISE PIC 구축에서 노드는 다음 역할을 가질 수 있습니다.기본 및 보조.이 경우 한 번에 하나의 노드만 Primary일 수 있으며 역할은 GUI를 통해서만 수동으로 변경할 수 있습니다.기본 장애가 발생한 경우에도 UI를 제외한 모든 기능이 보조 에서 계속 실행됩니다.Primary로 수동 프로모션만 UI를 활성화합니다.
이 예에서는 Active Directory용 WMI 공급자를 구성하는 방법을 보여 줍니다.WMI는 계측된 구성 요소가 정보 및 알림을 제공하는 운영 체제 인터페이스를 제공하는 Windows 드라이버 모델에 대한 확장 집합으로 구성됩니다.WMI는 DMTF(Distributed Management Task Force)에서 WBEM(Web-Based Enterprise Management) 및 CIM(Common Information Model) 표준을 구현하는 Microsoft의 구현입니다.
네트워크 다이어그램
문서의 정보는 이미지에 표시된 네트워크 설정을 사용합니다.
워크플로
- PC에 로그인하여 AD에서 인증됩니다.
- WMI는 ISE PIC에 이 인증에 대해 알립니다.
- ISE는 세션 디렉토리에 바인딩 사용자 이름:IP_Address를 추가합니다.
- ISE는 AD에서 사용자 그룹 및 특성을 검색합니다.
- ISE는 이 정보를 세션 디렉토리에 저장합니다.
- 4시간마다(구성할 수 없음) ISE PIC는 엔드포인트 프로브를 실행합니다.
- 먼저 WMI를 끝점으로 시도합니다.
- WMI가 실패하면 ISE PIC는 ISEExec를 실행합니다.엔드포인트에서 사용자를 쿼리하고 다음에 WMI를 사용하도록 설정합니다.
- 또한 ISE PIC는 엔드포인트 및 OS 유형의 MAC 주소를 검색합니다.
구성
ISE PIC 구축 구성
1단계(선택 사항). 신뢰할 수 있는 인증서를 설치합니다.
CA(Certificate Authority)의 전체 인증서 체인은 ISE 트러스트된 저장소에 설치해야 합니다.ISE PIC GUI에 로그인하여 Certificates(인증서) > Certificates Management(인증서 관리) > Trusted Certificates(신뢰할 수 있는 인증서)로 이동합니다.Import(가져오기)를 클릭하고 PC에서 CA 인증서를 선택합니다.
이미지에 표시된 대로 Submit(제출)을 클릭하여 변경 사항을 저장합니다.체인의 모든 인증서에 대해 이 단계를 반복합니다.보조 노드에서도 단계를 반복합니다.
2단계(선택 사항). 시스템 인증서를 설치합니다.
옵션 1. 개인 키와 함께 CA에서 이미 생성한 인증서입니다.
Certificates(인증서) > Certificates Management(인증서 관리) > System Certificates(시스템 인증서)로 이동하고 Import(가져오기)를 클릭합니다.Certificate File and Private Key File(인증서 파일 및 개인 키 파일을 선택하고 개인 키가 암호화된 경우 Password(비밀번호) 필드를 입력합니다.
이미지 체크 사용 옵션에 표시된 대로
Submit(제출)을 클릭하여 인증서를 설치합니다.보조 노드에서도 이 절차를 반복합니다.
옵션 2. CSR(Certificate Signing Request)을 생성하고 CA로 서명하고 ISE에 바인딩합니다.
Certificates(인증서) > Certificates Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청) 페이지로 이동하고 Generate Certificate Signing Requests (CSR)(CSR(인증서 서명 요청 생성)를 클릭합니다.
노드 및 사용량을 선택하고 필요한 경우 다른 필드를 입력합니다.
Generate(생성)를 클릭합니다.생성된 CSR을 내보낼 수 있는 옵션이 포함된 새 창이 나타납니다.
Export(내보내기)를 클릭하고 생성된 *.pem 파일을 저장하고 CA로 서명합니다.CSR이 서명되면 Certificates(인증서) > Certificates Management(인증서 관리) > Certificate Signing Requests(인증서 서명 요청) 페이지로 다시 이동한 후 CSR을 선택하고 Bind Certificate(인증서 바인딩)를 클릭합니다.
CA로 서명된 인증서를 선택하고 Submit(제출)을 클릭하여 변경 사항을 적용합니다.
3단계. 구축에 보조 노드를 추가합니다.
ISE PIC는 고가용성을 위해 한 구축에서 2개의 노드를 가질 수 있습니다.인증서를 양방향으로 신뢰할 필요가 없습니다(일반적인 ISE 구축과 비교). 구축에 보조 노드를 추가하려면 이미지에 표시된 대로 기본 ISE PIC 노드에서 Administration(관리) > Deployment(구축) 페이지로 이동합니다.
보조 노드의 FQDN(Fully Qualified Domain Name)을 입력하고 해당 노드의 관리자 자격 증명을 입력하고 Save를 클릭합니다.기본 ISE PIC 노드가 두 번째 노드의 관리자 인증서를 확인할 수 없는 경우 해당 인증서를 신뢰할 수 있는 저장소에 설치하기 전에 확인을 요청합니다.
이 경우 Import Certificate and Proceed를 클릭하여 노드를 구축에 조인합니다.노드가 성공적으로 추가되었다는 알림을 받아야 합니다.보조 노드의 모든 서비스가 다시 시작됩니다.
10~20분 내에 노드를 동기화해야 하며 노드의 상태가 다음 위치에서 변경되어야 합니다.
Active Directory 공급자 구성
ISE PIC는 WMI(Windows Management Instrumentation)를 사용하여 AD에서 세션에 대한 정보를 수집하고 Pub/Sub 커뮤니케이션과 같은 역할을 합니다. 이는 다음을 의미합니다.
- ISE PIC는 특정 이벤트에 가입합니다.
- WMI는 이러한 이벤트가 발생할 때 ISE PIC에 알림을 보냅니다.
- 4768(Kerberos Ticket Granting) 및 4770(Kerberos 티켓 갱신)
- 세션 디렉터리의 항목이 만료(제거)
1단계. ISE PIC를 도메인에 조인합니다.
ISE PIC를 도메인에 가입시키려면 Providers(제공자) > Active Directory(Active Directory)로 이동하고 Add(추가)를 클릭합니다.
가입 포인트 이름 및 Active Directory 도메인 필드를 입력하고 Submit(제출)을 클릭하여 변경 사항을 저장합니다.가입 포인트 이름은 ISE PIC에서만 사용되는 이름입니다.Active Directory 도메인은 ISE PIC가 조인되어야 하는 도메인의 이름이며 ISE PIC에 구성된 DNS 서버로 확인할 수 있어야 합니다.
가입 포인트 ISE PIC를 만든 후 노드를 도메인에 가입시킬 것인지 묻는 메시지가 표시됩니다.예를 클릭합니다.도메인에 가입하기 위한 자격 증명을 제공하는 창이 팝업되어야 합니다.
도메인 관리자 및 비밀번호 필드를 입력하고 확인을 클릭합니다.
이 필드를 도메인 관리자라고 하지만 관리자 사용자를 사용하여 ISE PIC를 도메인에 조인할 필요는 없습니다.이 사용자는 도메인에서 컴퓨터 계정을 만들고 제거하거나 이전에 만든 컴퓨터 계정의 암호를 변경할 수 있는 충분한 권한이 있어야 합니다. 다양한 작업을 수행하는 데 필요한 Active Directory 계정 권한은 이 문서에서 찾을 수 있습니다.
그러나 WMI를 사용하려면 가입 중에 도메인 관리자 자격 증명을 사용해야 합니다.구성 WMI 옵션에는 다음이 필요합니다.
- 레지스트리 변경
- DCOM 사용 권한
- WMI를 원격으로 사용할 수 있는 권한
- AD 도메인 컨트롤러의 보안 이벤트 로그 읽기 액세스
- Windows 방화벽은 ISE PIC에서 ISE PIC로 가는 트래픽을 허용해야 합니다(해당 Windows 방화벽 정책은 구성 WMI 동안 생성됨).
이미지에 표시된 대로 ISE PIC는 새 창에 작업 결과를 표시합니다.
2단계. AD에 대한 권한을 조정합니다.
문서에 따라 AD에 대한 사용자의 권한을 확인 및 조정합니다.ISE-PIC(Identity Services Engine Passive Identity Connector) 설치 및 관리자 안내서:
도메인 관리 그룹에서 AD 사용자가 있을 때 권한 설정
Windows 2008 R2, Windows 2012 및 Windows 2012 R2의 경우 도메인 관리자 그룹은 기본적으로 Windows 운영 체제의 특정 레지스트리 키에 대한 모든 권한을 가지고 있지 않습니다.Active Directory 관리자는 다음 레지스트리 키에 대해 Active Directory 사용자에게 모든 권한을 부여해야 합니다
- HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-0060806D9B6}
- HKLM\Software\Classes\Wow6432Node\CLSID\{76A64158-CB41-11D1-8B02-0060806D9B6}
3단계. PassiveID 에이전트를 추가합니다.
AD 도메인 페이지에서 PassiveID 탭으로 이동한 다음 이미지에 표시된 대로 Add DCs(DC 추가)를 클릭합니다.
새 창이 열리고 ISE가 사용 가능한 모든 도메인 컨트롤러 목록을 로드합니다.WMI를 구성하려는 DC를 선택하고 OK를 클릭하여 변경 사항을 저장합니다. 이미지에 표시된 대로
선택한 DC가 PassiveID 도메인 컨트롤러 목록에 추가됩니다.DC를 선택하고 Config WMI 버튼을 클릭합니다.
ISE PIC는 컨피그레이션 프로세스가 진행 중이라는 메시지를 표시합니다.
몇 분 후에 선택한 DC에서 WMI가 성공적으로 구성되었다는 메시지가 표시됩니다.
다음을 확인합니다.
구축
구축 상태를 몇 가지 방법으로 확인할 수 있습니다.
배포 페이지
Administration(관리) > Deployment(구축) 페이지로 이동하여 구축의 현재 상태를 확인할 수 있습니다.
필요한 경우 이 페이지에서 보조 노드의 등록을 취소할 수 있습니다.수동 동기화를 시작하고 동기화 상태를 선택할 수 있습니다.
대시보드 페이지
기본 ISE PIC 페이지에는 가입자라는 dashlet이 있습니다.이 dashlet을 사용하여 다음 이미지에 표시된 대로 ISE PIC 노드의 현재 상태를 확인할 수 있습니다.
ISE PIC는 각 노드에 대해 2개의 가입자(admin 및 mnt)를 생성합니다.모든 노드가 온라인 상태에 있어야 합니다. 즉, 노드가 연결 가능하고 작동 가능합니다.
가입자
가입자 페이지는 ISE PIC의 홈 페이지에서 가입자 dashlet의 확장 버전입니다.이 페이지에는 모든 pxGrid 관련 정보가 표시되지만 ISE PIC 노드의 상태도 여기에서 확인할 수 있습니다.
시스템 요약
ISE PIC에서는 노드의 상태 요약도 모니터링할 수 있습니다.이 대시릿은 홈 > 대시보드 > 추가에서 찾을 수 있습니다.
공급자 및 세션
홈 페이지
제공자 상태, 해당 세션의 수량 및 찾은 세션의 양을 확인할 수 있으며, 홈 > 대시보드 페이지로 이동할 수 있습니다.
라이브 세션
검색된 모든 사용자 세션에 대한 자세한 내용은 라이브 세션 페이지에서 확인할 수 있습니다.
여기에는 다음과 같은 정보가 포함됩니다.
- 공급자 - 이 세션을 식별하는 데 사용된 공급자
- Initiated and Updated(시작 및 업데이트) - 세션이 시작되고 그에 따라 업데이트될 때 타임스탬프
- IP Address - 엔드포인트의 주소
- 작업 - ISE에서 수행할 수 있는 작업(예: 엔드포인트 상태 확인 또는 ISE PXgrid와 통합된 경우 세션 지우기 요청을 전송)
문제 해결
구축
구축 및 복제 문제를 해결하려면 다음 로그 파일을 확인하십시오.
- replication.log
- deployment.log
- ise-psc.log
디버그를 활성화하려면 Administration(관리) > Logging(로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)으로 이동합니다.
이러한 디버그는 replication.log 파일에 기록됩니다.다음은 일반적인 복제 프로세스의 예입니다.
2017-02-24 10:11:06,893 INFO [pool-215-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Calling the publisher job from clusterstate processor
2017-02-24 10:11:06,893 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Started executing publisher job
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Number of messages with no sequence number is 0
2017-02-24 10:11:06,894 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished executing publisher job
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -::::- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,895 DEBUG [pool-214-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -::::- Calling setClusterState(name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015})
2017-02-24 10:11:06,896 INFO [pool-214-thread-1][] cisco.cpm.deployment.replication.PublisherImpl -::::- Finished sending the clusterState !!!
2017-02-24 10:11:06,899 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- MonitorJob starting
2017-02-24 10:11:06,901 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.ClientNodeProxy -:::NodeStateMonitor:- Calling getNodeStates()
2017-02-24 10:11:06,904 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Nodes in distrubution: {ise22-pic-2=nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364} --- Nodes in cluster: [name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime: 2017-02-24 10:04:26.364]
2017-02-24 10:11:06,904 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ] to liveDeploymentMembers
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[63ce2fe0-f8cd-11e6-b0ad-005056991a2e],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[502]2017-02-22 08:06:10.782]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] api.services.persistance.dao.ChangeDataDaoImpl -:::NodeStateMonitor:- Data returned in getMinMaxBySequence method=[id=[3ded93c0-fa70-11e6-b684-005056990fbb],startTime=[0],endTime=[0],applied=[false],data length=[794],sequenceNumber=[1600]2017-02-24 10:04:26.364]
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Primary node current status minmum sequence[ 1600 ], cluster state: [ name: ise22-pic-1, minSequence: 502, sequence: 1600, active: {ise22-pic-1-5015} ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Processing node state [ name: ise22-pic-2, Address: ise22-pic-2-38077, sequence: 1600, createtime:2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- ise22-pic-2 - [ nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- Adding nodeName: ise22-pic-2, status: SYNC COMPLETED, transientStatus: , lastStatusTime: 1487927436906, seqNumber: 1600, createTime: 2017-02-24 10:04:26.364 to liveJGroupMembers
2017-02-24 10:11:06,905 INFO [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- No Of deployedNodes: [ 1 ], No Of liveJGroupNodes: [ 1 ], deadOrSyncInPrgMembersExist: [ false ], latestMinSequence: [ 502 ]
2017-02-24 10:11:06,905 DEBUG [pool-216-thread-1][] cisco.cpm.deployment.replication.NodeStateMonitorImpl -:::NodeStateMonitor:- deadOrSyncInPrgMembersExist =[false], minSequence=[1598],clusterState=[502]
ise-psc.log의 메시지:
2017-02-24 10:19:36,902 INFO [pool-216-thread-1][] api.services.persistance.dao.DistributionDAO -:::NodeStateMonitor:- Host Name: ise22-pic-2, DB 'SEC_REPLICATIONSTATUS' = SYNC COMPLETED, Node Persona: SECONDARY, ReplicationStatus obj status: SYNC_COMPLETED
일반적인 문제:보조 노드에 연결할 수 없습니다.
보조 노드에 도달할 수 없게 되면 Administration(관리) > Deployment(구축) 페이지에 표시됩니다.
ise-psc.log에는 다음 메시지가 포함됩니다.
2017-02-24 10:43:21,587 INFO [admin-http-pool155][] admin.restui.features.deployment.DeploymentIDCUIApi -::::- Replication status for node ise22-pic-2 = NODE NOT REACHABLE
이 메시지는 연결할 수 없는 항목에 대해 설명합니다. 예를 들어 노드가 ping에 응답하지 않습니다.
2017-02-24 11:03:53,359 INFO [counterscheduler-call-1][] cisco.cpm.infrastructure.utils.GenericUtil -::::- Received pingNode response : Node is reachable
수행할 작업:FQDN을 확인할 수 있는지 확인하고 노드 간의 기본 네트워크 연결을 확인합니다.
애플리케이션이 보조 노드에서 실행 중인 상태가 아니거나 노드 간에 방화벽이 있는 경우 ise-psc.log에서 이러한 메시지를 표시할 수 있습니다.
2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- Now checking against secondary pap ise22-pic-2 2017-02-24 11:08:14,656 INFO [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- inside getHostConfigRemoteServer 2017-02-24 11:08:14,766 WARN [Thread-10][] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::::- Error while connecting to host: ise22-pic-2.vkumov.local. java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- Unable to retrieve the host config from standby pap java.net.ConnectException: Connection refused 2017-02-24 11:08:14,871 WARN [Thread-10][] com.cisco.epm.util.NodeCheckHelper -::::- returning null from getHostConfigRemoteServer 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remotePrimaryConfig.getNodeRoleStatus() NULL 2017-02-24 11:08:14,871 INFO [Thread-10][] com.cisco.epm.util.NodeCheck -::::- remoteClusterInfo.getDeploymentName NULL
수행할 작업: 보조 노드에서 애플리케이션 상태를 확인하고 노드 간에 모든 연결이 허용되는지 네트워크 연결을 확인합니다.
Active Directory 및 WMI
Active Directory WMI에서 이러한 파일을 확인하는 문제를 해결하려면 다음을 수행합니다.
- passive wmi.log
- passive endpoint.log
- ise-psc.log
- ad_agent.log
또한 유용한 디버그는 Administration(관리) > Logging(로깅) > Debug Log Configuration(디버그 로그 컨피그레이션)에서 활성화할 수 있습니다.
및:
다음은 디버그가 활성화된 passive-wmi.log에서 새로 학습된 세션의 예입니다.
2017-02-24 11:36:22,584 DEBUG [Thread-11][] com.cisco.idc.dc-probe- New login event retrieved from Domain Controller. Identity Mapping.ticket =
instance of __InstanceCreationEvent
{
SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
TargetInstance =
instance of Win32_NTLogEvent
{
Category = 14339;
CategoryString = "Kerberos Authentication Service";
ComputerName = "MainDC.vkumov.local";
EventCode = 4768;
EventIdentifier = 4768;
EventType = 4;
InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""};
Logfile = "Security";
Message = "A Kerberos authentication ticket (TGT) was requested.
\n
\nAccount Information:
\n\tAccount Name:\t\tAdministrator
\n\tSupplied Realm Name:\tvkumov.local
\n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500
\n
\nService Information:
\n\tService Name:\t\tkrbtgt
\n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502
\n
\nNetwork Information:
\n\tClient Address:\t\t::1
\n\tClient Port:\t\t0
\n
\nAdditional Information:
\n\tTicket Options:\t\t0x40810010
\n\tResult Code:\t\t0x0
\n\tTicket Encryption Type:\t0x12
\n\tPre-Authentication Type:\t2
\n
\nCertificate Information:
\n\tCertificate Issuer Name:\t\t
\n\tCertificate Serial Number:\t
\n\tCertificate Thumbprint:\t\t
\n
\nCertificate information is only provided if a certificate was used for pre-authentication.
\n
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
RecordNumber = 918032;
SourceName = "Microsoft-Windows-Security-Auditing";
TimeGenerated = "20170224103621.575178-000";
TimeWritten = "20170224103621.575178-000";
Type = "Audit Success";
};
TIME_CREATED = "131324061825752057";
};
, Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 ,
2017-02-24 11:36:22,587 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Replaced local IP. Identity Mapping.ticket =
instance of __InstanceCreationEvent
{
SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
TargetInstance =
instance of Win32_NTLogEvent
{
Category = 14339;
CategoryString = "Kerberos Authentication Service";
ComputerName = "MainDC.vkumov.local";
EventCode = 4768;
EventIdentifier = 4768;
EventType = 4;
InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""};
Logfile = "Security";
Message = "A Kerberos authentication ticket (TGT) was requested.
\n
\nAccount Information:
\n\tAccount Name:\t\tAdministrator
\n\tSupplied Realm Name:\tvkumov.local
\n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500
\n
\nService Information:
\n\tService Name:\t\tkrbtgt
\n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502
\n
\nNetwork Information:
\n\tClient Address:\t\t::1
\n\tClient Port:\t\t0
\n
\nAdditional Information:
\n\tTicket Options:\t\t0x40810010
\n\tResult Code:\t\t0x0
\n\tTicket Encryption Type:\t0x12
\n\tPre-Authentication Type:\t2
\n
\nCertificate Information:
\n\tCertificate Issuer Name:\t\t
\n\tCertificate Serial Number:\t
\n\tCertificate Thumbprint:\t\t
\n
\nCertificate information is only provided if a certificate was used for pre-authentication.
\n
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
RecordNumber = 918032;
SourceName = "Microsoft-Windows-Security-Auditing";
TimeGenerated = "20170224103621.575178-000";
TimeWritten = "20170224103621.575178-000";
Type = "Audit Success";
};
TIME_CREATED = "131324061825752057";
};
, Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,
2017-02-24 11:36:22,589 DEBUG [Thread-11][] com.cisco.idc.dc-probe- Received login event. Identity Mapping.ticket =
instance of __InstanceCreationEvent
{
SECURITY_DESCRIPTOR = {1, 0, 20, 128, 96, 0, 0, 0, 112, 0, 0, 0, 0, 0, 0, 0, 20, 0, 0, 0, 2, 0, 76, 0, 3, 0, 0, 0, 0, 0, 20, 0, 69, 0, 15, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0, 0, 0, 24, 0, 69, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 0, 0, 24, 0, 65, 0, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 61, 2, 0, 0, 1, 2, 0, 0, 0, 0, 0, 5, 32, 0, 0, 0, 32, 2, 0, 0, 1, 1, 0, 0, 0, 0, 0, 5, 18, 0, 0, 0};
TargetInstance =
instance of Win32_NTLogEvent
{
Category = 14339;
CategoryString = "Kerberos Authentication Service";
ComputerName = "MainDC.vkumov.local";
EventCode = 4768;
EventIdentifier = 4768;
EventType = 4;
InsertionStrings = {"Administrator", "vkumov.local", "S-1-5-21-2952046201-2792970045-1866348404-500", "krbtgt", "S-1-5-21-2952046201-2792970045-1866348404-502", "0x40810010", "0x0", "0x12", "2", "::1", "0", "", "", ""};
Logfile = "Security";
Message = "A Kerberos authentication ticket (TGT) was requested.
\n
\nAccount Information:
\n\tAccount Name:\t\tAdministrator
\n\tSupplied Realm Name:\tvkumov.local
\n\tUser ID:\t\t\tS-1-5-21-2952046201-2792970045-1866348404-500
\n
\nService Information:
\n\tService Name:\t\tkrbtgt
\n\tService ID:\t\tS-1-5-21-2952046201-2792970045-1866348404-502
\n
\nNetwork Information:
\n\tClient Address:\t\t::1
\n\tClient Port:\t\t0
\n
\nAdditional Information:
\n\tTicket Options:\t\t0x40810010
\n\tResult Code:\t\t0x0
\n\tTicket Encryption Type:\t0x12
\n\tPre-Authentication Type:\t2
\n
\nCertificate Information:
\n\tCertificate Issuer Name:\t\t
\n\tCertificate Serial Number:\t
\n\tCertificate Thumbprint:\t\t
\n
\nCertificate information is only provided if a certificate was used for pre-authentication.
\n
\nPre-authentication types, ticket options, encryption types and result codes are defined in RFC 4120.";
RecordNumber = 918032;
SourceName = "Microsoft-Windows-Security-Auditing";
TimeGenerated = "20170224103621.575178-000";
TimeWritten = "20170224103621.575178-000";
Type = "Audit Success";
};
TIME_CREATED = "131324061825752057";
};
, Identity Mapping.dc-domainname = vkumov.local , Identity Mapping.dc-connection-type = Current events , Identity Mapping.probe = WMI , Identity Mapping.event-local-ip-address = ::1 , Identity Mapping.dc-name = MainDC.vkumov.local , Identity Mapping.event-user-name = Administrator , Identity Mapping.dc-host = MainDC.vkumov.local/10.48.26.52 , Identity Mapping.server = ise22-pic-2 , Identity Mapping.event-ip-address = 10.48.26.52 ,
passive-endpoint.log에서 엔드포인트 확인의 예(이 경우 엔드포인트가 ISE에서 도달할 수 없음):
2017-02-23 13:48:29,298 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] is User=vkumov.local/Administrator Still There ? ... 2017-02-23 13:48:32,335 INFO [EndPointProbe-Workers-Check-2][] com.cisco.idc.endpoint-probe- [PsExec-10.48.26.51] Identity check result is - > Endpoint UNREACHABLE
일반적인 문제:ISE PIC는 "실행 파일을 <DC 이름>에서 실행할 수 없음.."을 throw합니다. 오류
ISE PIC를 도메인에 가입시키는 데 사용되는 사용자에게 충분한 권한이 없는 경우 ISE PIC는 WMI 구성 중에 오류를 throw합니다.
ad_agent.log 파일에서 적절한 디버깅을 찾을 수 있습니다(Active Directory 로그 수준은 DEBUG로 설정되어야 함).
26/02/2017 19:15:45,VERBOSE,139954093012736,SMBGSSContextNegotiate: state = 1,lwio/server/smbcommon/smbkrb5.c:460 26/02/2017 19:15:45,VERBOSE,139956055955200,Session 0x7f49bc001430 is eligible for reaping,lwio/server/rdr/session2.c:290 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7503 26/02/2017 19:15:45,VERBOSE,139954101405440,Extended Error code: 60190 (symbol: LW_ERROR_ISEEXEC_CP_OPEN_REMOTE_FILE),lsass/server/auth-providers/ad-open-provider/provider-main.c:7627 26/02/2017 19:15:45,VERBOSE,139954101405440,Error at ../../lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 [code: C0000022],lsass/server/auth-providers/ad-open-provider/provider-main.c:7628 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7782 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/auth-providers/ad-open-provider/provider-main.c:7855 26/02/2017 19:15:45,VERBOSE,139954101405440,Error code: 5 (symbol: ERROR_ACCESS_DENIED),lsass/server/api/api2.c:2713 26/02/2017 19:15:45,VERBOSE,139956064347904,(session:ee880a4e15e682f4-08401b84f371a140) Dropping: LWMSG_STATUS_PEER_CLOSE,lwmsg/src/peer-task.c:625 26/02/2017 19:15:50,VERBOSE,139956055955200,RdrSocketRelease(0x7f496800b6e0, 38): socket is eligible for reaping,lwio/server/rdr/socket.c:2239
수행할 작업: 도메인 관리자 자격 증명을 사용하여 ISE PIC 노드를 도메인에 다시 가입시키거나 가입 작업에 사용되는 사용자를 AD의 도메인 관리자 그룹에 추가합니다.
피드백