ISE 3.3의 AD에 대한 온디맨드 리소스 예약 이해 패치 4

다운로드 옵션

PDF (946.8 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (735.0 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (525.8 KB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2025년 3월 18일

문서 ID:222851

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ISE 3.3 패치 4의 Active Directory에 대한 온디맨드 리소스 예약에 대해 설명합니다

전제 조건

Cisco ISE(Identity Services Engine)에 대한 지식

AD(Active Directory)에 대한 지식

ISE 및 AD 통합에 대한 지식

필수 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Cisco Identity Services Engine 3.3 패치 4
Microsoft Windows Active Directory 2016 이상

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

AD 인증은 때때로 느려지고 결국 실패합니다. 가능한 원인은 ADID 큐가 더미를 시작하는 경우 또는 모든 ADID 풀 스레드가 모두 소진되는 경우일 수 있습니다.

ADID에 대한 자세한 정보:

SDID(Distinguished Name)라고도 하는 ADID는 Active Directory 디렉터리 내에서 개체를 고유하게 식별하는 문자열입니다. Active Directory 도메인 내에서 개체를 찾고 관리하는 데 사용됩니다. ADID는 Active Directory 환경에서 사용자 계정, 권한 및 기타 리소스를 관리하는 데 중요합니다.

일반적인 ADID는 다음과 같아야 합니다. CN=John Doe,OU=Sales,DC=example,DC=com; 여기서

CN=존 도: 사용자의 일반 이름인 John Doe를 나타냅니다.
OU=영업: 사용자가 속한 OU(Organizational Unit)를 나타냅니다(이 경우 Sales 부서).
DC=example,DC=com: 도메인 구성 요소(example.com)를 나타냅니다.

예를 들면 다음과 같습니다.

그림 1을 참조하십시오. 일반적인 AD 조인 지점 컨피그레이션

Picture 1: AD Join Points 그림 1: AD 조인 지점

그림 2를 참조하십시오. 2개의 가입 포인트가 있는 일반적인 AD 플로우 다이어그램

Picture 2: A Typical AD Flow Diagram 그림 2: 일반적인 AD 플로우 다이어그램

증상

동일한 ADID 스레드 풀 아래의 느린 조인 지점

문제

Join Points 중 하나가 매우 느리면 어떤 결과가 발생합니까? 예를 들어 "demo.local" 및 "demo.local"에 대한 15개의 인증이 동시에 ISE로 전송되면 후속 win-sparta 인증을 처리하기 전에 "demo.local"의 응답을 기다려야 합니다.
두 조인 포인트가 하나의 조인 포인트에서 동일한 ADID 스레드 풀을 공유하는 경우에는 어떻게 됩니까?

그림 3을 참조하십시오. 슬로우 조인트 포인트의 흐름도

Picture 3: Problematic Flow 그림 3: 문제 흐름

참고: 여기서 15개의 모든 스레드는 win-sparta.com에서 동시에 사용되지만 데모용 스레드는 남아 있지 않습니다.local

솔루션

기본 동작은 모든 AD 조인 지점에 대한 공통 스레드 풀입니다
그러나 관리자는 각 가입 포인트를 세분화하여 자체 리소스를 가질 수 있습니다.

참고: AD 우선 순위를 적용할 경우 기본값은 스레드 풀당 10개의 스레드입니다.

그림 4를 참조하십시오. 온디맨드 예약 조인트 포인트의 흐름도

Picture 4: Solution Flow 그림 4: 솔루션 흐름

단계별 컨피그레이션

1단계: 별도의 AD 조인 포인트 2개를 만듭니다. 예를 들면 다음과 같습니다. demo.local 및 win-sparta.com

2단계: AD 조인 지점을 만든 후 조인 지점 우선 순위를 만듭니다.

그림 5를 참조하십시오.

Picture 5: Join Point Prioritisation 그림 5: 참가 포인트 우선 순위 지정

3단계: Join Point Prioritization(참가 포인트 우선순위 지정) 아래에서 전용 AD 리소스를 예약하려는 PSN을 선택합니다. Edit를 클릭합니다.

그림 6을 참조하십시오.

Picture 6: Edit PSN 그림 6: PSN 편집

4단계: 기본 설정 PSN에 대한 기본 설정 조인 지점을 선택합니다.

그림 7을 참조하십시오.

Picture 7: Selected Join Point 그림 7: 선택한 조인 지점

참고: 우선순위 지정에 포함되지 않은 모든 조인 지점은 최대 15개 스레드가 있는 공통 스레드 풀을 활용합니다.

5단계: 우선 순위 지정이 완료됨

그림 8을 참조하십시오.

Picture 8: Prioritization Configuration 그림 8: 우선 순위 지정 구성

추가 세부 정보

팁: 동일한 설정을 다른 PSN에 복제하려면 Duplicate 옵션을 사용할 수 있습니다. 원하는 PSN을 선택하고 원래 우선순위 지정과 함께 복제할 조인 지점을 선택합니다.

그림 9를 참조하십시오. 구성 팁:

Picture 9: Duplicate Prioritization Configuration 그림 9: 중복 우선순위 지정 컨피그레이션

6단계: 복제 후 최종 목록

그림 10을 참조하십시오.

Picture 10: Final List after Prioritization 그림 10: 우선 순위 지정 후 최종 목록

문제 해결

확인

컨피그레이션 변경 사항을 확인합니다. 다음으로 이동합니다. Operations(운영) > Reports(보고서) > Audits(감사) > Change Configuration Audit(컨피그레이션 변경 감사)

그림 11을 참조하십시오.

Picture 11: Config Audit Report 그림 11: 구성 감사 보고서

로깅

런타임 AAA 로그에 대한 디버그 레벨을 활성화합니다.
prrt-server.log 분석
그림 12를 참조하십시오.

Picture 12: Debug Log Configuration 그림 12: 디버그 로그 컨피그레이션

로그 조각

prrt-server.log [디버그]: 기본 로그:

EventHandler,2024-08-23 07:16:48,135,DEBUG,0x7fecd2ccc700,할당된 기본 스레드 풀: IDP에 ADIDStore: win-sparta.com_wxETlH16Pk_106

prrt-server.log [INFO]: Dedicated Resources(전용 리소스)를 설정하는 경우:

ActiveDirectoryIDStore,2024-09-08 16:52:01,048,INFO ,0x7f2452ccf700,할당된 스레드 풀: ADThreadPool0에서 IDP로: win-sparta.com_wxETlH16Pk_106
ActiveDirectoryIDStore,2024-09-08 16:57:11,258,INFO ,0x7f2452ccf700,할당된 스레드 풀: ADThreadPool1에서 IDP로: demo.local_6EcNs6UzwX_89

prrt-server.log [정보]:

전담 리소스를 설정하기 전에
- EventHandler, 2024-09-02 08:45:54,673,INFO,0x7fafb793c700,다음 스레드 풀 이름=ADIDStore, 큐 크기=1,EventDispatcher.cpp:757에 이벤트를 전달했습니다.

전담 리소스를 설정한 후
- EventHandler,2024-09-02 08:45:54,673,INFO ,0x7f4867ff9700,다음 스레드 풀 이름=ADThreadPool0, 큐 크기=1,EventDispatcher.cpp:841에 이벤트를 전달했습니다.

"ADThreadPool0"의 스레드 풀 사용을 추적하려면

1. 0x7f57792f7700,다음 스레드 풀 이름=ADThreadPool0에 이벤트 전달(StackID:0x7f57a4f761c0 뒤로 로그 몇 개)

2. 0x7f57732c7700, 스택: 0x7f57a4f761c0 ActiveDirectoryIDStore를 호출하는 중: 메서드 MethodCaller<ActiveDirectoryIDStore, PlainAuthenticateAndQueryEvent>

3. 0x7f57732c7700,cntx=0000210117,sesn=ifedida-1/515863662/5273,CPMSessionID=C0A31430000000800018958,user=abcd,CallingStationID=[CAD] 956: CAD_PAPAuthenticate (abcd) 호출

4. 0x7f57732c7700,cntx=0000210117,sesn=ifedida-1/515863662/5273,CPMSessionID=C0A31430000000800018958,user=abcd,CallingStationID=[CAD] 1026: CAD_PAPAuthenticate (abcd) 성공

5. 0x7f57732c7700,다음 스레드 풀 이름에 전달된 이벤트=Main

FAQ

질문: ISE에서 지원할 수 있는 AD 조인 포인트는 몇 개입니까?

답변: 단일 ISE 구축에서 최대 50개의 Active Directory 가입 포인트를 구성할 수 있습니다.

질문: 여러 AD 가입 포인트가 있는 경우에도 온디맨드 우선 순위를 사용할 수 있습니까?

답변: 예

질문: 단일 도메인에 대해 Prioritization이 없는 기본 스레드 크기는 어떻게 됩니까?

답변: 15개 스레드

질문: Prioritization을 구성하면 계산은 어떻게 수행됩니까? 예를 들어, 3개 조인 지점 시나리오(domain1.com, domain2.com 및 domain3.com과 domain1.com이 우선순위 지정에 대해 구성되지 않았고 domain2.com 및 domain3.com이 우선순위 지정에 대해 구성되었다고 가정합니다.

답변: domain1이 Prioritization에 대해 구성되지 않은 경우 domain1.com은 사용 가능한 공통 15개 스레드를 사용합니다(모두 동시에). 그러나 domain2.com 및 domain3.com은 Prioritization으로 구성되어 있으므로 기본적으로 각각 10개의 스레드를 사용하며 공통 15개의 스레드 풀을 팔로우/활용하지 않습니다.

개정 이력

개정	게시 날짜	의견
1.0	18-Mar-2025	최초 릴리스

Cisco 엔지니어가 작성

마일 라지 치담바람
고객 딜리버리 엔지니어링 기술 리더

이 문서가 도움이 되셨습니까?

피드백

지원 문의

지원 케이스 접수
(시스코 서비스 계약 필요)