檢查Umbrella Active Directory整合流程

簡介

本檔案介紹Cisco Umbrella Active Directory(AD)整合中營運元件之間的通訊流程。

背景資訊

瞭解Active Directory通訊流有助於進行故障排除，並確保部署前環境配置正確。

與Umbrella Active Directory實施的通訊流

AD聯結器指令碼在域控制器(DC)上運行時

Windows指令碼使用HTTPS從域控制器(DC)到埠TCP/443上的雲進行一次性連線，以將DC註冊到儀表板。這種對準允許聯結器識別DC。使用特定引數對https://api.opendns.com進行呼叫。指令碼成功註冊DC後，它會顯示在控制面板上。

問題有時可能與Windows上的根證書更新有關。要快速確定這一點，請導航到Internet Explorer並將瀏覽器指向：https://api.opendns.com/v2/OnPrem.Asset.此操作將列印一條消息，如1005 Missing API key.「如果在該頁上顯示任何證書錯誤或警告，請確保已安裝來自Microsoft的最新根證書更新」。

AD聯結器如何通訊

AD聯結器與Umbrella雲服務或虛擬裝置通訊，如下所示：

• 連線到雲

  如果發生更改，聯結器使用埠443 TCP上的HTTPS連線，每五分鐘上傳一次所有Active Directory(AD)資料。僅上載有關組、使用者和電腦的資訊。不會上傳密碼，所有使用者資訊都會在本地雜湊，從而使資料具有唯一性。

• 虛擬裝置的聯結器

  聯結器使用埠443 TCP（未加密）持續向虛擬裝置傳送AD事件。 這是單向通訊；裝置無法與聯結器進行通訊。一個強制性的前提條件是聯結器和虛擬裝置(VA)通過可信網路進行通訊。
  
  

• 與域控制器的聯結器

  聯結器使用埠389 TCP和3268 TCP/UDP進行LDAP同步，與位於同一站點的所有域控制器通訊。聯結器還使用WMI/RPC與域控制器通訊。埠135 TCP是RPC和WMI的標準埠。WMI還會使用隨機分配的埠，在Windows 2003及更早版本的1024 TCP和65535 TCP之間，或在Windows 2008及更高版本的49152 TCP和65535 TCP之。自版本1.1.24起，聯結器還使用LDAPS(LDAP over SSL)通過埠636 TCP和3269 TCP與域控制器通訊。

如果發現通訊問題，請檢查是否有任何第7層應用程式代理可能阻塞或丟棄資料。常見情況是作用在DNS、HTTP或HTTPS等協定上的Cisco裝置上的檢查功能。有關詳細資訊，請參閱我們的應用應用層協定檢查文檔。 

虛擬裝置(VA)到雲

虛擬裝置通常通過埠443 TCP與api.opendns.com53 TCP/UDP進行通訊，以進行DNS查詢或探測，並通過埠22、25、53、80、443或4766 TCP建立支援隧道。虛擬裝置使用埠53 UDP/TCP、443 TCP、123 TCP和80 TCP與雲通訊。它們從埠443 TCP上的聯結器接收資料（非HTTPS連線），但不要求與它們進行通訊。