購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
4451
閲覧回数
1
いいね!
0
コメント

Umbrella: AD Connector の役割について

tkitahar
Cisco Employee
Cisco Employee

‎2017-12-15 04:36 PM ‎2025-05-14 11:45 PM 更新

 

 ※ 2025 年 5  14 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Active Directory Integration の中核的な存在である AD Connector (AD コネクタ) の主な役割について解説します。

 

2. AD Connector の役割

 

Active Directory Integration における AD Connector の役割は主に以下の 3 つです。

 

- ドメイン コントローラから AD 情報を採取し、クラウド上の Umbrella に送る (下図の青線)

- ドメイン コントローラなどからログオン履歴を採取し、Virtual Appliance (仮想アプライアンス) に送る (下図の赤線)

- クラウド上の Umbrella と各種情報の受け渡しをする (下図の橙色の線)

 

pic1.png

 

※ Virtual Appliance を導入していない場合は、ログオン履歴の取得・送付 (赤い矢印) の通信は発生しません

 

それぞれのデータの詳細については以下の表のとおりです。

 

AD 情報 ()

AD UsersAD Computers のリストと AD Groups に所属している AD Users のリスト

この情報がクラウド上の Umbrella に送付されると、Umbrella Dashboard の「導入」>「コアアイデンティティ」>「ユーザとグループ」画面内の「Active Directory」に記録される

ログオン履歴 ()

ユーザーがドメイン環境にログオンした際に、ドメインコントローラ内のセキュリティ イベントログに記録されるユーザー情報 (ユーザー名およびドメイン コンピュータ名) と IP アドレスを紐づけた情報の一覧

Virtual Appliance は、ユーザーから DNS リクエストを受け取った際、パケットの送信元 IP アドレスとログオン履歴内の IP アドレスを照らし合わせて、通信を行ったユーザーを特定する

そして、DNS リクエスト内の EDNS0 領域にユーザー情報を付与して、Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) に転送する

各種情報 ()

AD Connector からは AD Connector とドメインコントローラの現在のステータスなどが送られ、クラウド上の Umbrella サーバーからはアップデート情報などが送られる

 

3. 通信に使われるポート

 

前述の 3 種類のデータの通信は以下の図で示すポート番号を通して行われます。

 

pic2.png

 

 

AD Connector はドメイン コントローラから TCP 636 を通してAD 情報を取得しており、通信には Kerberos または NTLM を使った LDAPS が用いられます。もし、ドメイン コントローラが LDAPS に対応しておらず、通信に失敗した場合は、LDAP による通信が TCP 389 を通して行われます。

 

また、AD Connector はドメイン コントローラから TCP 135+動的ポート (RPC/DCOM) を通してログオン情報を取得し、TCP 443 を通して HTTP (平文) で Virtual Appliance に送っています。なお、以下のサポート記事にあるとおり、この平文通信を暗号化する方法も用意されています。

 

Umbrella Virtual Appliance: Receiving user-IP mappings over a secure channel

https://support.umbrella.com/hc/en-us/articles/360036756651

 

AD Connector がクラウド側の Umbrella と各種情報を受け渡す際には TCP 443 HTTPS が使われます。

 

なお、上記以外にも AD Connector ではサーバー証明書関連の通信が行われます。詳しくは以下の公開文書をご参照ください。

 

(Virtual Appliance を使用している場合)

Identity Integrations - Active Directory Integration with the Virtual Appliances - Communication Flow and Troubleshooting

 https://docs.umbrella.com/deployment-umbrella/docs/communication-flow-and-troubleshooting-1

 

(Virtual Appliance を使用していない場合)

Identity Integrations - Communication Flow and Troubleshooting

https://docs.umbrella.com/deployment-umbrella/docs/appx-a-communication-flow-and-troubleshooting

 

4. AD Connector のトラブルシューティング

 

これまでの項で、AD Connector の役割と実際に行っている通信の内容を見てきましたが、通信に失敗するなど、AD Connector の動作に問題が発生した場合は、以下の 2 つの情報を基にトラブルシューティングを行います。

 

  • Umbrella Dashboard の「導入」>「設定」>「サイトとActive Directory」画面内の「ADコネクタ」のエントリーにあるステータス アイコンをクリックすると、AD Connector で現在発生しているエラーの概要が表示される
  • AD Connector をインストールした端末内に保存されているログ ファイルに AD Connector の詳細な動作ログが記録される
    C:\Program Files (x86)\Cisco\CiscoADConnector\<バージョン>\CiscoAuditClient.log

 

サポートエンジニアに AD Connector (または Active Directory Integration の動作全体) のトラブルシューティングを依頼する場合は、必ず Umbrella Dashboard 上のエラー内容と、上記のログ ファイルを提供してください。

 

なお、調査中にログ ファイルの内容を一旦クリアすることを求められた場合は、以下の手順で行ってください。

 

  1. Windows のサービス画面を開く
  2. 「Cisco AD Connector」を探し、右クリックして、「停止」を選択
  3. 上記のログ ファイルを削除
  4. 「Cisco AD Connector」を再度右クリックして、「開始」を選択
  5. 念のため、サービス起動後の処理が完全に行われるまで、5 分程度待つ
  6. ログ ファイルを提供する

 

How to Find and Submit Active Directory Connector Logs to Support

https://support.umbrella.com/hc/en-us/articles/230902468-How-to-Find-and-Submit-Active-Directory-Connector-Logs-to-Support

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents