обновление пароля учетной записи ISE — PasswordNeverExpires

j-a326

После обновления нашего Windows DC до сервера 2025 и последующего перехода обратно на сервер 2022 наш сервер ISE (3.3p4) пытается автоматически обновить пароль учетной записи AD, но не может этого сделать, начиная с 15 дней после последнего (ручного) действия. Учетная запись ISE настроена на «PasswordNeverExpires: True». Сервер подключен к AD, и все диагностические данные в порядке. Есть ли способ запретить ISE пытаться это сделать? Должны ли мы просто игнорировать предупреждения или что-то плохое произойдет, если это будет продолжаться еще 15 дней (30 дней кажется стандартным интервалом)? Помогут ли какие-либо из опций «Advanced Tools»/«Advanced Tuning» настройки ISE Active Directory?

Greg Gibbs

Похоже, вы столкнулись с проблемой, описанной здесь:
https://www.cisco.com/c/en/us/td/docs/security/ise/2-3/ise_active_directory_integration/b_ISE_AD_integration_2x.html#reference_8DC463597A644A5C9CF5D582B77BB24F «Была пересмотрена политика безопасности
«Доступ к
сети: ограничение клиентов, которым разрешено выполнять удаленные вызовы SAM»
в Microsoft Active Directory. В связи с этим Cisco ISE может не иметь возможности обновлять пароль учетной записи компьютера каждые 15 дней. Если пароль учетной записи компьютера не обновляется, Cisco ISE больше не будет аутентифицировать пользователей через Microsoft Active Directory. Вы получите сигнал
тревоги
«AD: обновление пароля ISE
не удалось» на панели мониторинга Cisco ISE, чтобы уведомить вас об этом событии». Дополнительные сведения и ссылку на документацию MS с решением проблемы см. по указанной выше ссылке.

henrikj

Привет, Грег Ссылка, которую ты прислал, ведет на руководства по настройке. Можешь уточнить? С уважением, Хенрик