Cisco ISE で Windows Server 2025 にAD連携出来ない場合の対処法

Cisco ISE で Windows Server 2025 にAD連携出来ないケースに遭遇したので、日本語で記録を残します。

当該バグ

CSCwn62873
Cisco Identity Services Engine (ISE) fails to join Microsoft Active Directory (AD) domains hosted on Windows Server 2025

修正バージョン

Cisco ISE 3.4.0.608-Patch2 他、バージョンによってはホットパッチもあり。詳細は下記参照。

ポイントはISEの対応バージョンを使うことだけではなく、AD側にもGPOの適用が必要です。

日本語による要約

事象

Cisco ISE が Windows Server 2025 上の AD に参加（Join）できない。

エラー例：

Join Operation Failed: ASN.1 failed call to system time library
Error Code: 41701 / Name: LW_ERROR_KRB5_ASN1_BAD_TIMEFORMAT

対象/条件

DC が Windows Server 2025 のときに発生。従来の Windows Server DC では再現せず。
影響する ISE バージョン：3.1 / 3.2 / 3.3 / 3.4。

技術的背景（原因）

Windows Server 2025 では、レガシー SAM RPC のパスワード変更メソッドが既定でブロックされている。
既定で受け付けるのは AES を使う SamrUnicodeChangePasswordUser4 のみ。

以下は既定でブロック：

• SamrChangePasswordUser
• SamrOemChangePasswordUser2
• SamrUnicodeChangePasswordUser2

Protected Users やローカル アカウントでは、すべてのレガシー SAM RPC 変更がブロック。

回避策 / 対処

ISE 側をパッチ適用

• 修正を含むバージョン：3.4P2 以降 / 3.3P8 / 3.2P8
• ホットパッチあり：3.1P10, 3.4P1, 3.3P4–P7, 3.2P7

DC 側の GPO を変更

パス：[コンピューターの構成] → [管理用テンプレート] → [システム] → [Security Account Manager] →「Configure SAM change password RPC methods policy」

設定：Enabled にし、「Allow all change password RPC methods」 を選択
反映：gpupdate /force。ドメイン全体に適用する場合は gpmc.msc で GPO を DC OU にリンク。