أستكشاف أخطاء ISE 3. 3 وإصلاحها "؛ فشلت خدمات SNS 37xx في تهيئة"؛

المقدمة

يوضح هذا المستند أهمية الوحدة النمطية للنظام الأساسي الموثوق به (TPM) ل ISE 3.3 والإصدارات الأحدث.

المتطلبات الأساسية

أنت ينبغي يتلقى المعرفة الأساسية من ال cisco هوية خدمة محرك (ISE).

معلومات أساسية

الوحدة النمطية للنظام الأساسي الموثوق به (TPM) هي شريحة كمبيوتر (وحدة تحكم مصغرة) يمكنها تخزين النتائج غير الدقيقة المستخدمة للمصادقة على النظام الأساسي (الخادم) بشكل آمن.

يمكن أن تتضمن تلك الشوائب كلمات مرور، تراخيص، أو مفاتيح تشفير. كما يمكن إستخدام الوحدة النمطية للنظام الأساسي الموثوق به (TPM) لتخزين قياسات النظام الأساسي التي تساعد على ضمان بقاء النظام الأساسي جدير بالثقة.

تعد المصادقة (التأكد من أن النظام الأساسي يمكنه إثبات أن هذا هو ما يدعي أنه موجود) والشهادة (وهي عملية تساعد على إثبات أن النظام الأساسي جدير بالثقة ولم يتم إختراقه) الخطوات الضرورية لضمان حوسبة أكثر أمانا في جميع البيئات. ويقوم مفتاح منع الوصول للهيكل بالإعلام عن أي وصول ميكانيكي غير مصرح به للخادم.

من الإصدار 3.3 وما بعده، يلزم توفر وحدة TPM لتهيئة خدمات ISE.

يتألف إطار عمل الوحدة النمطية للنظام الأساسي الموثوق به (ISE TPM) من خدمتين هما المدير الرئيسي، مدير الوحدة النمطية للنظام الأساسي الموثوق به (TPM).

مدير المفاتيح
يعد النظام الفرعي KeyManager المكون الرئيسي الذي يعالج الأسرار والمفاتيح في إحدى العقد. وهذا يتضمن إنشاء مفاتيح، وإغلاق/تشفير مفاتيح، وإلغاء إحكام/فك تشفير المفاتيح، وتوفير إمكانية الوصول إلى المفاتيح وما إلى ذلك.
يحتفظ مدير المفاتيح بمرجع، بالاسم، لجميع الأسرار التي يعالجها. لا يتم تخزين الأسرار/المفاتيح على القرص بواسطة إدارة المفاتيح. أثناء عملية إسترداد الأسرار الخاصة بتمهيد التشغيل من TPM عبر مدير TPM وتظل الأسرار في ذاكرة العملية.

برنامج TPM Manager

مدير TPM هو المسؤول الوحيد عن تهيئة TPM، وختم/فك ختم أو تشفير/فك تشفير الأسرار، والتخزين الآمن للأسرار. لا تقوم إدارة الوحدة النمطية للنظام الأساسي الموثوق به (TPM) بتخزين أي مفتاح/سر في حالة المسح على القرص. في حالة الحاجة لتخزين المفتاح/السر على القرص، يتم تشفير المفتاح/السر باستخدام مفتاح من TPM ويتم تخزينه في النموذج المشفر. تحتفظ إدارة الوحدة النمطية للنظام الأساسي الموثوق به (TPM) بالمفاتيح/الأسرار المتعلقة بالمعلومات (مثل الاسم والتاريخ والمستخدم) في ملف محلي.

المكونات المطلوبة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية

• Cisco Identity Service Engine 3.3
• جهاز SNS 3715

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الأعراض (رسائل الخطأ)

تم تثبيت ISE 3.3 على مربع 37xx بنجاح ولم تتم تهيئة الخدمات بعد التكوين الأولي للشبكة.

يمكن ملاحظة المشكلة في SNS 37xx الجديد عند تثبيت 3.3 FCS أو يمكن ملاحظتها أثناء الترقية 3.3 من أي إصدار آخر أو أثناء تثبيت تصحيح 3.3 FCS

سبب جذري

يجب تمكين وحدة TPM في SNS حيث يقوم الإصدار 3.3 (والإصدارات الأحدث) بالتحقق من صحة وحدة TPM. في حالة تعطيلها، لا تتم تهيئة TPM مما يؤدي إلى فشل تهيئة الخدمات.

السجلات المطلوبة

من واجهة سطر الأوامر،

مع هذا النوع من المشاكل، لديك وصول SSH لجمع حزمة الدعم من واجهة سطر الأوامر.

السجل المطلوب بالضبط هو ade/ADE.log.

show logging system ade/ADE.log 

تحليل السجل

دراسة الحالة 1

السبب الجذري: "لم يتم تمكين الوحدة النمطية للنظام الأساسي الموثوق به (TPM)."

في CIMC Compute>BIOS> تكوين BIOS> Security> الوحدة النمطية للنظام الأساسي الموثوق به معطلة في حالة

تم تعطيل TPM

معظم الخدمات لا تعمل.

admin#show وضع التطبيق

معرف عملية حالة اسم عملية ISE 

—

مستمع قاعدة البيانات الذي يشغل 379643     

خادم قاعدة البيانات الذي يقوم بتشغيل 175 عملية

خادم التطبيق غير قيد التشغيل                 

قاعدة بيانات منشئ ملفات التعريف ليست قيد التشغيل                 

محرك الفهرسة ISE لا يعمل                 

موصل AD لا يعمل                 

قاعدة بيانات جلسة عمل M&T ليست قيد التشغيل                 

معالج سجل M&T لا يعمل                 

خدمة المرجع المصدق ليست قيد التشغيل                 

خدمة EST ليست قيد التشغيل                 

تم تعطيل خدمة محرك SXP                    

تم تعطيل خدمة TC-NAC       

تم تعطيل خدمة PassiveID WMI                    

تم تعطيل خدمة PassiveID Syslog                    

تم تعطيل خدمة PassiveID API                    

تم تعطيل خدمة عامل PassiveID                    

تم تعطيل خدمة نقطة نهاية PassiveID                    

PassiveID SPAN أعجزت خدمة                    

تم تعطيل خادم DHCP (DHCP)                    

تم تعطيل خادم DNS (المسمى)                    

خدمة مراسلات ISE ليست قيد التشغيل                 

خدمة قاعدة بيانات عبارة ISE غير قيد التشغيل                 

خدمة عبارة ISE API ليست قيد التشغيل                 

خدمة ISE PxGrid Direct ليست قيد التشغيل                 

تم تعطيل خدمة نهج التجزئة                    

تم تعطيل خدمة مصادقة الراحة                    

تم تعطيل موصل SSE                    

Hermes (وكيل سحابة pxGrid) معطل                    

تم تعطيل McTrust (خدمة مزامنة Meraki)                    

مصدر عقدة ISE غير قيد التشغيل                 

خدمة ISE Prometheus ليست قيد التشغيل                 

خدمة ISE Grafana ليست قيد التشغيل                 

ISE MNT LogAnalytics Elasticsearch لا يعمل                 

خدمة تسجيل الدخول إلى ISE ليست قيد التشغيل                 

خدمة ISE Kibana ليست قيد التشغيل                 

خدمة ISE الأصلية IPSec ليست قيد التشغيل                 

منشئ ملفات تعريف MFC لا يعمل  

إذا لاحظت عدم تهيئة TPM2ManagerServer ورمز الاستجابة 400، فقم بتمكين خدمة TPM وأعد تكوين العقدة.

ADE.log:

2025-01-06T08:37:01.164816+00:00 دفتر يومية لبنان[1411]: | 2025-01-06 08:37:01،164 | معلومات | 1411 | مؤشر الترابط | TPM2_manager_server.py:133 | واجهة برمجة التطبيقات: صحة تسمى |
2025-01-06T08:37:01.166050+00:00 دفتر يومية لبنان[1411]: | 2025-01-06 08:37:01،166 | خطأ | 1411 | مؤشر الترابط | utils.py:26 | TPM2ManagerServer لم تتم تهيئته |
2025-01-06T08:37:01.166179+00:00 دفتر يومية لبنان[1411]: | 2025-01-06 08:37:01،166 | معلومات | 1411 | مؤشر الترابط | web_log.py:206 | [06/JAN/2025:08:37:01 +000] "POST /API/system/v1/tpm2-manager/unseal HTTP/1.1" 400 215 "-" "Python-requests/2.20.0" |
2025-01-06T08:37:21.670490+00:00 lhrhblise | 2025-01-06 08:37:21،670 | معلومات | 372321 | مؤشر الترابط | key_manager_server.py:87 | الرجاء الانتظار أثناء تهيئة خدمة KeyManagerServer، قد يستغرق ذلك بعض الوقت |
2025-01-06T08:37:21.672808+00:00 lhrhblise | 2025-01-06 08:37:21،672 | خطأ | 372321 | مؤشر الترابط | key_manager_server.py:116 | تعذر تهيئة خدمة KeyManagerServer: لم تتم تهيئة TPM2ManagerServer |

الحل: وحدة TPM الممكنة وإجراء إعادة صورة للعقدة.

تم تمكين TPM

ملاحظة: اعلم أنه إذا قمت بضبط إعدادات الوحدة النمطية للنظام الأساسي الموثوق به (TPM) للأجهزة أو قمت بإجراء أي تغييرات، فإن ISE يظهر سلوك غير متوقع. في هذه الحالة تحتاج أن تقوم بإعادة التشكيل.

دراسة حالة 2

السبب الجذري: فشل التحقق من TPM بسبب ذاكرة التخزين المؤقت ل TPM.

على الرغم من تمكين إعدادات الوحدة النمطية للنظام الأساسي الموثوق به (TPM) في نظام الإدخال والإخراج الأساسي (BIOS)، إلا أننا نشهد مشكلات في القفل في ADE.log

ADE.log:

2024-09-12T16:01:58.063806+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،063 | معلومات    | 1404 | مؤشر الترابط   | TPM2_manager_server.py:133 | واجهة برمجة التطبيقات: صحة تسمى |

2024-09-12T16:01:58.063933+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،063 | معلومات    | 1404 | مؤشر الترابط   | web_log.py:206 | [12/SEP/2024:10:31:58 +000] "GET /api/system/v1/tpm2-manager/health HTTP/1.1" 200 158 "-" "python-requests/2.20.0" |

2024-09-12T16:01:58.064968+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،064 | معلومات    | 1404 | مؤشر الترابط   | TPM2_manager_server.py:184 | واجهة برمجة التطبيقات: في ما يسمى |

2024-09-12T16:01:58.068413+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12:01:58،068 | معلومات    | 1404 | مؤشر الترابط   | TPM2_Proxy.py:79 | تشغيل الأمر: الوحدة النمطية للنظام الأساسي الموثوق به (TPM2_Clear) |

2024-09-12T16:01:58.075085+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،074 | خطأ   | 1404 | مؤشر الترابط   | TPM2_Proxy.py:85 | تعذر تشغيل TPM2_Clear بسبب: الوحدة النمطية للنظام الأساسي الموثوق به (TPM):WARN(2.0): لا يسمح بالتراخيص للكائنات التي تخضع لحماية DA في هذا الوقت لأن TPM في وضع تأمين DA |

2024-09-12T16:01:58.075194+05:30 GRP-ACH-ISE-PAN Journal[1404]: | 2024-09-12 16:01:58،075 | خطأ   | 1404 | مؤشر الترابط   | TPM2_manager_server.py:249 | خطأ: الوحدة النمطية للنظام الأساسي الموثوق به (TPM):WARN(2.0): لا يسمح بالتراخيص للكائنات التي تخضع لحماية DA في هذا الوقت لأن TPM في وضع تأمين DA |

خلال عملية التثبيت، لاحظنا الأخطاء في وحدة تحكم لوحة المفاتيح والفيديو والماوس.

يتم الآن إستخراج محتوى قاعدة بيانات ISE...

يتم الآن بدء عمليات قاعدة بيانات ISE...

إستثناء في مسار التنفيذ "min" com.cisco.cpm.exceptions. TPMException: فشل تنفيذ البرنامج النصي ل TPM مع كود إرجاع غير صفري. )

at com.cisco.cpm.auth.encryptor.crypt.tppul11.getResult(TPMUtil.java:53

at com.cisco.cpm.auth.encryptor.crypt.tpmul11.encrypt(TPER11.java:38) على com.cisco.cpm.auth.encryptor.crypt.KEKGenerator.returnKey (KEKGenerator.java:36)

at com.cisco.cpm.auth.encryptor.crypt.kekgenerator.main(KEKGenerator.java:77)

java.lang.IllegalArgumentException: مفتاح فارغ

على javax.crypto.spec. SecretKeySpec.<init>(SecretKeySpec. Java:96) على com.cisco.cpm.auth.encryptor.crypt.crypt.<init>(crypt.java:73)

at com.cisco.cpm.auth.encryptor.crypt.DefaultCryptEncryptor encrypt(DefaultCryptEncryptar.java:81)

على com.cisco.cpm.auth.encryptor. PassudHelper.ma in (PasssalHelper.java:46)

قد يظهر إعداد قاعدة البيانات المتبع بواسطة الإعداد:

سجلات الأخطاء:

###############################################################################################################

الخطأ : فشل إعداد قاعدة البيانات!

قد يكون هذا نتيجة لتكوين واجهة شبكة غير صحيح أو نقص الموارد على الجهاز أو الجهاز الظاهري. الرجاء إصلاح المشكلة وتشغيل CLI هذا لإعادة إنشاء قاعدة البيانات الأساسية:

إعادة ضبط التطبيق-config ise

#######################

الحل: إذا لاحظت أنه تم تأمين وحدة TPM، فستساعد إعادة تعيين ذاكرة التخزين المؤقت ل TPM.

الخطوات التي يجب القيام بها:

قم بتشغيل vKVM، ويجب إعادة تشغيل الخادم

عند ظهور شعار Cisco

• اضغط F2 (هذه قائمة BIOS)
• مسح TPM
• دورة الطاقة