يفشل التحقق من صحة وضع محرك خدمات الهوية (ISE) 3.3 بعد ترحيل جدار الحماية من ASA إلى FTD

خيارات التنزيل

PDF (243.4 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة

تم التحديث:٢٣ مارس ٢٠٢٦

معرّف المستند:225632

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

يمكن أن تظهر المشكلة التي تم الإبلاغ عنها كنقطة نهاية متبقية في حالة توافق الوضع "غير معروف". بالإضافة إلى ذلك، لا يمكن عرض مدخل إمداد الوضع للمستخدم.

في بعض السيناريوهات، أفاد العملاء أنهم بعد الترحيل من ASA إلى FTD، قاموا بإعادة إستخدام نفس التكوين، ومع ذلك، يتطلب FTD إعدادات إضافية ومحددة للشبكة الخاصة الظاهرية (VPN) للوضعية للعمل بشكل صحيح.

البيئة

Cisco Identity Services Engine (ISE)، الإصدار 3.3
نشر ISE مع عقدتين
Cisco Secure Client، الإصدار 5.1.7.80
الدفاع ضد تهديد Firepower (FTD)، الإصدار 7.4.1.1
نقاط النهاية المتصلة عبر VPN
عنوان IP ذو الصلة للتحقق من الوضع: 72.163.1.80 (enroll.cisco.com)

قرار

تقوم هذه الخطوات بتفصيل سير العمل لتعريف مشكلة التحقق من صحة وضعية محرك خدمات الهوية (ISE) وتشخيصها وحلها بعد الترحيل إلى FTD. يتم شرح كل خطوة للوضوح، مع الإشارة المباشرة إلى السجلات ومؤشرات التكوين كما هو موضح في البيئة.

الخطوة 1: تجميع حزمة DART للتحقق من المستكشفات

تحقق من حالة وضع نقاط النهاية التي تحاول اتصال VPN لأي أخطاء أو حالات عالقة. راجع سجلات عامل وضع ISE (ISEPosture.txt) لرسائل الخطأ التي تشير إلى خوادم خوادم غير صحيحة أو عدم إعادة التطابق.

مثال مقتطف سجل يشير إلى المشكلة:

2026/01/05 15:38:26 [تحذير] csc_iseagent الدالة: الهدف::ParsePostureStatusResponse معرف مؤشر الترابط: 0x32D0 ملف: target.cpp خط: 370 مستوى: التحذير من وحدة الاستقبال والبث فارغة. ربما، المحتوى ليس على شكل 'X-ISE-PDP'..

2026/01/05 15:38:26 [Information] CSC_ISENT Function: target::Probe Thread ID: 0x32D0 file: target.cpp line: 212 مستوى: debug حالة إعادة التوجيه الهدف 192.168.1.254 هو 5 <Invalid Server.>.

2026/01/05 15:38:28 [Information] CSC_ISEAGENT Function: SwiftHttpRunner::http_discovery_callback Thread ID: 0x1AD8 file: SwiftHttpRunner.cpp Line: 519 Level: info Time out for Redirection target enroll.cisco.com.

2026/01/05 15:38:28 [Information] CSC_ISGent Function: SwiftHttpRunner::http_discovery_callback Thread ID: 0x1AD8 file: SwiftHttpRunner.cpp Line: 580 Level: معلومات تمكين مؤقت الجولة التالية.

2026/01/05 15:38:28 [Information] CSC_ISEAGENT Function: GetCurrentUserName Thread ID: 0x1AD8 الملف: ImpersonateUser.cpp Line: 60 Level: اسم المستخدم المستخدم المستخدم المستخدم المسجل حاليا في Basheer.محمد.

2026/01/05 15:38:29 [Information] CSC_ISGent Function: hs_transport_winhttp_get معرف مؤشر الترابط: 0x698c ملف: hs_transport_winhttp.c خط: 4912 مستوى: تصحيح الأخطاء انتهت مهلة الطلب..

2026/01/05 15:38:29 [Information] CSC_ISENT Function: Target::ProbeDiscoveryUrl معرف مؤشر الترابط: 0x698C ملف: Target.cpp Line: 269 مستوى: debug GET طلب إلى URL (http://login.cisco.com/auth/discovery؟architecture=9)، الحالة المعادة -1<العملية فشلت.>.

2026/01/05 15:38:29 [Information] CSC_ISENT Function: target::Probe Thread ID: 0x698C file: target.cpp line: 212 مستوى: debug حالة إعادة التوجيه الهدف login.cisco.com هو 6 <لا يمكن الوصول إليه.>.

في هذه الحالة، لم يتم الوصول إلى login.cisco.com، مما يتسبب في فشل عملية الاكتشاف.

الخطوة 2: تأكيد ملف تعريف تخويل ISE والسجلات المباشرة

تحقق من أن مسار RADIUS تم دفعه بشكل صحيح إلى نقطة النهاية. يجب أن يتضمن معلمات "قبول الوصول" و"إعادة توجيه URL" للتحقق من صحة الوضع.

مثال:

نوع الوصول = ACCESS_ACCEPT

Cisco-av-pair = url-redirect-acl=redirect

Cisco-av-pair = url-redirect=https://ip:port/portal/gateway؟sessionId=SessionId=SessionIdValue&portal=4cb1f740-e371-11e6-92ce-005056873bd0&action=cpp

لهذا المثال المحدد، لقد أكدنا أن إعادة التوجيه تعمل كما هو متوقع، ومع ذلك، تفشل عملية الاكتشاف لأن البوابة تم الإبلاغ عنها كخادم غير صالح. يمكن توقع هذا السلوك في سيناريو تكامل VPN، حيث لا تعتمد نقطة النهاية على عبارة VPN للاكتشاف. بدلا من ذلك، the endpoint attempts to reach the ISE node using enroll.cisco.com.

الخطوة 3. تحقق من إعدادات قوائم التحكم في الوصول (ACL) في FTD

تحقق من السماح بشكل صريح لقائمة التحكم في الوصول (ACL) إلى إعادة التوجيه وكذلك في قائمة التحكم في الوصول (ACL) التي تم تكوينها للنفق المقسم.

للتحقق من كلا قوائم التحكم في الوصول، في FMC، يمكنك الانتقال إلى Object > إدارة الكائن > قائمة الوصول > Extended.

للتحقق مما إذا كان قد تم تكوين "نفق التقسيم" في شبكة VPN، انتقل إلى الأجهزة > VPN > الوصول عن بعد > إختيار إعدادات ملف تعريف الاتصال والشبكة الخاصة الظاهرية (VPN) > تحرير سياسة المجموعة > تقسيم النفق.

ملاحظة: إذا لم يتم تكوين Split Tunnel على سياسة الشبكة الخاصة الظاهرية (VPN)، فلا يلزم إجراء هذا التحقق من الصحة، ومن ثم لا تكون قائمة التحكم في الوصول (ACL) الخاصة بتقسيم النفق مطلوبة في هذا السيناريو.

السبب

كان السبب الجذري للمشكلة غياب عنوان IP الخاص بالاكتشاف المطلوب (72.163.1.80، enroll.cisco.com) في سياسة الشبكة بعد الترحيل إلى الدفاع عن تهديد FirePOWER (FTD).

بدون IP هذا، تعذر على عميل Cisco الآمن اكتشاف عقدة خدمة سياسة ISE عند الاتصال عبر VPN، مما أدى إلى بقاء حالة الوضع في حالة معلقة. بالإضافة إلى ذلك، ساهمت خدمات الموقع المعطلة على نقاط النهاية في التحقق من صحة الوضع غير الكامل.

المحتوى ذي الصلة

دعم Cisco

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	23-Mar-2026	الإصدار الأولي

تمت المساهمة بواسطة مهندسو Cisco

أوسكار تيغوما
مهندس إستشاري تقني