يتعذر إزالة تثبيت حزمة URT من عقدة ISE في Azure عبر CLI (واجهة سطر الأوامر)

مسألة

فشلت محاولات تثبيت حزمة أداة إستعداد الترقية (URT) ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz على الإصدار 3.4 من محرك خدمات الهوية من Cisco. بعد فشل التثبيت، فشلت المحاولات التالية لإزالة تثبيت حزمة URT أو إعادة تثبيتها، وتعذر إيقاف خدمات ISE بسبب إستمرار تأمين عملية التطبيق (APP_INSTALL). قامت واجهة سطر الأوامر (CLI) بإرجاع رسائل الخطأ التي تشير إلى أن عملية تثبيت تطبيق آخر أو ترقيته قيد التقدم، مما يؤدي إلى تأمين قاعدة بيانات ISE بشكل فعال ومنع إجراء مزيد من عمليات الإدارة.

البيئة

• المنتج: محرك خدمات الهوية من Cisco (ISE)
• الإصدار: 3.4.0
• التقنية الفرعية: ترقية/تصحيح/ترخيص ISE
• حزمة URT: ISE-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz (الإصدار 1.0.0، عمره 52 يوما)
• النشر: ISE متعدد العقد على Azure VM (عقدة الإدارة الثانوية والمراقبة الأساسية)
• تمت محاولة تثبيت واجهة سطر الأوامر (CLI) عبر: تثبيت التطبيق ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz NETFTP
• لا تدعم بيئات Azure cloud VM عمليات ترقية ISE الأصلية
• لا توجد عمليات ترقية أو تثبيت ناجحة حديثة قبل محاولة حزمة URT

قرار

يوضح سير العمل التفصيلي هذا الخطوات المطلوبة لتحديد تأمين قاعدة البيانات الناتج عن فشل تثبيت حزمة URT في Cisco ISE 3.4.

الخطوة 1: محاولة إزالة التطبيقات القياسية وتوقف الخدمة

ابدأ بمحاولة إزالة تطبيق URT وإيقاف خدمات Cisco ISE باستخدام أوامر CLI القياسية. تؤكد هذه الخطوة حالة التأمين وتنتج رسائل الخطأ الضرورية للتشخيص.

أمر لإزالة تطبيق URT:

application remove urt
Continue with application removal? (y/n) [n] ? y
% An existing application install, remove, or upgrade is in progress. Try again shortly.

الأمر لإيقاف خدمات ISE:

application stop ise
Waiting up to 20 seconds for lock: APP_INSTALL
APP_INSTALL to complete
Database is still locked by lock: APP_INSTALL
APP_INSTALL. Aborting. Please try it later
% Error: Another ISE DB process (APP_INSTALL APP_INSTALL) is in progress, cannot perform Application Stop at this time

إذا ظهرت لديك رسائل تشير إلى وجود تثبيت أو إزالة أو ترقية أخرى قيد التقدم، فقم بالمتابعة إلى الخطوات التالية لاستكشاف الأخطاء وإصلاحها بشكل متقدم.

الخطوة 2: التعرف على ملف تأمين قاعدة البيانات

الوصول إلى العقدة باستخدام امتيازات مستوى الجذر عبر CLI. انتقل إلى الدليل المؤقت حيث يتم تخزين أقفال العملية.

أمر لسرد محتويات /temp/ الدليل:

ls /temp/

ابحث عن ملف باسم ise_db_lock أو ملف مماثل. هذا الملف مسؤول عن الحفاظ على تأمين قاعدة البيانات ومنع عمليات الخدمة.

الخطوة 3: إزالة ملف تأمين قاعدة البيانات القديمة

بمجرد تعريف ملف التأمين، قم بإزالته لمسح حالة التأمين المستمرة.

أمر لإزالة ملف القفل:

rm /temp/ise_db_lock

يطلق هذا الإجراء قاعدة البيانات ويسمح بالمزيد من عمليات الإدارة.

الخطوة 4: إيقاف خدمات ISE وإعادة تشغيلها

بعد إزالة ملف التأمين، قم بالمتابعة لإيقاف تشغيل خدمات Cisco ISE ثم إعادة تشغيلها للتأكد من إعادة تعيين جميع العمليات وتشغيلها كما هو متوقع.

أمر إيقاف خدمات Cisco ISE:

application stop ise

أمر بدء تشغيل خدمات Cisco ISE:

application start ise

تحقق من عدم عرض رسائل الخطأ المتعلقة ب APP_INSTALL ومن إيقاف الخدمات وبدء تشغيلها بنجاح.

الخطوة 5: التحقق من حالة تشغيل خدمات ISE

تحقق من حالة التشغيل لجميع عمليات Cisco ISE للتأكد من أنها تعمل بشكل طبيعي ومن عدم وجود أقفال.

أمر للتحقق من حالة التشغيل:

show application status ise

مثال الإخراج:

ISE PROCESS NAME                       STATE            PROCESS ID
--------------------------------------------------------------------
Database Listener                      running          4056
Database Server                        running          132 PROCESSES
Application Server                     running          9481
Profiler Database                      running          9774
ISE Elasticsearch                      running          24973
AD Connector                           running          35580
M&T Session Database                   running          7838
M&T Log Processor                      running          38134
ISE Messaging Service                  running          10373
ISE API Gateway Database Service       running          10825
ISE API Gateway Service                running          23058
ISE pxGrid Direct Service              running          67962
ISE pxGrid Direct Pusher               running          68973
Segmentation Policy Service            running          39231
REST Auth Service                      running          42849
SSE Connector                          disabled
Hermes (pxGrid Cloud Agent)            disabled
MFA (Duo Sync Service)                 running          44767
McTrust (Meraki Sync Service)          disabled
aciconn (ACI Connection Service)       disabled
Workload Connector Service             disabled
ISE Prometheus Service                 running          62697
ISE Prometheus Exporter                running          59234
ISE Grafana Service                    running          32873
ISE MNT LogAnalytics Elasticsearch     disabled
ISE Logstash Service                   disabled
ISE Kibana Service                     disabled
ISE Native IPSec Service               running          10210
MFC Profiler                           running          46329
ISE Prometheus Alertmanager Service    running          48962
Protocols Engine                       running          60381

يجب الإبلاغ عن جميع خدمات Cisco ISE الرئيسية على أنها "قيد التشغيل".

الخطوة 6: التحقق من مزامنة العقدة في واجهة المستخدم الرسومية (GUI)

1. قم بتسجيل الدخول إلى واجهة المستخدم الرسومية (GUI) الخاصة ب Cisco ISE. 
2. انتقل إلى: الإدارة > النظام > النشر.
3. تأكد من صحة حالة مزامنة العقدة ومن صحة كافة العقد في النشر متعدد العقد. وهذا يؤكد أن حالة التأمين لم تؤثر على إتصالات العقد.

السبب

كان السبب الجذري للمشكلة هو وجود ملف تأمين قاعدة بيانات قديم (ISE_DB_LOCK) في الدليل/temp/. تم إنشاء ملف القفل هذا أثناء تثبيت حزمة URT الذي فشل ولم تتم إزالته تلقائيا. منع القفل المستمر تنفيذ المزيد من عمليات تثبيت التطبيقات أو إزالتها أو ترقيتها ومنع القدرة على إيقاف خدمات Cisco ISE عبر CLI. بالإضافة إلى ذلك، فإن محاولة عمليات الترقية الأصلية في بيئة Azure VM غير مدعومة، وتوصي Cisco بإعادة النشر لترقية عمليات نشر السحابة.

المحتوى ذي الصلة

• تثبيت ISE على Azure Cloud