أستكشاف الأخطاء وإصلاحها وترقية وظيفة ISE للإعدادات

تم التحديث:١١ أكتوبر ٢٠٢٣
معرّف المستند:221081

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند الإعدادات والمهام التي يجب عليك تنفيذها بعد ترقية إدارة ISE.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • ISE، الإصدار 3.0.
    • ISE، الإصدار 3.1.
    • ISE، الإصدار 3.2.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    إعدادات وتكوينات ما بعد الترقية

    أنجزت العملية إعداد ومهام بعد يحسن cisco ISE.

    تحويل إلى أنواع ترخيص جديدة

    قم بتحويل التراخيص القديمة إلى أنواع التراخيص الجديدة من خلال مدير البرامج الذكية (CSSM) من Cisco.

    إذا كنت تقوم بالترقية إلى الإصدار 3.0 من Cisco ISE والإصدارات الأحدث باستخدام تراخيص Base و Apex و Plus الذكية، فسيتم ترقية التراخيص الذكية إلى أنواع التراخيص الجديدة في Cisco ISE. ومع ذلك، يجب عليك تسجيل أنواع التراخيص الجديدة في CSSM لتنشيط التراخيص الموجودة في إصدار Cisco ISE الذي قمت بالترقية إليه.

    إذا كنت تمتلك تراخيص Cisco ISE التقليدية، فيجب عليك تحويلها إلى تراخيص ذكية لتمكين إستهلاك الترخيص في الإصدار 3.0 من Cisco ISE والإصدارات الأحدث. لتحويل تراخيص Cisco ISE 2.x إلى أنواع التراخيص الجديدة، افتح حالة عبر الإنترنت من خلال مدير حالات الدعم، أو إستخدام معلومات الاتصال المقدمة في دعم TAC-WorldWide.

    Cisco WorldWide Support Contactsجهات اتصال دعم Cisco في جميع أنحاء العالم

    يتم أيضا عرض الإعلامات حول إستهلاك التراخيص غير المتوافقة في Cisco ISE. إذا كان إستهلاك الترخيص الخاص بك خارج عن التوافق لمدة 45 يوما في فترة 60 يوما، فيمكنك فقد جميع التحكم الإداري في Cisco ISE حتى تقوم بشراء التراخيص المطلوبة وتنشيطها.

    عند الترقية من حزمة ترخيص إلى أخرى، يستمر Cisco ISE في تقديم جميع الميزات التي كانت متوفرة في الحزمة السابقة قبل الترقية. ومع ذلك، يجب عليك إعادة تكوين أي إعدادات قمت بتكوينها بالفعل. على سبيل المثال، إذا كنت تستخدم حاليا ترخيص Essentials وأضفت لاحقا ترخيص ميزة، فلن تتغير الميزات التي تم تكوينها بالفعل باستخدام ترخيص Essentials.

    التحقق من إعدادات الجهاز الظاهري

    إذا كنت تقوم بترقية عقد Cisco ISE على الأجهزة الافتراضية، فتأكد من تغيير نظام التشغيل Guest إلى Red Hat Enterprise Linux (RHEL) 8.4 (64 بت). للقيام بذلك، يجب عليك إيقاف تشغيل الجهاز الظاهري وتغيير نظام التشغيل Guest إلى إصدار RHEL المدعوم وتشغيله بعد إجراء التغيير. مهايئات الشبكة RHEL 7 وLineSupportOnly E1000 و VMXNET3. تأكد من تغيير نوع محول الشبكة قبل الترقية.

    note-icon

    ملاحظة: إذا كنت تقوم بتشغيل ISE على خادم ESXi 5.x (بحد أدنى 5.1 U2)، فيجب عليك ترقية إصدار أجهزة VMware إلى 9 قبل تحديد RHEL 7 كنظام تشغيل Guest.

    إعداد المستعرض

    بعد الترقية، قم بمسح ذاكرة التخزين المؤقت للمستعرض، وأغلق المستعرض، وافتح جلسة عمل مستعرض جديدة، قبل الوصول إلى مدخل مسؤول Cisco ISE. تحقق أيضا من إستخدام مستعرض مدعوم، والموجود في ملاحظات إصدار ISE.

    إعادة الانضمام إلى Active Directory

    إذا كنت تستخدم Active Directory كمصدر هويتك الخارجية، وفقد الاتصال ب Active Directory، فيجب عليك الانضمام إلى جميع عقد Cisco ISE مع Active Directory مرة أخرى. بعد اكتمال عمليات الوصل، قم بإجراء تدفقات المكالمات لمصدر الهوية الخارجية لضمان الاتصال.

    • بعد الترقية، إذا قمت بتسجيل الدخول إلى واجهة مستخدم Cisco ISE باستخدام حساب مسؤول Active Directory، يفشل تسجيل الدخول الخاص بك لأن الانضمام إلى Active Directory يفقد أثناء الترقية. يجب عليك إستخدام حساب المسؤول الداخلي لتسجيل الدخول إلى Cisco ISE والانضمام إلى Active Directory به.

    • إذا قمت بتمكين المصادقة المستندة إلى الشهادة للوصول الإداري إلى Cisco ISE، واستخدم Active Directory كمصدر هويتك، فلن تتمكن من تشغيل صفحة تسجيل دخول ISE بعد الترقية. وذلك بسبب فقد الاتصال ب Active Directory أثناء الترقية. لاستعادة الصلات إلى Active Directory، قم بالاتصال ب Cisco ISE CLI، وابدأ تطبيق ISE في الوضع الآمن باستخدام الأمر التالي:

    إيقاف التطبيق ISE

    بدء تشغيل التطبيق آمن

    بعد أن يبدأ Cisco ISE في الوضع الآمن، قم بتنفيذ المهام:

    1.سجل الدخول إلى واجهة مستخدم Cisco ISE باستخدام حساب المسؤول الداخلي.

    2. انضم إلى Cisco ISE مع Active Directory. 

    في واجهة المستخدم الرسومية Cisco ISE، انقر فوق رمز القائمة (menu icon) ثم أختر إدارة > إدارة الهوية > مصادر الهوية الخارجية > Active Directory.    لمزيد من المعلومات حول الانضمام إلى Active Directory، راجع: تكوين Active Directory كمصدر هوية خارجي.

    Active Directory Configurationتكوين Active Directory

    عكس البحث عن DNS

    تأكد من أن لديك بحث DNS عكسي تم تكوينه لجميع عقد Cisco ISE في النشر الموزع لجميع خادم (خوادم) DNS. وإلا، يمكنك مواجهة المشكلات المتعلقة بالنشر بعد الترقية.

    إستعادة الشهادات

    إستعادة الشهادات على PAN. عند ترقية عملية نشر موزعة، لا تتم إضافة شهادات المرجع المصدق الجذر لعقدة الإدارة الأساسية إلى مخزن الشهادات الموثوق بها في حالة استيفاء كلا الشرطين:

    • تمت ترقية عقدة الإدارة الثانوية لتكون عقدة الإدارة الأساسية في النشر الجديد.

    • تم تعطيل خدمات جلسة العمل على عقدة الإدارة الثانوية.

    إذا كانت الشهادات غير موجودة في المخزن، يمكنك أن ترى حالات فشل المصادقة مع الأخطاء:

    • مرجع مصدق غير معروف في السلسلة أثناء تدفق BYOD.

    • خطأ OCSP غير معروف أثناء تدفق BYOD.

    يمكنك مشاهدة هذه الرسائل عند النقر فوق مزيد من التفاصيل إرتباط من السجلات المباشرة صفحة للمصادقة الفاشلة.

    لاستعادة شهادات المرجع المصدق (CA) الجذر لعقدة الإدارة الأساسية، قم بإنشاء سلسلة شهادات مرجع مصدق جذر Cisco ISE جديدة. في واجهة المستخدم الرسومية Cisco ISE، انقر فوق رمز القائمة (N/Aواختر إدارة>شهادات>طلبات توقيع الشهادة>إستبدال ISE Root CA Certificate Series.

    Regenerate ISE Root CAإعادة إنشاء ISE Root CA

    إستعادة الشهادات والمفاتيح إلى عقدة الإدارة الثانوية

    إذا كنت تستخدم عقدة إدارة ثانوية، فيمكنك الحصول على نسخة إحتياطية من شهادات ومفاتيح Cisco ISE CA من عقدة الإدارة الأساسية واستعادتها على عقدة الإدارة الثانوية. وهذا يسمح لعقدة الإدارة الثانوية بالعمل كمرجع مصدق رئيسي أو مرجع مصدق تابع لمكون PKI خارجي في حالة فشل PAN الأساسي، كما يمكنك من ترقية عقدة الإدارة الثانوية لتصبح عقدة الإدارة الأساسية. لمزيد من المعلومات حول النسخ الاحتياطي للشهادات والمفاتيح واستعادتها، راجع:

    النسخ الاحتياطي لشهادات ومفاتيح Cisco ISE CA واستعادتها.

    إعادة إنشاء سلسلة المرجع المصدق الجذر

    في سيناريوهات ترقية معينة، يجب إعادة إنشاء سلسلة المرجع المصدق الجذر بعد اكتمال عملية الترقية. إعادة إنشاء سلسلة المرجع المصدق الجذر عن طريق إكمال الخطوات التالية:

    الخطوة (1): من قائمة Cisco ISE الرئيسية، أختر إدارة > النظام > شهادات>إدارة الشهادة>طلب توقيع الشهادة.

    الخطوة (2): انقر فوق إنشاء طلب توقيع الشهادة (CSR).

    الخطوة (3): سيتم إستخدام المرجع المصدق الجذر ل ChooseISE في القائمة المنسدلة Certificate (الشهادات).

    الخطوة (4): سلسلة شهادات ISE Root CA.

    عروض الجدولسيناريوهات إعادة إنشاء سلسلة المرجع المصدق الجذر:

    Table - Root CA

    NAC مرتكز على التهديد

    إذا قمت بتمكين خدمة NAC (TC-NAC) التي ترتكز على التهديد، بعد الترقية، لا يمكن أن تكون محولات TC-NAC فعالة. يجب إعادة تشغيل المهايئات من صفحات NAC التي ترتكز على التهديد في واجهة المستخدم الرسومية (GUI) ل ISE. حدد المحول ثم انقر على إعادة التشغيل لبدء تشغيل المحول مرة أخرى.

    إعداد عقدة خدمات النهج المنشئة ل SMNP

    إذا قمت بتكوين قيمة "عقدة خدمات النهج الأصلي" يدويا ضمن إعدادات SNMP، فسيفقد هذا التكوين أثناء الترقية. يجب إعادة تكوين إعدادات SNMP.

    خدمة موجز ويب منشئ ملفات التعريف

    قم بتحديث خدمة موجز ويب منشئ ملفات التعريف بعد الترقية للتأكد من تثبيت أحدث أدوات WI. من مدخل إدارة Cisco ISE: 

    • في واجهة المستخدم الرسومية Cisco ISE، انقر فوق الرمز (aalazzaw_0-1696832930556) واختيارالإدارة > خدمة موجز الويب >منشئ ملفات التعريف. تأكد من تمكين خدمة موجز ويب منشئ ملفات التعريف.

    انقر فوق تحديث الآن.

    Profiler Updateتحديث منشئ الملفات

    إمداد العميل

    تحقق من ملف تعريف الطالب الأصلي المستخدم في نهج توفير العميل وتأكد من صحة SSID اللاسلكي. بالنسبة لأجهزة iOS، إذا كانت الشبكة التي تحاول توصيلها مخفية، فتحقق من مربع الاختيار تمكين إذا كانت الشبكة الهدف مخفية في منطقة إعدادات iOS.

    التحديثات عبر الإنترنت

    • في واجهة المستخدم الرسومية Cisco ISE، انقر فوق الرمز (aalazzaw_0-1696836181931) واختيارالسياسة > عناصر السياسة > النتائج > إمداد العملاء > الموارد لتكوين موارد إمداد العميل.
    • انقر فوق إضافة (Add).
    • أختر موارد الوكيل من موقع Cisco Site.
    • في نافذة تنزيل الموارد البعيدة، حدد مورد "العامل المؤقت من Cisco".
    • انقر فوق حفظ وتحقق من ظهور المورد الذي تم تنزيله في صفحة الموارد.

    Online Update - Client Provisioningتحديث عبر الإنترنت - إمداد العميل

    التحديثات غير المتصلة

    • في واجهة المستخدم الرسومية Cisco ISE، انقر فوق رمز القائمة (aalazzaw_1-1696837261971) واختيارالسياسة > عناصر السياسة > النتائج > إمداد العملاء > المواردلتكوين موارد إمداد العميل.
    • انقر فوق إضافة (Add).
    • نختار موارد الوكيل من القرص المحلي.
    • من القائمة المنسدلة الفئة، أختر الحزم المقدمة من Cisco.

    مراقبة ترقية مادة النشر واستكشاف الأخطاء وإصلاحها

    • أعد تكوين إعدادات البريد الإلكتروني والتقارير المفضلة وإعدادات إزالة البيانات.

    • تحقق من العتبة وعوامل التصفية للحصول على تنبيهات معينة تحتاجها. يتم تمكين جميع التنبيهات بشكل افتراضي بعد الترقية.

    • تخصيص التقارير، بناء على إحتياجاتك. إذا كنت قد قمت بتخصيص التقارير في النشر القديم، فإن عملية الترقية تقوم باستبدال التغييرات التي قمت بإجرائها.

    تحديث السياسات إلى TRUSTsec NADs

     قم بتشغيل الأوامر، في ترتيب العرض، لتنزيل السياسات على واجهات الطبقة 3 التي تم تمكين Cisco TrustSec لها في النظام. إذا واجهت أي مشكلات في التطبيق بعد الترقية الناجحة.

    • لا يوجد تطبيق قائم على الأدوار ل CTS

    • الإنفاذ القائم على الأدوار ل CTS

    مزامنة/نسخ نسخ ملكية نقطة نهاية محلل

    note-icon

    ملاحظة: عند الترقية إلى Cisco ISE 2.7 والإصدار الأحدث، كجزء من إطار عمل JEDIS، يلزم فتح المنفذ 6379 بين جميع العقد في النشر للاتصال من وإلى.

    بعد عملية الترقية، يمكنك مواجهة الأحداث

    1. لا توجد بيانات في السجلات المباشرة.

    2. أخطاء إرتباط قائمة الانتظار.

    3. حالة الصحة غير متوفرة.

    4. لا يتوفر أي تاريخ في ملخص النظام لبعض العقد.

    يمكن اكتشاف المشكلات المذكورة من خلال ISE Dashbord. بالنسبة لأخطاء إرتباط قائمة الانتظار، سترى منبها أسفل قسم التنبيه. لن يعرض قسم ملخص النظام أي بيانات في حالة وجود إصدار. 

    يمكن إصلاح جميع المشاكل المذكورة من خلال إعادة إنشاء ISE Internal Root CA. خاصة لأخطاء إرتباط قائمة الانتظار في حالة ظهور تنبيه (UNKNOW_CA). إذا كنت لا تزال تواجه المشكلة، فراجع فتح حالة دعم TAC للحصول على مزيد من المساعدة.

    Queue Link Alarm Exampleمثال تنبيه إرتباط قائمة الانتظار

    note-icon

    ملاحظة: إذا واجهت أي مشاكل بعد الترقية الناجحة. يرجى فتح حالة مركز المساعدة الفنية باستخدام الكلمة الأساسية للإصدار الجديد. الرجاء عدم إستخدام الكلمة الأساسية "ترقية". يجب إستخدام الكلمة الأساسية للترقية فقط عند مواجهة مشاكل تتعلق بعملية الترقية الفعلية.

    مشكلات المصادقة بعد الترقية

    بعد عملية ترقية ناجحة، يمكنك مواجهة مشكلة في المصادقة. التحقق من صحة المطالبات والتحقق منها:

    • تفاصيل تقرير سجلات Raduis Live. تحقق من سبب الفشل والحل المقترح والسبب الجذري. راجع المثال:

    Radius Live Logs Report Exampleمثال تقرير سجلات RADIUS المباشرة

    • يمكن أن تفشل المصادقة بعد الترقية إذا كنت تستخدم Active Directory كمصدر هويتك الخارجية، وتم فقد الاتصال ب Active Directory، فيجب عليك الانضمام إلى جميع عقد Cisco ISE مع Active Directory مرة أخرى. بعد اكتمال عمليات الوصل، قم بإجراء تدفقات المكالمات لمصدر الهوية الخارجية لضمان الاتصال.
    • إذا كنت لا تزال تواجه مشاكل وتحتاج إلى فتح حالة مركز المساعدة الفنية، يرجى إجراء إكمال المهام:
    note-icon

    ملاحظة: يرجى إستخدام الكلمة الأساسية للمصادقة عند فتح حالة لمشكلة المصادقة. لا تستخدم الحالة نفسها التي تم فتحها للترقية.

    1. أختر جهازا واحدا يتمتع بالمشكلة لاستكشاف الأخطاء وإصلاحها.

    2. لاحظ الطابع الزمني للاختبار.

    3. لاحظ عنوان MAC لجهاز الاختبار.

    4. إعادة إنشاء المشكلة.

    5. تجميع تفاصيل سجلات RADIUS المباشرة. تأكد من تطابق طابع الوقت.

    6. إذا كنت تستخدم AnyConnect، فعليك تجميع حزمة DART من المستخدم النهائي.

    7. قم بإنشاء حزمة دعم من PSN التي تجتهد في طلبات المصادقة. 

    8. قم بتحميل جميع المعلومات إلى حالتك.

    note-icon

    ملاحظة: تتطلب المشاكل المختلفة المتعلقة ب ISE مجموعات مختلفة من السجلات لاستكشاف الأخطاء وإصلاحها. يجب توفير قائمة كاملة بتصحيح الأخطاء المطلوبة بواسطة مهندس TAC.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    11-Oct-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • أمير العزاوي
      مهندس الاستشارات التقنية الأمنية

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات