Problem
Das Gastportal der Cisco Identity Services Engine (ISE) Version 3.2 Patch 7 und 3.3 Beta stellt den Betrieb auf Policy Service Nodes (PSNs) in der Bereitstellung mit einigen Knoten auf einem virtuellen System (VM) und einigen auf Azure zeitweise ein. In diesem Fall hilft ein Stopp/Start von ISE-Diensten oder eine manuelle Synchronisierung von Knoten über die GUI bei der Wiederherstellung der Portalfunktionalität. Dieses Problem wird bei mehreren Knoten in der Umgebung beobachtet.
Umwelt
- Produkt: Cisco Identity Services Engine (ISE)
- Softwareversion: 3.2 Patch 7 und 3.3_BETA
- Kürzlich vorgenommene Änderungen: Migration von Knoten in eine separate Umgebung; Migration von PAN und MNT von Azure zu Hardware-Appliances (SNS 3795)
- Netzwerk: Kommunikation zwischen Knoten über TCP-Port 8671 erforderlich.
Auflösung
1. Stellen Sie sicher, dass jedem PSN-Knoten ausreichende CPU- und Speicherressourcen zugewiesen sind, insbesondere Knoten, die Serviceausfälle oder Leistungseinbußen aufweisen.Wenn Ressourceneinschränkungen erkannt werden, erhöhen Sie bei Bedarf die CPU- und/oder Speicherzuweisung.
2. Bestätigen Sie, dass alle PSN-Knoten über den TCP-Port 8671 kommunizieren können, was für die Knotensynchronisierung von entscheidender Bedeutung ist. Testen Sie die Verbindung zwischen Knoten auf dem TCP-Port 8671 mithilfe von Telnet. Eine erfolgreiche Verbindung weist darauf hin, dass der Port offen und erreichbar ist. Wenn die Verbindung fehlschlägt, überprüfen Sie die Firewall-Einstellungen, das Routing und die Netzwerk-ACLs zwischen Knoten.
3. Manuelle Synchronisierung des PSN-Knotens über die ISE-GUI:
- Navigieren Sie zu Administration > System > Deployment.
- Wählen Sie das betroffene PSN aus, und klicken Sie auf Syncup (ISE PSN-Knotendienste und anschließend auf Restart).
4. Erstellen Sie ein neues Hotspot-Portal:
- Navigieren Sie zu Work Center > Guest Access > Portals & Components.
- Klicken Sie auf Erstellen, und wählen Sie Hotspot-Portal aus.
- Konfigurieren Sie die Grundeinstellungen, fügen Sie eine einfache AUP hinzu, und legen Sie eine URL für die Umleitung nach der Anmeldung fest.
- Speichern und testen Sie das neue Portal, um die Funktionalität zu überprüfen. Wenn das neue Portal normal funktioniert, kann dies auf Konfigurationsprobleme mit dem ursprünglichen Portal hinweisen.
5. Wenn Profiler-Warteschlangen oder ressourcenbezogene Warnungen auf Knoten vorhanden sind, wie z. B. hohe CPU-Auslastung oder Warteschlangen-Verbindungsfehler, erhöhen Sie die Hardwareressourcen nach Bedarf. Erhöhen Sie z. B. die CPU-Zuweisung von 8 auf 16 vCPUs.
Hinweis: Dieser Schritt erfolgt über Ihre Virtualisierungs- oder Cloud-Management-Schnittstelle.
6. Überwachen Sie nach der Ressourcenanpassung das System auf eine verbesserte Stabilität.
7. Überwachen Sie weiterhin die Anzahl von Warteschlangenverbindungsfehlern oder ähnlichen Warnungen. Wenn solche Fehler weiterhin auftreten, aber sporadisch auftreten und mit ISP- oder Netzwerkproblemen (nicht mit internen Konfigurationen oder Firewalls) verknüpft sind, dokumentieren Sie die Ereignisse für die laufende Überprüfung. Wenn Fehler auf externe ISP-Probleme zurückgeführt werden, stimmen Sie sich bei Bedarf mit Netzwerkdienstanbietern ab.
Ursache
Die Hauptursache für die Nichtantwort des ISE-Gastportals sind Ressourceneinschränkungen (CPU/Arbeitsspeicher) auf betroffenen PSN-Knoten sowie Kommunikationsprobleme zwischen Knoten (TCP-Port 8671). Warteschlangenverbindungsfehler werden auf externe ISP-Probleme zurückgeführt und nicht auf interne Netzwerk- oder Firewall-Fehlkonfigurationen. Die Migration von Knoten und die Anpassung von Hardwareressourcen führt zu einer verbesserten Stabilität.
Verwandte Inhalte
Feedback