Verständnis des ISE 3.3-Knotenregistrierungsprozesses

Download-Optionen

PDF (1.7 MB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (1.3 MB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (1.3 MB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:13. März 2025

Dokument-ID:222828

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Hintergrundinformationen

Anforderungen

Erforderliche Komponenten

Betroffene Zeitstempel

Registrierungsprozess

PCAP-Analyse

CLI-Dienstprogramme

Protokollanalyse

Alarme bei Knotensynchronisierungsproblemen

Bekannte Fehler

Einleitung

In diesem Dokument werden die Voraussetzungen für die Identity Service Engine (ISE)-Knotenregistrierung sowie der schrittweise Prozess, die PCAP-Analyse und die Protokollanalyse beschrieben.

Voraussetzungen

Sie müssen über die Grundkenntnisse der Cisco Identity Service Engine (ISE) verfügen.

Hintergrundinformationen

Eigenständiger Knoten: eine Bereitstellung mit einem einzelnen Cisco ISE-Knoten. Auf diesem Knoten werden die Rollen Administration, Policy Service und Monitoring ausgeführt.
Verteilte Bereitstellung: eine Bereitstellung mit mehr als einem Cisco ISE-Knoten. Zur Unterstützung von Failover und zur Verbesserung der Leistung können Sie eine Bereitstellung mit mehreren verteilten Cisco ISE-Knoten einrichten. In einer verteilten Cisco ISE-Bereitstellung werden die Verwaltungs- und Überwachungsaktivitäten zentralisiert, und die Verarbeitung wird über die Richtliniendienst-Knoten verteilt. Je nach Ihren Leistungsanforderungen können Sie Ihre Bereitstellung skalieren.
Ein ISE-Knoten kann sich in einem der Status "Primär", "Sekundär" oder "Standalone" befinden.
Ein ISE-Knoten kann eine der folgenden Eigenschaften annehmen: Administration, Policy Service und Monitoring.
Sie müssen einen Registrierungsprozess durchführen, um einem Primärknoten weitere Knoten hinzuzufügen und einen Cluster zu bilden.

Anforderungen

Nach der Installation der ISE-Knoten müssen Sie einen der Knoten auswählen und dessen Status von "Standalone" in "Primary" ändern. Navigieren Sie zu Administration > Deployment, klicken Sie auf den Knoten ISE > Make Primary .
In einer verteilten Bereitstellung kann ein einzelner Primärknoten vorhanden sein.
Der FQDN des zu registrierenden sekundären Knotens muss vom primären Knoten auflösbar sein. Die Vorwärts- und Rückwärtssuche nach DNS muss funktionieren.
Version/Patch-Details beider Knoten sind identisch.
Sie müssen über Administratorberechtigungen für den sekundären Knoten verfügen.
Stellen Sie sicher, dass das Administratorzertifikat beider Knoten vertrauenswürdig ist. Fügen Sie bei einem von einer Drittanbieter-Zertifizierungsstelle signierten Zertifikat die Stammzertifizierungsstelle zum Speicher für vertrauenswürdige Zertifikate hinzu.
Die Latenz zwischen den Knoten beträgt weniger als 300 ms.

Erforderliche Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen

Cisco Identity Service Engine 3.3
ISE VM

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Erforderliche Ports

HTTPS (SOAP): TCP/443
Datensynchronisierung/-replikation (JGroups): TCP/12001
ISE-Messaging-Service: SSL: TCP/8671
ISE-interne Kommunikation: TCP/15672
Synchronisierung/Replikation des Besitzes des Profilers für Endpunkte: TCP/6379

Erforderliche Debugs

Auf Debugging-Ebene festzulegende Attribute:

Replication-Deployment (Replication.log und ise-psc.log)
Replication-JGroup (Replication.log und ise-psc.log)
Replication Tracker (tracking.log)
hibernate (hibernate.log)
JMS (replikation.log)
ca-service (caservice.log)
admin-ca (ise-psc.log)

Knotendetails

ise330.tac.local (10.127.197.174) ist der PAN-Knoten
ise331.tac.local (10.127.197.175) ist der SAN-Knoten

Topologie

nodes

Betroffene Zeitstempel

Knoten ise331.tac.local ist auf ise330.tac.local registriert

Registrieren Click- 2025-01-31, 16:00:01

Next Click (Nach dem Füllen Sekundärknoten FQDN Details) -2025-01-31, 16:00:13

Senden Klicken (Nach der Auswahl von Personas)-2025-01-31, 16:00:21

Replication-2025-01-31, 16:02:22

Abgeschlossen Sync-2025-01-31 16:30:54

Registrierungsprozess

Knotenregistrierung: Ein Prozess der authentifizierten Konfigurationsdatenbankreplikation vom primären Admin-Knoten zum sekundären Knoten.

Schritt 1: ISE-Knoten als primärer Knoten festlegen

Zunächst befindet sich jeder Knoten im Standalone-Modus. Um andere Knoten zu registrieren, machen Sie einen der Knoten zum primären Knoten.

Navigieren Sie zu Administration > Deployment > Klicken Sie auf den ISE-Knoten/Bearbeiten Sie den Knoten .

Klicken Sie auf Als primär festlegen.

Standalone

Klicken Sie auf Knoten bearbeiten.
Edit

Klicken Sie auf Primärform und dann auf Speichern.

Primary

Die Rolle wird nun zur primären Rolle.

Phase 2: Den sekundären Knoten registrieren

Der zu registrierende Knoten muss sich im Standalone-Modus befinden.

Rufen Sie den sekundären Knoten auf, und rufen Sie den FQDN ab.

Navigieren Sie zu Administration > Deployment. Klicken Sie auf den Knotennamen.

Rufen Sie die PAN-GUI auf.

Navigieren Sie zu Administration > Deployment.

Klicken Sie auf Registrieren.

Er fordert die Registrierung des FQDN und der Anmeldeinformationen des Knotens an.

Geben Sie den FQDN und die Anmeldeinformationen des Super-Admin-Benutzers des sekundären Knotens ein.

Wenn Sie auf Weiter klicken, wird das Zertifikat des sekundären Knotens importiert.

Klicken Sie auf Zertifikat importieren, und fahren Sie fort.
Import Certificate

Wählen Sie nun die erforderlichen Personen für den sekundären Knoten aus, und klicken Sie auf Senden.

Submit

Save

Der sekundäre Knoten wird dann beim primären Knoten registriert.Klicken Sie auf OK.

Warning

Überprüfen Sie, ob der sekundäre Knoten, der dem PAN hinzugefügt wurde, in gelber Farbe anzeigt, dass die Registrierung/Synchronisierung durchgeführt wird.

Sync

Schritt 4: Wenn Sie einen sekundären Admin-Knoten (SAN) ausgewählt haben, müssen Sie die Lizenz erneuern. Sie gilt nicht für PSN.

Navigieren Sie zu Administration > Licensing (Verwaltung > Lizenzierung).
Klicken Sie auf Registrierung verlängern.

License Renew

Schritt 5: Die Registrierung war erfolgreich.

Final

PCAP-Analyse

In PCAP sehen Sie DNS, Zertifikataustausch über 443.

Certificatiom

DNS-Datenverkehr: Wenn Sie auf Registrieren klicken und den FQDN angegeben haben, versucht der Primärknoten, den FQDN des Sekundärknotens aufzulösen.

DNS

Sie können auch den Zertifikataustausch zwischen den beiden Knoten sehen.

Client-Hello

Client hello

Server Hello, Zertifikat, Server Key Exchange, Server Hello

ise331.tac.local teilt sein Zertifikat mit dem PAN-Knoten.

Server hello

Der Clientschlüsselaustausch hat den öffentlichen Schlüssel. Client Key Exchange

Beide Knoten beheben die Verschlüsselungssuiten und erstellen den verschlüsselten Tunnel, um die Details zu teilen.

Change cipher spec

CLI-Dienstprogramme

ise-psc.log - DNS-Abfrage/Zertifikatvalidierung/Zertifikatreplikation/Synchronisierungsstatussteuerung

Pfad vom Root: /opt/CSCOcpm/logs/ise-psc.log

Über die CLI:

#show Protokollanwendung ise-psc.log tail

ADE.log - DB Import/Export, Service Start/Stopp

Pfad Von Stamm: /var/log/ade/ADE.log

Über die CLI:

#show logger system ade/ADE.log tail

Replication.log - Protokolle für Problem nach DB-Import oder DMP-Dateiübertragung

Pfad vom Root: /opt/CSCOcpm/logs/replication.log

Über die CLI:

#show Anwendungsreplikation.log tail

Deployment.log- Protokolle zu Zertifikaten, Antwortseiten

Pfad Vom Stamm: /opt/CSCOcpm/logs/deployment.log

Über die CLI:

#show Protokollieren von Anwendungsbereitstellung.log

Protokollanalyse

Schritt 1: Klicken Sie auf ISE-Knoten registrieren.

ise330-ise-psc.log

2025-01-31 16:00:01,992 INFO [admin-http-pool2][[] cpm.admin.infra.spring.ISEAdminControllerUtils -::admin::- Zuordnungspfad in action-forward gefunden,weiterleiten an: /pages/modules/infra/deployment/deploymentRegister.jsp

Phase 2: Füllen Sie die Details des sekundären Knotens aus.

ise330-deployment.log:

2025-01-31 16:00:11,313 INFO [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise331.tac.local:registerNode:-Calling register for host FQDNise 331.tac.local

2025-01-31 16:00:11,371 DEBUG [admin-http-pool5][[]] deployment.client.cert.validator.HttpsCertPathValidatorImpl -::admin:ise331.tac.local:registerNode: - Ist Zertifikatpfad gültig?true

ise331-deployment.log
2025-01-31 16:00:11,708 INFO [admin-http-pool14][[[]] cpm.infrastructure.deployment.rpc.DeploymentRegistrationListener -:::-Empfangene Anforderung für doPost /register
2025-01-31 16:00:11,710 INFO [admin-http-pool14][[[]] cpm.infrastructure.deployment.rpc.DeploymentRegistrationListener -:::-Empfangene Anforderung für doGet/register
2025-01-31 16:00:11,716 INFO [admin-http-pool14][[[]] cpm.infrastructure.deployment.rpc.DeploymentRegistrationListener -:::-Der abgerufene primäre Hostname lautet ise330.tac.local.

Schritt 3: DNS-Auflösung

ise330- ise-psc.log:

2025-01-31 16:00:13,208 INFO [admin-http-pool5][[] cpm.admin.infra.action.DeploymentEditAction -::admin:ise331.tac.local:registerNode:-Node wird registriert hat FQDN 'ise331.tac.local'.Dieser Name wird zu IP-Adresse10.127.197.175 aufgelöst.

2025-01-31 16:00:20,638 INFO [admin-http-pool3][[]] cpm.admin.infra.action.DeploymentEditAction -::admin::- Der hinzugefügte Knoten ist sekundärer PAP :ise331

ise331-ise-psc.log
2025-01-31 16:00:11,716 INFO [admin-http-pool14][[[]] epm.pap.api.handler.CommonUtil -:::-Überprüfen, ob der Host ise330.tac.local dns auflösbar ist
2025-01-31 16:00:11,721 INFO [admin-http-pool14][[[]] epm.pap.api.handler.CommonUtil -:::-Host ise330.tac.local is dns resolvable within 5 ms

Schritt 4: Zertifikate

ise330-ise.psc.log

2025-01-31 16:00:20,887 INFO [admin-http-pool5][[] cpm.admin.infra.action.DeploymentEditAction -::admin:ise31:registerNode:-prepare to call getServCert

ise330-deployment.log
2025-01-31 16:00:20,888 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise331:registerNode:- hostAlias ::ise331.tac.local ipAddrString :: 10.127.197.175 urlStr ::https://ise331.tac.local/admin/API/mnt/api/ServCert

2025-01-31 16:00:21,419 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:- GET: Anfrage tohttps://ise331.tac.local/admin/API/mnt/api/ServCert abgeschlossen.

Schritt 5: Hinzufügen eines sekundären Knotens mit übermittelten Personas

ise330-ise-psc.log
2025-01-31 16:00:21,905 INFO [admin-http-pool5][[] cisco.mnt.dbms.handler.DataSourceReInitializingHandler -::admin:ise31:registerNode:- Empfangenes NG-Ereignis:Add
2025-01-31 16:00:21,905 INFO [admin-http-pool5][[] cisco.mnt.dbms.handler.DataSourceReInitializingHandler -::admin:ise331:registerNode:-Aktuell : KnotenmasterStatus: STANDBY
2025-01-31 16:00:21,905 INFO [admin-http-pool5][[] cisco.mnt.dbms.handler.DataSourceReInitializingHandler -::admin:ise331:registerNode:-Aktuell : Knotenrollenstatus: SEKUNDÄR
2025-01-31 16:00:21,905 INFO [admin-http-pool5][[] cisco.mnt.dbms.handler.DataSourceReInitializingHandler -::admin:ise31:registerNode:- Aktuell : HostConfig-Ereignis hostAlias: ise331.tac.local

Knotendetails erfolgreich erstellt und gespeichert

ise330-deployment.log
2025-01-31 16:01:22,247 DEBUG [admin-http-pool5][[] cisco.cpm.infrastructure.deployment.DeploymentManager -::admin:ise331:registerNode:- HostConfig 'ise331' wurde erstellt erfolgreich
31.01.2025 16:01:22,251 DEBUG [admin-http-pool5][[] cisco.cpm.infrastructure.deployment.DeploymentManager -::admin:ise31:registerNode:- Retrieved HostConfig [hostName=ise33] 1, displayName=ise331, hostId=5ff70820-dfbe-11ef-bb78-12467b70bb3d, gateWay=10.127.197.1,masterStatus=STANDBY, nodeRoleStatus=SEE CONDARY, nodeTypes=PAP+MNT+PDP, nodeServiceType=SESSION,PROFILER, userName=null, smtpPort=null, smtpHost=null, hostAlias=ise331.tac.local, udiPid=ISE-VM-K9, udiVid=V0 1, udiSN=S7LEAGKMIHM, udiPT=VM, installType=null, vmInfo=16179780|12|LARGE||2025-01-30 21:44:33 IST|0 MB|0 MHz|4294967295 MB|5000 MHz, isApp iNode=false] DBInterface [id=5ff70823-dfbe-11ef-bb78-12467b70bb3d, userName=<nicht gezeigt>, passWd=<nicht gezeigt>, portNum=1521, sId=cpm10] MasterInterface [id=5ff 70822-dfbe-11ef-bb78-12467b70bb3d, userName=<nicht dargestellt>, passWd=<nicht dargestellt>, portNum=80, domainName=Default Domain, contextRoot=admin, serviceType=WEBSERVICE, isSSLEnable=false] NICInterface [id=5ff70821-dfbe-11ef-bb78-12467b70bb3d, ipAddress=10.127.197.175, subNetMask=255.255.255.0, macAddress=0 0-50-56-8b-23-2e, nicCards=eth0]

Schritt 6: Zertifikate

ise330-ise-psc.log
2025-01-31 16:01:22,251 INFO [admin-http-pool5][[]] cpm.admin.infra.action.DeploymentEditAction -::admin:ise331:registerNode:- HostConfig hostId des registrierenden Knotens ise33 1 zum Zeitpunkt der lokalen Zertifikatspeicherung: 5ff70820-dfbe-11ef-bb78-12467b70bb3d Alle lokalen Zertifikate und CSRs verweisen mit dieser hostId auf die HostConfig.

ise330-deployment.log
2025-01-31 16:01:22,841 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:-Importieren von freigegebenen Bereitstellungszertifikaten
2025-01-31 16:01:22,841 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:- Vorbereiten der Verbindung

2025-01-31 16:01:23,804 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:- connected to registering node
31.01.2025, 16:01:23,804 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:-Import CertParams wird an registrierenden Knoten gesendet
2025-01-31 16:01:23,822 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:- Importieren von CertParams gesendet an registrierenden Knoten
2025-01-31 16:01:23,823 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:- Receiving importcerts ids

2025-01-31 16:01:24,147 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:-Imported certs ids received:
2025-01-31 16:01:24,148 DEBUG [admin-http-pool5][[] cpm.infrastructure.deployment.client.DeploymentRegistrationClient -::admin:ise31:registerNode:-Importieren von freigegebenen Bereitstellungszertifikaten - fertig
2025-01-31 16:01:24,382 DEBUG [admin-http-pool5][[] cisco.cpm.infrastructure.deployment.DeploymentManager -::admin:ise331:registerNode:- Inside getHostConfigForLocalNode to fetch locch alhostconfig
2025-01-31 16:01:24,382 DEBUG [admin-http-pool5][[] cisco.cpm.infrastructure.deployment.DeploymentManager -::admin:ise331:registerNode:- hostName = ise330
2025-01-31 16:01:24,385 DEBUG [admin-http-pool5][[] cisco.cpm.infrastructure.deployment.DeploymentManager -::admin:ise331:registerNode:- Retrieved HostConfig [hostName=ise330] , dispayName=ise330, hostId=50451540-dee0-11ef-90b1-0050568bb121, gateWay=10.127.197.1, masterStatus=ACTIVE, nodeRoleStatus=PRIMARY, nodeTypes=PAP+MNT+PDP, nodeServiceType=SESSION,PROFILER, userName=null, smtpPort=null, smtpHost=null, hostAlias=ise330.tac.local, udiPid=ISE-VM-K9, udiVid=V01, udiSN=IRJN9DCFIG9, udiPT=V VM, installType=null, vmInfo=16179788|12|LARGE|300 GiB|2025-01-31 01:44:51 IST|0 MB|0 MHz|4294967295 MB|5000 MHz, isApiNode=false] DBInterface [id=50451543-dee0-11ef-90b1-0050568bb121, userName=<nicht dargestellt>, passWd=<nicht dargestellt>, portNum=1521, sId=cpm10] MasterInterface [id=50451542-dee0-11ef-90b1-0050568bb 121, userName=<nicht abgebildet>, passWd=<nicht abgebildet>, portNum=80, domainName=Default Domain, contextRoot=admin, serviceType=WEBSERVICE, isSSLEnable=true] NICInterface [id=50451541-dee0-11ef-90b1-0050568bb 121, ipAddress=10.127.197.174, subNetMask=255.255.255.0, macAddress=00-50-56-8b-b1-21, nicCards=eth0]

Platzhalterprüfung

ise-psc.log <==
2025-01-31 16:01:25,304 INFO [admin-http-pool5][[] cpm.infrastructure.certreqmgmt.notifications.IseEapCertNotificationHandler -::admin:ise331:registerNode:- Empfangene lokale ISE ert-Benachrichtigung.
2025-01-31 16:01:25,304 INFO [admin-http-pool5][[] cpm.infrastructure.certreqmgmt.notifications.IseEapCertNotificationHandler -::admin:ise331:registerNode:- Lokales Zertifikat ist ein EE AP-Zertifikat. KeyAndCertStoreUtil wird aktualisiert
2025-01-31 16:01:25,304 INFO [admin-http-pool5][[] cpm.infrastructure.certreqmgmt.util.KeyAndCertStoreUtil -::admin:ise331:registerNode:- Benachrichtigung zum Aktualisieren dieses Knotens empfangen der EAP-Zertifikatskette.
2025-01-31 16:01:25,304 INFO [admin-http-pool5][[] cpm.infrastructure.certreqmgmt.notifications.IseEapCertNotificationHandler -::admin:ise331:registerNode:- Gesendete Aktualisierungsanforderungen.
2025-01-31 16:01:25,305 INFO [admin-http-pool5][[] cpm.infrastructure.certreqmgmt.notifications.WildcardCertNotificationHandler -::admin:ise331:registerNode:- Received ISE Local Cert notification.
2025-01-31 16:01:25,305 INFO [admin-http-pool5][[]] cpm.infrastructure.certreqmgmt.notifications.WildcardCertNotificationHandler -::admin:ise331:registerNode:- Zertifikattyp wird geprüft
2025-01-31 16:01:25,305 INFO [admin-http-pool5][[] cpm.infrastructure.certreqmgmt.notifications.WildcardCertNotificationHandler -::admin:ise331:registerNode:- Default self-signed server certificate is a wildcard Dcard-Zertifikat: falsch
2025-01-31 16:01:25,305 INFO [admin-http-pool5][[]] cpm.infrastructure.certreqmgmt.notifications.WildcardCertNotificationHandler -::admin:ise331:registerNode:- Checking for SAML,APNS, CMCS- oder ProfileSigning-Zertifikat
2025-01-31 16:01:25,306 INFO [admin-http-pool5][[]] cpm.infrastructure.certreqmgmt.notifications.WildcardCertNotificationHandler -::admin:ise331:registerNode:- Default self-signed server certificate is it ML-Zertifikat: falsch
2025-01-31 16:01:25,306 INFO [admin-http-pool5][[] cisco.cpm.provisioning.cert.CertProvisioningFactory -::admin:ise331:registerNode:- CertChangeHandler.handle(): Erstellen einer EAP-Zertifikatkette beim Einfügen eines Ereignisses für ein lokales Zertifikat und ein Vertrauenszertifikat

ise330-ise-psc.log
2025-01-31 16:01:25,830 INFO [admin-http-pool5][[]] cpm.admin.infra.action.DeploymentEditAction -::admin:ise31:registerNode:- Gespeichertes lokalesZertifikat: LocalCertificate [basicCertificateFields=X509BasicCertificateFields[version=0,serialNumber=17382241548535177602714336375,emittent=<null>,notBefore=Do 30. Januar 13:32:34 IST 2025,notAfter=Sa 30 13:32:34 IST 2027,subject=CN=ise331.tac.local,issuedTo=ise331.tac.local,issuedBy=ise331.tac.local,certificateFilename=<null>,digestHash=<null>], id=f0463881-4c64-4ff5-96a2-4f0 089f50459, name=ise331_tac_local#382a40d27abf53ac42387c77#PID$_ISE-VM-K9$_VID$_V01$_SN$_S7LEAGKMIHM, friendlyName=Default self-Signiertes Serverzertifikat, x509Certificate=null, iseRoles=[EAP, Admin, Portal, DTLS], hostConfigId=7ec82060-dee0-11ef-898d-0050568b232e, hostUDI=PID: ISE-VM-K9, VID: V01, SN: S7LEAGKMIHM, keySize=0, fipsCompliant=false, privateKeyGuid=[-2, -92, -78, 78, 73, -87, 65, 60, -71, 0, 7, -127, -104, -124, 56, 83], description=null]
2025-01-31 16:01:25,830 INFO [admin-http-pool5][[]] cpm.admin.infra.action.DeploymentEditAction -::admin:ise31:registerNode:- Vorbereiten des Speicherns von LocalCertificate: LocalCertificate [basicCertificateFields=X509BasicCertificateFields[version=0,serialNumber=17382241611749295087684098633,emittent=<null>,notBefore=Do 30. Januar 13:32:41 IST 2025,notAfter=Di 29 13:32:41 IST 2030,subject=CN=SAML_ise331.tac.local,issuedTo=SAML_ise331.tac.local,issuedBy=SAML_ise331.tac.local,certificateFilename=<null>,digestHash=<null>], id=26fd28f0-630 46-4fd5-8699-312dfdf97a8e, name=SAML_ise331_tac_local#382a40d5e804fc9a4ba71a49#PID$_ISE-VM-K9$_VD ID$_V01$_SN$_S7LEAGKMIHM, friendlyName=Default self-signed saml server certificate - CN=SAML_ise331.tac.local, x509Certificate=null, iseRoles=[NO_SSOCert], hostConfigId=7ec82060-dee0-11ef -898d-0050568b232e, hostUDI=PID: ISE-VM-K9, VID: V01, SN: S7LEAGKMIHM, keySize=0, fipsCompliant=false, privateKeyGuid=[-18, 47, -17, -88, 79, -30, 69, -12, -73, 120, -111, -36, 40, 27, 4 3, 68], description=null] Hostname: ise331 Host-Konfigurations-ID: 5ff70820-dfbe-11ef-bb78-12467b70bb3d

ise330-Replication.log
2025-01-31 16:01:34,051 DEBUG [admin-http-pool5][[] cisco.cpm.deployment.Replication.PublisherImpl -::admin:ise31:registerNode:- Hinzufügen, um Warteschlangenkennung zu veröffentlichen: 8afb25b0-dfbe-11ef-bb78-12467b70bb3d, seqNo: 0, Daten: 3058 Byte

ise330-Replication.log
2025-01-31 16:02:14,488 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync Entering addNodeToDistribution Setup für Host: ise331.tac.local
2025-01-31 16:02:14,488 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync - Enter addNodeToDistribution EinrichtenVerwendenGruppen
2025-01-31 16:02:14,501 INFO [admin-http-pool5][[] api.services.persistance.dao.ReplicationStatusDAOImpl -::admin:ise331:registerNode:- Hostname: ise331, DB 'SEC_REPLICATIONSTATUS' = IN PROGRESS, Node Persona: SECONDARY, ReplicationStatus-Objektstatus: SYNC_INPROGRESS
2025-01-31 16:02:14,502 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync - Exiting addNodeToSync DistributionEinrichtenVerwenden vonGruppen
2025-01-31 16:02:14,502 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync Done addNodeToDistribution Einrichtung für Host: ise331.tac.local

2025-01-31 16:02:14,508 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync - Eingabe von offerSyncRequestToTo Warteschlange
2025-01-31 16:02:14,524 INFO [admin-http-pool5][[]] class com.cisco.epm.fullsync.FullSyncInfoHelper -::admin:ise331:registerNode:- Erstellt FullSyncInfo[ a33 1cab00-dfbe-11ef-bb78-12467b70bb3d ]
2025-01-31 16:02:14,524 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync Die Synchronisationsanforderung ist hostFQDN[ise331.tac.local] exportFilePath[null] syncRequestIdentifier[null] syncRequestTime[null] syncStatus[SYNC_INPROGRESS] transientSyncStatus[null] syncRequestType[REGISTER]
2025-01-31 16:02:14,524 INFO [admin-http-pool5][[] api.services.server.distribution.RegistrationAndSyncHelper -::admin:ise331:registerNode:- Tracking RegistrationAndSync - exiting offerSyncRequestTo Warteschlange

Schritt 7: Registrieren des Knotens im Cluster

ise330-ise-psc.log
2025-01-31 16:02:14,524 INFO [admin-http-pool5][[] api.services.server.distribution.DistributionImpl -::admin:ise331:registerNode:- Tracking RegistrationAndSync -Neuer Registrierungscode für Node ise abgeschlossen 331
2025-01-31 16:02:14,524 INFO [admin-http-pool5][[] cpm.admin.infra.action.DeploymentEditAction -::admin:ise331:registerNode:- Node ise331 wurde erfolgreich registriert mit persona(s) Administration, Monitoring, Policy Service

Schritt 8: Firewall-Regeln

ise330-ise-psc.log

2025-01-31 16:00:39,945 INFO [admin-http-pool5][[]] cisco.cpm.infrastructure.utils.FwUtil-::admin:ise31:registerNode:- Bereitstellung hostet IPs: [10.127.197.174, 10.127.197.175]Inkompatible Hosts: [10.127.197.174]

2025-01-31 16:00:43,526 INFO [admin-http-pool5][[]] cisco.cpm.infrastructure.utils.FwUtil-::admin:ise331:registerNode:- syncUpfwList: DB-Zugriff für IPS zulässig: [10.127.197.175]

2025-01-31 16:00:46,617 INFO [admin-http-pool5][[]] cisco.cpm.infrastructure.utils.FwUtil-::admin:ise331:registerNode:- syncUpfwList: DB-Zugriff für IPS nicht zulässig: []

2025-01-31 16:00:46,617 INFO [admin-http-pool5][[] cisco.cpm.infrastructure.utils.JGroupsFWUtil-::admin:ise331:registerNode:-Firewall-Regeln für jGroup anwenden

2025-01-31 16:00:53,678 INFO [admin-http-pool5][[] cisco.cpm.infrastructure.utils.JGroupsFWUtil-::admin:ise331:registerNode:-Applied Firewall rules for jGroup.

2025-01-31 16:14:32,420 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.FwUtil-:::::- Bereitstellung hostet IPs: [10.127.197.174, 10.127.197.175]Inkompatible Hosts: [10.127.197.175, 10.127.197.174]

2025-01-31 16:14:33,605 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.FwUtil-:::::- syncUpfwList: DB-Zugriff für IPS zulässig: []

2025-01-31 16:14:34,785 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.FwUtil-:::::- syncUpfwList: DB-Zugriff für IPS nicht zulässig: []

2025-01-31 16:14:34,785 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.JGroupsFWUtil-::::- Firewall-Regeln für jGroup anwenden

2025-01-31 16:14:36,173 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.JGroupsFWUtil-:::::- Angewandte Firewall-Regeln für jGroup.

2025-01-31 16:14:36,184 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.NodeGroupFWUtil-:::::- Anwendung von Firewall-Regeln für die Knotengruppe

2025-01-31 16:14:38,964 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.NodeGroupFWUtil-:::::- Angewandte Firewall-Regeln für Knotengruppe

2025-01-31 16:29:33,320 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.FwUtil-:::::- Bereitstellung hostet IPs: [10.127.197.174, 10.127.197.175]Inkompatible Hosts: [10.127.197.175, 10.127.197.174]

2025-01-31 16:29:35,505 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.FwUtil-:::::- syncUpfwList: DB-Zugriff für IPS zulässig: []

2025-01-31 16:29:37,792 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.FwUtil-:::::- syncUpfwList: DB-Zugriff für IPS nicht zulässig: []

2025-01-31 16:29:37,793 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.JGroupsFWUtil-::::-Firewall-Regeln für jGroup anwenden

2025-01-31 16:29:40,551 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.JGroupsFWUtil-:::::-Angewandte Firewall-Regeln für jGroup.

2025-01-31 16:29:40,558 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.NodeGroupFWUtil-::::-Firewall-Regeln für Knotengruppe werden angewendet.

2025-01-31 16:29:45,254 INFO [DefaultQuartzScheduler_Worker-5][[]] cisco.cpm.infrastructure.utils.NodeGroupFWUtil-::::-Angewendete Firewall-Regeln für die Knotengruppe

ise331-ise-psc.log

2025-01-31 16:00:39,945 INFO [admin-http-pool5][[]] cisco.cpm.infrastructure.utils.FwUtil-::admin:ise331:registerNode:- Bereitstellung hostet IPs: [10.127.197.174, 10.127.197.175]Inkompatible Hosts: [10.127.197.174]

2025-01-31 16:00:43,526 INFO [admin-http-pool5][[]] cisco.cpm.infrastructure.utils.FwUtil-::admin:ise331:registerNode:- syncUpfwList :DB-Zugriff erlaubt für IPs: [10.127.197.175]