Fehlerbehebung bei ISE TACACS+-Authentifizierungsfehlern aufgrund von Systemüberlastung

Download-Optionen

  • PDF     (250.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (86.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (72.8 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:12. Mai 2026
Dokument-ID:225894

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Problem

Die Authentifizierungen von Cisco Identity Services Engine (ISE) Terminal Access Controller Access-Control System Plus (TACACS+) laufen nicht mehr intermittierend ab und führen dazu, dass die Anmeldung bei Netzwerkgeräten auf lokale Benutzer und nicht auf die TACACS+-Authentifizierung zurückfällt. Während der Ausfälle werden in den Live-Protokollen die Fehlerursachen für die Meldung "TACACS+-Anfrage wurde wegen Systemüberlastung verworfen" angezeigt. Die Authentifizierungsfehler treten auf, ohne dass Konfigurationsänderungen an der ISE für TACACS+ oder an den Netzwerkgeräten hinsichtlich der TACACS+-Konfiguration vorgenommen werden.

Umwelt

  • Cisco Identity Services Engine (ISE) Version 3.3 Patch 7

  • Verteilte ISE-Bereitstellung mit spezifischen PSNs für die Geräteadministration

  • TACACS+-Authentifizierungsservice für Administratorzugriff

  • Transmission Control Protocol (TCP) Syslog-Zielkonfiguration

Auflösung

Durch Aktivieren von Runtime-AAA-Debugging auf dem Policy Service Node (PSN) während des Problems und Überprüfen von prrt-server.log werden extrem hohe ContextN-Werte angezeigt, die darauf hinweisen, dass die Verarbeitung auf dem PSN gesichert wird:

ContextCounter,2026-05-05 12:17:08,442,DEBUG,0x7f42bead0700,ContextN incremented, number=113687,ContextCounter.cpp:77

AcsLoggerReactorThread und TCPSyslogReactorThread sind die Threadpools, die erhöht sind und die Sicherung verursachen:

EventHandler,2026-05-05 12:17:10,461,DEBUG,0x7f42bead0700,Passed event to the next thread pool name=AcsLoggerReactorThread, queue size=113576,EventDispatcher.cpp:842
EventHandler,2026-05-05 12:17:12,859,DEBUG,0x7f429b6d0700,Passed event to the next thread pool name=TCPSyslogReactorThread, queue size=3705,EventDispatcher.cpp:842

Die TACACS+-Verbindungen werden aufgrund der folgenden Speicherplatzbeschränkung getrennt:

TCPListener,2026-05-05 12:17:08,804,DEBUG,0x7f429b4cf700,NIL-CONTEXT,Hit space limit. Dropping request!,TCPListener.cpp:351

Alle TCP-Syslog-Ziele, die unter Administration > System > Logging > Remote Logging Targets mit der in der Konfiguration aktivierten Einstellung "Buffer Messages When Server Down" aktiviert sind, dürfen wegen des Cisco Defekts CSCwt35414 über längere Zeiträume nicht unerreichbar sein. Wenn die Erreichbarkeit nicht gewährleistet werden kann, muss entweder eine feste Version von ISE installiert oder die Die Funktion "Puffermeldungen bei Serverausfall" sollte auf dem TCP-Syslog-Ziel deaktiviert werden, um dieses Verhalten zu verhindern.

Ursache

Die Ursache wurde als Cisco-Defekt CSCwt35414 identifiziert. Dieser Defekt bewirkt, dass die Authentifizierungsverarbeitung auf dem PSN blockiert wird, sobald der konfigurierte Puffer auf dem TCP-Syslog-Ziel voll wird. Protokolle werden in den Puffer geschrieben, wenn das TCP-Syslog-Ziel nicht erreichbar ist oder nicht reagiert, um gesendet zu werden, sobald es erneut antwortet. Wenn das Ziel jedoch bei starkem Datenverkehr auf dem PSN längere Zeit nicht erreichbar ist, füllt sich der Puffer, und die Authentifizierungsverarbeitung wird beeinträchtigt.

Verwandte Inhalte

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
12-May-2026
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.