Die Kontexttransparenz in Cisco Identity Services Engine (ISE) 3.2 zeigt eine elastische Suchausnahme mit dem Fehler "Alle Shades sind fehlgeschlagen" an, wenn versucht wird, auf die Funktion zuzugreifen. Darüber hinaus werden Endpunkte als Geistereinträge angezeigt, bei denen das manuelle Hinzufügen einer MAC-Adresse "Endpoint already exist" zurückgibt, das Gerät jedoch in der GUI oder Suchfunktion nicht angezeigt wird. Aufgrund dieser Beschädigung können sich neue Geräte nicht erfolgreich authentifizieren, was dazu führt, dass die Standard-Ablehnungsrichtlinien fehlschlagen, da sie nicht Identity Groups zugewiesen werden können. Dadurch wird das Onboarding von Endgeräten effektiv blockiert.
Cisco Identity Services Engine (ISE) Version 3.2
ISE-Komponenten für Überwachung, Fehlerbehebung und Transparenz
Elastisches Suchindexsystem
Funktion für Kontextsensitivität
ISE-Indizierungsmoduldienst wird ausgeführt, jedoch mit Funktionsbeeinträchtigungen
1. Überprüfen Sie den ISE-Anwendungsstatus, um den Servicestatus der Indizierungsengine zu bestätigen:
show application status ise
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 4278
Database Server running 128 PROCESSES
Application Server running 22343
Profiler Database running 12130
ISE Indexing Engine running 23867
AD Connector running 40415
M&T Session Database running 18502
M&T Log Processor running 22838
Certificate Authority Service running 36578
EST Service running 53105
SXP Engine Service disabled
TC-NAC Service disabled
PassiveID WMI Service running 37050
PassiveID Syslog Service running 37938
PassiveID API Service running 38666
PassiveID Agent Service running 39356
PassiveID Endpoint Service running 39737
PassiveID SPAN Service running 40239
DHCP Server (dhcpd) disabled
DNS Server (named) disabled
ISE Messaging Service running 8760
ISE API Gateway Database Service running 11076
ISE API Gateway Service running 17461
ISE pxGrid Direct Service running 50936
Segmentation Policy Service disabled
REST Auth Service disabled
SSE Connector disabled
Hermes (pxGrid Cloud Agent) disabled
McTrust (Meraki Sync Service) disabled
MFA (Duo Sync Service) disabled
ISE Node Exporter disabled
ISE Prometheus Service disabled
ISE Grafana Service disabled
ISE MNT LogAnalytics Elasticsearch disabled
ISE Logstash Service disabled
ISE Kibana Service disabled
ISE Native IPSec Service running 47108
MFC Profiler running 57620
Anmerkung: Die erwartete Ausgabe zeigt an, dass das ISE-Indizierungsmodul trotz anhaltender Funktionsfehler ausgeführt wird.
2. Führen Sie das Verfahren zum Zurücksetzen und Neusynchronisieren von Context Visibility gemäß der dokumentierten Standard-Wiederherstellungsmethode für Probleme mit Elasticsearch und Context Visibility-Beschädigungen aus. Dieser Prozess umfasst das Zurücksetzen beschädigter Indizes, das Löschen von Geisterendpunkten und das Wiederherstellen von Endpunktsichtbarkeitsdaten. Siehe unter
Dokumentation zur Resynchronisierung der Kontexttransparenz.
3. Überprüfen Sie nach Abschluss des Reset- und Neusynchronisierungsvorgangs Folgendes:
Elastische Suchausnahmen treten nicht mehr auf, wenn auf die Kontextsensitivität zugegriffen wird
Ghost-Endpunkte werden aus dem System gelöscht.
Neue Endgeräte können integriert und erfolgreich authentifiziert werden
Falscher Konflikt "Endpunkt ist bereits vorhanden" wird nicht mehr angezeigt
Transparenz von Endgeräten wird über die Benutzeroberfläche und die Suchfunktionen wiederhergestellt
4. Bestätigen Sie, dass neue Geräte ordnungsgemäß in das Netzwerk integriert und den entsprechenden Identitätsgruppen zugewiesen werden können, und authentifizieren Sie sich, ohne die Standard-Richtlinien für die Ablehnung zu erhalten.
Die Ursache ist eine Beschädigung des ISE Context Visibility Elasticsearch-Indexsystems. Diese Beschädigung manifestiert sich als "alle Freigabefehler fehlgeschlagen" und erzeugt Datenbankinkonsistenzen, die zu Geisterendpunkteinträgen führen. Die fehlerhafte Indizierung verhindert die ordnungsgemäße Transparenz der Endpunkte und die Zuweisung zu Identitätsgruppen, was zu Authentifizierungsfehlern bei neuen Geräten führt.
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
10-Jul-2026
|
Erstveröffentlichung |