Fehlerbehebung und Einstellungen nach ISE-Upgrade

Aktualisiert:11. Oktober 2023
Dokument-ID:221081

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument werden die Einstellungen und Aufgaben beschrieben, die Sie nach dem ISE-Bereitstellungs-Upgrade ausführen müssen.

    Verwendete Komponenten

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

    • ISE Version 3.0
    • ISE Version 3.1
    • ISE Version 3.2

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Einstellungen und Konfigurationen nach dem Upgrade

    Nehmen Sie die Einstellungen und Aufgaben nach dem Upgrade der Cisco ISE vor.

    In neue Lizenztypen konvertieren

    Konvertieren Sie Ihre alten Lizenzen über den Cisco Smart Software Manager (CSSM) in die neuen Lizenztypen.

    Wenn Sie ein Upgrade auf die Cisco ISE Version 3.0 oder höher mit Base-, Apex- und Plus-Lizenzen für Smart Licenses durchführen, werden Ihre Smart-Lizenzen auf die neuen Lizenztypen in der Cisco ISE aktualisiert. Sie müssen jedoch die neuen Lizenztypen in CSSM registrieren, um die Lizenzen in der Cisco ISE-Version zu aktivieren, auf die Sie ein Upgrade durchführen.

    Wenn Sie herkömmliche Cisco ISE-Lizenzen besitzen, müssen Sie diese in Smart-Lizenzen umwandeln, um die Nutzung von Lizenzen in Cisco ISE Version 3.0 und späteren Versionen zu ermöglichen. Um Cisco ISE 2.x-Lizenzen in die neuen Lizenztypen umzuwandeln, öffnen Sie online ein Ticket über den Support Case Manager.oder verwenden Sie die Kontaktinformationen, die unter TAC-WorldWide Support zur Verfügung gestellt werden..

    Cisco WorldWide Support ContactsWeltweiter Kontakt zum Cisco Support

    Benachrichtigungen über nicht konforme Lizenznutzung werden auch in Cisco ISE angezeigt.Wenn Ihre Lizenznutzung innerhalb eines Zeitraums von 60 Tagen 45 Tage lang nicht konform ist, können Sie die gesamte administrative Kontrolle über Cisco ISE verlieren, bis Sie die erforderlichen Lizenzen erworben und aktiviert haben.

    Beim Upgrade von einem Lizenzierungspaket auf ein anderes bietet die Cisco ISE weiterhin alle Funktionen, die vor dem Upgrade im vorherigen Paket verfügbar waren. Sie müssen jedoch alle Einstellungen, die Sie bereits konfiguriert haben, neu konfigurieren. Wenn Sie beispielsweise derzeit eine Essentials-Lizenz verwenden und später eine Advantage-Lizenz hinzufügen, ändern sich die Funktionen, die bereits mit der Essentials-Lizenz konfiguriert wurden, nicht.

    Einstellungen des virtuellen Systems überprüfen

    Wenn Sie Cisco ISE-Knoten auf virtuellen Systemen aktualisieren, stellen Sie sicher, dass Sie das Gastbetriebssystem in Red Hat Enterprise Linux (RHEL) 8.4 (64-Bit) ändern. Dazu müssen Sie die VM herunterfahren, das Gastbetriebssystem auf die unterstützte RHEL-Version ändern und die VM nach der Änderung hochfahren. RHEL 7 und höher unterstützen nur E1000- und VMXNET3-Netzwerkadapter. Ändern Sie unbedingt den Netzwerkadaptertyp, bevor Sie ein Upgrade durchführen.

    note-icon

    Hinweis: Wenn Sie ISE auf einem ESXi 5.x-Server (mindestens 5,1 U2) ausführen, müssen Sie die VMware-Hardwareversion auf 9 aktualisieren, bevor Sie RHEL 7 als Gastbetriebssystem auswählen können.

    Browser-Setup

    Löschen Sie nach dem Upgrade den Browser-Cache, schließen Sie den Browser, und öffnen Sie eine neue Browser-Sitzung, bevor Sie auf das Cisco ISE Admin-Portal zugreifen. Vergewissern Sie sich außerdem, dass Sie einen unterstützten Browser verwenden, der in den ISE-Versionshinweisen aufgeführt ist.

    Erneuter Beitritt zu Active Directory

    Wenn Sie Active Directory als externe Identitätsquelle verwenden und die Verbindung zu Active Directory unterbrochen wird, müssen Sie alle Cisco ISE-Knoten erneut mit Active Directory verbinden. Führen Sie nach Abschluss der Joins die externen Identitätsquellen-Anrufflüsse aus, um die Verbindung sicherzustellen.

    • Wenn Sie sich nach dem Upgrade über ein Active Directory-Administratorkonto bei der Cisco ISE-Benutzeroberfläche anmelden, schlägt die Anmeldung fehl, da die Active Directory-Teilnahme während des Upgrades verloren geht. Sie müssen das interne Administratorkonto verwenden, um sich bei der Cisco ISE anzumelden und mit dieser Active Directory zu wechseln.

    • Wenn Sie die zertifikatbasierte Authentifizierung für den Administratorzugriff auf die Cisco ISE aktiviert und Active Directory als Identitätsquelle verwendet haben, können Sie die ISE-Anmeldeseite nach dem Upgrade nicht starten. Dies liegt daran, dass die Verbindung zu Active Directory während des Upgrades verloren geht. Um Joins in Active Directory wiederherzustellen, stellen Sie eine Verbindung mit der Cisco ISE-CLI her, und starten Sie die ISE-Anwendung im abgesicherten Modus. Verwenden Sie dazu den folgenden Befehl:

    Stoppuhr

    Anwendungsstart ist sicher

    Nachdem die Cisco ISE im abgesicherten Modus gestartet wurde, führen Sie die folgenden Aufgaben aus:

    1.Melden Sie sich mit dem internen Administratorkonto bei der Cisco ISE-Benutzeroberfläche an.

    2. Werden Sie Mitglied der Cisco ISE mit Active Directory. 

    Klicken Sie in der Cisco ISE-GUI auf das Menü-Symbol (menu icon), und wählen Sie Administration > Identity Management > External Identity Sources > Active Directory.    Weitere Informationen zum Beitreten zu Active Directory finden Sie unter: Konfigurieren von Active Directory als externe Identitätsquelle.

    Active Directory ConfigurationActive Directory-Konfiguration

    Umgekehrte DNS-Suche

    Stellen Sie sicher, dass in Ihrer verteilten Bereitstellung für alle DNS-Server Reverse DNS-Lookup für alle Cisco ISE-Knoten konfiguriert ist. Andernfalls können nach dem Upgrade Probleme im Zusammenhang mit der Bereitstellung auftreten.

    Zertifikate wiederherstellen

    Wiederherstellen von Zertifikaten im PAN. Wenn Sie eine verteilte Bereitstellung aktualisieren, werden die Zertifikate der Stammzertifizierungsstelle des primären Administrationsknotens nicht zum Speicher für vertrauenswürdige Zertifikate hinzugefügt, wenn beide Bedingungen erfüllt sind:

    • Der sekundäre Administrationsknoten wird in der neuen Bereitstellung als primärer Administrationsknoten hochgestuft.

    • Sitzungsdienste sind auf dem sekundären Administrationsknoten deaktiviert.

    Wenn sich die Zertifikate nicht im Speicher befinden, werden Authentifizierungsfehler mit folgenden Fehlern angezeigt:

    • Unbekannte Zertifizierungsstelle in der Kette während eines BYOD-Flusses.

    • Unbekannter OCSP-Fehler während eines BYOD-Vorgangs.

    Diese Meldungen werden angezeigt, wenn Sie auf das Weitere Details Link vom Live-Protokolle Seite für fehlgeschlagene Authentifizierungen.

    Erstellen Sie zum Wiederherstellen der Zertifikate der primären Verwaltungsknoten-Stammzertifizierungsstelle eine neue Cisco ISE-Zertifikatkette der Stammzertifizierungsstelle. Klicken Sie in der Cisco ISE-GUI auf das Menü-Symbol (N/Aund wählen Sie Administration > Certificates > Certificate Signing Requests > Replace ISE Root CA certificate chain.

    Regenerate ISE Root CAISE-Stammzertifizierungsstelle neu generieren

    Wiederherstellen von Zertifikaten und Schlüsseln im sekundären Administrationsknoten

    Wenn Sie einen sekundären Administrationsknoten verwenden, können Sie eine Sicherung der Cisco ISE CA-Zertifikate und -Schlüssel vom primären Administrationsknoten erhalten und diese Sicherung auf dem sekundären Administrationsknoten wiederherstellen. Dadurch kann der sekundäre Administrationsknoten als Stammzertifizierungsstelle oder untergeordnete Zertifizierungsstelle einer externen PKI fungieren, wenn das primäre PAN ausfällt, und Sie stufen den sekundären Administrationsknoten zum primären Administrationsknoten herauf.Weitere Informationen zum Sichern und Wiederherstellen von Zertifikaten und Schlüsseln finden Sie unter:

    Sichern und Wiederherstellen von Zertifikaten und Schlüsseln der Cisco ISE-Zertifizierungsstelle.

    Neugenerieren der Stammzertifizierungsstellenkette

    In bestimmten Upgrade-Szenarien müssen Sie die Stammzertifizierungsstellenkette neu generieren, nachdem der Upgrade-Prozess abgeschlossen ist. Regenerieren Sie die Stammzertifizierungsstellenkette, indem Sie folgende Schritte ausführen:

    Schritt (1): Wählen Sie im Cisco ISE-Hauptmenü Administration > System > Certificates > Certificate Management > Certificate Signing Request aus.

    Schritt 2: Klicken Sie auf CSR (Certificate Signing Request) generieren.

    Schritt (3): ChooseISE Root CAin theCertificate(s) would be used for drop-down list

    Schritt (4): Klicken Sie auf ISE-Stammzertifizierungsstellenkette ersetzen.

    Tabelle zeigtSzenarien für die Regeneration der Stammzertifizierungsstellenkette:

    Table - Root CA

    Bedrohungsorientierte NAC

    Wenn Sie den Service Threat-Centric NAC (TC-NAC) aktiviert haben, können die TC-NAC-Adapter nach dem Upgrade nicht mehr funktionieren. Sie müssen die Adapter über die bedrohungsorientierten NAC-Seiten der ISE-GUI neu starten. Wählen Sie den Adapter aus, und klicken Sie auf Neu starten, um den Adapter erneut zu starten.

    Knoteneinstellung für Dienste der SMNP-Ursprungsrichtlinie

    Wenn Sie den Wert "Originating Policy Services Node" (Dienste-Knoten für Ursprungsrichtlinie) unter SNMP-Einstellungen manuell konfiguriert haben, geht diese Konfiguration während des Upgrades verloren. Sie müssen die SNMP-Einstellungen neu konfigurieren.

    Profiler-Feed-Dienst

    Aktualisieren Sie den Profiler-Feed-Service nach dem Upgrade, um sicherzustellen, dass die aktuellsten OUIs installiert sind. Im Cisco ISE-Administratorportal: 

    • Klicken Sie in der Cisco ISE-GUI auf das Menuicon (aalazzaw_0-1696832930556) und wähleAdministration > FeedService > Profiler. Stellen Sie sicher, dass der Profiler-Feed-Service aktiviert ist.

    Klicken Sie auf Jetzt aktualisieren.

    Profiler UpdateProfiler-Update

    Client-Bereitstellung

    Überprüfen Sie das native Komponentenprofil, das in der Client-Bereitstellungsrichtlinie verwendet wird, und stellen Sie sicher, dass die Wireless-SSID korrekt ist. Wenn das Netzwerk, mit dem Sie eine Verbindung herstellen möchten, bei iOS-Geräten ausgeblendet ist, aktivieren Sie das Kontrollkästchen Aktivieren, wenn Zielnetzwerk ausgeblendet ist im Bereich iOS-Einstellungen.

    Online-Updates

    • Klicken Sie in der Cisco ISE-GUI auf das Menuicon (aalazzaw_0-1696836181931) und wähleRichtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen , um die Client-Bereitstellungsressourcen zu konfigurieren.
    • Klicken Sie auf Hinzufügen.
    • Wählen Sie Agent-Ressourcen von der Cisco Website aus.
    • Wählen Sie im Fenster Remote-Ressourcen herunterladen die Ressource Cisco Temporal Agent aus.
    • Klicken Sie auf Speichern, und stellen Sie sicher, dass die heruntergeladene Ressource auf der Seite Ressourcen angezeigt wird.

    Online Update - Client ProvisioningOnline-Update - Client-Bereitstellung

    Offline-Updates

    • Klicken Sie in der Cisco ISE-GUI auf das Menü-Symbol (aalazzaw_1-1696837261971) und wähleRichtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen, um die Client-Bereitstellungsressourcen zu konfigurieren.
    • Klicken Sie auf Hinzufügen.
    • Auswählen Agent-Ressourcen von lokalem Datenträger.
    • Wählen Sie im Dropdown-Menü Kategorie die Option Von Cisco bereitgestellte Pakete aus.

    Überwachung und Fehlerbehebung nach dem Upgrade

    • Konfigurieren Sie E-Mail-Einstellungen, bevorzugte Berichte und Einstellungen zum Löschen von Daten neu.

    • Überprüfen Sie den Schwellenwert und die Filter auf die gewünschten Alarme. Alle Alarme werden standardmäßig nach einem Upgrade aktiviert.

    • Anpassen von Berichten entsprechend Ihrer Anforderungen Wenn Sie die Berichte in der alten Bereitstellung angepasst hatten, werden die vorgenommenen Änderungen durch den Aktualisierungsprozess überschrieben.

    Richtlinien auf TrustSec-NADs aktualisieren

     Führen Sie die Befehle in der angezeigten Reihenfolge aus, um die Richtlinien für die Cisco TrustSec-fähigen Layer-3-Schnittstellen im System herunterzuladen. Wenn nach einem erfolgreichen Upgrade Durchsetzungsprobleme aufgetreten sind.

    • keine CTS-rollenbasierte Durchsetzung

    • CTS rollenbasierte Durchsetzung

    Profiler Endpoint Ownership Synchronisation/Replikation

    note-icon

    Hinweis: Wenn Sie ein Upgrade auf die Cisco ISE 2.7 oder höher durchführen, muss als Teil des JEDIS-Frameworks der Port 6379 zwischen allen Knoten in der Bereitstellung geöffnet werden, um eine Hin- und Rückverbindung herzustellen.

    Nach dem Upgrade-Prozess können die Ereignisse

    1. Keine Daten in Live-Protokollen.

    2. Verbindungsfehler in der Warteschlange.

    3. Der Integritätsstatus ist nicht verfügbar.

    4. In der Systemübersicht ist für einige Knoten kein Datum verfügbar.

    Die genannten Probleme können über das ISE-Dashboard erkannt werden. Unter "Queue Link Errors" (Verbindungsfehler in Warteschlange) wird ein Alarm im Abschnitt "alarm" (Alarm) angezeigt. Im Abschnitt für die Systemübersicht werden keine Daten angezeigt, wenn ein Problem vorliegt. 

    Alle genannten Probleme können durch Neugenerieren der internen ISE-Stammzertifizierungsstelle behoben werden. Speziell für Warteschlangen-Verbindungsfehler, falls der Alarm ausgelöst wird (Unknown_Ca). Wenn Sie das Problem weiterhin beheben, öffnen Sie ein TAC-Support-Ticket, um weitere Unterstützung zu erhalten.

    Queue Link Alarm ExampleBeispiel für einen Verbindungsalarm in einer Warteschlange

    note-icon

    Hinweis: Wenn nach einem erfolgreichen Upgrade Probleme auftreten. Öffnen Sie ein TAC-Ticket mit dem Schlüsselwort für das neue Problem. Verwenden Sie nicht das Upgrade-Schlüsselwort. Das Upgrade-Schlüsselwort darf nur verwendet werden, wenn Probleme mit dem tatsächlichen Upgrade-Prozess auftreten.

    Authentifizierungsprobleme nach dem Upgrade

    Nach einem erfolgreichen Upgrade kann es zu einem Authentifizierungsproblem kommen. Bitte überprüfen und prüfen Sie:

    • Raduis Live Logs-Bericht Details. Überprüfen Sie die Fehlerursache, die vorgeschlagene Lösung und die Ursache. Siehe Beispiel:

    Radius Live Logs Report ExampleBeispiel für Radius Live Logs-Bericht

    • Wenn Sie Active Directory als externe Identitätsquelle verwenden und die Verbindung zu Active Directory unterbrochen wird, kann die Authentifizierung nach dem Upgrade fehlschlagen. Dann müssen Sie wieder allen Cisco ISE-Knoten mit Active Directory beitreten. Führen Sie nach Abschluss der Joins die externen Identitätsquellen-Anrufflüsse aus, um die Verbindung sicherzustellen.
    • Wenn Sie immer noch Probleme haben und ein TAC-Ticket öffnen müssen, gehen Sie wie folgt vor, um die Aufgaben abzuschließen:
    note-icon

    Hinweis: Verwenden Sie das Authentifizierungsschlüsselwort, wenn Sie ein Ticket für das Authentifizierungsproblem öffnen. Verwenden Sie nicht den gleichen Fall, der für das Upgrade geöffnet wurde.

    1. Wählen Sie einen Computer, bei dem das Problem aufgetreten ist, zur Fehlerbehebung aus.

    2. Notieren Sie sich den Zeitstempel für den Test.

    3. Notieren Sie sich die MAC-Adresse des Testgeräts.

    4. Erstellen Sie das Problem neu.

    5. Erfassen Sie die Details der Radius Live-Protokolle. Stellen Sie sicher, dass der Zeitstempel übereinstimmt.

    6. Wenn Sie AnyConnect verwenden, holen Sie das DART-Paket vom Endbenutzergerät ein.

    7. Generieren Sie ein Support-Paket aus dem PSN, in dem die Authentifizierungsanforderungen zusammengefasst sind. 

    8. Laden Sie alle Informationen in Ihr Ticket hoch.

    note-icon

    Hinweis: Für verschiedene ISE-Probleme sind zur Fehlerbehebung unterschiedliche Protokolle erforderlich. Eine vollständige Liste der erforderlichen Debugging-Aufgaben muss vom TAC-Engineer bereitgestellt werden.

    Zugehörige Informationen

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    11-Oct-2023
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Ameer Al Azzawi
      Technische Sicherheitsberatung Ingenieur

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.