Resolución de problemas y configuración tras la actualización de ISE

Actualizado:11 de octubre de 2023
ID del documento:221081

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe la configuración y las tareas que debe realizar después de la actualización de la implementación de ISE.

    Componentes Utilizados

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • ISE, versión 3.0.
    • ISE, versión 3.1.
    • ISE, versión 3.2.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Configuración y configuración posteriores a la actualización

    Realice la configuración y las tareas después de actualizar Cisco ISE.

    Convertir a nuevos tipos de licencia

    Convierta sus licencias antiguas en los nuevos tipos de licencia mediante Cisco Smart Software Manager (CSSM).

    Si va a actualizar a Cisco ISE Release 3.0 y versiones posteriores con licencias Smart Base, Apex y Plus, sus licencias inteligentes se actualizarán a los nuevos tipos de licencia de Cisco ISE. Sin embargo, debe registrar los nuevos tipos de licencia en CSSM para activar las licencias en la versión de Cisco ISE a la que actualice.

    Si posee licencias tradicionales de Cisco ISE, debe convertirlas en licencias inteligentes para habilitar el consumo de licencias en Cisco ISE Release 3.0 y versiones posteriores. Para convertir las licencias de Cisco ISE 2.x a los nuevos tipos de licencia, abra un caso online a través del Administrador de casos de soporteo utilice la información de contacto proporcionada en TAC-WorldWide Support.

    Cisco WorldWide Support ContactsContactos de soporte global de Cisco

    Las notificaciones sobre el consumo de licencias no conformes también se muestran en Cisco ISE.Si el consumo de licencias no cumple los requisitos durante 45 días en un período de 60 días, puede perder todo el control administrativo de Cisco ISE hasta que compre y active las licencias necesarias.

    Al actualizar de un paquete de licencias a otro, Cisco ISE continúa ofreciendo todas las funciones que estaban disponibles en el paquete anterior antes de la actualización. Sin embargo, tendrá que volver a configurar los parámetros que ya haya configurado. Por ejemplo, si actualmente utiliza una licencia Essentials y posteriormente agrega una licencia Advantage, las funciones que ya están configuradas mediante la licencia Essentials no cambiarán.

    Verificar configuración de máquina virtual

    Si va a actualizar nodos de Cisco ISE en máquinas virtuales, asegúrese de cambiar el sistema operativo invitado a Red Hat Enterprise Linux (RHEL) 8.4 (64-bit). Para ello, debe apagar la máquina virtual, cambiar el sistema operativo invitado a la versión RHEL admitida y encender la máquina virtual después del cambio. RHEL 7 y posteriores sólo admiten adaptadores de red E1000 y VMXNET3. Asegúrese de cambiar el tipo de adaptador de red antes de realizar la actualización.

    note-icon

    Nota: Si ejecuta ISE en un servidor ESXi 5.x (5.1 U2 como mínimo), debe actualizar la versión del hardware de VMware a 9 para poder seleccionar RHEL 7 como sistema operativo invitado.

    Configuración del explorador

    Después de la actualización, borre la caché del navegador, cierre el navegador y abra una nueva sesión del navegador antes de acceder al portal de administración de Cisco ISE. Compruebe también que está utilizando un navegador compatible, que se enumeran en las Notas de la versión de ISE.

    Volver a unirse a Active Directory

    Si utiliza Active Directory como origen de identidad externo y se pierde la conexión con Active Directory, debe volver a unir todos los nodos de Cisco ISE con Active Directory. Una vez completadas las uniones, realice los flujos de llamada de origen de identidad externa para garantizar la conexión.

    • Después de la actualización, si inicia sesión en la interfaz de usuario de Cisco ISE con una cuenta de administrador de Active Directory, se producirá un error en su inicio de sesión porque se perderá la conexión a Active Directory durante la actualización. Debe utilizar la cuenta de administrador interno para iniciar sesión en Cisco ISE y unirse a Active Directory con ella.

    • Si ha activado la autenticación basada en certificados para el acceso administrativo a Cisco ISE y ha utilizado Active Directory como origen de identidad, no podrá iniciar la página de inicio de sesión de ISE después de la actualización. Esto se debe a que la unión a Active Directory se pierde durante la actualización. Para restaurar las uniones a Active Directory, conéctese a la CLI de Cisco ISE e inicie la aplicación ISE en modo seguro mediante el siguiente comando:

    application stop ise

    application start ise safe

    Una vez que Cisco ISE se inicie en Modo seguro, realice las tareas siguientes:

    1.Inicie sesión en la interfaz de usuario de Cisco ISE con la cuenta de administrador interno.

    2. Únase a Cisco ISE con Active Directory. 

    En la GUI de Cisco ISE, haga clic en el icono Menu (menu icon) y seleccione Administration > Identity Management > External Identity Sources > Active Directory.    Para obtener más información acerca de cómo unirse a Active Directory, vea: Configurar Active Directory como origen de identidad externo.

    Active Directory ConfigurationConfiguración de Active Directory

    Búsqueda de DNS inversa

    Asegúrese de que ha configurado la búsqueda de DNS inverso para todos los nodos de Cisco ISE en su implementación distribuida para todos los servidores DNS. De lo contrario, puede tener problemas relacionados con la implementación después de la actualización.

    Restaurar certificados

    Restaure los certificados en el PAN. Al actualizar una implementación distribuida, los certificados de CA raíz del nodo de administración principal no se agregan al almacén de certificados de confianza si se cumplen ambas condiciones:

    • El nodo de administración secundario se promueve para que sea el nodo de administración principal en la nueva implementación.

    • Los servicios de sesión están desactivados en el nodo de administración secundario.

    Si los certificados no están en el almacén, puede ver los errores de autenticación:

    • CA desconocida en la cadena durante un flujo de BYOD.

    • Error desconocido de OCSP durante un flujo de BYOD.

    Puede ver estos mensajes al hacer clic en el botón Más detalles enlace desde el Registros en directo para autenticaciones erróneas.

    Para restaurar los certificados de CA raíz del nodo de administración principal, genere una nueva cadena de certificados de CA raíz de Cisco ISE. En la GUI de Cisco ISE, haga clic en el icono Menu (N/Ay elija Administration > Certificates > Certificate Signing Requests > Replace ISE Root CA certificate chain .

    Regenerate ISE Root CARegenere la CA raíz de ISE

    Restaurar certificados y claves en el nodo de administración secundario

    Si utiliza un nodo de administración secundario, puede obtener una copia de seguridad de los certificados y claves de CA de Cisco ISE del nodo de administración principal y restaurarla en el nodo de administración secundario. Esto permite que el nodo de administración secundario funcione como la CA raíz o la CA subordinada de una PKI externa si falla la PAN principal, y que el nodo de administración secundario sea el nodo de administración principal.Para obtener más información sobre cómo realizar copias de seguridad y restaurar certificados y claves, consulte:

    Copia de seguridad y restauración de claves y certificados de CA de Cisco ISE.

    Regenere la cadena de CA raíz

    En escenarios de actualización específicos, debe volver a generar la cadena de CA raíz después de que se complete el proceso de actualización. Regenere la cadena de la CA raíz siguiendo estos pasos:

    Paso 1: en el menú principal de Cisco ISE, elija Administration > System > Certificates > Certificate Management > Certificate Signing Request.

    Paso (2): Haga clic en Generar solicitud de firma de certificado (CSR).

    Paso (3): ChooseISE Root CAin theCertificate(s) will be used for drop-down list.

    Paso (4): Haga clic en Reemplazar cadena de certificados de CA raíz de ISE.

    La tabla muestraEscenarios de regeneración de la cadena de CA raíz:

    Table - Root CA

    NAC centrado en las amenazas

    Si ha activado el servicio NAC centrado en amenazas (TC-NAC), después de realizar la actualización, los adaptadores de TC-NAC podrían no estar operativos. Debe reiniciar los adaptadores desde las páginas NAC centradas en las amenazas de la GUI de ISE. Seleccione el adaptador y haga clic en Reiniciar para volver a iniciar el adaptador.

    Configuración del nodo de servicios de políticas de origen de SNMP

    Si ha configurado manualmente el valor Originating Policy Services Node en SNMP settings, esta configuración se pierde durante la actualización. Debe volver a configurar los parámetros de SNMP.

    Servicio de transmisión de perfiles

    Actualice el servicio de información del generador de perfiles después de la actualización para asegurarse de que se instalen los OUI más actualizados. En el portal de administración de Cisco ISE: 

    • En la GUI de Cisco ISE, haga clic en el iconoMenú (aalazzaw_0-1696832930556) y elijaAdministration > FeedService > Profiler. Asegúrese de que el servicio de fuente del generador de perfiles está activado.

    Haga clic en Update Now.

    Profiler UpdateActualización del analizador

    Aprovisionamiento de clientes

    Verifique el perfil del suplicante nativo que se utiliza en la política de aprovisionamiento del cliente y asegúrese de que el SSID inalámbrico sea correcto. Para dispositivos iOS, si la red que está intentando conectar está oculta, marque la casilla de verificación Enable if target network is hidden en el área iOS Settings.

    Actualizaciones en línea

    • En la GUI de Cisco ISE, haga clic en el iconoMenú (aalazzaw_0-1696836181931) y elijaPolítica > Elementos de Política > Resultados > Aprovisionamiento de Cliente > Recursos para configurar los recursos de aprovisionamiento de clientes.
    • Haga clic en Add (Agregar).
    • Elija Recursos De Agente Del Sitio De Cisco.
    • En la ventana Download Remote Resources, seleccione el recurso Cisco Temporal Agent.
    • Haga clic en Guardar y compruebe que el recurso descargado aparece en la página Recursos.

    Online Update - Client ProvisioningActualización en línea: aprovisionamiento de clientes

    Actualizaciones sin conexión

    • En la GUI de Cisco ISE, haga clic en el icono Menu (aalazzaw_1-1696837261971) y elijaPolítica > Elementos de Política > Resultados > Aprovisionamiento de Cliente > Recursospara configurar los recursos de aprovisionamiento de clientes.
    • Haga clic en Add (Agregar).
    • Elegir Recursos de agente del disco local.
    • En el menú desplegable Category, elija Cisco Provided Packages.

    Solución de problemas y supervisión posterior a actualización

    • Vuelva a configurar los ajustes de correo electrónico, informes favoritos y depuración de datos.

    • Compruebe el umbral y los filtros para ver las alarmas específicas que necesita. Todas las alarmas se activan de forma predeterminada después de una actualización.

    • Personalice los informes según sus necesidades. Si ha personalizado los informes en la implementación anterior, el proceso de actualización sobrescribe los cambios realizados.

    Actualizar directivas a NAD Trustsec

     Ejecute los comandos, en el orden que se muestra, para descargar las políticas en las interfaces de capa 3 habilitadas para Cisco TrustSec en el sistema. Si tuvo algún problema de aplicación después de una actualización correcta.

    • no cts role-based forcement

    • aplicación basada en roles de CTS

    Sincronización/replicación de la propiedad del extremo del generador de perfiles

    note-icon

    Nota: al actualizar a Cisco ISE 2.7 y versiones posteriores, como parte de la estructura de JEDIS, es necesario abrir el puerto 6379 entre todos los nodos de la implementación para la comunicación de ida y vuelta.

    Después del proceso de actualización, puede encontrar los eventos

    1. No hay datos en los registros activos.

    2. Errores de link de cola.

    3. El estado no está disponible.

    4. No hay ninguna fecha disponible en el resumen del sistema para algunos nodos.

    Los problemas mencionados se pueden detectar a través del panel de ISE. Para los Errores de Link de Cola, verá una alarma en la sección de alarma. La sección del Resumen del sistema no mostrará ningún dato si existe un problema. 

    Todos los problemas mencionados se pueden solucionar regenerando la CA raíz interna de ISE. Especialmente para los Errores de Link de Cola en caso de que la alarma venga para (Unknow_Ca). Si el problema persiste, abra el caso de asistencia del TAC para obtener más ayuda.

    Queue Link Alarm ExampleEjemplo de Alarma de Link de Cola

    note-icon

    Nota: Si tiene algún problema después de una actualización correcta. Abra un caso TAC usando la palabra clave para el nuevo problema. No utilice la palabra clave Upgrade. La palabra clave Upgrade sólo se debe utilizar cuando tenga problemas con el proceso de actualización real.

    Problemas de autenticación después de la actualización

    Después de una actualización exitosa, podría tener problemas de autenticación. Verifique y verifique:

    • Detalles del informe de registros en directo de RADIUS. Compruebe el motivo del error, la resolución sugerida y la causa raíz. Consulte el ejemplo:

    Radius Live Logs Report ExampleEjemplo de informe de Live Logs de Radius

    • La autenticación puede fallar después de la actualización Si utiliza Active Directory como origen de identidad externo y se pierde la conexión con Active Directory, debe unirse de nuevo a todos los nodos de Cisco ISE con Active Directory. Una vez completadas las uniones, realice los flujos de llamada de origen de identidad externa para garantizar la conexión.
    • Si sigue enfrentando problemas y necesita abrir un caso TAC, realice las siguientes tareas para finalizar:
    note-icon

    Nota: Utilice la palabra clave Authentication cuando abra un caso por el problema de autenticación. No utilice el mismo caso que está abierto para la actualización.

    1. Elija una máquina que experimente el problema para la resolución de problemas.

    2. Anote la marca de tiempo para la prueba.

    3. Anote la dirección MAC del dispositivo de prueba.

    4. vuelva a crear el problema.

    5. Recopile los detalles de los registros de Radius Live. Asegúrese de que la marca de tiempo coincide.

    6. Si utiliza AnyConnect, recopile el paquete DART de la máquina del usuario final.

    7. Genere un paquete de soporte a partir de PSN que gestione las solicitudes de autenticación. 

    8. Cargue toda la información en su caso.

    note-icon

    Nota: diversos problemas de ISE requieren diferentes conjuntos de registros para solucionar los problemas. El ingeniero del TAC debe proporcionar una lista completa de las depuraciones necesarias.

    Información Relacionada

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    11-Oct-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ameer Al Azzawi
      Ingeniero de consultoría técnica de seguridad

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos