Dépannage et paramètres après la mise à niveau ISE

Mis à jour:11 octobre 2023
ID du document:221081

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit les paramètres et les tâches que vous devez effectuer après la mise à niveau du déploiement ISE.

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • ISE, version 3.0.
    • ISE, version 3.1.
    • ISE, version 3.2.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Paramètres et configurations post-mise à niveau

    Effectuez les paramètres et les tâches après la mise à niveau de Cisco ISE.

    Convertir En Nouveaux Types De Licence

    Convertissez vos anciennes licences en nouveaux types de licences via Cisco Smart Software Manager (CSSM).

    Si vous effectuez une mise à niveau vers Cisco ISE version 3.0 et versions ultérieures avec des licences Smart Base, Apex et Plus, vos licences Smart sont mises à niveau vers les nouveaux types de licences Cisco ISE. Cependant, vous devez enregistrer les nouveaux types de licence dans CSSM pour activer les licences dans la version de Cisco ISE vers laquelle vous effectuez la mise à niveau.

    Si vous possédez des licences Cisco ISE traditionnelles, vous devez les convertir en licences Smart pour activer la consommation de licences dans Cisco ISE version 3.0 et versions ultérieures. Pour convertir les licences Cisco ISE 2.x en nouveaux types de licence, ouvrez un dossier en ligne à l'aide du gestionnaire de dossiers d'assistance, ou utilisez les coordonnées fournies par le centre d'assistance TAC WorldWide.

    Cisco WorldWide Support ContactsCoordonnées du service d’assistance Cisco à l’échelle mondiale

    Les notifications relatives à la consommation de licences non conformes sont également affichées dans Cisco ISE.Si votre consommation de licences n'est pas conforme pendant 45 jours sur une période de 60 jours, vous pouvez perdre tout contrôle administratif de Cisco ISE jusqu'à ce que vous achetiez et activiez les licences requises.

    Lors de la mise à niveau d'un package de licence vers un autre, Cisco ISE continue à offrir toutes les fonctionnalités qui étaient disponibles dans le package précédent avant la mise à niveau. Cependant, vous devez reconfigurer tous les paramètres que vous avez déjà configurés. Par exemple, si vous utilisez actuellement une licence Essentials et que vous ajoutez ultérieurement une licence Advantage, les fonctionnalités déjà configurées à l'aide de la licence Essentials ne changeront pas.

    Vérification des paramètres de la machine virtuelle

    Si vous mettez à niveau des noeuds Cisco ISE sur des machines virtuelles, veillez à remplacer le système d'exploitation invité par Red Hat Enterprise Linux (RHEL) 8.4 (64 bits). Pour ce faire, vous devez mettre la machine virtuelle hors tension, remplacer le système d'exploitation invité par la version RHEL prise en charge et mettre la machine virtuelle sous tension après la modification. RHEL 7 et versions ultérieures prennent uniquement en charge les cartes réseau E1000 et VMXNET3. Veillez à modifier le type de carte réseau avant de procéder à la mise à niveau.

    note-icon

    Remarque : si vous exécutez ISE sur un serveur ESXi 5.x (5.1 U2 minimum), vous devez mettre à niveau la version matérielle VMware à 9 avant de pouvoir sélectionner RHEL 7 comme système d'exploitation invité.

    Configuration du navigateur

    Après la mise à niveau, effacez le cache du navigateur, fermez le navigateur et ouvrez une nouvelle session de navigateur, avant d'accéder au portail d'administration de Cisco ISE. Vérifiez également que vous utilisez un navigateur pris en charge, qui sont répertoriés dans les Notes de version d'ISE.

    Rejoindre Active Directory

    Si vous utilisez Active Directory comme source d'identité externe et que la connexion à Active Directory est perdue, vous devez à nouveau joindre tous les noeuds Cisco ISE à Active Directory. Une fois les jointures terminées, exécutez les flux d'appels de la source d'identité externe pour assurer la connexion.

    • Après la mise à niveau, si vous vous connectez à l'interface utilisateur Cisco ISE à l'aide d'un compte d'administrateur Active Directory, votre connexion échoue car la connexion Active Directory est perdue pendant la mise à niveau. Vous devez utiliser le compte d'administrateur interne pour vous connecter à Cisco ISE et rejoindre Active Directory avec lui.

    • Si vous avez activé l'authentification basée sur un certificat pour l'accès administratif à Cisco ISE et que vous avez utilisé Active Directory comme source d'identité, vous ne pourrez pas lancer la page de connexion ISE après la mise à niveau. Ceci car la jointure à Active Directory est perdue lors de la mise à niveau. Pour restaurer les jointures à Active Directory, connectez-vous à l'interface de ligne de commande Cisco ISE et démarrez l'application ISE en mode sans échec à l'aide de la commande suivante :

    application stop ise

    application start ise safe

    Une fois que Cisco ISE a démarré en mode sans échec, effectuez les tâches suivantes :

    1.Connectez-vous à l'interface utilisateur Cisco ISE à l'aide du compte administrateur interne.

    2. Rejoignez Cisco ISE avec Active Directory. 

    Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu (menu icon) et choisissez Administration > Identity Management > External Identity Sources > Active Directory.    Pour plus d'informations sur la connexion à Active Directory, voir : Configurer Active Directory en tant que source d'identité externe.

    Active Directory ConfigurationConfiguration Active Directory

    Recherche DNS inverse

    Assurez-vous que la recherche DNS inverse est configurée pour tous les noeuds Cisco ISE de votre déploiement distribué pour tous les serveurs DNS. Sinon, vous pouvez rencontrer des problèmes liés au déploiement après la mise à niveau.

    Restaurer les certificats

    Restaurer les certificats sur le PAN. Lorsque vous mettez à niveau un déploiement distribué, les certificats d'autorité de certification racine du noeud d'administration principal ne sont pas ajoutés au magasin de certificats approuvés si les deux conditions sont remplies :

    • Le noeud d'administration secondaire est promu comme noeud d'administration principal dans le nouveau déploiement.

    • Les services de session sont désactivés sur le noeud Administration secondaire.

    Si les certificats ne sont pas dans le magasin, vous pouvez voir les échecs d'authentification avec les erreurs :

    • CA inconnue dans la chaîne lors d'un flux BYOD.

    • Erreur inconnue OCSP lors d'un flux BYOD.

    Ces messages s'affichent lorsque vous cliquez sur le bouton Plus de détails lien à partir de Journaux en direct pour les échecs d'authentification.

    Pour restaurer les certificats d'autorité de certification racine du noeud d'administration principal, générez une nouvelle chaîne de certificats d'autorité de certification racine Cisco ISE. Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu (N/Aet choisissez Administration > Certificates > Certificate Signing Requests > Replace ISE Root CA certificate chain.

    Regenerate ISE Root CARégénérer l'autorité de certification racine ISE

    Restaurer les certificats et les clés sur le noeud d'administration secondaire

    Si vous utilisez un noeud d'administration secondaire, vous pouvez obtenir une sauvegarde des certificats et des clés de l'autorité de certification Cisco ISE à partir du noeud d'administration principal et la restaurer sur le noeud d'administration secondaire. Cela permet au noeud d'administration secondaire de fonctionner en tant qu'autorité de certification racine ou d'autorité de certification subordonnée d'une PKI externe si le PAN principal échoue, et vous promouvez le noeud d'administration secondaire en tant que noeud d'administration principal.Pour plus d'informations sur la sauvegarde et la restauration des certificats et des clés, voir :

    Sauvegarde et restauration des clés et des certificats de l'autorité de certification Cisco ISE.

    Régénérer la chaîne CA racine

    Dans des scénarios de mise à niveau spécifiques, vous devez régénérer la chaîne CA racine une fois le processus de mise à niveau terminé. Régénérez la chaîne CA racine en procédant comme suit :

    Étape (1) : Dans le menu principal de Cisco ISE, choisissez Administration > System > Certificates > Certificate Management > Certificate Signing Request.

    Étape (2) : Cliquez sur Générer une demande de signature de certificat (CSR).

    Étape (3) : Choisir l'AC racine ISE dans le(s) certificat(s) serait utilisé(s) pour la liste déroulante.

    Étape (4) : Cliquez sur Remplacer la chaîne de certificats de CA racine ISE.

    Le tableau montreScénarios de régénération de la chaîne CA racine :

    Table - Root CA

    NAC axé sur les menaces

    Si vous avez activé le service NAC axé sur les menaces (TC-NAC), après la mise à niveau, les adaptateurs TC-NAC ne peuvent plus fonctionner. Vous devez redémarrer les adaptateurs à partir des pages NAC axées sur les menaces de l'interface utilisateur graphique ISE. Sélectionnez la carte et cliquez sur Redémarrer pour la redémarrer.

    Paramètre du noeud Services de stratégie d'origine SMNP

    Si vous avez configuré manuellement la valeur du noeud Services de stratégie d'origine sous les paramètres SNMP, cette configuration est perdue lors de la mise à niveau. Vous devez reconfigurer les paramètres SNMP.

    Service de flux Profiler

    Mettez à jour le service de flux du profileur après la mise à niveau pour vous assurer que les OUI les plus à jour sont installés. Depuis le portail d'administration Cisco ISE : 

    • Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu (aalazzaw_0-1696832930556) et choisissezAdministration > FeedService > Profiler. Assurez-vous que le service de flux du profileur est activé.

    Cliquez sur Mettre à jour maintenant.

    Profiler UpdateMise à jour du profileur

    Provisionnement client

    Vérifiez le profil de demandeur natif utilisé dans la stratégie de mise en service du client et assurez-vous que le SSID sans fil est correct. Pour les périphériques iOS, si le réseau que vous essayez de connecter est masqué, cochez la case Activer si le réseau cible est masqué dans la zone Paramètres iOS.

    Mises à jour en ligne

    • Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu (aalazzaw_0-1696836181931) et choisissezStratégie > Éléments de stratégie > Résultats > Approvisionnement client > Ressources pour configurer les ressources de provisionnement du client.
    • Cliquez sur Add.
    • Sélectionnez Agent Resources From Cisco Site.
    • Dans la fenêtre Download Remote Resources, sélectionnez la ressource Cisco Temporal Agent.
    • Cliquez sur Save et vérifiez que la ressource téléchargée apparaît dans la page Resources.

    Online Update - Client ProvisioningMise à jour en ligne - Provisionnement client

    Mises à jour hors connexion

    • Dans l'interface utilisateur graphique de Cisco ISE, cliquez sur l'icône Menu (aalazzaw_1-1696837261971) et choisissezStratégie > Éléments de stratégie > Résultats > Approvisionnement du client > Ressourcespour configurer les ressources de provisionnement du client.
    • Cliquez sur Add.
    • Choisir Ressources de l'agent à partir du disque local.
    • Dans la liste déroulante Category, sélectionnez Cisco Provided Packages.

    Surveillance et dépannage post-mise à niveau

    • Reconfigurer les paramètres de messagerie, les rapports favoris et les paramètres de purge des données.

    • Vérifiez le seuil et les filtres pour les alarmes spécifiques dont vous avez besoin. Toutes les alarmes sont activées par défaut après une mise à niveau.

    • Personnalisez les rapports en fonction de vos besoins. Si vous aviez personnalisé les rapports dans l'ancien déploiement, le processus de mise à niveau remplace les modifications que vous avez apportées.

    Actualiser les stratégies en NAD Trustsec

     Exécutez les commandes, dans l'ordre d'affichage, pour télécharger les stratégies sur les interfaces de couche 3 compatibles Cisco TrustSec dans le système. Si vous avez rencontré des problèmes d'application après une mise à niveau réussie.

    • aucune application basée sur les rôles cts

    • application basée sur les rôles cts

    Synchronisation/réplication de la propriété des terminaux du profileur

    note-icon

    Remarque : lorsque vous effectuez une mise à niveau vers Cisco ISE 2.7 et les versions ultérieures, dans le cadre de JEDIS, le port 6379 doit être ouvert entre tous les noeuds du déploiement pour une communication de va-et-vient.

    Après le processus de mise à niveau, vous pourriez rencontrer les événements

    1. Aucune donnée dans les journaux actifs.

    2. Erreurs de liaison de file d'attente.

    3. L'état de santé est indisponible.

    4. Aucune date n'est disponible dans le résumé système pour certains noeuds.

    Les problèmes mentionnés peuvent être détectés via le tableau de bord ISE. Pour les erreurs de liaison de file d'attente, une alarme s'affiche sous la section d'alarme. La section du résumé du système n'affiche aucune donnée en cas de problème. 

    Tous les problèmes mentionnés peuvent être résolus en régénérant l'autorité de certification racine interne ISE. Spécialement pour les erreurs de liaison de file d'attente en cas d'alarme (Unknow_Ca). Si le problème persiste, ouvrez le dossier d'assistance TAC pour obtenir de l'aide.

    Queue Link Alarm ExampleExemple d'alarme Queue Link

    note-icon

    Remarque : si vous rencontrez des problèmes après une mise à niveau réussie. Ouvrez un dossier TAC à l'aide du mot-clé correspondant au nouveau numéro. N'utilisez pas le mot clé de mise à niveau. Le mot clé Upgrade ne doit être utilisé que lorsque vous rencontrez des problèmes avec le processus de mise à niveau réel.

    Problèmes d'authentification après la mise à niveau

    Après une mise à niveau réussie, vous pourriez rencontrer un problème d'authentification. Veuillez vérifier et vérifier :

    • Détails du rapport Journaux en direct de Radius. Vérifiez le Motif de l'échec, la Résolution suggérée et la Cause première. Voir Exemple :

    Radius Live Logs Report ExampleExemple de rapport Journaux en direct Radius

    • L'authentification peut échouer après la mise à niveau Si vous utilisez Active Directory comme source d'identité externe et que la connexion à Active Directory est perdue, vous devez joindre à nouveau tous les noeuds Cisco ISE avec Active Directory. Une fois les jointures terminées, exécutez les flux d'appels de la source d'identité externe pour assurer la connexion.
    • Si vous rencontrez toujours des problèmes et que vous devez ouvrir un dossier TAC, veuillez effectuer les tâches suivantes :
    note-icon

    Remarque : utilisez le mot clé Authentication Keyword lorsque vous ouvrez un dossier pour le problème d'authentification. N'utilisez pas le même boîtier que celui ouvert pour la mise à niveau.

    1. Choisissez une machine qui rencontre le problème pour le dépannage.

    2. Notez l'horodatage des tests.

    3. Notez l'adresse MAC du périphérique de test.

    4. recréez le problème.

    5. Collectez les détails des journaux Radius Live. Assurez-vous que l'horodatage correspond.

    6. Si vous utilisez AnyConnect, collectez l'offre groupée DART sur l'ordinateur de l'utilisateur final.

    7. Générez un bundle de support à partir du PSN qui traite les demandes d'authentification. 

    8. Téléchargez toutes les informations sur votre dossier.

    note-icon

    Remarque : divers problèmes sur ISE nécessitent différents ensembles de journaux pour être résolus. Une liste complète des débogages nécessaires doit être fournie par l'ingénieur TAC.

    Informations connexes

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    11-Oct-2023
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Ameer Al Azzawi
      Ingénieur-conseil technique en sécurité

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits