Risoluzione dei problemi di autenticazione ISE TACACS+ a causa di un sovraccarico del sistema

Problema

Le autenticazioni Cisco Identity Services Engine (ISE) Terminal Access-Control System Plus (TACACS+) di Terminal Access Controller smettono di funzionare a intermittenza e provocano il fallback degli accessi ai dispositivi di rete agli utenti locali anziché all'autenticazione TACACS+. Durante le interruzioni, i motivi di errore della richiesta TACACS+ sono stati eliminati a causa del sovraccarico del sistema e visualizzati nei Live Log. I tentativi di autenticazione non riusciti si verificano senza che vengano apportate modifiche alla configurazione di ISE per TACACS+ o sui dispositivi di rete relativamente alla configurazione di TACACS+.

Ambiente

• Patch per Cisco Identity Services Engine (ISE) versione 3.3 7

• Distribuzione ISE distribuita con PSN specifici per l'amministrazione dei dispositivi

• Servizio di autenticazione TACACS+ per accesso amministrativo

• Configurazione destinazione Syslog TCP (Transmission Control Protocol)

Risoluzione

L'attivazione dei debug runtime-AAA sul PSN (Policy Service Node) durante il problema e la revisione del file prt-server.log rivelano valori ContextN estremamente elevati che indicano che è stato eseguito il backup dell'elaborazione sul PSN:

ContextCounter,2026-05-05 12:17:08,442,DEBUG,0x7f42bead0700,ContextN incremented, number=113687,ContextCounter.cpp:77

AcsLoggerReactorThread e TCPSyslogReactorThread sono i pool di thread elevati che causano il backup:

EventHandler,2026-05-05 12:17:10,461,DEBUG,0x7f42bead0700,Passed event to the next thread pool name=AcsLoggerReactorThread, queue size=113576,EventDispatcher.cpp:842
EventHandler,2026-05-05 12:17:12,859,DEBUG,0x7f429b6d0700,Passed event to the next thread pool name=TCPSyslogReactorThread, queue size=3705,EventDispatcher.cpp:842

Le connessioni TACACS+ vengono interrotte a causa del raggiungimento del limite di spazio:

TCPListener,2026-05-05 12:17:08,804,DEBUG,0x7f429b4cf700,NIL-CONTEXT,Hit space limit. Dropping request!,TCPListener.cpp:351

Qualsiasi destinazione TCP Syslog abilitata in Amministrazione > Sistema > Registrazione > Destinazioni di registrazione remote con l'impostazione "Buffer Messages When Server Down" abilitata nella configurazione non deve essere irraggiungibile per lunghi periodi di tempo a causa del difetto di Cisco CSCwt35414. Se non è possibile garantire la raggiungibilità, è necessario installare una versione fissa di ISE o deselezionare la funzionalità "Buffer Messages When Server Down" sulla destinazione TCP Syslog per impedire questo comportamento.

Causa

La causa radice è stata identificata come difetto Cisco CSCwt35414. Questo difetto provoca il blocco dell'elaborazione dell'autenticazione sul PSN ogni volta che il buffer configurato sulla destinazione Syslog TCP diventa pieno. I log vengono scritti nel buffer quando la destinazione TCP Syslog non è raggiungibile o non risponde per essere inviata una volta che risponde di nuovo, ma se la destinazione non è raggiungibile per lunghi periodi di tempo con traffico elevato sul PSN, il buffer si riempie e l'elaborazione dell'autenticazione è interessata.

Contenuto correlato

• Cisco difetto CSCwt35414

• Impostazioni destinazioni registrazione remota