Risoluzione dei problemi e impostazioni dopo l'aggiornamento a ISE

Aggiornato:11 ottobre 2023
ID documento:221081

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento vengono descritte le impostazioni e le attività da eseguire dopo l'aggiornamento dell'implementazione ISE.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

    • ISE, release 3.0.
    • ISE, release 3.1.1
    • ISE, release 3.2.1

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Impostazioni e configurazioni post-aggiornamento

    Eseguire le impostazioni e le attività dopo aver aggiornato Cisco ISE.

    Converti In Nuovi Tipi Di Licenza

    Convertire le vecchie licenze nei nuovi tipi di licenza tramite Cisco Smart Software Manager (CSSM).

    Se si sta eseguendo l'aggiornamento a Cisco ISE release 3.0 e successive con licenze Base, Apex e Plus con licenze Smart, le licenze Smart vengono aggiornate ai nuovi tipi di licenze in Cisco ISE. Tuttavia, è necessario registrare i nuovi tipi di licenza in CSM per attivare le licenze nella versione Cisco ISE a cui si esegue l'aggiornamento.

    Se si possiedono licenze Cisco ISE tradizionali, è necessario convertirle in licenze Smart per abilitare il consumo delle licenze in Cisco ISE release 3.0 e successive. Per convertire le licenze Cisco ISE 2.x ai nuovi tipi di licenza, aprire una richiesta di assistenza online tramite il Support Case Manageroppure utilizzare le informazioni di contatto fornite in occasione del supporto TAC-WorldWide.

    Cisco WorldWide Support ContactsContatti del supporto Cisco internazionali

    Anche le notifiche relative all'utilizzo delle licenze non conformi vengono visualizzate in Cisco ISE.Se il numero di licenze usate non è conforme per 45 giorni in un periodo di 60 giorni, è possibile perdere il controllo amministrativo su Cisco ISE fino a quando non si acquistano e attivano le licenze richieste.

    Quando si esegue l'aggiornamento da un pacchetto di licenza a un altro, Cisco ISE continua a offrire tutte le funzionalità disponibili nel pacchetto precedente all'aggiornamento. Tuttavia, non è necessario riconfigurare le impostazioni già configurate. Ad esempio, se si usa una licenza Essentials e in seguito si aggiunge una licenza Advantage, le funzionalità già configurate con la licenza Essentials non verranno modificate.

    Verifica impostazioni macchina virtuale

    Se si stanno aggiornando nodi Cisco ISE su macchine virtuali, accertarsi di modificare il sistema operativo guest in Red Hat Enterprise Linux (RHEL) 8.4 (64 bit). A tale scopo, è necessario spegnere la VM, impostare il sistema operativo guest sulla versione RHEL supportata e accendere la VM dopo la modifica. RHEL 7 e versioni successive supportano solo schede di rete E1000 e VMXNET3. Assicurarsi di cambiare il tipo di scheda di rete prima di eseguire l'aggiornamento.

    note-icon

    Nota: se si esegue ISE su un server ESXi 5.x (almeno 5.1 U2), è necessario aggiornare la versione hardware VMware alla 9 prima di poter selezionare RHEL 7 come sistema operativo guest.

    Configurazione browser

    Dopo l'aggiornamento, cancellare la cache del browser, chiudere il browser e aprire una nuova sessione del browser prima di accedere al portale Cisco ISE Admin. Verificare inoltre che si stia utilizzando un browser supportato, elencato nelle Note sulla versione di ISE.

    Aggiungi di nuovo ad Active Directory

    Se si utilizza Active Directory come origine dell'identità esterna e la connessione ad Active Directory viene interrotta, sarà necessario collegare nuovamente tutti i nodi Cisco ISE ad Active Directory. Dopo il completamento dei join, eseguire i flussi di chiamata all'origine dell'identità esterna per garantire la connessione.

    • Dopo l'aggiornamento, se si accede all'interfaccia utente di Cisco ISE utilizzando un account di amministratore di Active Directory, l'accesso non riuscirà perché durante l'aggiornamento viene persa l'aggiunta ad Active Directory. È necessario utilizzare l'account Internal Administrator per accedere a Cisco ISE e collegarsi ad Active Directory.

    • Se è stata abilitata l'autenticazione basata sui certificati per l'accesso amministrativo a Cisco ISE e si è utilizzato Active Directory come origine dell'identità, non sarà possibile avviare la pagina di accesso ad ISE dopo l'aggiornamento. Ciò si verifica perché l'aggiunta ad Active Directory viene persa durante l'aggiornamento. Per ripristinare i join in Active Directory, connettersi alla CLI di Cisco ISE e avviare l'applicazione ISE in modalità provvisoria utilizzando il comando seguente:

    applicazione arresta ise

    avvio applicazione ise safe

    Dopo l'avvio di Cisco ISE in modalità provvisoria, eseguire le seguenti attività:

    1.Accedere all'interfaccia utente di Cisco ISE usando l'account amministratore interno.

    2. Partecipa a Cisco ISE con Active Directory. 

    Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu (menu icon) e scegliere Amministrazione > Gestione delle identità > Origini identità esterne > Active Directory.    Per ulteriori informazioni sull'aggiunta a Active Directory, vedere Configurare Active Directory come origine identità esterna.

    Active Directory ConfigurationConfigurazione di Active Directory

    Ricerca DNS inversa

    Verificare che per tutti i server DNS sia configurata la ricerca DNS inversa per tutti i nodi Cisco ISE nella distribuzione distribuita. In caso contrario, è possibile che si verifichino problemi relativi alla distribuzione dopo l'aggiornamento.

    Ripristina certificati

    Ripristinare i certificati sulla rete PAN. Quando si aggiorna una distribuzione distribuita, i certificati CA radice del nodo di amministrazione primario non vengono aggiunti all'archivio dei certificati protetti se vengono soddisfatte entrambe le condizioni:

    • Il nodo di amministrazione secondario viene innalzato di livello a nodo di amministrazione principale nella nuova distribuzione.

    • I servizi di sessione sono disabilitati nel nodo di amministrazione secondario.

    Se i certificati non sono presenti nell'archivio, è possibile che vengano visualizzati errori di autenticazione con gli errori seguenti:

    • CA sconosciuta nella catena durante un flusso BYOD.

    • Errore sconosciuto OCSP durante un flusso BYOD.

    È possibile visualizzare questi messaggi facendo clic sul pulsante Ulteriori dettagli collegamento da Registri attivi pagina per le autenticazioni non riuscite.

    Per ripristinare i certificati CA radice del nodo di amministrazione primario, generare una nuova catena di certificati CA radice Cisco ISE. Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu (N/Ae scegliere Amministrazione > Certificati > Richieste di firma del certificato > Sostituisci catena di certificati CA radice ISE.

    Regenerate ISE Root CARigenera CA radice ISE

    Ripristina certificati e chiavi nel nodo di amministrazione secondario

    Se si utilizza un nodo di amministrazione secondario, è possibile ottenere un backup dei certificati e delle chiavi Cisco ISE CA dal nodo di amministrazione primario e ripristinarlo sul nodo di amministrazione secondario. In questo modo il nodo di amministrazione secondario può fungere da CA radice o da CA subordinata di una PKI esterna se la PAN primaria non riesce e si promuove il nodo di amministrazione secondario come nodo di amministrazione primario. Per ulteriori informazioni sul backup e il ripristino di certificati e chiavi, vedere:

    Backup e ripristino di certificati e chiavi Cisco ISE CA.

    Rigenera catena CA radice

    In scenari di aggiornamento specifici, è necessario rigenerare la catena di CA radice al termine del processo di aggiornamento. Rigenerare la catena di CA radice effettuando le seguenti operazioni:

    Passaggio (1): dal menu principale di Cisco ISE, scegliere Amministrazione > Sistema > Certificati > Gestione certificati > Richiesta di firma del certificato.

    Passaggio (2): fare clic su Genera richiesta di firma del certificato (CSR).

    Passaggio (3): Choose ISE Root CA in the Certificate(s) be used for drop-down list (Scegliere una CA radice ISE nell'elenco a discesa dei certificati da utilizzare).

    Passaggio (4): Fare clic su Sostituisci catena di certificati CA radice ISE.

    Mostra tabellaScenari di rigenerazione della catena CA radice:

    Table - Root CA

    NAC incentrato sulle minacce

    Se il servizio TC-NAC (Threat-Centric NAC) è stato abilitato, dopo l'aggiornamento le schede TC-NAC potrebbero non funzionare. È necessario riavviare le schede dalle pagine NAC incentrate sulle minacce della GUI ISE. Selezionare la scheda e fare clic su Riavvia per riavviare la scheda.

    Impostazione nodo servizi criteri di origine SNMP

    Se il valore del nodo Servizi criteri di origine è stato configurato manualmente nelle impostazioni SNMP, questa configurazione viene persa durante l'aggiornamento. Riconfigurare le impostazioni SNMP.

    Servizio feed profiler

    Aggiornare il servizio di feed del profiler dopo l'aggiornamento per assicurarsi che siano installati gli OUI più aggiornati. Dal portale Cisco ISE Admin: 

    • Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu (aalazzaw_0-1696832930556) e scegliereAmministrazione > FeedService > Profiler. Verificare che il servizio feed del profiler sia abilitato.

    Fare clic su Aggiorna.

    Profiler UpdateAggiornamento profiler

    Provisioning client

    Controllare il profilo supplicant nativo utilizzato nei criteri di provisioning client e verificare che il SSID wireless sia corretto. Per i dispositivi iOS, se la rete che si sta tentando di connettere è nascosta, selezionare la casella di controllo Attiva se la rete di destinazione è nascosta nell'area Impostazioni iOS.

    Aggiornamenti online

    • Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu (aalazzaw_0-1696836181931) e scegliereCriterio > Elementi criterio > Risultati > Provisioning client > Risorse per configurare le risorse di provisioning client.
    • Fare clic su Add.
    • Scegliere Risorse Agente Dal Sito Cisco.
    • Nella finestra Scarica risorse remote, selezionare la risorsa Cisco Temporal Agent.
    • Fare clic su Salva e verificare che la risorsa scaricata venga visualizzata nella pagina Risorse.

    Online Update - Client ProvisioningAggiornamento online - Provisioning client

    Aggiornamenti offline

    • Nell'interfaccia utente di Cisco ISE, fare clic sull'icona Menu (aalazzaw_1-1696837261971) e scegliereCriterio > Elementi criterio > Risultati > Provisioning client > Risorseper configurare le risorse di provisioning client.
    • Fare clic su Add.
    • Scegli Risorse agente da disco locale.
    • Dall'elenco a discesa Category (Categoria), selezionare Cisco Provided Packages (Pacchetti forniti da Cisco).

    Monitoraggio post-aggiornamento e risoluzione dei problemi

    • Riconfigurare le impostazioni di posta elettronica, i report preferiti e le impostazioni di eliminazione dei dati.

    • Controllare la soglia e i filtri per individuare gli allarmi specifici necessari. Tutti gli allarmi vengono attivati per impostazione predefinita dopo un aggiornamento.

    • Personalizzare i report in base alle esigenze. Se i report sono stati personalizzati nella distribuzione precedente, il processo di aggiornamento sovrascrive le modifiche apportate.

    Aggiorna i criteri in NAD Trustsec

     Eseguire i comandi, nell'ordine indicato, per scaricare i criteri sulle interfacce di layer 3 abilitate per Cisco TrustSec nel sistema. Se sono stati riscontrati problemi di imposizione dopo un aggiornamento riuscito.

    • nessuna imposizione basata su ruoli cts

    • imposizione basata su ruoli

    Sincronizzazione/replica proprietà endpoint profiler

    note-icon

    Nota: quando si esegue l'aggiornamento a Cisco ISE 2.7 e versioni successive, come parte della struttura JEDIS, è necessario aprire la porta 6379 tra tutti i nodi della distribuzione per consentire la comunicazione diretta.

    Al termine del processo di aggiornamento, è possibile che si verifichino gli eventi

    1. Nessun dato nei log attivi.

    2. Errori del collegamento alla coda.

    3. Stato di integrità non disponibile.

    4. Nessuna data disponibile nel riepilogo di sistema per alcuni nodi.

    I problemi menzionati possono essere rilevati attraverso ISE Dashboard. In caso di errori di collegamento alla coda, viene visualizzato un avviso nella sezione degli allarmi. La sezione per il riepilogo del sistema non visualizza alcun dato se è presente e. 

    Per risolvere tutti i problemi menzionati, rigenerare la CA radice interna di ISE. In particolare per gli errori di collegamento alla coda nel caso in cui l'allarme venga attivato (Unknown_Ca). Se il problema persiste, aprire una richiesta di assistenza in TAC per ulteriore assistenza.

    Queue Link Alarm ExampleEsempio di avviso di collegamento coda

    note-icon

    Nota: se si verificano problemi dopo un aggiornamento riuscito. Aprire una richiesta TAC utilizzando la parola chiave per il nuovo problema. Non utilizzare la parola chiave Upgrade. La parola chiave Upgrade deve essere utilizzata solo in caso di problemi con il processo di aggiornamento effettivo.

    Problemi di autenticazione dopo l'aggiornamento

    Dopo un aggiornamento corretto è possibile che si verifichi un problema di autenticazione. Verifica e controlla:

    • Dettagli report di Raduis Live Logs. Verificare il motivo dell'errore, la risoluzione consigliata e la causa principale. Vedere l'esempio:

    Radius Live Logs Report ExampleEsempio di report dei log di Radius Live

    • L'autenticazione può non riuscire dopo l'aggiornamento Se si utilizza Active Directory come origine identità esterna e la connessione ad Active Directory viene persa, è necessario unire nuovamente tutti i nodi Cisco ISE ad Active Directory. Dopo il completamento dei join, eseguire i flussi di chiamata all'origine dell'identità esterna per garantire la connessione.
    • Se il problema persiste e occorre aprire una richiesta TAC, completare le seguenti attività:
    note-icon

    Nota: utilizzare la parola chiave Authentication quando si apre una richiesta per il problema Authentication (Autenticazione). Non utilizzare la stessa richiesta aperta per l'aggiornamento.

    1. Selezionare un computer su cui si sta verificando il problema per la risoluzione dei problemi.

    2. Prendere nota dell'indicatore orario per il test.

    3. Annotare l'indirizzo MAC del dispositivo di prova.

    4. ricreare il problema.

    5. Raccogliere i dettagli dei log Radius Live. Assicurarsi che l'indicatore di data e ora corrisponda.

    6. Se si usa AnyConnect, raccogliere il pacchetto DART dal computer dell'utente finale.

    7. Generare un bundle di supporto dal PSN che gestisce le richieste di autenticazione. 

    8. Caricare tutte le informazioni nella richiesta.

    note-icon

    Nota: per risolvere vari problemi relativi ad ISE, è necessario disporre di diverse serie di registri. Il tecnico TAC deve fornire un elenco completo dei debug necessari.

    Informazioni correlate

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    11-Oct-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Ameer Al Azzawi
      Tecnico di consulenza per la sicurezza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti