お問い合わせ内容
Cisco Identity Services Engine(ISE)バージョン3.2パッチ7および3.3ベータリリースゲストポータルが、仮想マシン(VM)上の一部のノードとAzure上の一部のノードを含む展開内のポリシーサービスノード(PSN)上で機能を断続的に停止します。 この場合、ISEサービスを停止/開始するか、GUIからノードを手動で同期すると、ポータル機能の復元に役立ちます。 この問題は、環境内の複数のノードで発生します。
環境
- 製品:Cisco Identity Services Engine(ISE)
- ソフトウェアバージョン:3.2パッチ7および3.3_BETA
- 最近の変更:ノードの別の環境への移行、PANおよびMNTのAzureからハードウェアアプライアンスへの移行(SNS 3795)
- ネットワーク:TCPポート8671を介したノード間通信が必要です。
解決策
1. 各PSNノードに十分なCPUとメモリリソースが割り当てられていることを確認します。特に、サービス障害やパフォーマンスの低下が発生しているノードに対して割り当てる必要があります。リソースの制約が検出された場合は、必要に応じてCPUやメモリの割り当てを増やします。
2. すべてのPSNノードが、ノードの同期に重要なTCPポート8671を介して通信できることを確認します。 Telnetを使用して、TCPポート8671のノード間の接続をテストします。 接続に成功すると、ポートがオープンで到達可能であることが示されます。 接続が失敗した場合は、ファイアウォール設定、ルーティング、およびノード間のネットワークACLを確認します。
3. ISE GUI経由でPSNノードを手動で同期します。
- [Administration] > [System] > [Deployment] を選択します。
- 影響を受けるPSNを選択し、Syncupをクリックします(ISE PSNノードサービスを再起動します)。
4. 新しいホットスポットポータルを作成します。
- Work Center > Guest Access > Portals & Componentsの順に移動します。
- Createをクリックし、Hotspot Portalを選択します。
- 基本設定を行い、簡単なAUPを追加し、ログイン後リダイレクトURLを設定します。
- 新しいポータルを保存してテストし、機能を検証します。 新しいポータルが正常に動作している場合は、元のポータルの設定に問題がある可能性があります。
5. プロファイラのキューまたはリソース関連のアラートがノード上に存在する場合(CPU使用率の上昇やキューリンクエラーなど)、必要に応じてハードウェアリソースを増やします。 たとえば、CPU割り当てを8から16vCPUに増やします。
注:この手順は、仮想化またはクラウド管理インターフェイスを使用して実行されます。
6. 資源調整後は、システムの安定性を監視する。
7. キュー・リンク・エラーまたは同様の警告の監視を続行します。 このようなエラーが続いても散発的であり、ISPまたはネットワークの問題(内部設定やファイアウォールの問題ではない)に関連している場合は、継続的なレビューのために発生箇所を文書化します。 エラーが外部ISPの問題に起因している場合は、必要に応じてネットワークサービスプロバイダーと調整します。
原因
ISEゲストポータルが応答しない主な原因は、影響を受けるPSNノードのリソース制約(CPU/メモリ)と、ノード間通信の問題(TCPポート8671)です。 キューリンクエラーの原因は、内部ネットワークやファイアウォールの設定ミスではなく、外部ISPの問題にあります。 ノードの移行とハードウェアリソースの調整により、安定性が向上します。
関連コンテンツ
フィードバック