お問い合わせ内容
Cisco Identity Services Engine(ISE)バージョン3.4にUpgrade Readiness Tool(URT)バンドルise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gzをインストールしようとして失敗しました。インストールに失敗した後、URTバンドルのアンインストールまたは再インストールの試行は失敗し、永続アプリケーションプロセスのロック(APP_INSTALL)が原因でISEサービスを停止できませんでした。 CLIから、別のアプリケーションのインストールまたはアップグレードが進行中であることを示すエラーメッセージが返されたため、ISEデータベースが実質的にロックされ、それ以上の管理操作ができなくなります。
環境
- 製品:Cisco Identity Services Engine(ISE)
- バージョン: 3.4.0
- サブテクノロジー:ISEアップグレード/パッチ/ライセンス
- URTバンドル:ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz(バージョン1.0.0、52日前)
- 導入:Azure VM上のマルチノードISE(セカンダリ管理者、プライマリモニタリングノード)
- CLIのインストールの試行:
application install ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz NETFTP
- AzureクラウドVM環境は、ネイティブISEアップグレードプロセスをサポートしていません
- URTバンドルが試行される前に、最近アップグレードまたはインストールが成功していない
解決策
この詳細なワークフローでは、Cisco ISE 3.4でのURTバンドルのインストール失敗が原因で発生するデータベースロックを特定して解決するために必要な手順の概要を示します。
ステップ1:標準のアプリケーションの削除とサービス停止を試行します。
まず、標準CLIコマンドを使用して、URTアプリケーションの削除を試行し、Cisco ISEサービスを停止します。 この手順では、ロック状態を確認し、診断に必要なエラーメッセージを生成します。
URTアプリケーションを削除するコマンド:
application remove urt
Continue with application removal? (y/n) [n] ? y
% An existing application install, remove, or upgrade is in progress. Try again shortly.
ISEサービスを停止するコマンド:
application stop ise
Waiting up to 20 seconds for lock: APP_INSTALL
APP_INSTALL to complete
Database is still locked by lock: APP_INSTALL
APP_INSTALL. Aborting. Please try it later
% Error: Another ISE DB process (APP_INSTALL APP_INSTALL) is in progress, cannot perform Application Stop at this time
別のインストール、削除、またはアップグレードが進行中であることを示すメッセージが表示された場合は、高度なトラブルシューティングの次の手順に進みます。
ステップ2:データベースロックファイルの特定
CLI経由でルートレベルの権限を持つノードにアクセスします。 プロセス・ロックが保管されている一時ディレクトリに移動します。
/temp/ディレクトリの内容を一覧表示するコマンド:
ls /temp/
ise_db_lockなどの名前のファイルを探します。 このファイルは、データベースのロックを維持し、サービス操作を防止します。
ステップ3:古いデータベースロックファイルの削除
ロックファイルが特定されたら、それを削除して永続的なロック状態をクリアします。
ロックファイルを削除するコマンド:
rm /temp/ise_db_lock
この操作によってデータベースが解放され、さらに管理操作が可能になります。
ステップ4:ISEサービスを停止し、再起動する
ロックファイルを削除した後、Cisco ISEサービスの停止と再起動に進み、すべてのプロセスがリセットされ、期待どおりに実行されていることを確認します。
Cisco ISEサービスを停止するコマンド:
application stop ise
Cisco ISEサービスを開始するコマンド:
application start ise
APP_INSTALLに関連するエラーメッセージが表示されず、サービスが正常に停止および開始されることを確認します。
ステップ5:ISEサービスの実行ステータスの検証
すべてのCisco ISEプロセスの動作ステータスをチェックして、プロセスが正常に動作しており、ロックが保持されていないことを確認します。
実行ステータスを確認するコマンド:
show application status ise
出力例:
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 4056
Database Server running 132 PROCESSES
Application Server running 9481
Profiler Database running 9774
ISE Elasticsearch running 24973
AD Connector running 35580
M&T Session Database running 7838
M&T Log Processor running 38134
ISE Messaging Service running 10373
ISE API Gateway Database Service running 10825
ISE API Gateway Service running 23058
ISE pxGrid Direct Service running 67962
ISE pxGrid Direct Pusher running 68973
Segmentation Policy Service running 39231
REST Auth Service running 42849
SSE Connector disabled
Hermes (pxGrid Cloud Agent) disabled
MFA (Duo Sync Service) running 44767
McTrust (Meraki Sync Service) disabled
aciconn (ACI Connection Service) disabled
Workload Connector Service disabled
ISE Prometheus Service running 62697
ISE Prometheus Exporter running 59234
ISE Grafana Service running 32873
ISE MNT LogAnalytics Elasticsearch disabled
ISE Logstash Service disabled
ISE Kibana Service disabled
ISE Native IPSec Service running 10210
MFC Profiler running 46329
ISE Prometheus Alertmanager Service running 48962
Protocols Engine running 60381
主要なCisco ISEサービスはすべて「実行中」として報告する必要があります。
手順6:GUIでノードの同期を検証する
- Cisco ISEグラフィカルユーザインターフェイス(GUI)にログインします。
- Administration > System > Deploymentの順に選択します。
- ノードの同期ステータスが正しいこと、およびマルチノード展開のすべてのノードが正常であることを確認してください。 これにより、ロック状態がノードの通信に影響を与えていないことを確認できます。
原因
この問題の根本原因は、/temp/ディレクトリに古いデータベースロックファイル(ise_db_lock)があることです。 このロックファイルは、URTバンドルのインストールに失敗したときに作成され、自動的に削除されませんでした。 永続ロックにより、アプリケーションのインストール、削除、またはアップグレード操作の実行が阻止され、CLI経由でCisco ISEサービスを停止する機能がブロックされました。 また、Azure VM環境でネイティブアップグレード操作を試行することはサポートされていないため、クラウドの導入ではアップグレードの再導入を推奨します。
関連コンテンツ
フィードバック