システム過負荷が原因のISE TACACS+認証失敗のトラブルシューティング

お問い合わせ内容

Cisco Identity Services Engine(ISE)Terminal Access Controller Access-Control System Plus(TACACS+)認証が断続的に停止し、ネットワークデバイスのログインがTACACS+認証ではなくローカルユーザにフォールバックする原因になります。停止時に、「TACACS+要求はシステム過負荷のためドロップされました」という障害理由がライブログに表示されます。認証の失敗は、TACACS+のISEに対する設定変更が行われずに、またはTACACS+の設定に関するネットワークデバイスで発生します。

環境

• Cisco Identity Services Engine(ISE)バージョン3.3パッチ7

• デバイス管理用の特定のPSNを使用した分散型ISEの導入

• 管理アクセスのためのTACACS+認証サービス

• Transmission Control Protocol（TCP；伝送制御プロトコル）Syslogターゲットの設定

解決策

問題発生時にポリシーサービスノード(PSN)でランタイムAAAデバッグを有効にし、prrt-server.logを確認すると、PSNでの処理がバックアップされていることを示す非常に高いContextN値が明らかになります。

ContextCounter,2026-05-05 12:17:08,442,DEBUG,0x7f42bead0700,ContextN incremented, number=113687,ContextCounter.cpp:77

AcsLoggerReactorThreadとTCPSyslogReactorThreadは、上昇し、バックアップを引き起こすスレッドプールです。

EventHandler,2026-05-05 12:17:10,461,DEBUG,0x7f42bead0700,Passed event to the next thread pool name=AcsLoggerReactorThread, queue size=113576,EventDispatcher.cpp:842
EventHandler,2026-05-05 12:17:12,859,DEBUG,0x7f429b6d0700,Passed event to the next thread pool name=TCPSyslogReactorThread, queue size=3705,EventDispatcher.cpp:842

スペースの制限に当たるため、TACACS+接続はドロップされます。

TCPListener,2026-05-05 12:17:08,804,DEBUG,0x7f429b4cf700,NIL-CONTEXT,Hit space limit. Dropping request!,TCPListener.cpp:351

設定で「Buffer Messages When Server Down」が有効になっている場合、Administration > System > Logging > Remote Logging Targetsで有効になっているTCP Syslogターゲットは、Cisco不具合CSCwt35414が原因で、長期に渡り到達不能になることはありません。到達可能性が保証できない場合は、ISEの修正済みバージョンをインストールするか、この動作を防ぐためにTCP syslogターゲットで「Buffer Messages When Server Down」機能の選択を解除する必要があります。

原因

根本原因は、Cisco不具合CSCwt35414として特定されています。この不具合により、TCP Syslogターゲットに設定されているバッファがいっぱいになると、PSNでの認証処理がブロックされます。TCP Syslogターゲットが到達不能であるか、または再応答後に送信不能になると、ログはバッファに書き込まれますが、PSNのトラフィックが多く、ターゲットが長期間到達不能な場合は、バッファがいっぱいになり、認証処理に影響します。

関連コンテンツ

• Cisco不具合CSCwt35414

• リモートログターゲットの設定