管理および操作の監査の管理 |
展開のアップグレードの失敗(Deployment Upgrade Failure)
|
ISE ノードでアップグレードに失敗しました。
|
アップグレードが失敗した原因と修正処置について、失敗したノードの ADE.log を確認します。
|
アップグレード バンドルのダウンロードの失敗(Upgrade Bundle Download failure)
|
アップグレード バンドルのダウンロードが ISE ノードで失敗しました。
|
アップグレードが失敗した原因と修正処置について、失敗したノードの ADE.log を確認します。
|
SXP 接続障害(SXP Connection Failure)
|
SXP 接続に失敗しました。
|
SXP サービスが実行していることを確認します。ピアに互換性があることを確認します。
|
シスコ プロファイルの全デバイスへの適用(Cisco profile applied to all devices)
|
ネットワーク デバイス プロファイルによって、MAB、Dot1X、CoA、Web リダイレクトなどのネットワーク アクセス デバイスの機能が定義されます。ISE 2.0 へのアップグレードにより、デフォルトのシスコ ネットワーク デバイス プロファイルがすべてのネットワーク
デバイスに適用されました。
|
シスコ以外のネットワーク デバイスの設定を必要に応じて編集し、適切なプロファイルを割り当てます。
|
CRL で失効した証明書が見つかったことによるセキュア LDAP 接続の再接続(Secure LDAP connection reconnect due to CRL found revoked certificate)
|
CRL チェックの結果、LDAP 接続で使用された証明書が失効していることが検出されました。
|
CRL 設定が有効であることを確認します。LDAP サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して LDAP サーバーにインストールします。
|
OCSP で失効した証明書が見つかったことによるセキュア LDAP 接続の再接続(Secure LDAP connection reconnect due to OCSP found revoked certificate)
|
OCSP チェックの結果、LDAP 接続で使用された証明書が失効していることが検出されました。
|
OCSP 設定が有効であることを確認します。LDAP サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して LDAP サーバーにインストールします。
|
CRL で失効した証明書が見つかったことによるセキュア syslog 接続の再接続(Secure syslog connection reconnect due to CRL found revoked certificate)
|
CRL チェックの結果、syslog 接続で使用された証明書が失効していることが検出されました。
|
CRL 設定が有効であることを確認します。syslog サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して syslog サーバーにインストールします。
|
OCSP で失効した証明書が見つかったことによるセキュアな syslog 接続の再接続(Secure syslog connection reconnect due to OCSP found revoked certificate)
|
OCSP チェックの結果、syslog 接続で使用された証明書が失効していることが検出されました。
|
OCSP 設定が有効であることを確認します。syslog サーバー証明書とその発行元の証明書が失効していないことを確認します。失効している場合は、新しい証明書を発行して syslog サーバーにインストールします。
|
管理者アカウントがロック/無効(Administrator account Locked/Disabled)
|
パスワードの失効または不正なログイン試行のために、管理者アカウントがロックされているか、または無効になっています。詳細については、管理者パスワード ポリシーを参照してください。
|
管理者パスワードは、GUI または CLI を使用して、他の管理者によってリセットできます。
|
ERS が非推奨の URL を検出(ERS identified deprecated URL)
|
ERS が廃止 URL を検出しました。
|
要求された URL は廃止されているため、使用しないでください。
|
ERS が古い URL を検出しました。
|
ERS が古い URL を検出しました。
|
要求された URL は古いため、新しい URL を使用してください。古い URL は今後のリリースで削除されません。
|
ERS 要求 Content-Type ヘッダーが古い(ERS request content-type header is outdated)
|
ERS 要求 Content-Type ヘッダーが最新ではありません。
|
要求 Content-Type ヘッダーで指定された要求のリソース バージョンが最新ではありません。これはリソーススキーマが変更されたことを意味します。いくつかの属性が追加または削除された可能性があります。古いスキーマをこのまま処理するために、ERS
エンジンでデフォルト値が使用されます。
|
ERS XML 入力が XSS またはインジェクション攻撃の原因です(ERS XML input is a suspect for XSS or Injection attack)
|
ERS XML 入力が XSS またはインジェクション攻撃の原因になっています。
|
XML 入力を確認してください。
|
バックアップに失敗(Backup Failed)
|
ISE バックアップ操作に失敗しました。
|
Cisco ISE とリポジトリ間のネットワーク接続を確認します。次の点を確認します。
|
CA サーバーがダウン(CA Server is down)
|
CA サーバーがダウンしています。
|
CA サービスが CA サーバーで稼働中であることを確認します。
|
CA サーバーが稼働中(CA Server is Up)
|
CA サーバーは稼働中です。
|
CA サーバーが稼働中であることを知らせる通知が管理者に送信されます。
|
証明書の有効期限(Certificate Expiration)
|
この証明書はまもなく有効期限が切れます。これが失効すると、Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。
|
証明書を交換します。信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。使用されなくなった場合、証明書を削除できます。
|
証明書が失効(Certificate Revoked)
|
内部 CA がエンドポイントに発行した証明書を管理者が取り消しました。
|
もう一度 BYOD フローに従って最初から新しい証明書を使用してプロビジョニングします。
|
証明書プロビジョニング初期化エラー(Certificate Provisioning Initialization Error)
|
証明書プロビジョニングの初期化に失敗しました。
|
複数の証明書でサブジェクトの CN(CommonName)属性が同じ値になっています。証明書チェーンを構築できません。SCEP(Simple Certificate Enrollment Protocol)サーバーからの証明書を含め、システム内のすべての証明書を確認します。
|
証明書の複製に失敗(Certificate Replication Failed)
|
セカンダリノードへの証明書の複製に失敗しました。
|
証明書がセカンダリ ノードで無効であるか、他の永続的なエラー状態があります。セカンダリ ノードに矛盾する証明書が存在しないかどうかを確認します。存在する場合は、セカンダリノードに存在する証明書を削除し、プライマリノードの新しい証明書をエクスポートしてから削除し、その後インポートして複製を再試行します。
|
証明書の複製に一時的に失敗(Certificate Replication Temporarily Failed)
|
セカンダリノードへの証明書の複製に一時的に失敗しました。
|
証明書は、ネットワークの停止などの一時的な状態によりセカンダリノードに複製されませんでした。複製は、成功するまで再試行されます。
|
証明書が失効(Certificate Expired)
|
この証明書の期限が切れています。Cisco ISE がクライアントとのセキュアな通信を確立しないようにします。ノードツーノード通信も影響を受ける場合があります。
|
証明書を交換します。信頼できる証明書の場合、発行元の認証局(CA)にお問い合わせください。CA 署名付きローカル証明書の場合、CSR を生成し、CA に新しい証明書を作成してもらいます。自己署名したローカル証明書の場合、Cisco ISE を使用して、有効期限を延長します。使用されなくなった場合、証明書を削除できます。
|
証明書要求転送に失敗(Certificate Request Forwarding Failed)
|
証明書要求転送に失敗しました。
|
受信する証明書要求が送信者の属性に一致することを確認します。
|
設定が変更(Configuration Changed)
|
Cisco ISE 設定が更新されています。このアラームは、ユーザーとエンドポイントに設定変更があってもトリガーされません。
|
設定変更が想定どおりであるかどうかを確認します。
|
CRL の取得に失敗(CRL Retrieval Failed)
|
サーバーから CRL を取得できません。これは、指定した CRL が使用できない場合に発生します。
|
ダウンロード URL が正しく、サービスに使用可能であることを確認します。
|
DNS 解決に失敗(DNS Resolution Failure)
|
ノードで DNS 解決に失敗しました。
|
ip name-server コマンドで設定した DNS サーバーが到達可能であるか確認します。
DNS Resolution failed for CNAME <hostname of the node> というアラームが表示された場合は、各 Cisco ISE ノードの A レコードとともに CNAME RR を作成していることを確認します。
|
ファームウェアの更新が必要(Firmware Update Required)
|
このホスト上でファームウェアの更新が必要です。
|
ファームウェアの更新の入手方法については、Cisco TAC にお問い合わせください。
|
仮想マシン リソースが不十分(Insufficient Virtual Machine Resources)
|
このホストには、CPU、RAM、ディスク容量、IOPS(1 秒当たりの入出力処理)などの仮想マシン(VM)リソースが不足しています。
|
Cisco ISE ハードウェア設置ガイド [英語] に指定されている VM ホストの最小要件を確認します。
|
NTP サービスの障害(NTP Service Failure)
|
NTP サービスがこのノードでダウンしています。
|
これは、NTP サーバーと Cisco ISE ノードとの間に大きな時間差(1000 秒以上)があるために発生することがあります。NTP サーバーが正しく動作していることを確認し、ntp server < servername> CLI コマンドを使用して NTP サービスを再起動して、時間のずれを修正します。
|
NTP 同期に失敗(NTP Sync Failure)
|
このノードに構成されているすべての NTP サーバーが到達不能です。
|
CLI で show ntp コマンドを実行してトラブルシューティングします。Cisco ISE から NTP サーバーに到達可能であることを確認します。NTP 認証が設定されている場合、キー ID と値がサーバーの対応する値に一致することを確認します。
|
スケジュールされた設定バックアップなし(No Configuration Backup Scheduled)
|
Cisco ISE 設定バックアップがスケジュールされていません。
|
設定バックアップのスケジュールを作成します。
|
操作 DB 消去に失敗(Operations DB Purge Failed)
|
操作データベースから古いデータを消去できません。これは、MnT ノードがビジーの場合に発生します。
|
[データ消去の監査(Data Purging Audit)] レポートをチェックし、使用済みスペースがしきい値スペースより少ないことを確認します。CLI を使用して MnT ノードにログインし、消去操作を手動で実行します。
|
プロファイラ SNMP 要求に失敗(Profiler SNMP Request Failure)
|
SNMP 要求がタイムアウトしたか、あるいは SNMP コミュニティまたはユーザー認証データが不正です。
|
SNMP が NAD で動作していることを確認し、Cisco ISE の SNMP 設定が NAD に一致していることを確認します。
|
複製に失敗(Replication Failed)
|
セカンダリ ノードは複製されたメッセージを消費できませんでした。
|
Cisco ISE GUI にログインし、[展開(Deployment)] ウィンドウから手動同期を実行します。影響を受ける Cisco ISE ノードを登録解除してから登録し直します。
|
復元に失敗(Restore Failed)
|
Cisco ISE 復元操作に失敗しました。
|
Cisco ISE とリポジトリ間のネットワーク接続を確認します。リポジトリに使用するクレデンシャルが正しいことを確認します。バックアップファイルが破損していないことも確認します。CLI で reset-config コマンドを実行して、正常な既知の最終バックアップを復元します。
|
パッチに失敗(Patch Failure)
|
パッチ プロセスがサーバーで失敗しました。
|
サーバーにパッチプロセスを再インストールします。
|
パッチに成功(Patch Success)
|
パッチ プロセスがサーバーで成功しました。
|
—
|
外部 MDM サーバー API バージョンが不一致(External MDM Server API Version Mismatch)
|
外部 MDM サーバー API バージョンが Cisco ISE に設定されたものと一致しません。
|
MDM サーバー API バージョンが Cisco ISE に設定されたものと同じであることを確認します。Cisco ISE MDM サーバー設定を更新します(必要な場合)。
|
外部 MDM サーバー接続に失敗(External MDM Server Connection Failure)
|
外部 MDM サーバーへの接続に失敗しました。
|
MDM サーバーが稼働し、Cisco ISE-MDM API サービスが MDM サーバーで稼働していることを確認します。
|
外部 MDM サーバー応答エラー(External MDM Server Response Error)
|
外部 MDM サーバー応答エラーです。
|
Cisco ISE-MDM API サービスが MDM サーバーで適切に動作していることを確認します。
|
複製が停止(Replication Stopped)
|
ISE ノードが PAN から設定データを複製できませんでした。
|
Cisco ISE GUI にログインし、[展開(Deployment)] ウィンドウから手動同期を実行するか、または影響を受けた ISE ノードを登録解除してから必須フィールドを指定して再登録します。
|
MDM コンプライアンスポーリングが無効(MDM Compliance Polling Disabled)
|
定期的なコンプライアンスポーリングで、膨大な非準拠デバイス情報を受信しました。
|
MDM サーバーに到達する非準拠デバイス要求の数を 20000 未満に維持します。
|
エンドポイント証明書が期限切れ(Endpoint certificates expired)
|
エンドポイント証明書が日次スケジュールジョブで期限切れとマークされました。
|
エンドポイントデバイスを再登録して新しいエンドポイント証明書を取得します。
|
エンドポイント証明書が消去(Endpoint certificates purged)
|
期限切れのエンドポイント証明書が日次スケジュールジョブによって消去されました。
|
特に対処は必要ありません。これは、管理者が開始したクリーンアップ操作です。
|
エンドポイントのアクティビティ消去
|
過去 24 時間のエンドポイントのアクティビティを消去します。このアラームは、真夜中にトリガーされます。
|
を選択して、消去アクティビティを確認します。
|
複製低速エラー(Slow Replication Error)
|
低速またはスタックした複製が検出されました。
|
ノードが到達可能であり、展開の一部であることを確認します。
|
複製低速情報(Slow Replication Info)
|
低速の複製またはスタックした複製が検出されました。
|
ノードが到達可能であり、展開の一部であることを確認します。
|
複製低速警告(Slow Replication Warning)
|
低速またはスタックした複製が検出されました。
|
ノードが到達可能であり、展開の一部であることを確認します。
|
PAN 自動フェールオーバー:フェールオーバーが失敗しました(PAN Auto Failover - Failover Failed)
|
セカンダリ管理ノードへのプロモーション要求が失敗しました。
|
解決方法については、アラームの詳細を参照してください。
|
PAN 自動フェールオーバー:フェールオーバーがトリガーされました(PAN Auto Failover - Failover Triggered)
|
プライマリロールにセカンダリ管理ノードのフェールオーバーが正常にトリガーされました。
|
セカンダリ PAN のプロモーションが完了するまで待機し、古いプライマリ PAN を起動します。
|
PAN 自動フェールオーバー:ヘルスチェックの非アクティビティ(PAN Auto Failover - Health Check Inactivity)
|
PAN がモニターリング ノードからヘルス チェックのモニターリング要求を受け取りませんでした。
|
報告されたモニタリングノードがダウンしているか、または同期していないか確認し、必要に応じて、手動同期をトリガーします。
|
PAN 自動フェールオーバー:無効なヘルスチェック(PAN Auto Failover - Invalid Health Check)
|
自動フェールオーバーで無効なヘルス チェック モニターリング要求が受信されました。
|
ヘルス チェック モニターリング ノードが同期していることを確認し、必要な場合は手動で同期をトリガーします。
|
PAN 自動フェールオーバー:プライマリ管理ノードのダウン(PAN Auto Failover - Primary Administration Node Down)
|
PAN がダウンしているか、またはモニタリングノードから到達不能です。
|
PAN を起動するか、またはフェールオーバーが発生するまで待機します。
|
PAN 自動フェールオーバー:フェールオーバーの試行が拒否されました(PAN Auto Failover - Rejected Failover Attempt)
|
ヘルス チェック モニター ノードによって行われたプロモーション要求をセカンダリ管理ノードが拒否しました。
|
解決方法については、アラームの詳細を参照してください。
|
EST サービスの停止
|
EST サービスが停止しています。
|
CA および EST サービスが稼働しており、証明書サービスのエンドポイントサブ CA 証明書チェーンが完了していることを確認します。
|
EST サービスの稼働
|
EST サービスが稼働しています。
|
EST サービスが稼働中であることを知らせる通知が管理者に送信されます。
|
Smart Call Home の通信障害
|
Smart Call Home メッセージが正常に送信されませんでした。
|
Cisco ISE と Cisco システムの間でネットワーク接続があることを確認します。
|
テレメトリ メッセージの障害
|
テレメトリ メッセージが正常に送信されませんでした。
|
Cisco ISE と Cisco システムの間でネットワーク接続があることを確認します。
|
アダプタに接続できない
|
Cisco ISE は、アダプタに接続できません。
|
エラーの詳細はアダプタ ログを確認してください。
|
アダプタのエラー
|
アダプタにエラーが生じています。
|
アラームの説明を確認してください。
|
アダプタ接続の失敗
|
アダプタは、送信元のサーバーに接続できません。
|
送信元のサーバーがアクセス可能であることを確認してください
|
エラーによるアダプタの停止
|
アダプタにエラーが発生し、望ましい状態ではありません。
|
アダプタの設定が正しく、送信元サーバーがアクセス可能であることを確認してください。エラーの詳細については、アダプタログを確認してください。
|
サービス コンポーネントのエラー
|
サービス コンポーネントにエラーが生じています。
|
アラームの説明を確認してください。
|
サービス コンポーネントの情報
|
サービス コンポーネントが情報を送信しました。
|
なし。
|
ISE サービス |
過剰な TACACS 認証試行(Excessive TACACS Authentication Attempts)
|
ISE ポリシーサービスノードで TACACS 認証の割合が想定よりも多くなっています。
|
|
過剰な TACACS 認証の失敗した試行(Excessive TACACS Authentication Failed Attempts)
|
ISE ポリシーサービスノードで失敗した TACACS 認証の割合が想定よりも多くなっています。
|
|
MSE ロケーション サーバーへのアクセス回復(MSE Location Server accessible again)
|
MSE ロケーション サーバーへのアクセスが回復しました。
|
なし。
|
MSE ロケーション サーバーにアクセス不能(MSE Location Server not accessible.)
|
MSE ロケーションサーバーはアクセス不能であるか、ダウンしています。
|
MSE ロケーションサーバーが稼働中で、ISE ノードからアクセスできるか確認します。
|
AD コネクタを再起動する必要があります(AD Connector had to be restarted)
|
AD コネクタが突然シャットダウンし、再起動が必要となりました。
|
問題が解決しない場合は、Cisco TAC にお問い合わせください。
|
Active Directory フォレストが使用不可(Active Directory Forest is unavailable)
|
Active Directory フォレスト グローバル カタログが使用できず、認証、許可、およびグループと属性の取得に使用できません。
|
DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。
|
認証ドメインが使用不可(Authentication domain is unavailable)
|
認証ドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。
|
DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。
|
ISE の認証非アクティビティ(ISE Authentication Inactivity)
|
Cisco ISE ポリシー サービス ノードは、ネットワーク デバイスから認証要求を受け取っていません。
|
|
ID マッピングの認証非アクティビティ(ID Map. Authentication Inactivity)
|
過去 15 分間、ユーザー認証イベントが ID マッピングサービスによって収集されませんでした。
|
ユーザー認証が想定される時間(勤務時間など)である場合は、Active Directory ドメインコントローラへの接続を確認します。
|
CoA 失敗(CoA Failed)
|
ネットワークデバイスが、Cisco ISE ポリシーサービスノードによって発行された認可変更(CoA)要求を拒否しました。
|
そのネットワークデバイスが Cisco ISE からの CoA を受け入れるように設定されていることを確認します。CoA が有効なセッションに対して発行されているか確認します。
|
設定されたネーム サーバーがダウン(Configured nameserver is down)
|
設定されたネーム サーバーがダウンしているか、使用できません。
|
DNS 設定とネットワーク接続を確認します。
|
サプリカントが応答停止(Supplicant Stopped Responding)
|
Cisco ISE がクライアントに最後のメッセージを 120 秒前に送信しましたが、クライアントから応答がありません。
|
-
サプリカントが Cisco ISE との完全な EAP カンバセーションを行えるように適切に設定されていることを確認します。
-
サプリカントとの間で EAP メッセージを転送するように NAS が正しく設定されていることを確認します。
-
サプリカントまたは NAS で、EAP カンバセーションのタイムアウトが短くないことを確認します。
|
過剰な認証試行(Excessive Authentication Attempts)
|
Cisco ISE ポリシー サービス ノードで認証の割合が想定よりも多くなっています。
|
ネットワークデバイスの再認証タイマーをチェックします。Cisco ISE インフラストラクチャのネットワーク接続を確認します。
しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。[説明(Description)] 列の横に表示される数値は、過去 15 分間に Cisco ISE に対して成功または失敗した認証の総数です。
|
過剰な失敗試行(Excessive Failed Attempts)
|
Cisco ISE ポリシー サービス ノードで認証失敗の割合が想定よりも多くなっています。
|
根本原因を特定するために認証手順を確認します。ID と秘密の不一致がないか、Cisco ISE または NAD の設定を確認します。
しきい値が満たされた場合、[過剰な認証試行(Excessive Authentication Attempts)] および [過剰な失敗試行(Excessive Failed Attempts)] アラームがトリガーされます。[説明(Description)] 列の横に表示される数値は、過去 15 分間に Cisco ISE に対して成功または失敗した認証の総数です。
|
AD:マシン TGT のリフレッシュに失敗(AD: Machine TGT refresh failed)
|
ISE サーバーのチケット認可チケット(TGT)の更新に失敗しました。TGT は、Active Directory 接続とサービスに使用されます。
|
ISE マシン アカウントが存在し、有効であることを確認します。また、クロックスキュー、複製、ケルベロスの設定、またはネットワークエラー、あるいはこれらすべてを確認します。
|
AD:ISE アカウント パスワードの更新に失敗(AD: ISE account password update failed)
|
ISE サーバーは、AD マシン アカウント パスワードを更新できませんでした。
|
ISE マシン アカウント パスワードが変更されていないことと、マシン アカウントが無効でなく制限もされていないことを確認します。KDC への接続を確認します。
|
参加しているドメインが使用不可(Joined domain is unavailable)
|
参加しているドメインが使用できず、認証、許可、およびグループと属性の取得に使用できません。
|
DNS 設定、Kerberos 設定、エラー状態、およびネットワーク接続を確認します。
|
ID ストアが使用不可(Identity Store Unavailable)
|
Cisco ISE ポリシー サービス ノードは設定された ID ストアに到達できません。
|
Cisco ISE と ID ストア間のネットワーク接続を確認します。
|
正しく設定されていないネットワーク デバイスを検出(Misconfigured Network Device Detected)
|
Cisco ISE が、NAS からの過剰な RADIUS アカウンティング情報を検出しました。
|
非常に多くの重複する RADIUS アカウンティング情報が、NAS から ISE に送信されました。正確なアカウンティング頻度で NAS を設定します。
|
正しく設定されていないサプリカントを検出(Misconfigured Supplicant Detected)
|
Cisco ISE は、ネットワーク上で正しく設定されていないサプリカントを検出しました。
|
サプリカントの設定が正しいことを確認します。
|
アカウンティングの開始なし(No Accounting Start)
|
Cisco ISE ポリシーサービスノードではセッションを許可していますが、ネットワークデバイスからアカウンティング開始を受信しませんでした。
|
RADIUS アカウンティングがネットワーク デバイス上に設定されていることを確認します。ローカル許可に対するネットワーク デバイス設定を確認します。
|
NAD が不明な(Unknown NAD)
|
Cisco ISE ポリシー サービス ノードは、Cisco ISE に設定されていないネットワーク デバイスから認証要求を受信しています。
|
ネットワーク デバイスが正規の要求であるかどうかを確認してから、それを設定に追加します。シークレットが一致することを確認します。
|
SGACL がドロップ(SGACL Drops)
|
セキュリティ グループ アクセス(SGACL)ドロップが発生しました。これは、SGACL ポリシーの違反により、TrustSec 対応デバイスがパケットをドロップすると発生します。
|
RBACL ドロップ概要レポートを実行し、SGACL ドロップを引き起こしているソースを確認します。攻撃ソースに CoA を発行してセッションを再許可または切断します。
|
RADIUS 要求がドロップ(RADIUS Request Dropped)
|
NAD からの認証およびアカウンティング要求がサイレントに破棄されています。これは、NAD が不明であるか、共有秘密が不一致であるか、RFC ごとのパケット内容が無効であるために発生することがあります。
|
NAD/AAA クライアントについて Cisco ISE に有効な設定があることを確認します。NAD/AAA クライアントと Cisco ISE の共有秘密が一致しているかどうかを確認します。AAA クライアントとネットワーク デバイスにハードウェアの問題または
RADIUS 互換性の問題がないことを確認します。また、Cisco ISE にデバイスを接続するネットワークにハードウェア上の問題がないことを確認します。
|
EAP セッションの割り当てに失敗(EAP Session Allocation Failed)
|
RADIUS 要求は EAP セッションの制限に達したためにドロップされました。この状態の原因として、並列 EAP 認証要求が多すぎることが考えられます。
|
新しい EAP セッションで別の RADIUS 要求を呼び出す前に数秒間待ちます。システムのオーバーロードが発生する場合は、ISE サーバーの再起動を試してください。
|
RADIUS コンテキストの割り当てに失敗(RADIUS Context Allocation Failed)
|
RADIUS 要求はシステムのオーバーロードのためにドロップされました。この状態の原因として、並列認証要求が多すぎることが考えられます。
|
新しい RADIUS 要求を呼び出す前に数秒間待ちます。システムのオーバーロードが発生する場合は、ISE サーバーの再起動を試してください。
|
AD:ISE のマシン アカウントにグループを取得するために必要な権限がない
|
Cisco ISE のマシン アカウントにグループを取得するために必要な権限がありません。
|
Cisco ISE のマシンアカウントに Active Directory のユーザーグループを取得する権限があるか確認します。
|
ポスチャ設定の検出(Posture Configuration Detection)
|
ポスチャ状態同期ポートは、準拠認証プロファイルに対してブロックされません。
|
クライアント ポスチャ ステータスが準拠している場合、ポスチャ状態同期プローブが Cisco ISE に到達しないように ACL を設定します。
|
システムの状態 |
ディスク I/O 使用率が高い(High Disk I/O Utilization)
|
Cisco ISE システムは、ディスク I/O 使用率が高くなっています。
|
システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。
|
ディスク領域の使用率が高い(High Disk Space Utilization)
|
Cisco ISE システムは、ディスク領域の使用率が高くなっています。
|
システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。
|
負荷平均が高い(High Load Average)
|
Cisco ISE システムは、不可平均が高くなっています。
|
システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。
サードパーティツールを使用してシングル CPU コアの負荷平均を確認しないでください。このメトリックにはシステム全体の負荷が反映されないためです。システム負荷の累積ビューには、Cisco ISE CLI で tech top コマンドを使用することをお勧めします。
プライマリおよびセカンダリ MnT ノードの 2:00 a.m. タイムスタンプに対して [負荷平均が高い(High Load Average)] アラームが表示される場合、この時刻に実行している DBMS 統計が原因で CPU 使用率が高くなっている可能性があります。DBMS
統計が完了すると、CPU 使用率は通常に戻ります。
[負荷平均が高い(High Load Average)] アラームは、毎週日曜日の午前 1 時に、毎週のメンテナンスタスクによってトリガーされます。このメンテナンスタスクによって、1 GB 以上の領域を占有するすべてのインデックスが再構築されます。このアラームは無視できます。
|
メモリ使用率が高い(High Memory Utilization)
|
Cisco ISE システムは、メモリ使用率が高くなっています。
|
システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。
メモリ使用率の確認にサードパーティのツールを使用しないでください。Cisco ISE CLI で show memory コマンドを使用して、メモリ使用率を確認することをお勧めします。
Cisco ISE ノードでは、オペレーティングシステムによってメモリ使用率が管理されます。メモリ使用率のより信頼できる測定値を得るには、(空きメモリではなく)使用可能なメモリのメトリックを確認する必要があります。
オペレーティングシステムは、バッファまたはキャッシュ内のほとんどのメモリをセグメント化することに注意してください。合計メモリの 90% 未満が使用済みとして表示され、スワップメモリに実質的な増加がない場合、Cisco ISE のメモリ使用率は安定していると見なすことができます。
|
操作 DB の使用率が高い(High Operations DB Usage)
|
ノードをモニターする Cisco ISE は、syslog データの量が想定よりも多くなっています。
|
操作データの消去設定ウィンドウを確認して削減します。
|
認証待ち時間が長い(High Authentication Latency)
|
Cisco ISE システムは、認証待ち時間が長くなっています。
|
システムに十分なリソースがあるかどうかを確認します。システムの実際の作業量、たとえば、認証数、プロファイラアクティビティを確認します。負荷を分散するためのサーバーを追加します。
|
ヘルス ステータスが使用不可(Health Status Unavailable)
|
モニターリングノードが Cisco ISE ノードからヘルスステータスを受信しませんでした。
|
Cisco ISE ノードが稼働していて、モニターリングノードと通信できることを確認します。
|
プロセスがダウン(Process Down)
|
Cisco ISE プロセスの 1 つが動作していません。
|
Cisco ISE アプリケーションを再起動します。
|
プロファイラ キュー サイズの制限に到達(Profiler Queue Size Limit Reached)
|
ISE プロファイラキューサイズの制限に到達しました。キュー サイズの制限に達した後に受信されたイベントはドロップされます。
|
システムに十分なリソースがあることを確認し、エンドポイント属性フィルタが有効になっていることを確認します。
|
OCSP トランザクションしきい値に到達(OCSP Transaction Threshold Reached)
|
OCSP トランザクションしきい値に到達しました。このアラームは、内部 OCSP サービスのトランザクション数がそのしきい値に到達するとトリガーされます。
|
システムに十分なリソースがあるかどうかを確認します。
|
ライセンシング |
ライセンスがまもなく期限切れ(License About to Expire)
|
Cisco ISE ノードにインストールされたライセンスがまもなく期限切れになります。
|
Cisco ISE の [ライセンス(Licensing)] ウィンドウを参照してライセンスの使用状況を確認します。
|
ライセンスが期限切れ(License Expired)
|
Cisco ISE ノードにインストールされたライセンスの期限が切れました。
|
シスコアカウントチームに問い合わせて、新しいライセンスを購入してください。
|
ライセンス違反(License Violation)
|
Cisco ISE ノードが、許可されたライセンス数を超過しているか、またはまもなく超過することを検出しました。
|
シスコアカウントチームに問い合わせて、追加のライセンスを購入してください。
|
スマート ライセンスの認証の期限切れ(Smart Licensing Authorization Expired)
|
スマート ライセンスの認証の有効期限が切れました。
|
[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照して、手動でスマートライセンスの登録を更新するか、Cisco Smart Software Manager とのネットワーク接続を確認してください。問題が続くようであれば、シスコ パートナーまでお問い合わせください。
|
スマート ライセンスの認証の更新の失敗(Smart Licensing Authorization Renewal Failure)
|
Cisco Smart Software Manager を使用した認証の更新に失敗しました。
|
[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照し、[ライセンス(Licenses)] テーブルの [更新(Refresh)] ボタンを使用して、Cisco Smart Software Manager で認証を手動で更新します。問題が続くようであれば、シスコ パートナーまでお問い合わせください。
|
スマート ライセンスの認証の更新の成功(Smart Licensing Authorization Renewal Success)
|
Cisco Smart Software Manager を使用した認証の更新に成功しました。
|
Cisco Smart Software Manager を使用した Cisco ISE の認証の更新が成功したことを知らせる通知が送信されます。
|
スマート ライセンスの通信障害(Smart Licensing Communication Failure)
|
Cisco Smart Software Manager と Cisco ISE の通信が失敗しました。
|
Cisco Smart Software Manager とのネットワーク接続を確認します。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。
|
復元されたスマート ライセンスの通信(Smart Licensing Communication Restored)
|
Cisco Smart Software Manager と Cisco ISE の通信が復元されました。
|
Cisco Smart Software Manager とのネットワーク接続が復元されたことを知らせる通知が送信されます。
|
スマート ライセンスの登録解除の障害(Smart Licensing De-Registration Failure)
|
Cisco Smart Software Manager を使用した Cisco ISE の登録解除に失敗しました。
|
詳細については、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。
|
スマート ライセンスの登録解除の成功(Smart Licensing De-Registration Success)
|
Cisco Smart Software Manager を使用した Cisco ISE の登録解除に成功しました。
|
Cisco Smart Software Manager を使用した Cisco ISE の登録解除に成功したことを知らせる通知が送信されます。
|
スマート ライセンスの無効化(Smart Licensing Disabled)
|
スマートライセンスは Cisco ISE で無効になり、従来のライセンスが使用されています。
|
スマートライセンスを再度有効にするには、[ライセンスの管理(License Administration)] ウィンドウを参照してください。Cisco ISE のスマートライセンスの使用方法の詳細については、Cisco ISE 管理者ガイド [英語] を参照するか、シスコパートナーにお問い合わせください。
|
スマート ライセンスの評価期間の期限切れ(Smart Licensing Evaluation Period Expired)
|
スマート ライセンスの評価期間が終了しました。
|
Cisco Smart Software Manager を使用して Cisco ISE を登録するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。
|
スマート ライセンスの HA 役割の変更(Smart Licensing HA Role changed)
|
スマートライセンスの使用中に、ハイアベイラビリティの役割の変更が発生しました。
|
Cisco ISE の HA ロールが変わったことを知らせる通知が送信されます。
|
スマート ライセンス ID 証明書の期限切れ(Smart Licensing Id Certificate Expired)
|
スマート ライセンス証明書の期限が切れました。
|
手動でスマートライセンスの登録を更新するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、シスコ パートナーまでお問い合わせください。
|
スマート ライセンス ID 証明書の更新の失敗(Smart Licensing Id Certificate Renewal Failure)
|
Cisco Smart Software Manager を使用したスマート ライセンスの登録の更新が失敗しました。
|
手動でスマートライセンスの登録を更新するには、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、シスコ パートナーまでお問い合わせください。
|
スマート ライセンス ID 証明書の更新の成功(Smart Licensing Id Certificate Renewal Success)
|
Cisco Smart Software Manager を使用したスマート ライセンスの登録の更新が成功しました。
|
Cisco Smart Software Manager を使用した登録の更新が成功したことを知らせる通知が送信されます。
|
スマート ライセンスの無効な要求(Smart Licensing Invalid Request)
|
無効な要求が Cisco Smart Software Manager に送信されました。
|
詳細については、[Cisco ISE ライセンス管理(Cisco ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。
|
コンプライアンスに準拠していないスマート ライセンス(Smart Licensing Out of Compliance)
|
Cisco ISE ライセンスがコンプライアンスに準拠していません。
|
詳細については、[ISE ライセンス管理(ISE License Administration)] ウィンドウを参照してください。新しいライセンスを購入するには、パートナーまたはシスコ アカウント チームにお問い合わせください。
|
スマート ライセンスの登録の障害(Smart Licensing Registration Failure)
|
Cisco Smart Software Manager を使用した Cisco ISE の登録が失敗しました。
|
詳細については、[ISE ライセンス管理(ISE License Administration)] ウィンドウを参照してください。問題が続くようであれば、Cisco Smart Software Manager にログインするか、またはシスコパートナーまでお問い合わせください。
|
スマート ライセンスの登録の成功(Smart Licensing Registration Successful)
|
Cisco Smart Software Manager を使用した Cisco ISE の登録に成功しました。
|
Cisco Smart Software Manager を使用した Cisco ISE の登録に成功したことを知らせる通知が送信されます。
|
システム エラー |
ログ収集エラー(Log Collection Error)
|
コレクタプロセスをモニターする Cisco ISE が、ポリシーサービスノードから生成された監査ログを使用して処理を継続できません。
|
これは、ポリシー サービス ノードの実際の機能に影響を与えません。その後の解決については、Cisco TAC にお問い合わせください。
|
スケジュールされているレポートのエクスポートに失敗(Scheduled Report Export Failure)
|
設定されたリポジトリにエクスポートされたレポート(CSV ファイル)をコピーできません。
|
設定されたリポジトリを確認します。それが削除されていた場合は、再度追加します。リポジトリが使用できないか、またはリポジトリに到達できない場合は、リポジトリを再設定して有効にします。
|
TrustSec
|
不明な SGT のプロビジョニング(Unknown SGT was provisioned)
|
不明な SGT がプロビジョニングされました。
|
ISE は承認フローの一部として不明な SGT をプロビジョニングしました。不明な SGT は既知のフローの一部として割り当てることはできません。
|
一部の TrustSec ネットワーク デバイスに最新の ISE IP-SGT マッピング設定がありません(Some TrustSec network devices do not have the latest ISE IP-SGT mapping
configuration)
|
一部の TrustSec ネットワーク デバイスに最新の ISE IP-SGT マッピング設定がありません。
|
ISE が異なる IP-SGT マッピング セットを持ついくつかのネットワーク デバイスを検出しました。[IP-SGT マッピング展開(IP-SGT mapping Deploy)] オプションを使用してデバイスを更新します。
|
TrustSec SSH 接続の失敗(TrustSec SSH connection failed)
|
TrustSec SSH 接続に失敗しました。
|
ISE がネットワーク デバイスへの SSH 接続を確立できませんでした。[ネットワークデバイス(Network Device)] ウィンドウでネットワークデバイスの SSH ログイン情報がネットワークデバイス上のログイン情報と類似していることを確認します。ネットワーク デバイスで ISE(IP アドレス)からの SSH 接続が有効になっていることを確認します。
|
TrustSec で識別された ISE が 1.0 以外の TLS バージョンで動作するよう設定されている(TrustSec identified ISE was set to work with TLS versions other than
1.0)
|
TrustSec で識別された ISE は 1.0 以外の TLS バージョンで動作するよう設定されています。
|
TrustSec は TLS バージョン 1.0 のみをサポートします。
|
TrustSec PAC の検証の失敗(Trustsec PAC validation failed)
|
TrustSec PAC の検証に失敗しました。
|
ISE がネットワークデバイスから送信された PAC を検証できませんでした。[ネットワークデバイス(Network Device)] ウィンドウとデバイスの CLI で、TrustSec デバイスのログイン情報を確認します。デバイスが ISE サーバーによってプロビジョニングされた有効な PAC を使用していることを確認します。
|
TrustSec 環境データのダウンロードの失敗(Trustsec environment data download failed)
|
TrustSec 環境データのダウンロードに失敗しました
|
Cisco ISE は不正な環境データ要求を受信しました。
次のことを確認してください。
|
TrustSec CoA メッセージの無視(TrustSec CoA message ignored)
|
TrustSec CoA メッセージが無視されました。
|
Cisco ISE は、TrustSec CoA メッセージを送信し、応答を受信しませんでした。ネットワーク デバイスが CoA 対応であることを確認してください。ネットワーク デバイス設定を確認してください。
|
TrustSec のデフォルトの出力ポリシーの変更(TrustSec default egress policy was modified)
|
TrustSec のデフォルトの出力ポリシーが変更されました。
|
セキュリティ ポリシーに合致していることを確認します。
|