문제
Cisco ISE(Identity Services Engine) 버전 3.4에 URT(Upgrade Readiness Tool) 번들 ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz를 설치하지 못했습니다. 설치에 실패한 후 URT 번들을 제거하거나 다시 설치하려는 후속 시도가 실패했으며 ISE 서비스는 영구 애플리케이션 프로세스 잠금(APP_INSTALL)으로 인해 중지되지 않았습니다. CLI에서 다른 애플리케이션 설치 또는 업그레이드가 진행 중임을 나타내는 오류 메시지를 반환하여 ISE 데이터베이스를 효과적으로 잠그고 추가 관리 작업을 방지합니다.
환경
- 제품: Cisco ISE(Identity Services Engine)
- 버전: 3.4.0
- 하위 기술: ISE 업그레이드/패치/라이센싱
- URT 번들: ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz(버전 1.0.0, 52일)
- 구축: Azure VM의 다중 노드 ISE(보조 관리자, 기본 모니터링 노드)
- 다음을 통해 CLI 설치를 시도했습니다.
애플리케이션 설치 ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz NETFTP
- Azure 클라우드 VM 환경은 네이티브 ISE 업그레이드 프로세스를 지원하지 않습니다
- URT 번들 시도 이전에 최근에 성공한 업그레이드 또는 설치가 없음
해결
이 자세한 워크플로에서는 Cisco ISE 3.4에서 URT 번들 설치 실패로 인한 데이터베이스 잠금을 식별하고 해결하는 데 필요한 단계를 간략하게 설명합니다.
1단계: 표준 응용 프로그램 제거 및 서비스 중지 시도
먼저 표준 CLI 명령을 사용하여 URT 애플리케이션을 제거하고 Cisco ISE 서비스를 중지합니다. 이 단계에서는 잠금 상태를 확인하고 진단에 필요한 오류 메시지를 생성합니다.
URT 응용 프로그램을 제거하는 명령:
application remove urt
Continue with application removal? (y/n) [n] ? y
% An existing application install, remove, or upgrade is in progress. Try again shortly.
ISE 서비스를 중지하는 명령:
application stop ise
Waiting up to 20 seconds for lock: APP_INSTALL
APP_INSTALL to complete
Database is still locked by lock: APP_INSTALL
APP_INSTALL. Aborting. Please try it later
% Error: Another ISE DB process (APP_INSTALL APP_INSTALL) is in progress, cannot perform Application Stop at this time
다른 설치, 제거 또는 업그레이드가 진행 중임을 알리는 메시지가 표시되면 다음 단계로 이동하여 고급 문제 해결을 수행하십시오.
2단계: 데이터베이스 잠금 파일 식별
CLI를 통해 루트 수준 권한이 있는 노드에 액세스합니다. 프로세스 잠금이 저장된 임시 디렉토리로 이동합니다.
/temp/디렉토리의 내용을 나열하는 명령:
ls /temp/
ise_db_lock 또는 유사한 파일을 찾습니다. 이 파일은 데이터베이스 잠금을 유지하고 서비스 작업을 방지합니다.
3단계: 오래된 데이터베이스 잠금 파일 제거
잠금 파일이 식별되면 이를 제거하여 영구 잠금 조건을 지웁니다.
잠금 파일을 제거하는 명령:
rm /temp/ise_db_lock
이 작업을 수행하면 데이터베이스가 해제되고 추가 관리 작업이 허용됩니다.
4단계: ISE 서비스 중지 및 재시작
잠금 파일을 제거한 후 중지한 다음 Cisco ISE 서비스를 다시 시작하여 모든 프로세스가 예상대로 재설정되고 실행 중인지 확인합니다.
Cisco ISE 서비스를 중지하는 명령:
application stop ise
Cisco ISE 서비스를 시작하는 명령:
application start ise
APP_INSTALL과 관련된 오류 메시지가 표시되지 않고 서비스가 성공적으로 중지 및 시작되는지 확인합니다.
5단계: ISE 서비스의 실행 상태 확인
모든 Cisco ISE 프로세스의 작동 상태를 확인하여 정상적으로 실행 중이며 잠금 이 유지되지 않는지 확인합니다.
실행 상태를 확인하는 명령:
show application status ise
출력 예:
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 4056
Database Server running 132 PROCESSES
Application Server running 9481
Profiler Database running 9774
ISE Elasticsearch running 24973
AD Connector running 35580
M&T Session Database running 7838
M&T Log Processor running 38134
ISE Messaging Service running 10373
ISE API Gateway Database Service running 10825
ISE API Gateway Service running 23058
ISE pxGrid Direct Service running 67962
ISE pxGrid Direct Pusher running 68973
Segmentation Policy Service running 39231
REST Auth Service running 42849
SSE Connector disabled
Hermes (pxGrid Cloud Agent) disabled
MFA (Duo Sync Service) running 44767
McTrust (Meraki Sync Service) disabled
aciconn (ACI Connection Service) disabled
Workload Connector Service disabled
ISE Prometheus Service running 62697
ISE Prometheus Exporter running 59234
ISE Grafana Service running 32873
ISE MNT LogAnalytics Elasticsearch disabled
ISE Logstash Service disabled
ISE Kibana Service disabled
ISE Native IPSec Service running 10210
MFC Profiler running 46329
ISE Prometheus Alertmanager Service running 48962
Protocols Engine running 60381
모든 기본 Cisco ISE 서비스는 "실행 중"으로 보고해야 합니다.
6단계: GUI에서 노드 동기화 검증
- Cisco ISE GUI(그래픽 사용자 인터페이스)에 로그인합니다.
- Administration(관리) > System(시스템) > Deployment(구축)로 이동합니다.
- 노드 동기화 상태가 올바르고 다중 노드 배포의 모든 노드가 정상인지 확인하십시오. 잠금 상태가 노드 통신에 영향을 주지 않는지 확인하십시오.
원인
문제의 근본 원인은 /temp/디렉터리에 오래된 데이터베이스 잠금 파일(ise_db_lock)이 있기 때문입니다. 이 잠금 파일은 URT 번들을 설치하지 못한 동안 만들어졌으며 자동으로 제거되지 않았습니다. 영구 잠금은 추가 응용 프로그램 설치, 제거 또는 업그레이드 작업을 실행할 수 없게 하고 CLI를 통해 Cisco ISE 서비스를 중지하는 기능을 차단했습니다. 또한 Azure VM 환경에서 기본 업그레이드 작업을 시도하는 것은 지원되지 않으며 클라우드 배포에서 업그레이드를 위해 다시 배포할 것을 권장합니다.
관련 콘텐츠
피드백