보조 관리 노드를 사용 하는 경우 1 기본 관리 노드에서 Cisco ISE CA 인증서 및 키의 백업을 얻고 보조 관리 노드에서 복원 할 수 있습니다. 이렇게 하면 기본 PAN이 실패할 경우 보조 관리 노드가 외부 PKI의 루트 CA 또는 하위 CA로 작동할 수 있으며, 보조 관리 노드를 기본 관리 노드로 승격할 수 있습니다.인증서 및 키 백업 및 복원에 대한 자세한 내용은 다음을 참조하십시오.
Cisco ISE CA 인증서 및 키의 백업 및 복원.
루트 CA 체인 재생성
특정 업그레이드 시나리오에서는 업그레이드 프로세스가 완료된 후 루트 CA 체인을 다시 생성해야 합니다. 다음 단계를 완료하여 루트 CA 체인을 재생성합니다.
단계 (1): Cisco ISE 주 메뉴에서
2단계: Generate Certificate Signing Request (CSR)를 클릭합니다.
단계 (3): Certificate(s) will be used for 드롭다운 목록에서 ISE Root CA를 선택합니다.
4단계: Replace ISE root CA Certificate Chain(ISE 루트 CA 인증서 체인 대체)을 클릭합니다.
표 표시루트 CA 체인 재생성 시나리오:
위협 중심 NAC
TC-NAC(Threat-Centric NAC) 서비스를 활성화한 경우 업그레이드한 후 TC-NAC 어댑터가 작동하지 않을 수 있습니다. ISE GUI의 Threat-Centric NAC 페이지에서 어댑터를 다시 시작해야 합니다. 어댑터를 선택하고 Restart(재시작)를 클릭하여 어댑터를 다시 시작합니다.
SMNP 시작 정책 서비스 노드 설정
SNMP 설정에서 Originating Policy Services Node(시작 정책 서비스 노드) 값을 수동으로 구성한 경우 이 컨피그레이션은 업그레이드 중에 손실됩니다. SNMP 설정을 재구성해야 합니다.
프로파일러 피드 서비스
업그레이드 후 프로파일러 피드 서비스를 업데이트하여 최신 OUI가 설치되었는지 확인합니다. Cisco ISE 관리 포털에서:
- Cisco ISE GUI에서 메뉴 아이콘(
)를 선택하고. 프로 파 일러 피드 서비스가 활성화 되어 있는지 확인 하십시오.
Update Now(지금 업데이트)를 클릭합니다.
프로 파 일러 업데이트
클라이언트 프로비저닝
클라이언트 프로비저닝 정책에 사용되는 기본 신청자 프로필을 확인하고 무선 SSID가 올바른지 확인합니다. iOS 디바이스의 경우 연결하려는 네트워크가 숨겨져 있으면 iOS Settings(iOS 설정) 영역에서 Enable if target network is hidden(대상 네트워크가 숨겨져 있는 경우 활성화) 확인란을 선택합니다.
온라인 업데이트
- Cisco ISE GUI에서 메뉴 아이콘(
)를 선택하고Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스) 클라이언트 프로비저닝 리소스를 구성합니다. - Add(추가)를 클릭합니다.
- Cisco 사이트에서 에이전트 리소스를 선택합니다.
- Download Remote Resources(원격 리소스 다운로드) 창에서 Cisco Temporal Agent(Cisco 임시 에이전트) 리소스를 선택합니다.
- Save(저장)를 클릭하고 다운로드한 리소스가 Resources(리소스) 페이지에 나타나는지 확인합니다.
온라인 업데이트 - 클라이언트 프로비저닝
오프라인 업데이트
- Cisco ISE GUI에서 메뉴 아이콘(
)를 선택하고Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Client Provisioning(클라이언트 프로비저닝) > Resources(리소스)클라이언트 프로비저닝 리소스를 구성합니다. - Add(추가)를 클릭합니다.
- 선택 로컬 디스크의 에이전트 리소스.
- Category 드롭다운에서 Cisco Provided Packages를 선택합니다.
업그레이드 후 모니터링 및 문제 해결
-
이메일 설정, 즐겨찾기 보고서 및 데이터 삭제 설정을 다시 구성합니다.
-
필요한 특정 경보에 대한 임계값 및 필터를 확인합니다. 모든 경보는 업그레이드 후 기본적으로 활성화됩니다.
-
필요에 따라 보고서를 사용자 지정할 수 있습니다. 이전 구축에서 보고서를 사용자 지정한 경우 업그레이드 프로세스에서 변경 사항을 덮어씁니다.
Trustsec NAD에 정책 새로 고침
시스템의 Cisco TrustSec 지원 레이어 3 인터페이스에 대한 정책을 다운로드하려면 표시된 순서대로 명령을 실행합니다. 업그레이드에 성공한 후 시행 문제가 발생한 경우
-
cts 역할 기반 적용 없음
-
cts 역할 기반 시행
프로파일러 엔드포인트 소유권 동기화/복제
참고: Cisco ISE 2.7 이상 버전으로 업그레이드할 경우 JEDIS 프레임워크의 일부로서 포트 6379를 To-From 통신을 위해 구축의 모든 노드 간에 열어야 합니다.
업그레이드 프로세스가 끝나면 이벤트가 발생할 수 있습니다
-
라이브 로그에 데이터가 없습니다.
-
큐 링크 오류입니다.
-
상태를 사용할 수 없습니다.
-
일부 노드에 대해 시스템 요약에서 사용 가능한 날짜가 없습니다.
언급된 문제는 ISE 대시보드를 통해 탐지할 수 있습니다. Queue Link Errors(큐 링크 오류)의 경우 alarm(경보) 섹션에 경보가 표시됩니다. System Summary(시스템 요약) 섹션에는 및 문제가 있는 경우 데이터가 표시되지 않습니다.
언급된 모든 문제는 ISE 내부 루트 CA를 재생성하여 해결할 수 있습니다. (Unknow_Ca)에 대해 경보가 울릴 경우 특히 대기열 링크 오류의 경우. 그래도 이 문제에 대응한다면 TAC 지원 케이스를 열어 추가 지원을 요청하십시오.
대기열 링크 경보 예
참고: 업그레이드에 성공한 후 문제가 발생한 경우 새 문제에 대한 키워드를 사용하여 TAC 케이스를 여십시오. Upgrade 키워드를 사용하지 마십시오. Upgrade 키워드는 Actual Upgrade Process(실제 업그레이드 프로세스)에 문제가 있는 경우에만 사용해야 합니다.
업그레이드 후 인증 문제
업그레이드가 완료되면 인증 문제가 발생할 수 있습니다. 다음을 확인 및 확인하십시오.
- Raduis Live Logs에서 세부 정보를 보고합니다. 오류 이유, 해결 방법 제안 및 근본 원인을 확인하십시오. 예 참조:
Radius 라이브 로그 보고서 예
- 업그레이드 후 인증이 실패할 수 있습니다. Active Directory를 외부 ID 소스로 사용하고 Active Directory와의 연결이 끊어진 경우 Active Directory를 사용하여 모든 Cisco ISE 노드에 다시 가입해야 합니다. 조인이 완료되면 외부 ID 소스 통화 흐름을 수행하여 연결을 확인합니다.
- 여전히 문제가 발생하여 TAC 케이스를 열어야 하는 경우, 다음 작업을 완료하십시오.
참고: 인증 문제에 대한 케이스를 열 때 Authentication 키워드를 사용하십시오. 업그레이드에 대해 열려 있는 동일한 대/소문자를 사용하지 마십시오.
1. 트러블슈팅을 위해 문제를 겪고 있는 시스템을 하나 선택합니다.
2. 시험 시간 기록
3. 테스트 장치의 MAC 주소를 기록합니다.
4. 문제를 다시 생성합니다.
5. Radius 라이브 로그 세부 정보를 수집합니다. 타임스탬프가 일치하는지 확인하세요.
6. AnyConnect를 사용 중인 경우, 최종 사용자 시스템에서 DART 번들을 수집합니다.
7. 인증 요청을 처리할 때 PSN에서 지원 번들을 생성합니다.
8. 모든 정보를 케이스에 업로드합니다.
참고: ISE의 다양한 문제를 해결하려면 다양한 로그 세트가 필요합니다. 필요한 디버깅의 전체 목록은 TAC 엔지니어가 제공해야 합니다.
피드백