Probleemoplossing en instellingen na ISE-upgrade

Bijgewerkt:11 oktober 2023
Document-id:221081

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document worden de instellingen en taken beschreven die u na een ISE-upgrade van de implementatie moet uitvoeren.

    Gebruikte componenten

    De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

    • ISE, release 3.0.
    • ISE, release 3.1.
    • ISE, release 3.2.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Instellingen en configuraties na upgrade

    Voer de instellingen en taken uit na een upgrade van Cisco ISE.

    Naar nieuwe licentietypen converteren

    Converteer uw oude licenties naar de nieuwe licentietypen via Cisco Smart Software Manager (CSSM).

    Als u een upgrade uitvoert naar Cisco ISE release 3.0 en latere releases met Base-, Apex- en Plus-licenties voor slimme licenties, worden uw slimme licenties bijgewerkt naar de nieuwe licentietypen in Cisco ISE. U moet de nieuwe licentietypen echter in CSM registreren om de licenties te activeren in de Cisco ISE-release waarnaar u upgradt.

    Als u traditionele Cisco ISE-licenties hebt, moet u deze converteren naar slimme licenties om licentieconsumptie in Cisco ISE-release 3.0 en latere releases mogelijk te maken. Als u Cisco ISE 2.x-licenties wilt converteren naar de nieuwe licentietypen, opent u online een case via de Support Case Manager, of gebruik de contactinformatie die bij TAC-WorldWide Support wordt verstrekt.

    Cisco WorldWide Support ContactsCisco’s wereldwijde contactgegevens voor ondersteuning

    Meldingen over niet-conforme licentieconsumptie worden ook weergegeven in Cisco ISE. Als uw licentieconsumptie 45 dagen na een periode van 60 dagen niet conform is, kunt u alle administratieve controle over Cisco ISE verliezen totdat u de vereiste licenties aanschaft en activeert.

    Wanneer u een upgrade van het ene licentiepakket naar het andere uitvoert, blijft Cisco ISE alle functies aanbieden die vóór de upgrade in het eerdere pakket beschikbaar waren. U moet echter de instellingen die u al had geconfigureerd opnieuw configureren. Als u bijvoorbeeld momenteel een Essentials-licentie gebruikt en later een Advantage-licentie toevoegt, zullen de functies die al zijn geconfigureerd met de Essentials-licentie niet veranderen.

    Controleer de instellingen van de virtuele machine

    Als u een upgrade uitvoert van Cisco ISE-knooppunten op virtuele machines, zorg er dan voor dat u het Guest Operating System wijzigt in Red Hat Enterprise Linux (RHEL) 8.4 (64-bits). Hiervoor moet u de VM uitzetten, het gastbesturingssysteem wijzigen in de ondersteunde RHEL-versie en de VM na de wijziging inschakelen. RHEL 7en lateralleen E1000 en VMXNET3 netwerkadapters. Zorg ervoor dat u het type netwerkadapter wijzigt voordat u een upgrade uitvoert.

    note-icon

    Opmerking: als u ISE draait op een ESXi 5.x-server (minimaal 5.1 U2), moet u de VMware-hardwareversie naar 9 upgraden voordat u RHEL 7 kunt selecteren als het gastbesturingssysteem.

    Instellen browser

    Na de upgrade deselecteert u de cache van de browser, sluit u de browser en opent u een nieuwe browsersessie voordat u toegang krijgt tot het Cisco ISE Admin-portal. Controleer ook of u een ondersteunde browser gebruikt die in de opmerkingen bij ISE-release wordt vermeld.

    Opnieuw toetreden tot actieve map

    Als u Active Directory als externe identiteitsbron gebruikt en de verbinding met Active Directory is verloren, dan moet u zich opnieuw bij alle Cisco ISE-knooppunten met Active Directory aansluiten. Voer nadat de verbindingen zijn voltooid de externe gespreksstromen van de identiteitsbron uit om de verbinding te verzekeren.

    • Na de upgrade, als u inlogt bij de Cisco ISE-gebruikersinterface met een Active Directory-beheerdersaccount, mislukt uw aanmelding omdat Active Directory-lid tijdens de upgrade verloren gaat. U moet de interne beheerderaccount gebruiken om u aan te melden bij Cisco ISE en u aan te melden bij Active Directory.

    • Als u op certificaat gebaseerde verificatie voor beheerderstoegang tot Cisco ISE inschakelt en Active Directory als uw identiteitsbron gebruikt, dan kunt u de ISE-inlogpagina na de upgrade niet starten. Dit omdat toetreden tot Active Directory verloren gaat tijdens upgrade. Als u verbindingen met Active Directory wilt herstellen, maakt u verbinding met de Cisco ISE-CLI en start u de ISE-toepassing in de veilige modus met de volgende opdracht:

    applicatie stop ise

    veilige startpositie voor toepassingen

    Nadat Cisco ISE is gestart in Veilige modus, voert u de volgende taken uit:

    1.Log in op de Cisco ISE-gebruikersinterface met de interne beheerdersaccount.

    2. Sluit u aan bij Cisco ISE in Active Directory. 

    Klik in de Cisco ISE GUI op het pictogram Menu (menu icon) en kies Administratie > Identiteitsbeheer > Externe Identiteitsbronnen > Active Directory.    Zie: Active Directory configureren als een externe identiteitsbron voor meer informatie over het aansluiten bij Active Directory.

    Active Directory ConfigurationConfiguratie van actieve map

    Omgekeerde DNS-raadpleging

    Zorg ervoor dat u Omgekeerde DNS-lookup hebt geconfigureerd voor alle Cisco ISE-knooppunten in uw gedistribueerde implementatie voor alle DNS-server(s). Anders kunt u na de upgrade problemen met de implementatie tegenkomen.

    Certificaten terugzetten

    Herstel de certificaten op het PAN. Wanneer u een gedistribueerde implementatie bijwerkt, worden de primaire CA-certificaten van het beheerknooppunt niet toegevoegd aan het Trusted Certificates-archief als aan beide voorwaarden is voldaan:

    • Secundair beheerknooppunt wordt in de nieuwe implementatie gepromoot als primair beheerknooppunt.

    • Sessieservices zijn uitgeschakeld op het secundaire beheerknooppunt.

    Als de certificaten niet in de opslag zijn, kunt u verificatiefouten met de fouten zien:

    • Onbekende CA in de keten tijdens een BYOD-stroom.

    • OCSP onbekende fout tijdens een BYOD-stroom.

    U kunt deze berichten zien wanneer u op de Meer informatie link van de Live logs pagina voor mislukte verificaties.

    Als u de primaire CA-certificaten van het knooppunt voor beheer wilt herstellen, genereert u een nieuwe certificeringsketen voor Cisco ISE Root CA-certificaten. Klik in de Cisco ISE GUI op het pictogram Menu (N/Aen kies Beheer > Certificaten > Certificaatondertekeningsaanvragen > Vervang ISE Root CA certificaatketen.

    Regenerate ISE Root CAISE-rootcamera regenereren

    Certificaten en sleutels tot secundair beheerknooppunt terugzetten

    Als u een secundair beheerknooppunt gebruikt, kunt u een back-up van de Cisco ISE-CA-certificaten en -toetsen verkrijgen van het Primair beheerknooppunt en deze herstellen op het secundaire beheerknooppunt. Hierdoor kan het secundaire beheersknooppunt fungeren als de basis-CA of de ondergeschikte CA van een externe PKI als de primaire PAN uitvalt, en bevordert u dat het secundaire beheersknooppunt het primaire beheersknooppunt is.Zie voor meer informatie over het maken van back-ups en het herstellen van certificaten en sleutels:

    Back-up en herstel van Cisco ISE-AC-certificaten en -toetsen.

    De Root CA-keten regenereren

    In specifieke upgrade scenario's, moet u de wortel CA ketting regenereren nadat het upgrade proces is voltooid. Herstel de wortel CA keten door deze stappen te voltooien:

    Stap 1: Kies in het hoofdmenu van Cisco ISE Beheer > Systeem > Certificaten > Certificaatbeheer > Aanvraag voor certificaatondertekening.

    Stap 2: Klik op Generate Certificate Signing Aanvraag (CSR).

    Stap 3: KiesISE Root CAin de Certificaat(en) zou worden gebruikt voor de vervolgkeuzelijst.

    Stap 4: Klik opReplace ISE-wortel CA-certificaatketen.

    TabellenScenario's voor herstel van de CA-keten:

    Table - Root CA

    Bedreigingsgerichte NAC

    Als u de Threat-Centric NAC (TC-NAC) service hebt ingeschakeld, kunnen de TC-NAC-adapters na uw upgrade niet functioneel zijn. U moet de adapters opnieuw opstarten vanaf de bedreigingsgerichte NAC-pagina's van de ISE GUI. Selecteer de adapter en klik op Opnieuw starten om de adapter opnieuw te starten.

    Instellingen van SNMP-knooppunt voor Originating Policy Services

    Als u handmatig de waarde van het knooppunt Originating Policy Services onder SNMP-instellingen hebt ingesteld, gaat deze configuratie tijdens de upgrade verloren. U moet de SNMP-instellingen opnieuw configureren.

    Profiler Feed Service

    Werk de profiler feed service na upgrade bij om ervoor te zorgen dat de meest actuele OUI’s zijn geïnstalleerd. Via het Cisco ISE-beheerportal: 

    • Klik in de Cisco ISE GUI op het menu (aalazzaw_0-1696832930556) en kiesBeheer > FeedService > Profiler. Zorg ervoor dat de profiler feed service is ingeschakeld.

    Klik op Nu bijwerken.

    Profiler UpdateProfiler bijwerken

    Clientprovisioning

    Controleer het native leveranciersprofiel dat wordt gebruikt in het beleid voor clientprovisioning en zorg ervoor dat de draadloze SSID correct is. Voor iOS-apparaten, als het netwerk dat u probeert te verbinden verborgen is, schakelt u het selectievakje Inschakelen als doelnetwerk verborgen is in het gedeelte iOS-instellingen.

    Online updates

    • Klik in de Cisco ISE GUI op het menu (aalazzaw_0-1696836181931) en kiesBeleid > Beleidselementen > Resultaten > Clientprovisioning > resources om de resources voor clientprovisioning te configureren.
    • Klik op Add (Toevoegen).
    • Kies Agent-bronnen op de Cisco-site.
    • Selecteer in het venster Remote Resources downloaden de Cisco Temporal Agent-bron.
    • Klik op Opslaan en controleer of het gedownloade bestand op de pagina Resources verschijnt.

    Online Update - Client ProvisioningOnline update - Clientprovisioning

    Offline updates

    • Klik in de Cisco ISE GUI op het pictogram Menu (aalazzaw_1-1696837261971) en kiesBeleid > Beleidselementen > Resultaten > Clientprovisioning > Bronnenom de resources voor clientprovisioning te configureren.
    • Klik op Add (Toevoegen).
    • Kiezen Agent-bronnen vanaf lokale schijf.
    • Kies in de vervolgkeuzelijst Category de optie Cisco Provided Packages.

    Monitoring en probleemoplossing na upgrade

    • Herstel e-mailinstellingen, favoriete rapporten en instellingen voor het wissen van gegevens.

    • Controleer de drempelwaarde en filters op specifieke alarmen die u nodig hebt. Alle alarmen zijn standaard ingeschakeld na een upgrade.

    • Pas rapporten aan, op basis van uw behoeften. Als u de rapporten in de oude plaatsing had aangepast, beschrijft het verbeteringsproces de veranderingen die u aanbracht.

    Beleid verversen naar Trustsec NAD’s

     Voer de opdrachten in de aangegeven volgorde uit om het beleid op Cisco TrustSec-enabled Layer 3-interfaces in het systeem te downloaden. Als u na een succesvolle upgrade te maken kreeg met handhavingsproblemen.

    • geen cts op rollen gebaseerde handhaving

    • cts op rollen gebaseerde handhaving

    Profiler-endpointsynchronisatie/replicatie van eigendom

    note-icon

    Opmerking: wanneer u een upgrade uitvoert naar Cisco ISE 2.7 en een latere versie, als onderdeel van het JEDIS-framework, moet poort 6379 worden geopend tussen alle knooppunten in de implementatie voor communicatie naar en van het type.

    Na het upgradeproces kunt u de gebeurtenissen tegenkomen

    1. Geen gegevens in actieve logs.

    2. Fouten in wachtrij-link.

    3. Gezondheidsstatus is niet beschikbaar.

    4. Voor sommige knooppunten is geen datum beschikbaar in de systeemsamenvatting.

    De vermelde problemen kunnen worden gedetecteerd via ISE Dashboard. Voor de Queue Link Fouten ziet u een alarm onder het alarmgedeelte. De sectie voor de Samenvatting van het Systeem zou geen gegevens tonen als er is en kwestie. 

    Alle genoemde problemen kunnen worden opgelost door het regenereren van ISE interne Root CA. Speciaal voor de Queue Link-fouten voor het geval het alarm komt voor (Unknow_ca). Als u het probleem nog steeds tegenkomt, opent u TAC Support Case voor verdere assistentie.

    Queue Link Alarm ExampleVoorbeeld van alarmlampje voor wachtrij

    note-icon

    Opmerking: als u problemen ondervindt na een succesvolle upgrade. Open een TAC-case met het trefwoord voor het nieuwe probleem. Gebruik het trefwoord Upgrade niet. Het sleutelwoord voor een upgrade moet alleen worden gebruikt bij problemen die zich voordoen bij het eigenlijke upgradeproces.

    Verificatieproblemen na de upgrade

    Na een succesvolle upgrade kunt u problemen met de verificatie ondervinden. Controleer:

    • Raduis Live Logs meldt Details. controleer de fout Reden, voorgestelde resolutie en de wortel oorzaak. Zie voorbeeld:

    Radius Live Logs Report ExampleRapportvoorbeeld van Radius Live Logs

    • Verificatie kan na upgrade mislukken Als u Active Directory als externe identiteitsbron gebruikt en de verbinding met Active Directory verloren gaat, moet u zich opnieuw bij alle Cisco ISE-knooppunten met Active Directory aansluiten. Voer nadat de verbindingen zijn voltooid de externe gespreksstromen van de identiteitsbron uit om de verbinding te verzekeren.
    • Als u nog steeds problemen ondervindt en u een TAC-case moet openen, voert u de volgende taken uit:
    note-icon

    Opmerking: gebruik het trefwoord voor verificatie wanneer u een case opent voor het verificatieprobleem. Gebruik niet dezelfde case die geopend is voor de upgrade.

    1. Selecteer een machine die het probleem ondervindt voor het oplossen van problemen.

    2. Noteer het tijdstempel voor de test.

    3. Noteer het MAC-adres voor het testapparaat.

    4. Herhaal het probleem.

    5. Verzamel Radius Live logs details. Controleer of de overeenkomsten van de tijdstempel overeenkomen.

    6. als u AnyConnect gebruikt, verzamelt u DART-bundel van de eindgebruikermachine.

    7. Genereert een ondersteuningsbundel vanuit het PSN dat de verificatieverzoeken bundelt. 

    8. Upload alle informatie naar uw case.

    note-icon

    Opmerking: voor diverse problemen met ISE zijn verschillende sets logboeken nodig om problemen op te lossen. De TAC engineer moet een volledige lijst van aangevraagde debugs leveren.

    Gerelateerde informatie

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    11-Oct-2023
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Ameer Al Azzawi
      Security technische consultingengineer

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten