Als u een secundair beheerknooppunt gebruikt, kunt u een back-up van de Cisco ISE-CA-certificaten en -toetsen verkrijgen van het Primair beheerknooppunt en deze herstellen op het secundaire beheerknooppunt. Hierdoor kan het secundaire beheersknooppunt fungeren als de basis-CA of de ondergeschikte CA van een externe PKI als de primaire PAN uitvalt, en bevordert u dat het secundaire beheersknooppunt het primaire beheersknooppunt is.Zie voor meer informatie over het maken van back-ups en het herstellen van certificaten en sleutels:
Back-up en herstel van Cisco ISE-AC-certificaten en -toetsen.
De Root CA-keten regenereren
In specifieke upgrade scenario's, moet u de wortel CA ketting regenereren nadat het upgrade proces is voltooid. Herstel de wortel CA keten door deze stappen te voltooien:
Stap 1: in het hoofdmenu van Cisco ISE .
Stap 2: Klik op Generate Certificate Signing Aanvraag (CSR).
Stap 3: KiesISE Root CAin de Certificaat(en) zou worden gebruikt voor de vervolgkeuzelijst.
Stap 4: Klik opReplace ISE-wortel CA-certificaatketen.
TabellenScenario's voor herstel van de CA-keten:
Bedreigingsgerichte NAC
Als u de Threat-Centric NAC (TC-NAC) service hebt ingeschakeld, kunnen de TC-NAC-adapters na uw upgrade niet functioneel zijn. U moet de adapters opnieuw opstarten vanaf de bedreigingsgerichte NAC-pagina's van de ISE GUI. Selecteer de adapter en klik op Opnieuw starten om de adapter opnieuw te starten.
Instellingen van SNMP-knooppunt voor Originating Policy Services
Als u handmatig de waarde van het knooppunt Originating Policy Services onder SNMP-instellingen hebt ingesteld, gaat deze configuratie tijdens de upgrade verloren. U moet de SNMP-instellingen opnieuw configureren.
Profiler Feed Service
Werk de profiler feed service na upgrade bij om ervoor te zorgen dat de meest actuele OUI’s zijn geïnstalleerd. Via het Cisco ISE-beheerportal:
- Klik in de Cisco ISE GUI op het menu () en kies. Zorg ervoor dat de profiler feed service is ingeschakeld.
Klik op Nu bijwerken.
Clientprovisioning
Controleer het native leveranciersprofiel dat wordt gebruikt in het beleid voor clientprovisioning en zorg ervoor dat de draadloze SSID correct is. Voor iOS-apparaten, als het netwerk dat u probeert te verbinden verborgen is, schakelt u het selectievakje Inschakelen als doelnetwerk verborgen is in het gedeelte iOS-instellingen.
Online updates
- Klik in de Cisco ISE GUI op het menu () en kiesBeleid > Beleidselementen > Resultaten > Clientprovisioning > resources om de resources voor clientprovisioning te configureren.
- Klik op Add (Toevoegen).
- Kies Agent-bronnen op de Cisco-site.
- Selecteer in het venster Remote Resources downloaden de Cisco Temporal Agent-bron.
- Klik op Opslaan en controleer of het gedownloade bestand op de pagina Resources verschijnt.
Offline updates
- Klik in de Cisco ISE GUI op het pictogram Menu () en kiesBeleid > Beleidselementen > Resultaten > Clientprovisioning > Bronnenom de resources voor clientprovisioning te configureren.
- Klik op Add (Toevoegen).
- Kiezen Agent-bronnen vanaf lokale schijf.
- Kies in de vervolgkeuzelijst Category de optie Cisco Provided Packages.
Monitoring en probleemoplossing na upgrade
-
Herstel e-mailinstellingen, favoriete rapporten en instellingen voor het wissen van gegevens.
-
Controleer de drempelwaarde en filters op specifieke alarmen die u nodig hebt. Alle alarmen zijn standaard ingeschakeld na een upgrade.
-
Pas rapporten aan, op basis van uw behoeften. Als u de rapporten in de oude plaatsing had aangepast, beschrijft het verbeteringsproces de veranderingen die u aanbracht.
Beleid verversen naar Trustsec NAD’s
Voer de opdrachten in de aangegeven volgorde uit om het beleid op Cisco TrustSec-enabled Layer 3-interfaces in het systeem te downloaden. Als u na een succesvolle upgrade te maken kreeg met handhavingsproblemen.
-
geen cts op rollen gebaseerde handhaving
-
cts op rollen gebaseerde handhaving
Profiler-endpointsynchronisatie/replicatie van eigendom
Opmerking: wanneer u een upgrade uitvoert naar Cisco ISE 2.7 en een latere versie, als onderdeel van het JEDIS-framework, moet poort 6379 worden geopend tussen alle knooppunten in de implementatie voor communicatie naar en van het type.
Na het upgradeproces kunt u de gebeurtenissen tegenkomen
-
Geen gegevens in actieve logs.
-
Fouten in wachtrij-link.
-
Gezondheidsstatus is niet beschikbaar.
-
Voor sommige knooppunten is geen datum beschikbaar in de systeemsamenvatting.
De vermelde problemen kunnen worden gedetecteerd via ISE Dashboard. Voor de Queue Link Fouten ziet u een alarm onder het alarmgedeelte. De sectie voor de Samenvatting van het Systeem zou geen gegevens tonen als er is en kwestie.
Alle genoemde problemen kunnen worden opgelost door het regenereren van ISE interne Root CA. Speciaal voor de Queue Link-fouten voor het geval het alarm komt voor (Unknow_ca). Als u het probleem nog steeds tegenkomt, opent u TAC Support Case voor verdere assistentie.
Opmerking: als u problemen ondervindt na een succesvolle upgrade. Open een TAC-case met het trefwoord voor het nieuwe probleem. Gebruik het trefwoord Upgrade niet. Het sleutelwoord voor een upgrade moet alleen worden gebruikt bij problemen die zich voordoen bij het eigenlijke upgradeproces.
Verificatieproblemen na de upgrade
Na een succesvolle upgrade kunt u problemen met de verificatie ondervinden. Controleer:
- Raduis Live Logs meldt Details. controleer de fout Reden, voorgestelde resolutie en de wortel oorzaak. Zie voorbeeld:
- Verificatie kan na upgrade mislukken Als u Active Directory als externe identiteitsbron gebruikt en de verbinding met Active Directory verloren gaat, moet u zich opnieuw bij alle Cisco ISE-knooppunten met Active Directory aansluiten. Voer nadat de verbindingen zijn voltooid de externe gespreksstromen van de identiteitsbron uit om de verbinding te verzekeren.
- Als u nog steeds problemen ondervindt en u een TAC-case moet openen, voert u de volgende taken uit:
Opmerking: gebruik het trefwoord voor verificatie wanneer u een case opent voor het verificatieprobleem. Gebruik niet dezelfde case die geopend is voor de upgrade.
1. Selecteer een machine die het probleem ondervindt voor het oplossen van problemen.
2. Noteer het tijdstempel voor de test.
3. Noteer het MAC-adres voor het testapparaat.
4. Herhaal het probleem.
5. Verzamel Radius Live logs details. Controleer of de overeenkomsten van de tijdstempel overeenkomen.
6. als u AnyConnect gebruikt, verzamelt u DART-bundel van de eindgebruikermachine.
7. Genereert een ondersteuningsbundel vanuit het PSN dat de verificatieverzoeken bundelt.
8. Upload alle informatie naar uw case.
Opmerking: voor diverse problemen met ISE zijn verschillende sets logboeken nodig om problemen op te lossen. De TAC engineer moet een volledige lijst van aangevraagde debugs leveren.