Problema
Falha nas tentativas de instalar o pacote ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz da Ferramenta de Preparação para Atualização (URT) no Cisco Identity Services Engine (ISE) versão 3.4. Após a falha na instalação, as tentativas subsequentes de desinstalar ou reinstalar o pacote URT não tiveram êxito e os serviços do ISE não puderam ser interrompidos devido a um bloqueio persistente do processo do aplicativo (APP_INSTALL). A CLI retornou mensagens de erro indicando que outra instalação ou atualização de aplicativo estava em andamento, bloqueando efetivamente o banco de dados do ISE e impedindo outras operações de gerenciamento.
Ambiente
- Produto: Cisco Identity Services Engine (ISE)
- Versão: 3.4.0
- Subtecnologia: Atualização/patch/licenciamento do ISE
- Pacote URT: ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz (versão 1.0.0, 52 dias de idade)
- Implantação: ISE com vários nós na VM do Azure (Administrador Secundário, Nó de Monitoramento Primário)
- Tentativa de instalação de CLI via:
application install ise-urtbundle-3.4.0.608b-1.0.0.SPA.x86_64.tar.gz NETFTP
- Os ambientes de VM de nuvem do Azure não dão suporte a processos de atualização de ISE nativo
- Nenhuma atualização ou instalação bem-sucedida recente antes da tentativa de pacote URT
Resolução
Este fluxo de trabalho detalhado descreve as etapas necessárias para identificar e resolver o bloqueio do banco de dados resultante de uma falha na instalação do pacote URT no Cisco ISE 3.4.
Etapa 1: Tente a remoção do aplicativo padrão e a interrupção do serviço
Comece tentando remover o aplicativo URT e pare os serviços do Cisco ISE usando os comandos CLI padrão. Esta etapa confirma o estado de bloqueio e produz mensagens de erro necessárias para o diagnóstico.
Comando para remover aplicativo URT:
application remove urt
Continue with application removal? (y/n) [n] ? y
% An existing application install, remove, or upgrade is in progress. Try again shortly.
Comando para interromper serviços do ISE:
application stop ise
Waiting up to 20 seconds for lock: APP_INSTALL
APP_INSTALL to complete
Database is still locked by lock: APP_INSTALL
APP_INSTALL. Aborting. Please try it later
% Error: Another ISE DB process (APP_INSTALL APP_INSTALL) is in progress, cannot perform Application Stop at this time
Se você receber mensagens indicando que outra instalação, remoção ou atualização está em andamento, continue com as próximas etapas para a solução avançada de problemas.
Etapa 2: Identificar o Arquivo de Bloqueio do Banco de Dados
Acesse o nó com privilégios de nível raiz via CLI. Navegue até o diretório temporário onde os bloqueios de processo são armazenados.
Comando para listar o conteúdo do diretório /temp/:
ls /temp/
Procure um arquivo chamado ise_db_lock ou similar. Esse arquivo é responsável por manter o bloqueio do banco de dados e impedir operações de serviço.
Etapa 3: Remova o arquivo de bloqueio do banco de dados obsoleto
Depois que o arquivo de bloqueio for identificado, remova-o para limpar a condição de bloqueio persistente.
Comando para remover o arquivo de bloqueio:
rm /temp/ise_db_lock
Esta ação libera o banco de dados e permite mais operações de gerenciamento.
Etapa 4: Pare e reinicie os serviços do ISE
Após remover o arquivo de bloqueio, continue parando e reinicie os serviços do Cisco ISE para garantir que todos os processos sejam redefinidos e executados conforme esperado.
Comando para interromper os serviços do Cisco ISE:
application stop ise
Comando para iniciar os serviços do Cisco ISE:
application start ise
Verifique se nenhuma mensagem de erro relacionada a APP_INSTALL é exibida e se os serviços são interrompidos e iniciados com êxito.
Etapa 5: Validar o status de execução dos serviços do ISE
Verifique o status operacional de todos os processos do Cisco ISE para confirmar se eles estão funcionando normalmente e se não há bloqueios.
Comando para verificar o status de execução:
show application status ise
Saída de exemplo:
ISE PROCESS NAME STATE PROCESS ID
--------------------------------------------------------------------
Database Listener running 4056
Database Server running 132 PROCESSES
Application Server running 9481
Profiler Database running 9774
ISE Elasticsearch running 24973
AD Connector running 35580
M&T Session Database running 7838
M&T Log Processor running 38134
ISE Messaging Service running 10373
ISE API Gateway Database Service running 10825
ISE API Gateway Service running 23058
ISE pxGrid Direct Service running 67962
ISE pxGrid Direct Pusher running 68973
Segmentation Policy Service running 39231
REST Auth Service running 42849
SSE Connector disabled
Hermes (pxGrid Cloud Agent) disabled
MFA (Duo Sync Service) running 44767
McTrust (Meraki Sync Service) disabled
aciconn (ACI Connection Service) disabled
Workload Connector Service disabled
ISE Prometheus Service running 62697
ISE Prometheus Exporter running 59234
ISE Grafana Service running 32873
ISE MNT LogAnalytics Elasticsearch disabled
ISE Logstash Service disabled
ISE Kibana Service disabled
ISE Native IPSec Service running 10210
MFC Profiler running 46329
ISE Prometheus Alertmanager Service running 48962
Protocols Engine running 60381
Todos os principais serviços do Cisco ISE precisam ser relatados como "Em execução".
Etapa 6: Validar a sincronização de nós na GUI
- Faça login na interface gráfica do usuário (GUI) do Cisco ISE.
- Navegue para: Administração > Sistema > Implantação.
- Verifique se o status de sincronização do nó está correto e se todos os nós na implantação de vários nós estão íntegros. Isso confirma que a condição de bloqueio não afetou as comunicações do nó.
Causa
A causa raiz do problema foi a presença de um arquivo de bloqueio de banco de dados obsoleto (ise_db_lock) no diretório /temp/. Esse arquivo de bloqueio foi criado durante a instalação com falha do pacote URT e não foi removido automaticamente. O bloqueio persistente impediu a execução de outras operações de instalação, remoção ou atualização de aplicativos e bloqueou a capacidade de parar os serviços do Cisco ISE via CLI. Além disso, não há suporte para a tentativa de operações de atualização nativas em um ambiente de VM do Azure, e a Cisco recomenda a reimplantação para atualizações em implantações de nuvem.
Conteúdo relacionado
Feedback