Solução de problemas e configurações pós-atualização do ISE

Atualizado:11 de outubro de 2023
ID do documento:221081

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve as configurações e tarefas que você deve executar após a atualização da implantação do ISE.

    Componentes Utilizados

    As informações neste documento são baseadas nestas versões de software e hardware:

    • ISE, versão 3.0.
    • ISE, versão 3.1.
    • ISE, versão 3.2.

    As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

    Configurações e configurações pós-atualização

    Execute as configurações e tarefas após a atualização do Cisco ISE.

    Converter em Novos Tipos de Licença

    Converta suas licenças antigas para os novos tipos de licença por meio do Cisco Smart Software Manager (CSSM).

    Se você estiver atualizando para o Cisco ISE versão 3.0 e versões posteriores com licenças de Base, Apex e Plus smart licenses, suas smart licenses serão atualizadas para os novos tipos de licença no Cisco ISE. No entanto, você deve registrar os novos tipos de licença no CSSM para ativar as licenças na versão do Cisco ISE para a qual você atualizou.

    Se você possui licenças tradicionais do Cisco ISE, deve convertê-las em licenças inteligentes para permitir o consumo de licenças no Cisco ISE Release 3.0 e versões posteriores. Para converter licenças do Cisco ISE 2.x em novos tipos de licença, abra um caso on-line através do Support Case Manager, ou use as informações de contato fornecidas no suporte TAC-WorldWide.

    Cisco WorldWide Support ContactsContatos mundiais de suporte da Cisco

    As notificações sobre o consumo de licenças fora de conformidade também são exibidas no Cisco ISE.Se o consumo de licenças estiver fora de conformidade por 45 dias em um período de 60 dias, você poderá perder todo o controle administrativo do Cisco ISE até comprar e ativar as licenças necessárias.

    Ao atualizar de um pacote de licenciamento para outro, o Cisco ISE continua a oferecer todos os recursos que estavam disponíveis no pacote anterior antes da atualização. No entanto, você precisa reconfigurar as definições já definidas. Por exemplo, se você usa atualmente uma licença Essentials e adiciona posteriormente uma licença Advantage, os recursos que já estão configurados usando a licença Essentials não serão alterados.

    Verificar Configurações da Máquina Virtual

    Se estiver atualizando nós do Cisco ISE em máquinas virtuais, certifique-se de alterar o sistema operacional convidado para Red Hat Enterprise Linux (RHEL) 8.4 (64 bits). Para fazer isso, você deve desligar a VM, alterar o sistema operacional convidado para a versão RHEL suportada e ligar a VM após a alteração. RHEL 7e posterior suportam apenas adaptadores de rede E1000 e VMXNET3. Certifique-se de alterar o tipo de adaptador de rede antes de atualizar.

    note-icon

    Observação: se estiver executando o ISE em um servidor ESXi 5.x (mínimo de 5.1 U2), você deverá atualizar a versão do hardware VMware para 9 antes de selecionar o RHEL 7 como o sistema operacional convidado.

    Configuração do navegador

    Após a atualização, limpe o cache do navegador, feche o navegador e abra uma nova sessão do navegador, antes de acessar o portal de administração do Cisco ISE. Verifique também se você está usando um navegador compatível, que está listado nas Notas de versão do ISE.

    Reingressar no Ative Diretory

    Se você usar o Ative Diretory como sua origem de identidade externa e a conexão com o Ative Diretory for perdida, você deverá ingressar novamente em todos os nós do Cisco ISE com o Ative Diretory. Após a conclusão das junções, execute os fluxos de chamada de origem de identidade externa para garantir a conexão.

    • Após a atualização, se você fizer login na interface de usuário do Cisco ISE usando uma conta de administrador do Ative Diretory, ocorrerá uma falha no login, pois o ingresso no Ative Diretory será perdido durante a atualização. Você deve usar a conta de administrador interno para fazer login no Cisco ISE e ingressar no Ative Diretory com ele.

    • Se você habilitou a autenticação baseada em certificado para acesso administrativo ao Cisco ISE e usou o Ative Diretory como sua origem de identidade, não será possível iniciar a página de login do ISE após a atualização. Isso porque a associação ao Ative Diretory foi perdida durante a atualização. Para restaurar ingressos no Ative Diretory, conecte-se à CLI do Cisco ISE e inicie o aplicativo ISE no modo de segurança usando o próximo comando:

    ise de parada de aplicativo

    aplicativo iniciar ise safe

    Depois que o Cisco ISE for iniciado no modo de segurança, execute as seguintes tarefas:

    1.Faça login na interface de usuário do Cisco ISE usando a conta de administrador interno.

    2. Junte-se ao Cisco ISE com o Ative Diretory. 

    Na GUI do Cisco ISE, clique no ícone Menu (menu icon) e escolha Administration > Identity Management > External Identity Sources > Ative Diretory.    Para obter mais informações sobre como ingressar no Ative Diretory, consulte: Configurar o Ative Diretory como uma Origem de Identidade Externa.

    Active Directory ConfigurationConfiguração do Ative Diretory

    Pesquisa de DNS reverso

    Certifique-se de ter a pesquisa de DNS reverso configurada para todos os nós do Cisco ISE em sua implantação distribuída para todos os servidores DNS. Caso contrário, você poderá ter problemas relacionados à implantação após a atualização.

    Restaurar certificados

    Restaurar certificados no PAN. Quando você atualiza uma implantação distribuída, os certificados de CA raiz do Nó de Administração Primário não são adicionados ao armazenamento de Certificados de Confiabilidade se ambas as condições forem atendidas:

    • O Nó de administração secundário é promovido a Nó de administração primário na nova implantação.

    • Os serviços de sessão são desativados no nó de administração secundário.

    Se os certificados não estiverem no armazenamento, você poderá ver falhas de autenticação com os erros:

    • CA desconhecida na cadeia durante um fluxo de BYOD.

    • Erro desconhecido de OCSP durante um fluxo de BYOD.

    Você pode ver essas mensagens ao clicar no botão Mais detalhes do link Logs ao vivo para autenticações com falha.

    Para restaurar os certificados de CA raiz do nó de administração primário, gere uma nova cadeia de certificados de CA raiz do Cisco ISE. Na GUI do Cisco ISE, clique no ícone Menu (N/Ae escolha Administração > Certificados > Solicitações de assinatura de certificado > Substituir cadeia de certificados da CA raiz do ISE.

    Regenerate ISE Root CARegenerar CA raiz do ISE

    Restaurar certificados e chaves para o nó de administração secundário

    Se estiver usando um nó de administração secundário, você poderá obter um backup dos certificados e das chaves da CA do Cisco ISE no nó de administração principal e restaurá-lo no nó de administração secundário. Isso permite que o Nó de administração secundário funcione como a CA raiz ou a CA subordinada de um PKI externo se o PAN primário falhar e você promove o Nó de administração secundário para ser o Nó de administração primário. Para obter mais informações sobre como fazer backup e restaurar certificados e chaves, consulte:

    Backup e restauração de chaves e certificados de CA do Cisco ISE.

    Regenerar a Cadeia de CA Raiz

    Em cenários de atualização específicos, você deve regenerar a cadeia de CA raiz após a conclusão do processo de atualização. Gere novamente a cadeia de CA raiz concluindo estas etapas:

    Etapa (1): No menu principal do Cisco ISE, escolhaAdministration > System > Certificates > Certificate Management > Certificate Signing Request.

    Etapa (2): Clique em Gerar CSR (Certificate Signing Request, Solicitação de assinatura de certificado).

    Etapa (3): EscolherCA raiz do ISE em o(s) certificado(s) será(ão) usado(s)para a lista suspensa.

    Etapa (4): Clique emSubstituir cadeia de certificados CA raiz do ISE.

    A tabela mostraCenários de Regeneração de Cadeia de CA Raiz:

    Table - Root CA

    NAC centrado em ameaças

    Se você tiver habilitado o serviço Threat-Centric NAC (TC-NAC), após a atualização, os adaptadores TC-NAC não poderiam estar funcionando. Você deve reiniciar os adaptadores nas páginas do NAC centrado em ameaças da GUI do ISE. Selecione o adaptador e clique em Reiniciar para reiniciá-lo.

    Configuração de Nó de Serviços de Política de Origem SMNP

    Se você tiver configurado manualmente o valor Originating Policy Services Node nas configurações de SNMP, essa configuração será perdida durante a atualização. Você deve redefinir as configurações de SNMP.

    Serviço de feed do Profiler

    Atualize o serviço de feed do profiler após a atualização para garantir que os OUIs mais atualizados sejam instalados. No portal do administrador do Cisco ISE: 

    • Na GUI do Cisco ISE, clique no ícone do menu (aalazzaw_0-1696832930556) e escolhaAdministração > FeedService > Profiler. Verifique se o serviço de feed do profiler está habilitado.

    Clique em Atualizar agora.

    Profiler UpdateAtualização do Profiler

    Provisionamento de clientes

    Verifique o perfil do solicitante nativo usado na política de provisionamento do cliente e certifique-se de que o SSID sem fio esteja correto. Para dispositivos iOS, se a rede à qual você está tentando se conectar estiver oculta, marque a caixa de seleção Habilitar se a rede de destino estiver oculta na área Configurações do iOS.

    Atualizações on-line

    • Na GUI do Cisco ISE, clique no ícone do menu (aalazzaw_0-1696836181931) e escolhaPolítica > Elementos de Política > Resultados > Provisionamento de Cliente > Recursos para configurar os recursos de provisionamento do cliente.
    • Clique em Add.
    • Escolha Recursos do agente no site da Cisco.
    • Na janela Download Remote Resources, selecione o recurso Cisco Temporal Agent.
    • Clique em Salvar e verifique se o recurso baixado aparece na página Recursos.

    Online Update - Client ProvisioningAtualização Online - Provisionamento de Cliente

    Atualizações offline

    • Na GUI do Cisco ISE, clique no ícone Menu (aalazzaw_1-1696837261971) e escolhaPolítica > Elementos de Política > Resultados > Provisionamento de Cliente > Recursospara configurar os recursos de provisionamento do cliente.
    • Clique em Add.
    • Escolher Recursos do Agente do Disco Local.
    • No menu suspenso Category, selecione Cisco Provided Packages.

    Solução de problemas e monitoramento pós-atualização

    • Reconfigure as configurações de email, os relatórios favoritos e as configurações de limpeza de dados.

    • Verifique o limite e os filtros para obter os alarmes específicos necessários. Todos os alarmes são ativados por padrão após uma atualização.

    • Personalize relatórios de acordo com suas necessidades. Se você personalizou os relatórios na implantação antiga, o processo de atualização substituirá as alterações feitas.

    Atualizar Políticas para NADs Trustsec

     Execute os comandos, na ordem de exibição, para baixar as políticas nas interfaces de Camada 3 ativadas para Cisco TrustSec no sistema. Se você enfrentou problemas de aplicação após uma atualização bem-sucedida.

    • sem aplicação de função cts

    • imposição baseada em função cts

    Sincronização/replicação de propriedade de endpoint do Profiler

    note-icon

    Observação: quando você atualiza para o Cisco ISE 2.7 e versões posteriores, como parte da estrutura JEDIS, a porta 6379 deve ser aberta entre todos os nós na implantação para comunicação de ida e volta.

    Após o processo de atualização, você poderá encontrar os eventos

    1. Não há dados nos logs dinâmicos.

    2. Erros de enlace de fila.

    3. Status de integridade indisponível.

    4. Nenhuma data disponível no resumo do sistema para alguns nós.

    Os problemas mencionados podem ser detectados por meio do Painel do ISE. Para os erros de enlace de fila, você veria um alarme na seção de alarme. A seção do Resumo do sistema não mostrará nenhum dado se houver um problema. 

    Todos os problemas mencionados podem ser corrigidos com a regeneração da CA raiz interna do ISE. Especialmente para os erros de enlace de fila no caso do alarme vir para (Unknow_Ca). Se você ainda rebater o problema, abra um caso de suporte TAC para obter assistência adicional.

    Queue Link Alarm ExampleExemplo de alarme de enlace de fila

    note-icon

    Observação: se você tiver algum problema após uma atualização bem-sucedida. Abra um caso TAC usando a palavra-chave para o novo problema. Não use a palavra-chave Upgrade. A palavra-chave Upgrade deve ser usada somente quando você enfrenta problemas com o Processo de Upgrade Real.

    Problemas de autenticação após a atualização

    Após uma atualização bem-sucedida, você pode ter problemas de autenticação. Verifique e verifique:

    • Detalhes do relatório de registros em tempo real de Radiodifusão. verifique o Motivo da falha, a Resolução sugerida e a Causa raiz. Veja o exemplo:

    Radius Live Logs Report ExampleExemplo de relatório de registros em tempo real do Radius

    • A autenticação pode falhar após a atualização Se você usar o Ative Diretory como sua origem de identidade externa e a conexão com o Ative Diretory for perdida, você deverá ingressar novamente em todos os nós do Cisco ISE com o Ative Diretory. Após a conclusão das junções, execute os fluxos de chamada de origem de identidade externa para garantir a conexão.
    • Se ainda estiver tendo problemas e precisar abrir um caso de TAC, conclua as tarefas:
    note-icon

    Observação: use a palavra-chave Authentication quando abrir um caso para resolver o problema de Authentication. Não use o mesmo caso aberto para a atualização.

    1. Escolha um computador que esteja tendo o problema para a solução de problemas.

    2. Anote o carimbo de data e hora para o teste.

    3. Anote o endereço MAC do dispositivo de teste.

    4. recrie a ocorrência.

    5. Coletar detalhes dos logs do Radius Live. Verifique se o carimbo de data/hora corresponde.

    6. Se você estiver usando o AnyConnect, Colete o pacote DART da máquina do usuário final.

    7. Gere um pacote de suporte a partir do PSN que centra as solicitações de autenticação. 

    8. Carregue todas as informações no seu caso.

    note-icon

    Observação: vários problemas no ISE exigem diferentes conjuntos de registros para solucionar problemas. O engenheiro do TAC deve fornecer uma lista completa das depurações necessárias.

    Informações Relacionadas

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    11-Oct-2023
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Ameer Al Azzawi
      Engenheiro de consultoria técnica de segurança

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos