如果您使用辅助管理节点,您可以从主要管理节点获取思科ISE CA证书和密钥的备份,并在辅助管理节点上恢复它。这样,如果主要PAN发生故障,辅助管理节点可以用作外部PKI的根CA或从属CA,并且可以将辅助管理节点升级为主管理节点。有关备份和恢复证书和密钥的详细信息,请参阅:
重新生成根CA链
在特定升级方案中,必须在升级过程完成后重新生成根CA链。通过完成以下步骤来重新生成根CA链:
第(1)步:从Cisco ISE主菜单,选择。
第(2)步:点击生成证书签名请求(CSR)。
第(3)步:在将用于下拉列表的证书中选择ISE根CA。
第(4)步:点击替换ISE根CA证书链。
表显示根CA链再生方案:
以威胁为中心的NAC
如果已启用以威胁为中心的NAC(TC-NAC)服务,则升级后,TC-NAC适配器无法正常工作。您必须从ISE GUI的以威胁为中心的NAC页面重新启动适配器。选择适配器,然后单击“重新启动”以再次启动适配器。
SMNP始发策略服务节点设置
如果您已经在SNMP设置下手动配置了Originating Policy Services Node值,则此配置在升级过程中会丢失。您必须重新配置SNMP设置。
分析器馈送服务
升级后更新分析器馈送服务,确保安装了最新的OUI。从Cisco ISE管理员门户:
- 在Cisco ISE GUI中,点击菜单图标()并选择.确保已启用分析器源服务。
单击Update Now。
客户端调配
检查客户端调配策略中使用的本地请求方配置文件,并确保无线SSID正确。对于iOS设备,如果您尝试连接的网络已隐藏,请选中iOS Settings区域中的Enable if target network is hidden复选框。
在线更新
- 在Cisco ISE GUI中,点击菜单图标()并选择Policy > Policy Elements > Results > Client Provisioning > Resources 配置客户端调配资源。
- 单击 Add。
- 选择Agent Resources From Cisco Site。
- 在下载远程资源窗口中,选择Cisco Temporal Agent资源。
- 单击Save并验证下载的资源是否显示在Resources页面中。
离线更新
- 在Cisco ISE GUI中,点击Menu图标()并选择策略>Policy元素>结果>客户端调配>资源配置客户端调配资源。
- 单击 Add。
- 选择 本地磁盘中的代理资源.
- 从Category下拉列表中选择Cisco Provided Packages。
升级后监控和故障排除
-
重新配置电子邮件设置、收藏夹报告和数据清除设置。
-
检查阈值和过滤器以查找所需的特定警报。默认情况下,升级后启用所有警报。
-
根据您的需求自定义报告。如果您在旧部署中自定义了报告,升级过程将覆盖您所做的更改。
将策略刷新到Trustsec NAD
按照显示顺序运行命令,在系统中启用了Cisco TrustSec的第3层接口上下载策略。 如果在成功升级后遇到任何实施问题。
-
no cts role-based enforcement
-
cts基于角色的实施
分析器终端所有权同步/复制
注意:当您升级到Cisco ISE 2.7及更高版本时,作为JEDIS框架的一部分,需要在部署中的所有节点之间打开端口6379以进行往返通信。
升级过程结束后,您可能会遇到事件
-
实时日志中没有数据。
-
队列链路错误。
-
运行状况不可用。
-
系统摘要中某些节点没有可用的日期。
可以通过ISE控制面板检测上述问题。对于队列链路错误,您会在警报部分下看到警报。如果存在和问题,“系统摘要”部分不会显示任何数据。
通过重新生成ISE内部根CA可以解决上述所有问题。特别是针对队列链路错误,以防出现警报(Unknown_Ca)。如果您仍要解决此问题,请提交TAC支持案例以获取进一步帮助。
注意:如果升级成功后遇到任何问题。请使用新问题的关键字打开TAC案例。请勿使用Upgrade关键字。 只有当您遇到实际升级过程的问题时,才必须使用Upgrade关键字。
升级后的身份验证问题
升级成功后,您可能会遇到身份验证问题。请验证并检查:
- Raduis Live Logs报告详细信息。检查故障原因、建议的解决方案和根本原因。请参阅示例:
- 升级后身份验证可能会失败如果您使用Active Directory作为外部身份源,并且与Active Directory的连接已丢失,则您必须再次将所有Cisco ISE节点与Active Directory连接。连接完成后,请执行外部身份源呼叫流以确保连接。
- 如果您仍然面临问题,需要创建TAC案例,请完成以下任务:
注意:在打开身份验证问题的案例时,请使用Authentication关键字。请勿使用为升级打开的相同案例。
1.挑选一台遇到问题的机器进行故障排除。
2.记录测试的时间戳。
3.记录测试设备的MAC地址。
4.重新创建问题。
5.收集Radius Live日志详细信息。确保时间戳匹配。
6.如果您使用AnyConnect,请从最终用户机器收集DART捆绑包。
7.从包含身份验证请求的PSN生成支持捆绑包。
8.将所有信息上传到您的案例。
注意:ISE上的各种问题需要不同的日志集进行故障排除。TAC工程师必须提供所需调试的完整列表。