ISE升级后的故障排除和设置

已更新: 2023 年 10 月 11 日
文档 ID:221081

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在ISE部署升级后必须执行的设置和任务。

    使用的组件

    本文档中的信息基于以下软件和硬件版本:

    • ISE版本3.0。
    • ISE版本3.1。
    • ISE版本3.2。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    升级后的设置和配置

    在升级思科ISE后执行设置和任务。

    转换为新的许可证类型

    通过思科智能软件管理器(CSSM)将旧许可证转换为新的许可证类型。

    如果您使用Base、Apex和Plus许可证智能许可证升级到思科ISE版本3.0及更高版本,您的智能许可证将升级到思科ISE中的新许可证类型。但是,您必须在CSSM中注册新的许可证类型,以激活您升级到的思科ISE版本中的许可证。

    如果您拥有传统的思科ISE许可证,您必须将其转换为智能许可证,以启用思科ISE版本3.0及更高版本中的许可证消费。要将Cisco ISE 2.x许可证转换为新的许可证类型,请通过Support Case Manager在线打开案例或使用TAC-WorldWide Support中提供的联系信息.

    Cisco WorldWide Support Contacts思科全球支持联系方式

    有关不合规许可证消费的通知也显示在Cisco ISE中。如果您的许可证消费在60天期限内有45天不合规,则您可能会失去对Cisco ISE的所有管理控制,直到您购买并激活所需的许可证。

    当从一个许可包升级至另一个许可包时,思科ISE继续提供升级前早期包中可用的所有功能。但是,您必须重新配置已配置的所有设置。例如,如果您当前使用的是Essentials许可证并在以后添加了Advantage许可证,则已使用Essentials许可证配置的功能不会更改。

    验证虚拟机设置

    如果您正在升级虚拟机上的Cisco ISE节点,请确保将访客操作系统更改为Red Hat Enterprise Linux(RHEL)8.4(64位)。为此,您必须关闭VM,将访客操作系统更改为支持的RHEL版本,并在更改后打开VM。RHEL 7latersupportonly E1000和VMXNET3网络适配器。在升级之前,请务必更改网络适配器类型。

    note-icon

    注意:如果您在ESXi 5.x服务器上运行ISE(最少5.1 U2),则必须将VMware硬件版本升级到9,然后才能选择RHEL 7作为访客操作系统。

    浏览器设置

    升级后,在您访问Cisco ISE管理员门户之前,请清除浏览器缓存、关闭浏览器并打开新的浏览器会话。另请确认您使用的是在ISE版本说明中列出的受支持的浏览器。

    重新加入Active Directory

    如果使用Active Directory作为外部身份源,并且与Active Directory的连接丢失,则必须再次使用Active Directory加入所有思科ISE节点。连接完成后,请执行外部身份源呼叫流以确保连接。

    • 升级后,如果您使用Active Directory管理员帐户登录到思科ISE用户界面,您的登录将失败,因为在升级期间Active Directory加入丢失。您必须使用内部管理员帐户登录思科ISE并加入Active Directory。

    • 如果您对思科ISE的管理访问启用基于证书的身份验证,并将Active Directory用作身份源,则您无法在升级后启动ISE登录页面。这是因为在升级过程中丢失到Active Directory的加入。要恢复到Active Directory的联合,请连接到Cisco ISE CLI,并使用下一命令在安全模式下启动ISE应用:

    应用停止ise

    应用启动ise safe

    在Cisco ISE以Safe Mode启动后,执行任务:

    1.使用内部管理员帐户登录到Cisco ISE用户界面。

    2.使用Active Directory加入思科ISE。 

    在Cisco ISE GUI中,点击Menu图标(menu icon)并选择Administration > Identity Management > External Identity Sources > Active Directory。    有关加入Active Directory的详细信息,请参阅将Active Directory配置为外部身份源。

    Active Directory ConfigurationActive Directory配置

    反向DNS查找

    确保为所有DNS服务器的分布式部署中的所有思科ISE节点配置反向DNS查找。否则,升级后可能会遇到与部署相关的问题。

    恢复证书

    恢复PAN上的证书 升级分布式部署时,如果同时满足以下两个条件,则主管理节点根CA证书不会添加到受信任证书存储区:

    • 辅助管理节点升级为新部署中的主管理节点。

    • 在辅助管理节点上禁用会话服务。

    如果证书不在存储区中,您会看到身份验证失败,错误如下:

    • 在BYOD流程期间,链中存在未知的CA。

    • BYOD流程期间出现OCSP未知错误。

    当您点击 更多详情 来自 实时日志 页面显示失败的身份验证。

    要恢复主管理节点的根CA证书,请生成新的思科ISE根CA证书链。 在Cisco ISE GUI中,点击Menu图标(N/A(E) 并选择管理> 证书> 证书签名请求> 替换ISE根CA证书链

    Regenerate ISE Root CA重新生成ISE根CA

    将证书和密钥恢复到辅助管理节点

    如果您使用辅助管理节点,您可以从主要管理节点获取思科ISE CA证书和密钥的备份,并在辅助管理节点上恢复它。这样,如果主要PAN发生故障,辅助管理节点可以用作外部PKI的根CA或从属CA,并且可以将辅助管理节点升级为主管理节点。有关备份和恢复证书和密钥的详细信息,请参阅:

    思科ISE CA证书和密钥的备份和恢复

    重新生成根CA链

    在特定升级方案中,必须在升级过程完成后重新生成根CA链。通过完成以下步骤来重新生成根CA链:

    第(1)步:从Cisco ISE主菜单,选择Administration > System > Certificates > Certificate Management > Certificate Signing Request

    第(2)步:点击生成证书签名请求(CSR)

    第(3)步:在将用于下拉列表的证书中选择ISE根CA。

    第(4)步:点击替换ISE根CA证书链

    表显示根CA链再生方案:

    Table - Root CA

    以威胁为中心的NAC

    如果已启用以威胁为中心的NAC(TC-NAC)服务,则升级后,TC-NAC适配器无法正常工作。您必须从ISE GUI的以威胁为中心的NAC页面重新启动适配器。选择适配器,然后单击“重新启动”以再次启动适配器。

    SMNP始发策略服务节点设置

    如果您已经在SNMP设置下手动配置了Originating Policy Services Node值,则此配置在升级过程中会丢失。您必须重新配置SNMP设置。

    分析器馈送服务

    升级后更新分析器馈送服务,确保安装了最新的OUI。从Cisco ISE管理员门户: 

    • 在Cisco ISE GUI中,点击菜单图标(aalazzaw_0-1696832930556)并选择管理> FeedService > Profiler.确保已启用分析器源服务。

    单击Update Now

    Profiler Update分析器更新

    客户端调配

    检查客户端调配策略中使用的本地请求方配置文件,并确保无线SSID正确。对于iOS设备,如果您尝试连接的网络已隐藏,请选中iOS Settings区域中的Enable if target network is hidden复选框。

    在线更新

    • 在Cisco ISE GUI中,点击菜单图标(aalazzaw_0-1696836181931)并选择Policy > Policy Elements > Results > Client Provisioning > Resources 配置客户端调配资源。
    • 单击 Add。
    • 选择Agent Resources From Cisco Site
    • 下载远程资源窗口中,选择Cisco Temporal Agent资源。
    • 单击Save并验证下载的资源是否显示在Resources页面中。

    Online Update - Client Provisioning在线更新 — 客户端调配

    离线更新

    • 在Cisco ISE GUI中,点击Menu图标(aalazzaw_1-1696837261971)并选择策略>Policy元素>结果>客户端调配>资源配置客户端调配资源。
    • 单击 Add。
    • 选择 本地磁盘中的代理资源.
    • Category下拉列表中选择Cisco Provided Packages

    升级后监控和故障排

    • 重新配置电子邮件设置、收藏夹报告和数据清除设置。

    • 检查阈值和过滤器以查找所需的特定警报。默认情况下,升级后启用所有警报。

    • 根据您的需求自定义报告。如果您在旧部署中自定义了报告,升级过程将覆盖您所做的更改。

    将策略刷新到Trustsec NAD

     按照显示顺序运行命令,在系统中启用了Cisco TrustSec的第3层接口上下载策略。 如果在成功升级后遇到任何实施问题。

    • no cts role-based enforcement

    • cts基于角色的实施

    分析器终端所有权同步/复制

    note-icon

    意:当您升级到Cisco ISE 2.7及更高版本时,作为JEDIS框架的一部分,需要在部署中的所有节点之间打开端口6379以进行往返通信。

    升级过程结束后,您可能会遇到事件

    1. 实时日志中没有数据。

    2. 队列链路错误。

    3. 运行状况不可用。

    4. 系统摘要中某些节点没有可用的日期。

    可以通过ISE控制面板检测上述问题。对于队列链路错误,您会在警报部分下看到警报。如果存在和问题,“系统摘要”部分不会显示任何数据。 

    通过重新生成ISE内部根CA可以解决上述所有问题。特别是针对队列链路错误,以防出现警报(Unknown_Ca)。如果您仍要解决此问题,请提交TAC支持案例以获取进一步帮助。

    Queue Link Alarm Example队列链路警报示例

    note-icon

    注意:如果升级成功后遇到任何问题。请使用新问题的关键字打开TAC案例。请勿使用Upgrade关键字。 只有当您遇到实际升级过程的问题时,才必须使用Upgrade关键字。

    升级后的身份验证问题

    升级成功后,您可能会遇到身份验证问题。请验证并检查:

    • Raduis Live Logs报告详细信息。检查故障原因、建议的解决方案和根本原因。请参阅示例:

    Radius Live Logs Report ExampleRadius实时日志报告示例

    • 升级后身份验证可能会失败如果您使用Active Directory作为外部身份源,并且与Active Directory的连接已丢失,则您必须再次将所有Cisco ISE节点与Active Directory连接。连接完成后,请执行外部身份源呼叫流以确保连接。
    • 如果您仍然面临问题,需要创建TAC案例,请完成以下任务:
    note-icon

    注意:在打开身份验证问题的案例时,请使用Authentication关键字。请勿使用为升级打开的相同案例。

    1.挑选一台遇到问题的机器进行故障排除。

    2.记录测试的时间戳。

    3.记录测试设备的MAC地址。

    4.重新创建问题。

    5.收集Radius Live日志详细信息。确保时间戳匹配。

    6.如果您使用AnyConnect,请从最终用户机器收集DART捆绑包。

    7.从包含身份验证请求的PSN生成支持捆绑包。 

    8.将所有信息上传到您的案例。

    note-icon

    注意:ISE上的各种问题需要不同的日志集进行故障排除。TAC工程师必须提供所需调试的完整列表。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    11-Oct-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 阿米尔·阿扎维
      安全技术咨询工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品