升级后的设置和配置
升级思科 ISE 后执行以下任务。
转换为新的许可证类型
-
通过思科智能软件管理器 (CSSM) 将旧许可证转换为新许可证类型。
-
在思科 ISE 管理员门户中启用新许可证。
有关新思科 ISE 许可证类型的详细信息,请参阅《思科 ISE 管理指南,版本 3.1》。
验证虚拟机设置
如果要在虚拟机上升级思科 ISE 节点,请确保将访客操作系统更改为 Red Hat Enterprise Linux (RHEL) 7 (64-bit) 或 Red Hat Enterprise Linux (RHEL) 6 (64-bit)。要执行此操作,您必须关闭虚拟机,将访客操作系统更改为受支持的 RHEL 版本,并在更改完之后再打开虚拟机。
RHEL 7 仅支持 E1000 和 VMXNET3 网络适配器。请务必在升级之前更改网络适配器类型。
浏览器设置
升级后,请先清除浏览器缓存、关闭浏览器并打开新的浏览器会话,然后再接入 思科 ISE 管理员门户。此外,请确认您使用的是版本说明中列出的受支持浏览器: https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-release-notes-list.html
重新加入 Active Directory
如果您使用 Active Directory 作为外部身份源,并且与 Active Directory 的连接已丢失,则必须再次将所有思科 ISE 节点与 Active Directory 连接。全部加入后,请执行外部身份源调用流程以确保连接。
-
升级后,如果您使用 Active Directory 管理员账户登录到思科 ISE 用户界面,由于升级期间与 Active Directory 的连接丢失,因此登录会失败。您必须使用内部管理员账户登录到思科 ISE 并使用该账户加入到 Active Directory。
-
如果在升级前您为思科 ISE 的管理访问启用了基于证书的身份验证,并使用 Active Directory 作为您的身份源,则升级后您将无法启动 ISE 登录页面。这是因为升级过程中丢失了对 Active Directory 的加入。要恢复到 Active Directory 的联接,请连接到思科 ISE CLI,并使用下列命令以安全模式启动 ISE 应用:
application start ise safe
思科 ISE 在安全模式下启动后,请执行以下任务:
-
使用内部管理员账户登录到思科 ISE 用户界面。
如果您忘记密码或您的管理员账户已锁定,请参阅《管理员指南》中的管理员访问 思科 ISE,以了解关于如何重置管理员密码的信息。
-
使用 Active Directory 加入思科 ISE
有关加入 Active Directory 的详细信息,请参阅:
-
与 Active Directory 配合使用的证书属性
思科 ISE 使用 SAM、CN 或这两者来识别用户。思科 ISE 版本 2.2 补丁 5 及更高版本,版本 2.3 补丁 2 及更高版本,将 sAMAccountName 属性用作默认属性。在早期版本中,默认搜索 SAM 和 CN 属性。此行为已在版本 2.2 补丁 5 及更高版本,以及版本 2.3 补丁 2 及更高版本中发生更改,是 CSCvf21978 漏洞修复的组成部分。在这些版本中,仅 sAMAccountName 属性用作默认属性。
如果环境需要,您可以配置思科 ISE 以使用 SAM、CN 或者这两者。使用 SAM 和 CN 时,SAMAccountName 属性的值不唯一,思科 ISE 还将比较 CN 属性值。
要配置 Active Directory 身份搜索的属性,请执行以下操作:
-
1. 选择。在 Active Directory 窗口中,单击高级工具 (Advanced Tools),然后选择高级调整 (Advanced Tuning)。输入下列详细信息:
-
ISE 节点 (ISE Node) - 选择连接 Active Directory 的 ISE 节点。
-
Name - 输入您正更改的注册表项。要更改 Active Directory 搜索属性,请输入:
REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\IdentityLookupField -
Value - 输入 ISE 用于识别用户的属性:
-
SAM - 在查询中仅使用 SAM(此选项为默认选项)。
-
CN - 在查询中仅使用 CN。
-
SAMCN - 在查询中使用 CN 和 SAM。
-
-
备注 - 说明您正在更改的内容,例如:将默认行为更改为 SAM 和 CN
-
-
2. 单击更新值 (Update Value) 以更新注册表。
系统将显示一个弹出窗口。阅读消息并接受更改。ISE 中的 AD 连接器服务重新启动。
反向 DNS 查找
确保在 DNS 服务器中,为分布式部署的所有思科 ISE 节点配置反向 DNS 查询。否则,升级后可能会遇到部署相关问题。
恢复证书
恢复 PAN 上的证书
当您在升级分布式部署时,同时符合下列两个条件时,主管理节点的根 CA 证书不会添加到信任证书存储库:
-
辅助管理节点升级为新部署中的主管理节点。
-
在辅助管理节点上禁用会话服务。
如果证书不在存储区中,您可能会看到身份验证失败并出现以下错误:
-
执行 BYOD 流程期间出现未知的 CA -
执行 BYOD 流程期间发生 OCSP 未知错误
对于失败的身份验证,当您从实时日志页面点击“更多详细信息”链接时,会看到这些消息。
要恢复主管理节点的根 CA 证书,请生成新的 思科 ISE 根 CA 证书链。在思科 ISE GUI 中,单击菜单 图标 (
),然后选择。
将证书和密钥恢复到辅助管理节点
如果您使用的是辅助管理节点,从主管理节点获取 思科 ISE CA 证书和密钥的备份,并在辅助管理节点上还原备份。这样,即便发生主 PAN 故障,辅助管理节点也能充当外部 PKI 的根 CA 或从属 CA,您可以将辅助管理节点升级为主管理节点。
有关备份和恢复证书和密钥的详细信息,请参阅:
重新生成根 CA 链
在特定升级场景中,您必须在升级过程完成后重新生成根 CA 链。按照以下步骤重新生成根 CA 链:
-
在 思科 ISE 主菜单中,选择。
-
单击生成证书签名请求 (Generate Certificate Signing Request (CSR))。
-
从证书将用于 (Certificate(s) will be used for) 下拉列表中选择 ISE 根 CA。
-
单击替换 ISE 根 CA 证书链 (Replace ISE root CA Certificate Chain)。
| 升级场景 | 模式 | 重新生成 Root CA 链 |
|---|---|---|
| 完整升级过程 | 部署 | 不需要重新生成根 CA,因为在升级过程中部署不会发生变化。 |
| 拆分升级过程 | 部署 | 重新生成根 CA 链 |
| 配置数据库恢复过程 | 独立 | 重新生成根 CA 链 |
| 节点升级:在拆分升级过程后将辅助 PAN 升级为主 PAN | 部署 | 重新生成根 CA 链 |
| 更改任何思科 ISE 节点的域名或主机名 | 独立和部署 | 重新生成根 CA 链 |
升级过程后,您可能会遇到以下事件:
-
实时日志中没有数据。
-
队列链路错误。
-
运行状况不可用。
-
某些节点的系统摘要中没有可用的日期。
您必须重置 MnT 数据库,并更换 ISE Root CA 证书链,以解决队列链接错误并恢复信息。
以威胁防御为中心的 NAC
如果已启用“Threat-Centric NAC (TC-NAC)”服务,则升级后,TC-NAC 适配器可能不会正常运行。您必须从 ISE GUI 的“Threat-Centric NAC”页面重新启动适配器。选择适配器并点击重新启动 (Restart) 以重新启动适配器。
SMNP 原始策略服务节点设置
在 SNMP 设置下,如果您手动配置了生成策略服务节点的值,则升级期间此配置将会丢失。您必须重新配置 SNMP 设置。
有关详情,请参阅:
请参阅网络设备定义设置下的 SNMP 设置。
分析器源服务
升级后更新分析器馈送服务,确保安装的是最新的 OUI。
从思科 ISE 管理门户:
过程
| 步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 ( |
| 步骤 2 |
点击立即更新 (Update Now)。 |
客户端调配
检查客户端配置中使用的原生 Supplicant 客户端配置文件,并确保无线 SSID 是正确的。对于 iOS 设备,如果您尝试连接到的网络已隐藏,请从 iOS 设置 (iOS Settings) 区域中,选中 目标网络隐藏时启用 (Enable if target network is hidden) 复选框。
更新 ISE 上的客户端配置资源:
在线更新
过程
| 步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 ( |
| 步骤 2 |
点击 Add。 |
| 步骤 3 |
选择 Agent Resources From Cisco Site。 |
| 步骤 4 |
在 Download Remote Resources 窗口中,选择“Cisco Temporal Agent”资源。 |
| 步骤 5 |
点击 保存 并验证下载的资源显示在“资源”页面中。 |
离线更新
过程
| 步骤 1 |
依次选择 策略> 策略元素 > 结果 > 客户端调配 > 资源 以配置客户端调配资源。 |
| 步骤 2 |
在思科 ISE GUI 中,单击菜单 图标 ( |
| 步骤 3 |
点击 Add。 |
| 步骤 4 |
选择 Agent Resources from Local Disk。 |
| 步骤 5 |
从 类别 下拉列表中,选择 思科提供的软件包。 |
Cipher Suites
如果您基于 思科 ISE 对使用已弃用密码的传统设备(例如旧 IP 电话)进行身份验证,身份验证会失败,因为这些设备使用传统密码。要在升级后使 思科 ISE 能够对此类传统设备进行身份验证,请确保按照如下方法更新“允许的协议”(Allowed Protocols) 配置:
过程
| 步骤 1 |
在思科 ISE GUI 中,单击菜单 图标 ( |
| 步骤 2 |
编辑“允许的协议”(Allowed Protocols) 服务并选中允许 EAP 使用弱密码 (Allow weak ciphers for EAP) 复选框。 |
| 步骤 3 |
点击 Submit。 |
监控和故障排除
-
重新配置邮件设置、收藏夹报告和数据清除设置。
-
为您需要的特定警报检查阈值和过滤器。默认情况下,升级后所有警报均会启用。
-
根据需要自定义报告。如果您已在旧配置中自定义报告,升级过程会覆盖您所做的更改。
恢复 MnT 备份
使用更新前创建的 MnT 数据的操作数据备份,恢复备份。
有关详情,请参阅:
将策略刷新为 Trustsec NAD
按以下顺序运行以下命令,在系统中启用思科 TrustSec 的第 3 层接口上下载策略:
-
no cts role-based enforcement -
cts role-based enforcement
更新请求者调配向导
升级到新版本或应用补丁时,请求方调配向导 (SPW) 不会更新。您必须手动更新 SPW,然后创建新的本地 supplicant 配置文件和引用新 SPW 的新客户端调配策略。ISE 下载页面上提供了新的 SPW。
分析器终端所有权同步/复制
当您升级到 思科 ISE 2.7 及更高版本时,作为 JEDIS 框架的一部分,需要在部署中的所有节点之间打开端口 6379,以进行往返通信。
反馈