解決由於系統過載導致的ISE TACACS+身份驗證故障

問題

思科身分識別服務引擎(ISE)終端存取控制器存取控制系統Plus(TACACS+)驗證會間歇性停止工作，導致網路裝置登入回本地使用者而非TACACS+驗證。在中斷期間，即時日誌中會顯示「TACACS+請求由於系統過載而丟失」的故障原因。身份驗證失敗發生時，不會對TACACS+的ISE或有關TACACS+配置的網路裝置進行任何配置更改。

環境

• 思科身分識別服務引擎(ISE)版本3.3補丁7

• 使用特定PSN進行裝置管理的分散式ISE部署

• 適用於管理存取的TACACS+驗證服務

• 傳輸控制協定(TCP)系統日誌目標配置

解析

在問題期間在策略服務節點(PSN)上啟用運行時AAA調試，並檢視prrt-server.log可顯示極高的ContextN值，指示已備份PSN上的處理：

ContextCounter,2026-05-05 12:17:08,442,DEBUG,0x7f42bead0700,ContextN incremented, number=113687,ContextCounter.cpp:77

AcsLoggerReactorThread和TCPSyslogReactorThread是已提升的執行緒池，它們會導致備份：

EventHandler,2026-05-05 12:17:10,461,DEBUG,0x7f42bead0700,Passed event to the next thread pool name=AcsLoggerReactorThread, queue size=113576,EventDispatcher.cpp:842
EventHandler,2026-05-05 12:17:12,859,DEBUG,0x7f429b6d0700,Passed event to the next thread pool name=TCPSyslogReactorThread, queue size=3705,EventDispatcher.cpp:842

由於達到空間限制，TACACS+連線被丟棄：

TCPListener,2026-05-05 12:17:08,804,DEBUG,0x7f429b4cf700,NIL-CONTEXT,Hit space limit. Dropping request!,TCPListener.cpp:351

由於Cisco缺陷CSCwt35414，在配置中啟用Administration > System > Logging > Remote Logging Targets並設定「Buffer Messages When Server Down」的任何TCP系統日誌目標在較長時間內不可訪問。如果無法保證可訪問性，則必須在TCP系統日誌目標上安裝固定版本的ISE或取消選擇「Buffer Messages When Server Down」功能，以防止此行為。

原因

根本原因被識別為Cisco缺陷CSCwt35414。此缺陷會導致在TCP系統日誌目標上配置的緩衝區變滿時，PSN上的身份驗證處理被阻止。當TCP Syslog目標無法到達或再次響應後無法傳送時，日誌將寫入緩衝區，但是如果目標在PSN上有大量流量長時間無法到達，則緩衝區將滿，身份驗證處理會受到影響。

相關內容

• Cisco缺陷CSCwt35414

• 遠端日誌記錄目標設定