如果您使用的是輔助管理節點,您可以從主要管理節點獲取思科ISE CA證書和金鑰的備份,並在輔助管理節點上還原它。這樣,在主要PAN失敗時,輔助管理節點可以充當外部PKI的根CA或從屬CA,並且您可將輔助管理節點提升為主管理節點。有關備份和恢復證書和金鑰的詳細資訊,請參閱:
重新生成根CA鏈
在特定升級方案中,必須在升級過程完成後重新生成根CA鏈。通過完成以下步驟來重新生成根CA鏈:
步驟(1):從Cisco ISE主選單,選擇 > 。
步驟(2):單擊生成證書簽名請求(CSR)。
步驟(3):在將用於下拉選單的證書中選擇ISE根CA。
第(4)步:單擊替換ISE根CA證書鏈。
表格顯示根CA鏈再生方案:
以威脅為中心的NAC
如果您已啟用以威脅為中心的NAC(TC-NAC)服務,則升級後,TC-NAC介面卡無法正常工作。您必須從ISE GUI的以威脅為中心的NAC頁面重新啟動介面卡。選擇介面卡並按一下重新啟動以再次啟動介面卡。
SNMP源策略服務節點設定
如果您在SNMP設定下手動配置了Originating Policy Services Node值,則升級過程中會丟失此配置。您必須重新配置SNMP設定。
探查器源服務
升級後更新探查器源服務,確保安裝了最新的OUI。在Cisco ISE管理員門戶上:
- 在Cisco ISE GUI中,按一下Menuicon()並選擇.確保已啟用分析器源服務。
按一下「Update Now」。
使用者端布建
檢查客戶端調配策略中使用的本機Supplicant客戶端配置檔案,並確保無線SSID正確。對於iOS裝置,如果您嘗試連線的網路是隱藏的,請選中iOS Settings區域中的Enable if target network is hidden復選框。
線上更新
- 在Cisco ISE GUI中,按一下Menuicon()並選擇Policy > Policy Elements > Results > Client Provisioning > Resources 配置客戶端調配資源。
- 按一下「Add」。
- 選擇Agent Resources From Cisco Site。
- 在Download Remote Resources視窗中,選擇Cisco Temporal Agent資源。
- 按一下「Save」,確認下載的資源是否顯示在「Resources(資源)」頁面中。
離線更新
- 在Cisco ISE GUI中,按一下Menu圖示()並選擇策略>Policy元素>結果>客戶端調配>資源配置客戶端調配資源。
- 按一下「Add」。
- 選擇 本地磁碟中的代理資源.
- 在「Category」下拉式清單中選擇「Cisco Provided Packages」。
升級後監控和疑難排解
-
重新配置電子郵件設定、收藏夾報告和資料清除設定。
-
檢查閾值和過濾器以查詢所需的特定警報。升級後預設啟用所有警報。
-
根據您的需求自定義報告。如果您在舊部署中自定義了報告,則升級過程將覆蓋您所做的更改。
將策略刷新到Trustsec NAD
按照顯示順序運行命令,在系統中啟用了Cisco TrustSec的第3層介面上下載策略。 如果在成功升級後遇到任何強制執行問題。
-
無cts基於角色的實施
-
cts基於角色的實施
Profiler端點所有權同步/複製
註:升級到Cisco ISE 2.7及更高版本時,作為JEDIS框架的一部分,需要在部署中的所有節點之間開啟埠6379以進行往返通訊。
升級程式後,您可能會遇到這些事件
-
即時日誌中沒有資料。
-
隊列連結錯誤。
-
運行狀況不可用。
-
某些節點的系統摘要中沒有可用的日期。
可以通過ISE控制面板檢測上述問題。對於「隊列連結錯誤」,您會在警報部分看到警報。如果存在和問題,「系統摘要」部分不會顯示任何資料。
通過重新生成ISE內部根CA可以解決所有提到的問題。特別是針對隊列連結錯誤,以防出現警報(Unknown_Ca)。如果您仍然遇到問題,請開啟的TAC支援個案以取得進一步的協助。
注意:如果成功升級後遇到任何問題。請使用關鍵字為新問題開啟TAC案例。請不要使用Upgrade關鍵字。 只有在實際升級過程遇到問題時,才必須使用Upgrade關鍵字。
升級後的驗證問題
升級成功後,您可能會遇到身份驗證問題。請確認並檢查:
- Radius即時日誌報告詳細資訊。檢查失敗原因、建議的解決方案和根本原因。請參閱範例:
- 升級後身份驗證可能會失敗如果使用Active Directory作為外部身份源,並且與Active Directory的連線丟失,則必須再次將所有Cisco ISE節點與Active Directory連線。連線完成後,請執行外部身份源呼叫流以確保連線。
- 如果您仍然面臨問題,需要建立TAC案例,請完成以下任務:
注意:開啟身份驗證問題的案例時,請使用Authentication關鍵字。請勿使用為升級而開啟的相同案例。
1.挑選一台遇到問題的電腦進行故障排除。
2.記下測試的時間戳。
3.記下測試裝置的MAC地址。
4.重新建立問題。
5.收集Radius Live日誌詳細資訊。確保時間戳匹配。
6.如果您使用的是AnyConnect,請從終端使用者機器收集DART捆綁包。
7.從包含身份驗證請求的PSN生成支援捆綁包。
8.上傳所有資訊至您的案件。
注意:ISE上的各種問題需要不同的日誌集進行故障排除。TAC工程師必須提供所需調試的完整清單。