ISE升級後的故障排除和設定

已更新: 2023 年 10 月 11 日
文件 ID:221081

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹在ISE部署升級後必須執行的設定和任務。

    採用元件

    本文中的資訊係根據以下軟體和硬體版本:

    • ISE版本3.0。
    • ISE版本3.1。
    • ISE版本3.2。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    升級後的設定和配置

    升級思科ISE後執行設定和任務。

    轉換為新許可證型別

    通過思科智慧軟體管理器(CSSM)將舊許可證轉換為新許可證型別。

    如果您要使用Base、Apex和Plus許可證智慧許可證升級到思科ISE版本3.0和更高版本,您的智慧許可證將升級到思科ISE中的新許可證型別。但是,您必須在CSSM中註冊新的許可證型別,以啟用升級到的思科ISE版本中的許可證。

    如果您擁有傳統的思科ISE許可證,您必須將其轉換為智慧許可證以啟用思科ISE版本3.0和更新版本的許可證使用。要將Cisco ISE 2.x許可證轉換為新的許可證型別,請通過Support Case Manager線上開啟案例或者使用TAC-WorldWide支援中提供的聯絡資訊.

    Cisco WorldWide Support Contacts思科全球支援聯絡人

    思科ISE中還會顯示關於不合規許可證消費的通知。如果許可證消費在60天內有45天不符合合規性,您可能會失去思科ISE的所有管理控制,直到您購買並啟用所需的許可證。

    當從一個許可包升級到另一個許可包時,思科ISE繼續提供升級前早期包中可用的所有功能。但是,您必須重新配置您已配置的任何設定。例如,如果您當前使用的是Essentials許可證並在以後新增了Advantage許可證,則已使用Essentials許可證配置的功能將不會更改。

    驗證虛擬機器設定

    如果要升級虛擬機器上的Cisco ISE節點,請確保將訪客作業系統更改為Red Hat Enterprise Linux(RHEL)8.4(64位)。為此,您必須關閉VM,將來賓作業系統更改為支援的RHEL版本,並在更改後開啟VM。RHEL 7Latersupportonly E1000和VMXNET3網路介面卡。在升級之前,請務必更改網路介面卡型別。

    note-icon

    注意:如果您在ESXi 5.x伺服器上運行ISE(最少5.1 U2),您必須將VMware硬體版本升級到9,然後才能選擇RHEL 7作為訪客作業系統。

    瀏覽器設定

    升級後,在您訪問Cisco ISE管理員門戶之前,清除瀏覽器快取、關閉瀏覽器並開啟新的瀏覽器會話。此外,請確認您使用的是受支援的瀏覽器,該瀏覽器列在ISE發行說明中。

    重新加入Active Directory

    如果使用Active Directory作為外部身份源,並且與Active Directory的連線丟失,則必須再次將所有Cisco ISE節點與Active Directory連線。連線完成後,請執行外部身份源呼叫流以確保連線。

    • 升級後,如果您使用Active Directory管理員帳戶登入到思科ISE使用者介面,您的登入將失敗,因為在升級過程中Active Directory加入丟失。您必須使用內部管理員帳戶登入思科ISE並加入Active Directory。

    • 如果您為對Cisco ISE的管理訪問啟用了基於證書的身份驗證,並且使用Active Directory作為您的身份源,則您無法在升級後啟動ISE登入頁面。這是因為升級過程中丟失了到Active Directory的聯接。要恢復與Active Directory的連線,請連線到思科ISE CLI,並使用下一個命令在安全模式下啟動ISE應用:

    應用程式停止ise

    應用程式啟動ise safe

    安全模式下啟動Cisco ISE後,執行以下任務:

    1.使用內部管理員帳戶登入到思科ISE使用者介面。

    2.使用Active Directory加入思科ISE。 

    在Cisco ISE GUI中,按一下Menu圖示(menu icon)並選擇管理>身份管理>外部身份源> Active Directory。    有關加入Active Directory的詳細資訊,請參閱:將Active Directory配置為外部身份源。

    Active Directory ConfigurationActive Directory配置

    反向DNS查詢

    確保已為分散式部署中的所有思科ISE節點為所有DNS伺服器配置反向DNS查詢。否則,升級後可能會遇到與部署相關的問題。

    還原證書

    恢復PAN上的證書 升級分散式部署時,如果同時滿足以下兩個條件,則主管理節點根CA證書不會新增到受信任證書儲存中:

    • 輔助管理節點被提升為新部署中的主管理節點。

    • 已在輔助管理節點上禁用會話服務。

    如果憑證不在儲存區中,您可以看到驗證失敗並出現錯誤:

    • 在BYOD流程期間,鏈中的未知CA。

    • BYOD流程期間出現OCSP未知錯誤。

    當您點選以下連結時,您可以看到這些消息: 更多詳細資訊 連結來自 即時日誌 頁面顯示失敗的身份驗證。

    要恢復主管理節點根CA證書,請生成新的思科ISE根CA證書鏈。 在Cisco ISE GUI中,按一下Menu圖示(N/A並選擇管理> 證書> 證書簽名請求> 替換ISE根CA證書鏈

    Regenerate ISE Root CA重新生成ISE根CA

    將證書和金鑰還原到輔助管理節點

    如果您使用的是輔助管理節點,您可以從主要管理節點獲取思科ISE CA證書和金鑰的備份,並在輔助管理節點上還原它。這樣,在主要PAN失敗時,輔助管理節點可以充當外部PKI的根CA或從屬CA,並且您可將輔助管理節點提升為主管理節點。有關備份和恢復證書和金鑰的詳細資訊,請參閱:

    備份和還原Cisco ISE CA證書和金鑰

    重新生成根CA鏈

    在特定升級方案中,必須在升級過程完成後重新生成根CA鏈。通過完成以下步驟來重新生成根CA鏈:

    步驟(1):從Cisco ISE主選單,選擇Administration > System > Certificates > Certificate Management > Certificate Signing Request

    步驟(2):單擊生成證書簽名請求(CSR)

    步驟(3):在將用於下拉選單的證書中選擇ISE根CA。

    第(4)步:單擊替換ISE根CA證書鏈

    表格顯示根CA鏈再生方案:

    Table - Root CA

    以威脅為中心的NAC

    如果您已啟用以威脅為中心的NAC(TC-NAC)服務,則升級後,TC-NAC介面卡無法正常工作。您必須從ISE GUI的以威脅為中心的NAC頁面重新啟動介面卡。選擇介面卡並按一下重新啟動以再次啟動介面卡。

    SNMP源策略服務節點設定

    如果您在SNMP設定下手動配置了Originating Policy Services Node值,則升級過程中會丟失此配置。您必須重新配置SNMP設定。

    探查器源服務

    升級後更新探查器源服務,確保安裝了最新的OUI。在Cisco ISE管理員門戶上: 

    • 在Cisco ISE GUI中,按一下Menuicon(aalazzaw_0-1696832930556)並選擇管理> FeedService > Profiler.確保已啟用分析器源服務。

    按一下「Update Now」。

    Profiler Update探查器更新

    使用者端布建

    檢查客戶端調配策略中使用的本機Supplicant客戶端配置檔案,並確保無線SSID正確。對於iOS裝置,如果您嘗試連線的網路是隱藏的,請選中iOS Settings區域中的Enable if target network is hidden框。

    線上更新

    • 在Cisco ISE GUI中,按一下Menuicon(aalazzaw_0-1696836181931)並選擇Policy > Policy Elements > Results > Client Provisioning > Resources 配置客戶端調配資源。
    • 按一下「Add」。
    • 選擇Agent Resources From Cisco Site
    • Download Remote Resources視窗中,選擇Cisco Temporal Agent資源。
    • 按一下「Save」,確認下載的資源是否顯示在「Resources(資源)」頁面中。

    Online Update - Client Provisioning線上更新 — 客戶端調配

    離線更新

    • 在Cisco ISE GUI中,按一下Menu圖示(aalazzaw_1-1696837261971)並選擇策略>Policy元素>結果>客戶端調配>資源配置客戶端調配資源。
    • 按一下「Add」。
    • 選擇 本地磁碟中的代理資源.
    • 在「Category」下拉式清單中選擇「Cisco Provided Packages」。

    升級後監控和疑難排解

    • 重新配置電子郵件設定、收藏夾報告和資料清除設定。

    • 檢查閾值和過濾器以查詢所需的特定警報。升級後預設啟用所有警報。

    • 根據您的需求自定義報告。如果您在舊部署中自定義了報告,則升級過程將覆蓋您所做的更改。

    將策略刷新到Trustsec NAD

     按照顯示順序運行命令,在系統中啟用了Cisco TrustSec的第3層介面上下載策略。 如果在成功升級後遇到任何強制執行問題。

    • 無cts基於角色的實施

    • cts基於角色的實施

    Profiler端點所有權同步/複製

    note-icon

    :升級到Cisco ISE 2.7及更高版本時,作為JEDIS框架的一部分,需要在部署中的所有節點之間開啟埠6379以進行往返通訊。

    升級程式後,您可能會遇到這些事件

    1. 即時日誌中沒有資料。

    2. 隊列連結錯誤。

    3. 運行狀況不可用。

    4. 某些節點的系統摘要中沒有可用的日期。

    可以通過ISE控制面板檢測上述問題。對於「隊列連結錯誤」,您會在警報部分看到警報。如果存在和問題,「系統摘要」部分不會顯示任何資料。 

    通過重新生成ISE內部根CA可以解決所有提到的問題。特別是針對隊列連結錯誤,以防出現警報(Unknown_Ca)。如果您仍然遇到問題,請開啟的TAC支援個案以取得進一步的協助。

    Queue Link Alarm Example隊列連結警報示例

    note-icon

    注意:如果成功升級後遇到任何問題。請使用關鍵字為新問題開啟TAC案例。請不要使用Upgrade關鍵字。 只有在實際升級過程遇到問題時,才必須使用Upgrade關鍵字。

    升級後的驗證問題

    升級成功後,您可能會遇到身份驗證問題。請確認並檢查:

    • Radius即時日誌報告詳細資訊。檢查失敗原因、建議的解決方案和根本原因。請參閱範例:

    Radius Live Logs Report ExampleRadius即時日誌報告示例

    • 升級後身份驗證可能會失敗如果使用Active Directory作為外部身份源,並且與Active Directory的連線丟失,則必須再次將所有Cisco ISE節點與Active Directory連線。連線完成後,請執行外部身份源呼叫流以確保連線。
    • 如果您仍然面臨問題,需要建立TAC案例,請完成以下任務:
    note-icon

    注意:開啟身份驗證問題的案例時,請使用Authentication關鍵字。請勿使用為升級而開啟的相同案例。

    1.挑選一台遇到問題的電腦進行故障排除。

    2.記下測試的時間戳。

    3.記下測試裝置的MAC地址。

    4.重新建立問題。

    5.收集Radius Live日誌詳細資訊。確保時間戳匹配。

    6.如果您使用的是AnyConnect,請從終端使用者機器收集DART捆綁包。

    7.從包含身份驗證請求的PSN生成支援捆綁包。 

    8.上傳所有資訊至您的案件。

    note-icon

    注意:ISE上的各種問題需要不同的日誌集進行故障排除。TAC工程師必須提供所需調試的完整清單。

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    11-Oct-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • 阿米爾·阿扎維
      安全技術諮詢工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品