Dépannage de Secure Network Analytics (SNA) - Intégration Identity Services Engine (ISE) « Échec de la connexion - Service introuvable sur ce cluster ISE »

Options de téléchargement

  • PDF     (453.4 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (307.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (225.6 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:29 octobre 2021
ID du document:217511

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment valider les problèmes d'intégration ISE pour SMC version 7.3.2 et ultérieures. SNA introduit PxGrid v2.0 pour le composant d'intégration ISE avec la version 7.3.2. Cet article se concentre sur certains messages d'erreur spécifiques que vous pouvez rencontrer lorsque vous configurez votre intégration ISE Cisco sur les versions 7.3.2 et ultérieures.

    Pour plus d'informations sur PxGrid v2.0 et ses fonctionnalités, consultez la page - PxGrid v2.0

    Intégration Cisco ISE

    Lorsque SMC s'intègre à ISE, il demande à s'abonner au service approprié en fonction des cases à cocher sélectionnées dans l'interface de configuration :

    ise servicesServices ISE

    En fonction des cases à cocher sélectionnées, SMC peut demander :

    Service : com.cisco.ise.config.anc

    Service : com.cisco.ise.trustsec

    Service : com.cisco.ise.session

    Service : com.cisco.ise.pubsub

    Pour ces services, SMC communique à son tour avec un noeud ISE pour s'abonner au service.  Lorsque SMC demande un service au noeud ISE, il s’attend à savoir quels noeuds ISE peuvent servir ce sujet ou service.

     Motifs potentiels de défaillance

    • "État de la connexion : le service en échec com.cisco.ise.pubsub est introuvable sur ce cluster ISE"
    • "État de la connexion : impossible de trouver le service en échec com.cisco.ise.anc sur ce cluster ISE."
    • "État de la connexion : impossible de trouver le service com.cisco.ise.session en échec sur ce cluster ISE."
    • "État de la connexion : impossible de trouver le service en échec com.cisco.ise.trustsec sur ce cluster ISE."

    Vérification et dépannage

    Accédez à Administration > PxGrid Services > Diagnostics > Tests et exécutez l'outil de test de surveillance de l'état (ISE 3.0 et versions ultérieures)

    health monitoring toolOutil de test de contrôle de santé

    Pour ISE 2.4, 2.6 et 2.7 :

    health monitoring toolOutil de test de contrôle de santé

    Les résultats du test peuvent être affichés dans l'interface de ligne de commande du noeud PXGrid indiqué dans le pied de page en notant Connecté via XMPP <hostname>. 

    Exécutez la commande « show logging application pxgrid/pxgrid-test.log »

    Le résultat, une fois connecté et réussi, indique :

    asc-ise24p12-347/admin# show logging application pxgrid/pxgrid-test.log
    2021-10-29 01:46:32 INFO TestGridConnection:55 - Démarrage de la connexion de test pxgrid.........
    2021-10-29 01:46:33 INFO TestGridConnectionHelper:307 - SUMMARY> Subscribe=CONNECTING, session-cnt=0 ; BulkDownload=NON DÉMARRÉ, bd-session-cnt=0
    2021-10-29 01:46:33 INFO Configuration:313 - Connexion à l'hôte asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:33 INFO Configuration:318 - Connecté OK à l'hôte asc-ise24p12-347.rtpaaa.net
    29-10-2021 01:46:33 INFO Configuration:343 - Connexion client à l'hôte asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:34 INFO Configuration:345 - Client Login OK pour héberger asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 - terminé l'actualisation de l'état de connexion.
    2021-10-29 01:46:35 INFO TestGridConnectionHelper:312 - SUMMARY> Subscribe=CONNECTED, session-cnt=0 ; BulkDownload=NON DÉMARRÉ, bd-session-cnt=0
    2021-10-29 01:50:36 INFO TestGridConnection:164 - SUMMARY> Subscribe=CONNECTED, session-cnt=0;BulkDownload=SUCCESS, bd-session-cnt=0
    2021-10-29 01:50:36 INFO NotificationHandlerSmack:81 - état de connexion effacé...
    2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 - Client déconnecté
    2021-10-29 01:50:36 INFO TestGridConnection:75 - SUMMARY> Subscribe=DISCONNECTED, session-cnt=0 ; BulkDownload=DISCONNECTED, bd-session-cnt=0

    Vérifiez si le compte utilisé pour connecter SMC à ISE est activé :

    Vérifiez que le client est approuvé et, s'il est en attente, approuvez-le

    ISE 3.0 et versions ultérieures :

    Administration > Services PxGrid > Gestion des clients > Clients :

    client status

    ISE 2.4, 2.6 et 2.7 :

    Administration > Services PxGrid > Tous les clients

    client status

    Pour vérifier l'état de connexion du client SMC PxGrid et le noeud ISE auquel il est connecté, accédez à Administration > PxGrid Services > Diagnostics > WebSocket

    connection status

    Causes connues

    • Noeuds avec PxGrid Personal activé confrontés à des problèmes de réplication dans le déploiement ISE
    • Problèmes d'approbation de certificat PxGrid

    Problèmes de réplication sur le déploiement ISE

    La réplication est essentielle à la mise à jour des informations sur tous les noeuds membres d'un déploiement.  Si un noeud exécutant le personnage PxGrid signale des problèmes de réplication, il est possible qu'il ne dispose pas d'informations à jour sur les rubriques et les services qu'il peut servir pour les clients PxGrid. 

    Si le noeud signale des alarmes d'échec de réplication ou une réplication lente :

    replication failed alarm

    OU

    slow replication error alarm

    Il s'agit d'une cause potentielle de l'échec de l'intégration.

    Pour prendre des mesures correctives :

    Vérifiez la connectivité IP avec le noeud ISE, connectez-vous via SSH et vérifiez que les services sont en cours d'exécution en émettant :

               # show application status ise

    Par ex.

    asc-ise30p2-353/admin# show application status ise

    NOM DU PROCESSUS ISE ÉTAT ID DU PROCESSUS
    --------------------------------------------------------------------
    Écouteur de base de données exécutant 24872
    Serveur de base de données exécutant 114 PROCESSES
    Serveur d'applications exécutant 40137
    Base de données Profiler exécutant 35916
    Moteur d'indexation ISE désactivé
    Connecteur AD exécutant 40746
    Base de données de session M&T désactivée
    M&T Log Processor désactivé
    Service d'autorité de certification exécutant 40609
    Service EST exécutant 77903
    Service du moteur SXP désactivé
    Docker Daemon exécutant 28517
    TC-NAC Service désactivé
    Service d'infrastructure pxGrid désactivé
    Service d'abonné Publisher pxGrid désactivé
    Gestionnaire de connexions pxGrid désactivé
    Contrôleur pxGrid désactivé
    Service WMI PassiveID désactivé
    Service Syslog PassiveID désactivé
    Service API PassiveID désactivé
    Service d'agent PassiveID désactivé
    Service de point de terminaison PassiveID désactivé
    Service SPAN PassiveID désactivé
    Serveur DHCP (dhcpd) désactivé
    Serveur DNS (nommé) désactivé
    Service de messagerie ISE exécutant 29277
    Service de base de données ISE API Gateway exécutant 32173
    Service de passerelle API ISE exécutant 38161
    Service de stratégie de segmentation désactivé
    Service d'authentification REST désactivé
    Connecteur SSE désactivé

    Effectuez la synchronisation manuelle du noeud affecté sous Administration > System > Deployment

    Sélectionnez les problèmes de rapport de noeud et cliquez sur Syncup

    manual sync

    Note: Cela entraîne un redémarrage des services sur le noeud en cours de synchronisation et peut mettre le noeud hors service pendant 30 minutes. Il est recommandé d'effectuer cet exercice dans une fenêtre de modification contrôlée.

    Vérifier la chaîne de certificats ISE PxGrid

    Accédez à Administration > System > Certificates sur l'interface graphique utilisateur d'ISE

    Chaque noeud sur lequel le profil PxGrid est activé possède un certificat associé au rôle PxGrid.

    Ces certificats peuvent être signés par une autorité de certification tierce ou l'autorité de certification interne ISE.  Cochez la case en regard de l'affichage des certificats et des résultats. Cette case doit répertorier les détails du certificat et la chaîne de certificats.  Les détails du certificat comportent également un indicateur d'état indiquant si le certificat est correct ou si la chaîne est incomplète.

    Si le certificat est signé par l'autorité de certification interne ISE :

    certificate chain

    Il y a 4 niveaux, en partant du haut :

    1. Autorité de certification racine ISE : il s'agit du certificat d'autorité de certification et chaque déploiement n'a qu'une seule autorité de certification racine ISE, qui est le noeud d'administration principal.

    2. Autorité de certification de noeud ISE : il s'agit d'une autorité de certification intermédiaire dont le certificat est émis par l'autorité de certification racine ISE et qui est également le noeud d'administration principal

    3. Sous-autorité de certification ISE Endpoint : il s'agit du troisième niveau et de l'émetteur du certificat d'identité PxGrid.  Chaque noeud du déploiement possède sa propre sous-autorité de certification de point de terminaison ISE émise par l'autorité de certification de noeud ISE (noeud d'administration principal)

    4. Certificat d'identité PxGrid : certificat que le noeud ISE présente à un client PxGrid, c'est-à-dire SMC, lors de l'intégration et de la communication

    Si vous disposez d'un certificat signé par l'autorité de certification de votre organisation, indépendamment d'ISE et/ou d'une autorité de certification tierce bien connue :

    Vérifiez que l'autorité de certification racine et toutes les autorités de certification intermédiaires qui ont signé le certificat PxGrid sont installées dans le magasin de certificats de sécurité approuvés sur ISE sous Administration > Système > Certificats > Gestion des certificats > Certificats approuvés

    Dans les deux cas, lorsque vous affichez le certificat, l'interface utilisateur doit indiquer "L'état du certificat est correct".

    Condition d'erreur:

    certificate chain trust broken

    Problèmes d'approbation de certificat PxGrid

    Si la chaîne de certificats de confiance est incomplète lorsque l'autorité de certification interne ISE est en cours d'utilisation, il est nécessaire de régénérer l'autorité de certification racine ISE, qui régénère ensuite vos certificats ISE PxGrid dans le cadre du processus.  Mettez à jour le magasin de confiance de votre SMC avec l'autorité de certification racine ISE et l'autorité de certification de noeud ISE nouvellement générées par l'administrateur principal et le certificat d'autorité de certification secondaire de point de terminaison ISE de chaque noeud PxGrid.

    Pour remplacer la chaîne d'autorité de certification racine ISE, accédez à Administration > System > Certificates > Certificate Management > Certificate Signing Requests et sélectionnez Generate Certificate Signing Request qui présente cette interface utilisateur :

    regenerate ise root ca

    Dans la liste déroulante, sélectionnez ISE Root CA et sélectionnez Replace ISE Root CA Certificate Chain

    Si la chaîne de certificats de confiance est incomplète lorsqu'une autorité de certification externe est utilisée, ajoutez les certificats manquants au magasin de certificats de confiance ISE sous Administration > Système > Certificats > Gestion des certificats > Certificats de confiance et redémarrez les services sur le noeud en émettant « application stop ise » suivi de « application start ise » sur l'interface de ligne de commande ISE.  Les certificats d'autorité de certification sont ajoutés en accédant à l'interface utilisateur graphique du déploiement ISE sur le noeud d'administration principal, mais les services doivent être redémarrés via l'interface de ligne de commande sur le noeud qui a affiché l'erreur d'état du certificat.

    Note: Le redémarrage des services met le noeud hors ligne pendant 15 à 20 minutes.

    Si les problèmes persistent après avoir pris ces mesures correctives, contactez le support pour obtenir de l'aide.

    Historique de révision

    Révision Date de publication Commentaires
    3.0
    29-Oct-2021
    Extension des acronymes dans le titre
    2.0
    29-Oct-2021
    Première publication
    1.0
    29-Oct-2021
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Devrat Kamath
      Sécurité CX

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits