Secure Network Analytics(SNA) - Identity Services Engine(ISE)統合のトラブルシューティング「接続に失敗しました – このISEクラスタでサービスが見つかりません」

概要

このドキュメントでは、SMCバージョン7.3.2以降のISE統合の問題を検証する方法について説明します。SNAでは、リリース7.3.2のISE統合コンポーネント用にPxGrid v2.0を導入しています。この記事では、リリース7.3.2以降でCisco ISE Integrationを設定する際に発生する可能性がある特定のエラーメッセージに焦点を当てています。

PxGrid v2.0とその機能の詳細については、PxGrid v2.0

Cisco ISEの統合

SMCをISEと統合すると、構成UIで選択したチェックボックスに基づいて、適切なサービスに加入するように要求されます。

ISEサービス

選択したチェックボックスに基づいて、SMCは以下を要求できます。

Service（サービス）：com.cisco.ise.config.anc

Service（サービス）：com.cisco.ise.trustsec

Service（サービス）：com.cisco.ise.session

Service（サービス）：com.cisco.ise.pubsub

これらのサービスに対して、SMCはISEノードと通信してサービスをサブスクライブします。  SMCがサービスをISEノードに要求する際には、そのトピックまたはサービスを提供できるISEノードを把握する必要があります。

 潜在的な障害の原因

• 「Connection Status: Failed Service com.cisco.ise.pubsub cannot be found on this ISE Cluster」
• 「Connection Status: Failed Service com.cisco.ise.anc cannot be found on this ISE cluster.」
• 「Connection Status: Failed Service com.cisco.ise.session cannot be found on this ISE cluster.」
• 「Connection Status: Failed Service com.cisco.ise.trustsec cannot be found on this ISE cluster.」

検証とトラブルシューティング

[Administration] > [PxGrid Services] > [Diagnostics] > [Tests] に移動し、ヘルスモニタリングテストツール（ISE 3.0以降）を実行します

ヘルスモニタリングテストツール

ISE 2.4、2.6、および2.7の場合：

ヘルスモニタリングテストツール

テストの結果は、ページのフッターに示されているPXGridノードのCLIに表示され、「Connected via XMPP <hostname>」と記載されています。 

コマンド「show logging application pxgrid/pxgrid-test.log」を実行します。

接続され、成功した場合の出力は次のようになります。

asc-ise24p12-347/admin# show logging application pxgrid/pxgrid-test.log
2021-10-29 01:46:32 INFO TestGridConnection:55 - pxgridテスト接続を開始しています…......
2021-10-29 01:46:33 INFO TestGridConnectionHelper:307 - SUMMARY> Subscribe=CONNECTING,session-cnt=0;BulkDownload=NOT STARTED,bd-session-cnt=0
2021-10-29 01:46:33 INFO Configuration:313 - Connecting to host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFO Configuration:318 - Connected OK to host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFO Configuration:343 - Client Login to host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:34 INFO Configuration:345 - Client Login OK to host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 – 接続状態の更新を完了しました。
2021-10-29 01:46:35 INFO TestGridConnectionHelper:312 - SUMMARY> Subscribe=CONNECTED,session-cnt=0;BulkDownload=NOT STARTED,bd-session-cnt=0
2021-10-29 01:50:36 INFO TestGridConnection:164 - SUMMARY> Subscribe=CONNECTED,session-cnt=0;BulkDownload=SUCCESS,bd-session-cnt=0
2021-10-29 01:50:36 INFO NotificationHandlerSmack:81 – 接続状態をクリア…
2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 – クライアントが切断されました
2021-10-29 01:50:36 INFO TestGridConnection:75 - SUMMARY> Subscribe=DISCONNECTED,session-cnt=0;BulkDownload=DISCONNECTED,bd-session-cnt=0

SMCをISEに接続するために使用するアカウントが有効かどうかを確認します。

クライアントが承認されていることを確認し、保留中の場合はクライアントを承認します

ISE 3.0以降：

Administration > PxGrid Services > Client Management > Clients:

ISE 2.4、2.6および2.7:

Administration > PxGrid Services > All Clients

SMC PxGridクライアントの接続ステータスと接続先のISEノードを確認するには、[Administration] > [PxGrid Services] > [Diagnostics] > [WebSocket] に移動します

既知の原因

• PxGridペルソナが有効になっているノードがISE導入内のレプリケーションの問題に直面している
• PxGrid証明書信頼の問題

ISE導入におけるレプリケーションの問題

レプリケーションは、環境内のすべてのメンバーノードに関する最新情報を維持するために重要です。  PxGridペルソナを実行しているノードがレプリケーションの問題を報告している場合は、PxGridクライアントに対してサービスを提供できるトピックとサービスに関する最新の情報がない可能性があります。 

ノードがレプリケーション障害アラームまたは低速レプリケーションを報告している場合：

または

これは、統合の失敗の原因となる可能性があります。

是正措置を講じるため –

ISEノードとのIP接続を確認し、SSH経由でログインし、次のコマンドを発行してサービスが実行されていることを確認します。

           # show application status ise

例：

asc-ise30p2-353/admin# show application status ise

ISEプロセス名状態プロセスID
--------------------------------------------------------------------
Database Listener running 24872
114のプロセスを実行するデータベース・サーバ
Application Server running 40137
Profiler Database running 35916
ISEインデックスエンジンが無効
AD Connector running 40746
M&Tセッションデータベースが無効
M&Tログプロセッサが無効です
Certificate Authority Service running 40609
ESTサービス実行中77903
SXPエンジンサービスが無効
Docker Daemon running 28517
TC-NACサービスが無効
pxGridインフラストラクチャサービスが無効
pxGridパブリッシャサブスクライバサービスが無効
pxGrid接続マネージャが無効です
pxGridコントローラが無効
PassiveID WMIサービスが無効になっています
PassiveID Syslogサービスが無効
PassiveID APIサービスが無効になっています
PassiveID Agent Serviceが無効
PassiveID Endpoint Serviceが無効になっています
PassiveID SPANサービスが無効
DHCPサーバー(dhcpd)が無効になっています
DNSサーバー（名前付き）が無効です
ISE Messaging Service running 29277
ISE API Gateway Database Service running 32173
ISE API Gateway Service running 38161
セグメンテーションポリシーサービスが無効
REST認証サービスが無効になっています
SSEコネクタが無効

[Administration] > [System] > [Deployment] で、影響を受けるノードの手動同期を実行します。

問題を報告しているノードを選択し、[Syncup] をクリックします

注：これにより、同期されているノード上のサービスが再起動し、ノードが30分間サービスを停止する可能性があります。このアクティビティは、制御された変更ウィンドウで実行することをお勧めします。

ISE PxGrid証明書チェーンの確認

ISE GUIで[Administration] > [System] > [Certificates] に移動します

PxGrid Personaが有効になっている各ノードには、PxGridロールが関連付けられた証明書があります。

これらの証明書は、サードパーティCAまたはISE内部CAによって署名できます。  証明書の横のチェックボックスをオンにし、[view]をクリックします。これにより、証明書の詳細と証明書チェーンが一覧表示されます。  証明書の詳細には、証明書が良好であるか、チェーンが不完全であるかを示すステータスインジケータもあります。

証明書がISE内部CAによって署名されている場合：

上から始まる4つのレベルがあります。

1. ISEルートCA：これはCA証明書であり、各導入にはプライマリ管理ノードである1つのISEルートCAしかありません。

2. ISEノードCA：これは、証明書がISEルートCAによって発行され、プライマリ管理ノードでもある中間CAです

3. ISEエンドポイントサブCA:PxGrid ID証明書の3番目のレベルで発行者です。  展開の各ノードには、ISEノードCA（プライマリ管理者ノード）によって発行された独自のISEエンドポイントサブCAがあります

4. PxGrid ID証明書：これは、統合および通信中にISEノードがPxGridクライアント(SMC)に提示する証明書です

ISEやサードパーティの既知のCAとは独立した組織のCAによって署名された証明書がある場合：

[Administration] > [System] > [Certificates] > [Certificate Management] > [Trusted Certificates] で、PxGrid証明書に署名したルートCAおよび中間CAがISEの信頼できるセキュリティ証明書ストアにインストールされていることを確認します

どちらの場合も、証明書を表示する際には、UIに「Certificate Status is good」と表示される必要があります。

エラー状態：

PxGrid証明書信頼の問題

ISE内部CAが使用中に証明書信頼チェーンが不完全な場合は、ISEルートCAを再生成する必要があります。これにより、プロセスの一部としてISE PxGrid証明書が再生成されます。  プライマリ管理者から新しく生成されたISEルートCAとISEノードCAを、各PxGridノードからISEエンドポイントサブCA証明書を使用して、SMCの信頼ストアを更新します。

ISEルートCAチェーンを置き換えるには、[Administration] > [System] > [Certificates] > [Certificate Management] > [Certificate Signing Requests] に移動し、次のUIを表示する[Generate Certificate Signing Request] を選択します。

ドロップダウンで[ISE Root CA] を選択し、[Replace ISE Root CA Certificate Chain] を選択します

外部CAが使用されているときに証明書信頼チェーンが不完全な場合は、[Administration] > [System] > [Certificates] > [Certificate Management] > [Trusted Certificates] で不足している証明書をISE信頼ストアに追加し、ISE CLIで「application stop ise」の後に「application start ise」を発行して、ノードのサービスを再起動します。  CA証明書は、プライマリ管理ノードのISE導入のGUIにアクセスして追加しますが、証明書のステータスエラーが表示されたノードのCLIからサービスを再起動する必要があります。

注：サービスを再起動すると、ノードが15 ～ 20分間オフラインになります。

これらの修正手順を実行しても問題が解決しない場合は、サポートに連絡して支援を受けてください。