Solução de problemas do Secure Network Analytics (SNA) - Integração do Identity Services Engine (ISE) "Falha na conexão - O serviço não foi encontrado neste cluster do ISE"

Introduction

Este documento descreve como validar problemas de integração do ISE para o SMC versão 7.3.2 em diante. O SNA apresenta o PxGrid v2.0 para o componente de integração do ISE com a versão 7.3.2. Este artigo se concentra em algumas mensagens de erro específicas que você pode encontrar ao configurar sua integração do Cisco ISE nas versões 7.3.2 e posteriores.

Para obter mais detalhes sobre o PxGrid v2.0 e sua funcionalidade, visite - PxGrid v2.0

Integração do Cisco ISE

Quando o SMC se integra ao ISE, ele faz uma solicitação para assinar o serviço apropriado com base nas caixas de seleção selecionadas na interface de usuário da configuração -

Serviços ISE

Com base nas caixas de seleção selecionadas, o SMC pode solicitar:

Serviço: com.cisco.ise.config.anc

Serviço: com.cisco.ise.trustsec

Serviço: com.cisco.ise.session

Serviço: com.cisco.ise.pubsub

Por sua vez, para esses serviços, o SMC se comunica com um nó do ISE para assinar o serviço.  Quando o SMC faz uma solicitação ao nó do ISE para um serviço, ele espera saber quais nós do ISE podem atender a esse tópico ou serviço.

 Possíveis motivos de falha

• "Status da conexão: Falha no serviço com.cisco.ise.pubsub não foi encontrado neste cluster do ISE"
• "Status da conexão: Falha no serviço com.cisco.ise.anc não foi encontrado neste cluster do ISE."
• "Status da conexão: falha no serviço com.cisco.ise.session não foi encontrado neste cluster do ISE."
• "Status da Conexão: Falha no Serviço com.cisco.ise.trustsec não pode ser encontrado neste cluster do ISE."

Verificação e Troubleshooting

Navegue até Administration > PxGrid Services > Diagnostics > Tests e execute a ferramenta de teste Health Monitoring (ISE 3.0 e posterior)

Ferramenta de teste de monitoramento de integridade

Para ISE 2.4, 2.6 e 2.7:

Ferramenta de teste de monitoramento de integridade

Os resultados do teste estão disponíveis para visualização na CLI do nó PXGrid indicado no rodapé da página, indicando Connected via XMPP <hostname>. 

Execute o comando "show logging application pxgrid/pxgrid-test.log"

A saída quando conectado e bem-sucedido indica:

asc-ise24p12-347/admin# show logging application pxgrid/pxgrid-test.log
2021-10-29 01:46:32 INFO TestGridConnection:55 - Iniciando conexão de teste pxgrid.........
2021-10-29 01:46:33 INFO TestGridConnectionHelper:307 - RESUMO> Subscribe=CONNECTING,session-cnt=0; BulkDownload=NÃO INICIADO,bd-session-cnt=0
2021-10-29 01:46:33 INFORMAÇÕES Configuração:313 - Conectando ao host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFORMAÇÕES Configuração:318 - Conectado OK ao host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFORMAÇÕES Configuração:343 - Login do Cliente no host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:34 INFO Configuração:345 - Login do Cliente OK para o host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 - atualização do estado da conexão concluída.
2021-10-29 01:46:35 INFO TestGridConnectionHelper:312 - RESUMO> Subscribe=CONNECTED,session-cnt=0; BulkDownload=NÃO INICIADO,bd-session-cnt=0
2021-10-29 01:50:36 INFO TestGridConnection:164 - RESUMO> Subscribe=CONNECTED,session-cnt=0;BulkDownload=SUCCESS,bd-session-cnt=0
2021-10-29 01:50:36 INFORMAÇÕES NotificaçãoHandlerSack:81 - estado de conexão limpo...
2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 - Cliente desconectado
2021-10-29 01:50:36 INFO TestGridConnection:75 - RESUMO> Subscribe=DISCONNECTED,session-cnt=0;BulkDownload=DISCONNECTED,bd-session-cnt=0

Verifique se a conta usada para conectar o SMC ao ISE está habilitada:

Verificar se o cliente foi aprovado e, se estiver pendente, aprovar o cliente

ISE 3.0 e posteriores:

Administração > PxGrid Services > Gerenciamento de clientes > Clientes:

ISE 2.4, 2.6 e 2.7:

Administração > PxGrid Services > Todos os clientes

Para verificar o status da conexão do cliente PxGrid do SMC e a que nó do ISE ele está conectado, navegue até Administration > PxGrid Services > Diagnostics > WebSocket

Causas conhecidas

• Nós com PxGrid Persona ativado para enfrentar problemas de replicação na implantação do ISE
• Problemas de confiança do certificado PxGrid

Problemas de replicação na implantação do ISE

A replicação é essencial para manter informações atualizadas em todos os nós membros de uma implantação.  Se um nó que executa o PxGrid persona estiver relatando problemas de replicação, é possível que ele não tenha informações atualizadas sobre os tópicos e serviços que ele pode servir para clientes PxGrid. 

Se o nó relatar alarmes de falha de replicação ou replicação lenta:

OU

Essa é uma causa potencial para a falha de integração.

Para tomar uma ação corretiva -

Verifique a conectividade IP com o nó ISE, faça login via SSH e verifique se os serviços estão em execução emitindo:

           # show application status ise

Por exemplo:

asc-ise30p2-353/admin# show application status ise

ID DO PROCESSO DO ESTADO DO NOME DO PROCESSO DO ISE
--------------------------------------------------------------------
Ouvinte de Banco de Dados executando 24872
Servidor de banco de dados executando 114 PROCESSES
Servidor de Aplicativos executando 40137
Banco de dados do Profiler executando 35916
Mecanismo de indexação ISE desabilitado
Conector AD executando 40746
Banco de dados de sessão M&T desabilitado
Processador de Log M&T desabilitado
Serviço da Autoridade de Certificação executando 40609
Serviço EST executando 77903
Serviço do Mecanismo SXP desabilitado
Daemon Docker executando 28517
Serviço TC-NAC desabilitado
Serviço de infraestrutura pxGrid desabilitado
Serviço de Assinante do Editor do pxGrid desabilitado
Gerenciador de conexões pxGrid desabilitado
Controlador pxGrid desabilitado
Serviço WMI PassiveID desabilitado
Serviço Syslog PassiveID desabilitado
Serviço de API PassiveID desabilitado
Serviço PassiveID Agent desabilitado
Serviço de Ponto de Extremidade PassiveID desabilitado
Serviço SPAN PassiveID desabilitado
Servidor DHCP (dhcpd) desabilitado
Servidor DNS (nomeado) desabilitado
Serviço de mensagens do ISE executando 29277
Serviço de Banco de Dados do Gateway da API do ISE executando 32173
Serviço de Gateway de API do ISE executando 38161
Serviço de Política de Segmentação desabilitado
Serviço de Autenticação REST desabilitado
Conector SSE desabilitado

Execute a sincronização manual do nó afetado em Administração > Sistema > Implantação

Selecione os problemas de relatório de nó e clique em Sincronizar

Note: Isso resulta em uma reinicialização dos serviços no nó que está sendo sincronizado e pode tornar o nó fora de serviço por 30 minutos. Recomenda-se que esta atividade seja executada em uma janela de alteração controlada.

Verificar a cadeia de certificados PxGrid do ISE

Navegue até Administration > System > Certificates na GUI do ISE

Cada nó com o PxGrid Persona ativado tem um certificado com a função PxGrid associada a ele.

Esses certificados podem ser assinados por uma CA de terceiros ou pela CA interna do ISE.  Marque a caixa ao lado do certificado e da exibição de ocorrências - isso deve listar os detalhes do certificado e a cadeia de certificados.  Há também um indicador de status nos detalhes do certificado indicando se o certificado está bom ou se a cadeia está incompleta.

Se o certificado for assinado pela CA interna do ISE:

Existem 4 níveis, começando pelo topo:

1. CA raiz ISE - Este é o certificado CA e cada implantação tem apenas 1 CA raiz ISE que é o nó Admin primário.

2. CA do Nó do ISE - Esta é uma CA intermediária cujo certificado é emitido pela CA raiz do ISE e também é o nó Admin primário

3. Sub CA do Ponto de Extremidade do ISE - Este é o terceiro nível e o emissor do certificado de identidade PxGrid.  Cada nó na implantação tem sua própria Sub CA de endpoint do ISE emitida pela CA de nó do ISE (nó de administrador primário)

4. Certificado de identidade PxGrid - Este é o certificado que o nó ISE apresenta a um cliente PxGrid, ou seja, SMC, durante a integração e a comunicação

Se você tiver um certificado assinado pela CA da sua organização, independente do ISE e/ou de uma CA conhecida de terceiros:

Verifique se a CA raiz e todas as CAs intermediárias que assinaram o certificado PxGrid estão instaladas no armazenamento de Certificados de Segurança Confiáveis no ISE em Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados Confiáveis

Em ambos os casos, ao exibir o certificado, a interface do usuário deve indicar "O status do certificado é bom".

Condição de erro:

Problemas de confiança do certificado PxGrid

Se a cadeia de certificados confiáveis estiver incompleta quando a CA interna do ISE estiver em uso, será necessário gerar novamente a CA raiz do ISE que, em seguida, regenerará seus certificados PxGrid do ISE como parte do processo.  Atualize o armazenamento confiável do seu SMC com a CA raiz do ISE e a CA do nó do ISE recém-geradas do administrador principal e o certificado da sub CA do ponto de extremidade do ISE de cada nó do PxGrid.

Para substituir a Cadeia de CAs Raiz do ISE, navegue para Administração > Sistema > Certificados > Gerenciamento de Certificados > Solicitações de Assinatura de Certificado e selecione Gerar Solicitação de Assinatura de Certificado, que apresenta esta UI:

No menu suspenso, selecione ISE Root CA e selecione Replace ISE Root CA Certificate Chain

Se a cadeia de certificados confiáveis estiver incompleta quando uma CA externa estiver em uso, adicione os certificados ausentes ao armazenamento confiável do ISE em Administração > Sistema > Certificados > Gerenciamento de Certificados > Certificados de Confiabilidade e reinicie os serviços no nó emitindo "application stop ise" seguido de "application start ise" na CLI do ISE.  Os certificados de CA são adicionados acessando a GUI da implantação do ISE no nó do administrador principal, mas os serviços precisam ser reiniciados via CLI no nó que exibiu o erro de status do certificado.

Note: A reinicialização dos serviços coloca o nó off-line por 15 a 20 minutos.

Se os problemas persistirem após a execução dessas etapas corretivas, entre em contato com o suporte para obter assistência.