安全网络分析(SNA)故障排除 — 身份服务引擎(ISE)集成“连接失败 — 在此ISE集群上找不到服务”

下载选项

  • PDF     (565.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (295.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (212.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2021 年 10 月 29 日
文档 ID:217511

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何验证SMC版本7.3.2及更高版本的ISE集成问题。SNA为版本7.3.2的ISE集成组件引入了PxGrid v2.0。本文重点介绍在版本7.3.2及更高版本上配置思科ISE集成时可能会遇到的一些特定错误消息。

    有关PxGrid v2.0及其功能的更多详细信息,请访问- PxGrid v2.0

    Cisco ISE集成

    当SMC与ISE集成时,它会根据配置UI中所选的复选框发出请求以订用相应的服务 —

    ise servicesISE服务

    根据所选的复选框,SMC可以请求 —

    服务:com.cisco.ise.config.anc

    服务:com.cisco.ise.trustsec

    服务:com.cisco.ise.session

    服务:com.cisco.ise.pubsub

    反过来,对于这些服务,SMC会与ISE节点通信以订用该服务。  当SMC向ISE节点提出服务请求时,它希望知道哪些ISE节点可以为该主题或服务提供服务。

     潜在故障原因

    • "连接状态:在此ISE群集上找不到失败的服务com.cisco.ise.pubsub"
    • "连接状态:在此ISE群集上找不到失败的服务com.cisco.ise.anc。"
    • "连接状态:在此ISE群集上找不到失败的服务com.cisco.ise.session。"
    • "连接状态:在此ISE群集上找不到失败的服务com.cisco.ise.trustsec。"

    验证和故障排除

    导航到管理> PxGrid服务>诊断>测试并运行运行状况监控测试工具(ISE 3.0及更高版本)

    health monitoring tool运行状况监控测试工具

    对于ISE 2.4、2.6和2.7:

    health monitoring tool运行状况监控测试工具

    可以在页面页脚中标注“通过XMPP连接”(Connected via XMPP <hostname>)的PXGrid节点的CLI中查看测试结果。 

    运行命令“show logging application pxgrid/pxgrid-test.log

    连接成功时的输出表示:

    asc-ise24p12-347/admin# show logging application pxgrid/pxgrid-test.log
    2021-10-29 01:46:32 INFO TestGridConnection:55 — 正在启动pxgrid测试连接……......
    2021-10-29 01:46:33 INFO TestGridConnectionHelper:307 - SUMMARY> Subscribe=CONNECTING,session-cnt=0;BulkDownload=NOT STARTED,bd-session-cnt=0
    2021-10-29 01:46:33信息配置:313 — 连接到主机asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:33信息配置:318 — 连接正常到主机asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:33信息配置:343 — 客户端登录主机asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:34信息配置:345 — 客户端登录正常:主机asc-ise24p12-347.rtpaaa.net
    2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 — 已完成刷新连接状态。
    2021-10-29 01:46:35 INFO TestGridConnectionHelper:312 - SUMMARY> Subscribe=CONNECTED,session-cnt=0;BulkDownload=NOT STARTED,bd-session-cnt=0
    2021-10-29 01:50:36 INFO TestGridConnection:164 - SUMMARY> Subscribe=CONNECTED,session-cnt=0;BulkDownload=SUCCESS,bd-session-cnt=0
    2021-10-29 01:50:36 INFO NotificationHandlerSmack:81 — 已清除连接状态……
    2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 — 客户端已断开连接
    2021-10-29 01:50:36 INFO TestGridConnection:75 - SUMMARY> Subscribe=DISCONNECTED,session-cnt=0;BulkDownload=DISCONNECTED,bd-session-cnt=0

    验证是否已启用用于将SMC连接到ISE的帐户:

    验证客户端是否已获批,如果尚未批准,则批准客户端

    ISE 3.0及更高版本:

    管理> PxGrid服务>客户端管理>客户端:

    client status

    ISE 2.4、2.6和2.7:

    Administration > PxGrid Services > All Clients

    client status

    要检查SMC PxGrid客户端的连接状态及其所连接的ISE节点,请导航到管理> PxGrid服务>诊断> WebSocket

    connection status

    已知原因

    • 启用PxGrid角色的节点在ISE部署中面临复制问题
    • PxGrid证书信任问题

    ISE部署中的复制问题

    复制对于维护部署中所有成员节点的最新信息至关重要。  如果运行PxGrid角色的节点报告复制问题,则可能没有有关它可以为PxGrid客户端提供的主题和服务的最新信息。 

    如果节点报告复制失败警报或复制缓慢:

    replication failed alarm

    或者

    slow replication error alarm

    这是造成集成故障的潜在原因。

    要采取纠正措施,请执行以下操作:

    验证与ISE节点的IP连接,通过SSH登录,并通过发出以下命令验证服务正在运行:

               # show application status ise

    例如

    asc-ise30p2-353/admin# show application status ise

    ISE进程名称状态进程ID
    --------------------------------------------------------------------
    数据库监听程序运行24872
    运行114个进程的数据库服务器
    应用程序服务器运行40137
    Profiler数据库正在运35916
    ISE索引引擎已禁用
    AD连接器运行40746
    已禁用M&T会话数据库
    已禁用M&T日志处理器
    证书颁发机构服务正在运40609
    EST服务运行77903
    SXP引擎服务已禁用
    Docker后台守护程序运行28517
    TC-NAC服务已禁用
    已禁用pxGrid基础设施服务
    已禁用pxGrid发布服务器用户服务
    已禁用pxGrid连接管理器
    已禁用pxGrid控制器
    已禁用PassiveID WMI服务
    PassiveID系统日志服务已禁用
    已禁用PassiveID API服务
    已禁用PassiveID代理服务
    已禁用PassiveID终端服务
    已禁用PassiveID SPAN服务
    DHCP服务器(dhcpd)已禁用
    已禁用DNS服务器(已命名)
    运行邮件的ISE消息服29277
    ISE API网关数据库服务运行32173
    ISE API网关服务运行38161
    已禁用分段策略服务
    REST身份验证服务已禁用
    SSE连接器已禁用

    Administration > System > Deployment下手动同步受影响的节点

    选择报告问题的节点,然后单击Syncup

    manual sync

    注意:这会导致正在同步的节点上的服务重新启动,并且可能导致节点停止服务30分钟。建议在受控的变更窗口中执行本练习。

    验证ISE PxGrid证书链

    在ISE GUI上导航到Administration > System > Certificates

    每个启用了PxGrid角色的节点都有一个证书,其中包含与其关联的PxGrid角色。

    这些证书可以由第三方CA或ISE内部CA签名。  选中证书旁边的复选框并点击视图 — 必须列出证书详细信息和证书链。  证书详细信息中还有状态指示符,指示证书是否良好或证书链是否不完整。

    如果证书由ISE内部CA签名:

    certificate chain

    共有四个级别,从最高开始:

    1. ISE根CA — 这是CA证书,每个部署只有1个ISE根CA,这是主管理节点。

    2. ISE节点CA — 这是一个中间CA,其证书由ISE根CA颁发,也是主管理节点

    3. ISE终端子CA — 这是第3级和PxGrid身份证书的颁发者。  部署中的每个节点都有自己的ISE终端子CA,由ISE节点CA(主管理节点)颁发

    4. PxGrid身份证书 — 这是ISE节点在集成和通信期间向PxGrid客户端(即SMC)提供的证书

    如果您有由贵组织的CA签署的证书,该证书独立于ISE和/或第三方已知CA:

    验证根CA和签署PxGrid证书的任何中间CA是否安装在ISE上的受信任安全证书库中的管理>系统>证书>证书管理>受信任证书

    在这两种情况下,当您查看证书时,UI必须指示“Certificate Status is good”。

    错误条件:

    certificate chain trust broken

    PxGrid证书信任问题

    如果ISE内部CA正在使用时证书信任链不完整,则需要重新生成ISE根CA,然后作为流程的一部分重新生成ISE PxGrid证书。  使用主管理员新生成的ISE根CA和ISE节点CA以及每个PxGrid节点的ISE终端子CA证书更新SMC的信任存储。

    要替换ISE根CA链,请导航到管理>系统>证书>证书管理>证书签名请求,然后选择生成证书签名请求,显示此UI:

    regenerate ise root ca

    在下拉列表中,选择ISE Root CA,然后选择Replace ISE Root CA Certificate Chain

    如果使用外部CA时,如果证书信任链不完整,请在Administration > System > Certificates > Certificate Management > Trusted Certificates下将缺少的证书添加到ISE信任存储中,然后在ISE CLI上发出“application stop ise”后发出“application start ise”重新启动节点上的服务。  CA证书是通过访问主管理节点上ISE部署的GUI添加的,但服务需要通过显示证书状态错误的节点上的CLI重新启动。

    注意:重新启动服务将使节点脱机15-20分钟。

    如果在执行这些纠正步骤后问题仍然存在,请联系支持寻求帮助。

    修订历史记录

    版本 发布日期 备注
    3.0
    29-Oct-2021
    扩展标题中的缩写
    2.0
    29-Oct-2021
    首次公开发布
    1.0
    29-Oct-2021
    初始版本
    TAC Authored

    由思科工程师提供

    • Devrat Kamath
      CX安全

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品