أستكشاف أخطاء تحليلات الشبكة الآمنة (SNA) وإصلاحها - تكامل محرك خدمات الهوية (ISE) "فشل الاتصال - يتعذر العثور على الخدمة على مجموعة ISE هذه"

المقدمة

يوضح هذا المستند كيفية التحقق من صحة مشاكل تكامل ISE ل SMC الإصدار 7.3.2 وما بعده. يقدم SNA PxGrid v2.0 لمكون تكامل ISE مع الإصدار 7.3.2. تركز هذه المقالة على بعض رسائل الخطأ المحددة التي يمكنك مصادرتها عند تكوين تكامل Cisco ISE على الإصدارات 7.3.2 وما بعدها.

لمزيد من التفاصيل حول PxGrid v2.0 ووظائفه، يرجى زيارة PxGrid v2.0

تكامل Cisco ISE

عندما تتكامل SMC مع ISE، فإنها تتقدم بطلب الاشتراك في الخدمة المناسبة بناء على خانات الاختيار المحددة في واجهة مستخدم التكوين -

خدمات ISE

استنادا إلى خانات الاختيار المحددة، يمكن أن يطلب SMC -

الخدمة: com.cisco.ise.config.anc

الخدمة: com.cisco.ise.trustSec

الخدمة: com.cisco.ise.session

الخدمة: com.cisco.ise.pubsub

وفي المقابل، تتصل SMC بهذه الخدمات بعقدة ISE للاشتراك في الخدمة.  عندما تقوم SMC بتقديم طلب لعقدة ISE للحصول على خدمة، فإنها تتوقع أن تعرف ما هي عقد ISE التي يمكن أن تخدم هذا الموضوع أو الخدمة.

 أسباب الفشل المحتملة

• "يتعذر العثور على حالة الاتصال:Failed Service com.cisco.ise.pubsub على مجموعة ISE هذه"
• "يتعذر العثور على حالة الاتصال:Failed Service com.cisco.ise.anc على مجموعة ISE هذه."
• "يتعذر العثور على حالة الاتصال:Failed Service com.cisco.ise.session على مجموعة ISE هذه."
• "يتعذر العثور على حالة الاتصال:Failed Service com.cisco.ise.trustSec على مجموعة ISE هذه."

التحقق واستكشاف الأخطاء وإصلاحها

انتقل إلى إدارة > خدمات PxGrid > تشخيصات > إختبارات وتشغيل أداة إختبار مراقبة السلامة (ISE 3. 0 وما بعده)

أداة إختبار مراقبة الصحة

ل ISE 2.4 و 2.6 و 2.7:

أداة إختبار مراقبة الصحة

تتوفر نتائج الاختبار لعرضها في CLI الخاص بعقدة PXGrid المشار إليها في تذييل الصفحة التي تشير إلى أنها متصلة عبر <hostname> XMPP. 

قم بتشغيل الأمر show logging application pxgrid/pxgrid-test.log"

يشير المخرج عند الاتصال والنجاح إلى:

ASC-ISE24p12-347/admin# show logging application pxgrid/pxgrid-test.log
2021-10-29 01:46:32 معلومات TestGridConnection:55 - بدء تشغيل اتصال إختبار pxgrid.........
2021-10-29 01:46:33 معلومات الاختبار TestGridConnectionHelper:307 - ملخص> الاشتراك=التوصيل، session-cnt=0؛ BulkDownload=NOT start،bd-session-cnt=0
2021-10-29 01:46:33 تكوين المعلومات:313 - التوصيل بالمضيف asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 معلومات تشكيل:318 - متصل موافق للمضيف asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 معلومات تشكيل:343 - تسجيل دخول العميل إلى المضيف asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:34 معلومات تشكيل:345 - تسجيل دخول العميل موافق للمضيف asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:35 إعلام المعلوماتمعالج معالج معالج معالج معالج Smack:70 - تم تحديث حالة الاتصال.
2021-10-29 01:46:35 معلومات الاختبارGridConnectionHelper:312 - ملخص> الاشتراك=connected، session-cnt=0؛ BulkDownload=NOT start،bd-session-cnt=0
2021-10-29 01:50:36 Info TestGridConnection:164 - Summary> Subscribe=Connected، session-cnt=0؛ BulkDownload=Success،bd-session-cnt=0
2021-10-29 01:50:36 معلومات الإعلام NotificationHandlerSmack:81 - تم مسح حالة الاتصال...
2021-10-29 01:50:36 معلومات TestGridConnectionHelper:322 - تم قطع اتصال العميل
2021-10-29 01:50:36 Info TestGridConnection:75 - Summary> Subscribe=Disconnected، session-cnt=0؛BulkDownload=Disconnected، bd-session-cnt=0

تحقق ما إذا تم تمكين الحساب المستخدم لتوصيل SMC ب ISE:

التحقق من الموافقة على العميل وإذا كان معلقا، فاوافق على العميل

معيار ISE 3. 0 وما بعده:

الإدارة > خدمات PxGrid > إدارة العملاء > العملاء:

ISE 2. 4 و 2. 6 و 2. 7:

الإدارة > خدمات PxGrid > كل العملاء

للتحقق من حالة اتصال عميل SMC PxGrid وعقدة ISE المتصلة بها، انتقل إلى الإدارة > خدمات PxGrid > التشخيصات > WebSocket

الأسباب المعروفة

• العقد مع PxGrid Persona التي تم تمكينها لمواجهة مشكلات النسخ المتماثل داخل نشر ISE
• مشاكل ثقة شهادة PxGrid

مشكلات النسخ المتماثل في نشر ISE

يعد النسخ المتماثل أمرا بالغ الأهمية للحفاظ على أحدث المعلومات حول جميع العقد الأعضاء في عملية النشر.  إذا كانت إحدى العقد التي تشغل PxGrid Persona تقوم بالإبلاغ عن مشاكل النسخ المتماثل، فمن الممكن ألا تحتوي على معلومات محدثة حول المواضيع والخدمات التي يمكن أن تخدمها لعملاء PxGrid. 

إذا كانت العقدة تقوم بالإبلاغ عن عمليات إنذار فشل النسخ المتماثل أو النسخ المتماثل البطيء:

أو

هذا سبب محتمل لفشل التكامل.

إتخاذ إجراء تصحيحي -

تحقق من اتصال IP باستخدام عقدة ISE، سجل الدخول عبر SSH وتحقق من تشغيل الخدمات عن طريق الإصدار:

           # إظهار عرض حالة التطبيق

على سبيل المثال.

ASC-ISE30P2-353/admin# show application status ise

معرف عملية حالة اسم عملية ISE
—
مستمع قاعدة البيانات الذي يتم تشغيله عام 24872
خادم قاعدة البيانات الذي يقوم بتشغيل 114 عملية
خادم التطبيق الذي يتم تشغيله 40137
قاعدة بيانات منشئ ملفات التعريف التي تعمل بنظام التشغيل 35916
تم تعطيل محرك فهرسة ISE
موصل AD قيد التشغيل 40746
تم تعطيل قاعدة بيانات جلسة عمل M&T
معالج سجل M&T معطل
خدمة المرجع المصدق التي يتم تشغيلها 40609
خدمة EST التي تعمل بنظام التشغيل 77903
تم تعطيل خدمة محرك SXP
Docker Daemon قيد التشغيل 28517
تم تعطيل خدمة TC-NAC
تم تعطيل خدمة البنية الأساسية ل pxGrid
تم تعطيل خدمة مشترك PxGrid Publisher
تم تعطيل إدارة اتصال pxGrid
تم تعطيل وحدة التحكم pxGrid
تم تعطيل خدمة PassiveID WMI
تم تعطيل خدمة PassiveID Syslog
تم تعطيل خدمة PassiveID API
تم تعطيل خدمة عامل PassiveID
تم تعطيل خدمة نقطة نهاية PassiveID
PassiveID SPAN أعجزت خدمة
تم تعطيل خادم DHCP (DHCP)
تم تعطيل خادم DNS (المسمى)
خدمة ISE Messaging التي يتم تشغيلها عام 29277
خدمة قاعدة بيانات عبارة ISE التي يتم تشغيلها بواسطة 32173
خدمة عبارة ISE API التي تعمل بنظام التشغيل 38161
تم تعطيل خدمة نهج التجزئة
تم تعطيل خدمة مصادقة الراحة
تم تعطيل موصل SSE

قم بإجراء المزامنة اليدوية للعقدة المتأثرة تحت الإدارة > النظام > النشر

حدد مشاكل إعداد تقارير العقد وانقر فوق SyncUP

ملاحظة: يؤدي هذا إلى إعادة تشغيل الخدمات على العقدة التي تتم مزامنتها ويمكن أن يؤدي إلى خروج العقدة عن الخدمة لمدة 30 دقيقة. يوصى بإجراء هذا النشاط في نافذة تغيير يتم التحكم فيها.

التحقق من سلسلة شهادات ISE PxGrid

انتقل إلى الإدارة > النظام > الشهادات على واجهة المستخدم الرسومية (GUI) المتوافقة مع معيار ISE

تحتوي كل عقدة مع PxGrid Persona الممكنة على شهادة مع دور PxGrid المقترن بها.

يمكن توقيع هذه الشهادات بواسطة مرجع مصدق من جهة خارجية أو المرجع المصدق الداخلي ISE.  حدد المربع الموجود بجوار الشهادة وطريقة العرض التي تصل إليها - يجب أن يسرد هذا تفاصيل الشهادة وسلسلة الشهادات.  يوجد أيضا مؤشر حالة في تفاصيل الشهادة يشير إلى ما إذا كانت الشهادة جيدة أو أن السلسلة غير كاملة.

إذا تم توقيع الشهادة من قبل المرجع المصدق الداخلي ISE:

هناك أربعة مستويات، تبدأ من الأعلى:

1. ISE Root CA - هذه هي شهادة CA ويتكون كل نشر من مرجع مصدق ISE Root CA واحد فقط وهو عقدة المسؤول الأساسية.

2. ISE Node CA - هذه هي CA متوسط يتم إصدار شهادته بواسطة ISE Root CA وهي أيضا عقدة Admin الأساسية

3. ISE Endpoint Sub CA - هذا هو المستوى الثالث والمصدر لشهادة هوية PxGrid.  يكون لكل عقدة في النشر ISE Endpoint Sub CA الخاص بها تم إصدارها بواسطة ISE Node CA (عقدة الإدارة الأساسية)

4. شهادة هوية PxGrid - هذه هي الشهادة التي تقدمها عقدة ISE إلى عميل PxGrid أي SMC أثناء التكامل والاتصال

إذا كانت لديك شهادة موقعة من المرجع المصدق لمؤسستك مستقلة عن ISE و/أو المرجع المصدق من جهة خارجية المعروف عنها:

دققت أن الجذر CA وأي مرجع مصدق متوسط وقع على شهادة PxGrid يكون مثبتا في مستودع شهادة التأمين الموثوق به على ISE تحت إدارة > نظام > شهادات > إدارة شهادات > شهادات > شهادات > شهادات

في كلتا الحالتين، عند عرض الشهادة، يجب أن تشير واجهة المستخدم إلى "حالة الشهادة جيدة".

شرط الخطأ:

مشاكل ثقة شهادة PxGrid

إذا كانت سلسلة الشهادات الموثوق بها غير مكتملة عندما يكون ISE Internal CA قيد الاستخدام، فيلزمها إعادة إنشاء ISE Root CA الذي يقوم بعد ذلك بإعادة إنشاء شهادات ISE PxGrid الخاصة بك كجزء من العملية.  قم بتحديث مخزن ثقة SMC الخاص بك باستخدام ISE Root CA وعقدة ISE التي تم إنشاؤها حديثا من شهادة CA الخاصة ب Primary Admin و ISE Endpoint Sub من كل عقدة PxGrid.

لاستبدال ISE Root CA Series، انتقل إلى إدارة > نظام > شهادات > إدارة شهادات > طلبات توقيع شهادات وحدد إنشاء طلب توقيع شهادات الذي يقدم واجهة المستخدم هذه:

في القائمة المنسدلة، حدد ISE Root CA وحدد إستبدال سلسلة شهادات ISE Root CA

إذا كانت سلسلة الشهادات الموثوق بها غير مكتملة عندما يكون CA قيد الاستخدام، فقم بإضافة الشهادات المفقودة إلى مخزن ISE Trust تحت Administration > System > Certificates > Certificate Management > Certificate Management > Trusted Certificates وأعد تشغيل الخدمات على العقدة عن طريق إصدار "Application Stop ISE" متبوعة ب "Application Start ISE" على واجهة سطر أوامر ISE.  تتم إضافة شهادات CA عن طريق الوصول إلى واجهة المستخدم الرسومية (GUI) الخاصة بنشر ISE على عقدة الإدارة الأساسية ولكن يجب إعادة تشغيل الخدمات عبر CLI على العقدة التي تعرض خطأ حالة الشهادة.

ملاحظة: يؤدي إعادة تشغيل الخدمات إلى عدم اتصال العقدة لمدة تتراوح من 15 إلى 20 دقيقة.

إذا إستمرت المشكلات بعد إتخاذ هذه الخطوات التصحيحية، فيرجى تقديم الدعم للحصول على المساعدة.