Fehlerbehebung bei Secure Network Analytics (SNA) - Integration der Identity Services Engine (ISE) "Verbindung fehlgeschlagen - Dienst kann in diesem ISE-Cluster nicht gefunden werden"

Einleitung

In diesem Dokument wird beschrieben, wie ISE-Integrationsprobleme ab SMC Version 7.3.2 überprüft werden. SNA stellt PxGrid v2.0 für die ISE-Integrationskomponente mit Version 7.3.2 vor. Dieser Artikel konzentriert sich auf einige spezifische Fehlermeldungen, die bei der Konfiguration der Cisco ISE-Integration ab Version 7.3.2 auftreten können.

Weitere Informationen zu PxGrid v2.0 und seiner Funktionalität finden Sie unter - PxGrid v2.0

Cisco ISE-Integration

Wenn SMC in die ISE integriert wird, fordert es basierend auf den in der Konfigurations-Benutzeroberfläche ausgewählten Kontrollkästchen ein Abonnement für den entsprechenden Service an.

ISE-Services

Je nach den ausgewählten Kontrollkästchen kann SMC Folgendes anfordern:

Dienst: com.cisco.ise.config.anc

Dienst: com.cisco.ise.trustsec

Dienst: com.cisco.ise.session

Dienst: com.cisco.ise.pubsub

Bei diesen Services kommuniziert SMC wiederum mit einem ISE-Knoten, um den Service zu abonnieren.  Wenn SMC eine Anfrage an den ISE-Knoten für einen Service stellt, erwartet es zu wissen, welche ISE-Knoten diesem Thema oder Service dienen können.

 Mögliche Fehlerursachen

• "Verbindungsstatus: Failed Service com.cisco.ise.pubsub not found on this ISE Cluster"
• "Verbindungsstatus: Failed Service com.cisco.ise.anc cannot be found on this ISE cluster."
• "Verbindungsstatus: Failed Service com.cisco.ise.session cannot be found on this ISE cluster."
• "Verbindungsstatus: Failed Service com.cisco.ise.trustsec cannot be found on this ISE cluster."

Verifizierung und Fehlerbehebung

Navigieren Sie zu Administration > PxGrid Services > Diagnostics > Tests and Run the Health Monitoring Test Tool (ISE 3.0 und höher).

Health Monitoring-Testtool

Für ISE 2.4, 2.6 und 2.7:

Health Monitoring-Testtool

Die Testergebnisse können in der CLI des PXGrid-Knotens angezeigt werden, der in der Fußzeile der Seite unter Connected via XMPP <Hostname> angegeben ist. 

Führen Sie den Befehl "show logging application pxgrid/pxgrid-test.log" aus.

Die Ausgabe zeigt bei erfolgreicher Verbindung Folgendes an:

asc-ise24p12-347/admin# Protokollanwendung anzeigen pxgrid/pxgrid-test.log
2021-10-29 01:46:32 INFO TestGridConnection:55 - Start pxgrid test connection.........
29.10.2021 01:46:33 INFO TestGridConnectionHelper:307 - ZUSAMMENFASSUNG> Subscribe=CONNECTING,session-cnt=0; BulkDownload=NICHT GESTARTET,bd-session-cnt=0
29.10.2021 01:46:33 INFO-Konfiguration:313 - Herstellen einer Verbindung mit dem Host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFO-Konfiguration:318 - Ok angeschlossen, um asc-ise24p12-347.rtpaaa.net zu hosten
29.10.2021 01:46:33 INFO-Konfiguration:343 - Client-Anmeldung beim Host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:34 INFO-Konfiguration:345 - Client-Anmeldung OK, um asc-ise24p12-347.rtpaaa.net zu hosten
2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 - fertig aktualisiert Verbindungszustand.
29.10.2021 01:46:35 INFO TestGridConnectionHelper:312 - ZUSAMMENFASSUNG> Subscribe=CONNECTED,session-cnt=0; BulkDownload=NICHT GESTARTET,bd-session-cnt=0
29.10.2021 01:50:36 INFO TestGridConnection:164 - ZUSAMMENFASSUNG> Subscribe=CONNECTED,session-cnt=0;BulkDownload=SUCCESS,bd-session-cnt=0
2021-10-29 01:50:36 INFO NotificationHandlerSmack:81 - Gelöschter Verbindungsstatus...
2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 - Client getrennt
29.10.2021, 01:50:36 INFO TestGridConnection:75 - SUMMARY> Subscribe=DISCONNECTED,session-cnt=0;BulkDownload=DISCONNECTED,bd-session-cnt=0

Überprüfen Sie, ob das Konto für die Verbindung von SMC mit der ISE aktiviert ist:

Prüfen Sie, ob der Client genehmigt wurde, und genehmigen Sie ihn, falls er aussteht.

ISE 3.0 und höher:

Administration > PxGrid Services > Client Management > Clients:

ISE 2.4, 2.6 und 2.7:

Administration > PxGrid Services > Alle Clients

Um den Verbindungsstatus des SMC PxGrid-Clients und den ISE-Knoten zu überprüfen, mit dem er verbunden ist, navigieren Sie zu Administration > PxGrid Services > Diagnostics > WebSocket.

Bekannte Ursachen

• Knoten mit aktivierter PxGrid Persona, bei denen Replikationsprobleme innerhalb der ISE-Bereitstellung auftreten
• PxGrid-Zertifikatvertrauenswürdigkeitsprobleme

Replikationsprobleme bei ISE-Bereitstellung

Die Replikation ist wichtig, um auf allen Mitgliedsknoten in einer Bereitstellung aktuelle Informationen zu erhalten.  Wenn ein Knoten, auf dem die PxGrid-Person ausgeführt wird, Replikationsprobleme meldet, verfügt er möglicherweise nicht über aktuelle Informationen zu den Themen und Diensten, die er für PxGrid-Clients bereitstellen kann. 

Wenn der Knoten Replikationsfehler meldet oder die Replikation verlangsamt:

ODER

Dies ist eine mögliche Ursache für den Integrationsfehler.

So führen Sie Korrekturmaßnahmen durch:

Überprüfen Sie die IP-Verbindung mit dem ISE-Knoten, melden Sie sich über SSH an, und überprüfen Sie, ob die Dienste ausgeführt werden:

           # Anwendungsstatus anzeigen

Beispiel:

asc-ise30p2-353/admin# Anwendungsstatus anzeigen ise

ISE PROZESSNAME STATUS PROZESS-ID
--------------------------------------------------------------------
Datenbank-Listener mit 24872
Datenbankserver mit 114 PROZESSEN
Anwendungsserver mit 40137
Profilerdatenbank mit 35916
ISE-Indexmodul deaktiviert
AD-Anschluss mit 40746
M&T-Sitzungsdatenbank deaktiviert
M&T-Protokollprozessor deaktiviert
Zertifizierungsstellendienst wird ausgeführt 40609
EST-Dienst läuft 77903
SXP-Moduldienst deaktiviert
Docker-Daemon läuft 28517
TC-NAC-Dienst deaktiviert
pxGrid-Infrastrukturdienst deaktiviert
pxGrid Publisher-Abonnentendienst deaktiviert
pxGrid-Verbindungs-Manager deaktiviert
pxGrid-Controller deaktiviert
PassiveID WMI-Dienst deaktiviert
Passiver ID-Syslog-Dienst deaktiviert
PassiveID API-Dienst deaktiviert
PassiveID Agent-Dienst deaktiviert
PassiveID-Endpunktdienst deaktiviert
PassiveID SPAN-Dienst deaktiviert
DHCP-Server (DHCP) deaktiviert
DNS-Server (mit Namen) deaktiviert
ISE Messaging Service mit 29277
ISE API-Gateway-Datenbankdienst mit 32173
ISE API-Gateway-Service mit 38161
Segmentierungsrichtliniendienst deaktiviert
REST-Authentifizierungsdienst deaktiviert
SSE-Connector deaktiviert

Führen Sie eine manuelle Synchronisierung des betroffenen Knotens unter Administration > System > Deployment durch.

Wählen Sie die Node-Berichtsprobleme aus, und klicken Sie auf Synch.

Anmerkung: Dies führt zu einem Neustart der Dienste auf dem zu synchronisierenden Knoten und kann dazu führen, dass der Knoten für 30 Minuten außer Betrieb genommen wird. Es wird empfohlen, diese Aktivität in einem Fenster mit kontrollierten Änderungen durchzuführen.

ISE PxGrid-Zertifikatskette überprüfen

Navigieren Sie in der ISE-GUI zu Administration > System > Certificates (Verwaltung > System > Zertifikate).

Jeder Knoten mit aktivierter PxGrid-Persona verfügt über ein Zertifikat, dem die PxGrid-Rolle zugeordnet ist.

Diese Zertifikate können von einer Drittanbieter-Zertifizierungsstelle oder der internen ISE-Zertifizierungsstelle signiert werden.  Aktivieren Sie das Kontrollkästchen neben dem Zertifikat und der Trefferansicht. Darin müssen die Zertifikatdetails und die Zertifikatskette aufgeführt werden.  In den Zertifikatdetails gibt ein Statusindikator an, ob das Zertifikat gültig ist oder ob die Kette unvollständig ist.

Wenn das Zertifikat von der internen ISE-Zertifizierungsstelle signiert wurde:

Es gibt 4 Ebenen, von oben beginnend:

1. ISE-Stammzertifizierungsstelle - Dies ist das Zertifizierungsstellenzertifikat, und jede Bereitstellung verfügt nur über eine ISE-Stammzertifizierungsstelle, die der primäre Admin-Knoten ist.

2. ISE-Knotenzertifizierungsstelle - Hierbei handelt es sich um eine zwischengeschaltete Zertifizierungsstelle, deren Zertifikat von der ISE-Stammzertifizierungsstelle ausgestellt wurde und die auch der primäre Administrationsknoten ist.

3. ISE Endpoint Sub CA - Dies ist die 3. Ebene und der Aussteller des PxGrid-Identitätszertifikats.  Jeder Knoten in der Bereitstellung verfügt über eine eigene ISE Endpoint Sub-CA, die von der ISE Node CA (Primary Admin Node) erstellt wird.

4. PxGrid-Identitätszertifikat - Dies ist das Zertifikat, das der ISE-Knoten einem PxGrid-Client, d. h. SMC, während der Integration und Kommunikation, präsentiert

Wenn Sie über ein Zertifikat verfügen, das von der Zertifizierungsstelle Ihrer Organisation unabhängig von ISE und/oder einer von einem Drittanbieter bekannten Zertifizierungsstelle signiert wurde:

Überprüfen Sie, ob die Stammzertifizierungsstelle und alle zwischengeschalteten Zertifizierungsstellen, die das PxGrid-Zertifikat signiert haben, im Speicher für vertrauenswürdige Sicherheitszertifikate auf der ISE unter Administration > System > Certificates > Certificate Management > Trusted Certificates installiert sind.

In beiden Fällen muss die Benutzeroberfläche beim Anzeigen des Zertifikats den Hinweis "Zertifikatsstatus ist gut" enthalten.

Fehlerbedingung:

PxGrid-Zertifikatvertrauenswürdigkeitsprobleme

Wenn die Zertifikatvertrauenskette unvollständig ist, während die interne ISE-Zertifizierungsstelle verwendet wird, muss die ISE-Stammzertifizierungsstelle neu generiert werden, die dann Ihre ISE-PxGrid-Zertifikate im Rahmen des Prozesses neu generiert.  Aktualisieren Sie den Vertrauensspeicher Ihrer SMC mit der neu generierten ISE-Stammzertifizierungsstelle und ISE-Knotenzertifizierungsstelle vom primären Administrator sowie dem ISE-Endpunkt-Subzertifizierungsstelle-Zertifikat von jedem PxGrid-Knoten.

Um die ISE-Stammzertifizierungsstellenkette zu ersetzen, navigieren Sie zu Administration > System > Certificates > Certificate Management > Certificate Signing Requests, und wählen Sie Generate Certificate Signing Request aus, das die folgende Benutzeroberfläche darstellt:

Wählen Sie in der Dropdown-Liste die ISE-Stammzertifizierungsstelle aus, und wählen Sie die Option ISE-Stammzertifizierungsstelle ersetzen aus.

Wenn die Zertifikatvertrauenskette unvollständig ist, während eine externe Zertifizierungsstelle verwendet wird, fügen Sie die fehlenden Zertifikate dem ISE-Vertrauensspeicher unter Administration > System > Certificates > Certificate Management > Trusted Certificates hinzu, und starten Sie die Dienste auf dem Knoten neu, indem Sie "application stop ise" gefolgt von "application start ise" auf der ISE-CLI eingeben.  Die CA-Zertifikate werden durch Zugriff auf die grafische Benutzeroberfläche der ISE-Bereitstellung auf dem primären Admin-Knoten hinzugefügt. Die Dienste müssen jedoch über die CLI auf dem Knoten neu gestartet werden, auf dem der Zertifikatstatusfehler angezeigt wurde.

Anmerkung: Durch den Neustart der Dienste ist der Knoten 15-20 Minuten offline.

Wenn nach diesen Korrekturmaßnahmen weiterhin Probleme auftreten, wenden Sie sich an den Support.