Konfigurieren von kontrolliertem Anwendungsneustart in ISE 3.3

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (968.5 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (700.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:17. April 2024
Dokument-ID:221909

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie der gesteuerte Anwendungsneustart für das Administratorzertifikat in ISE 3.3 konfiguriert wird.

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • ISE-Knoten/Personas
    • Verlängerung/Bearbeitung/Erstellung von ISE-Zertifikaten

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf folgenden Hardware- und Software-Versionen:

    • Identity Service Engine (ISE) Softwareversion 3.3
    • Bereitstellung von 2 Knoten

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hintergrundinformationen

    Wenn in der ISE das Admin-Zertifikat des primären Admin-Knotens (PAN) geändert wird, werden alle Knoten in der Bereitstellung neu geladen, zuerst das PAN und dann die übrigen Knoten. Dies führt zu einer Unterbrechung aller Dienste.

    Wenn das Administratorzertifikat in einem anderen Knoten ersetzt wird, wird nur dieser einzelne Knoten neu gestartet.

    ISE 3.3 führt eine neue Funktion ein, mit der Sie das erneute Laden der Knoten planen können. Dies bietet eine bessere Kontrolle über den Neustart jedes Knotens und trägt dazu bei, Unterbrechungen bei allen Services zu vermeiden.

    Konfigurieren

    Es gibt verschiedene Optionen zum Ändern des Admin-Zertifikats des PAN-Knotens:

    • Erstellen einer Zertifikatsanforderung (Certificate Signing Request, CSR) und Zuweisen der Administratorrolle
    • Zertifikat importieren, privater Schlüssel und Zuweisung der Admin-Rolle.
    • Erstellen Sie ein selbstsigniertes Zertifikat, und weisen Sie die Administratorrolle zu.

    In diesem Dokument wird die Methode mithilfe einer CSR-Anfrage beschrieben.

    Schritt 1: Erstellen einer Zertifikatsignierungsanforderung (CSR)

    1. Navigieren Sie auf der ISE zu Administration > System > Certificates > Certificate Signing Requests.
    2. Klicken Sie auf CSR (Certificate Signing Request) generieren.
    3. Wählen Sie unter Usage (Nutzung) die Option Admin.
    4. Wählen Sie in Node(s) (Knoten) den primären Admin-Knoten aus.
    5. Füllen Sie die Zertifikatinformationen aus.
    6. Klicken Sie auf Erstellen.
    7. Exportieren Sie die Datei, und unterzeichnen Sie sie mit einer gültigen Berechtigung.

    CSR-ErstellungCSR-Erstellung

    Schritt 2: Importieren Sie die Stammzertifizierungsstelle, die Ihren CSR signiert hat.

    1. Navigieren Sie auf der ISE zu Administration > System > Certificates > Trusted Certificates.
    2. Klicken Sie auf Importieren.
    3. Klicken Sie auf Choose File (Datei auswählen), und wählen Sie das Zertifikat der Stammzertifizierungsstelle aus.
    4. Schreiben Sie einen Anzeigenamen.
    5. Aktivieren Sie die Kontrollkästchen:
      1. Authentifizierung innerhalb der ISE als vertrauenswürdig einstufen.
      2. Vertrauen Sie auf die Authentifizierung von Cisco Services.
    6. Klicken Sie auf Senden.

    Stammzertifikat importierenStammzertifikat importieren

    Schritt 3: Signierten CSR importieren

    1. Navigieren Sie auf der ISE zu Administration > System > Certificates > Certificate Signing Requests.
    2. Wählen Sie den CSR aus, und klicken Sie auf Zertifikat binden.
    3. Klicken Sie auf Choose file, und wählen Sie das signierte Zertifikat aus.
    4. Konfigurieren eines Anzeigenamens.

    Zertifikat bindenZertifikat binden

    Signiertes Zertifikat der BindungszertifizierungsstelleZertifikat binden

    Schritt 4: Konfigurieren der Neustartzeit

    1. Jetzt können Sie einen neuen Abschnitt sehen. Hier konfigurieren Sie den Neustartvorgang.
    2. Sie können eine Zeit pro Knoten konfigurieren oder beide Knoten auswählen und die gleiche Konfiguration anwenden.
    3. Wählen Sie einen Knoten aus, und klicken Sie auf Set Restart Time (Neustartzeit festlegen).
    4. Wählen Sie das Datum und die Uhrzeit aus, und klicken Sie auf Speichern.
    5. Überprüfen Sie die Uhrzeit, und klicken Sie auf Submit (Senden).

    Neustartzeit festlegenNeustartzeit festlegen

    Neustartzeit bestätigenNeustartzeit bestätigen

    Überprüfung

    Eine neue Registerkarte ist verfügbar. Navigieren Sie zu Administration > System > Certificates > Admin Certificate Node Restart. Sie können die durchgeführte Konfiguration validieren und bei Bedarf ändern. 

    Klicken Sie zum Ändern auf Set Restart Time (Neustartzeit festlegen) oder Restart Now (Jetzt neu starten).

    Überprüfen des NeustartstatusÜberprüfen des Neustartstatus

    Sie können den Knotenstatus während des Prozesses überprüfen. Das nächste Bild ist ein Beispiel, wenn ein Knoten neu geladen wird und der andere Knoten ausgeführt wird:

    PAN neu gestartetPAN neu gestartet

    Überprüfen Sie die Änderungen, und laden Sie die Berichte neu.

    Um die Konfigurationsänderungen zu überprüfen, navigieren Sie zu Operations > Reports > Reports > Audit > Change Configuration Audit.

    KonfigurationsberichtKonfigurationsbericht

    Um den Neustart zu überprüfen, navigieren Sie zu Operationen > Berichte > Audit > Operations Audit.

    Bericht neu startenBericht neu starten

    Beispielprotokolle von ***-ise-33-2, ise-psc.log:

    Configuration applied:

    2023-09-27 15:26:12,109 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Restart is Not configured , Hence skipping restart status check for asc-ise33-1037
2023-09-27 15:26:57,775 INFO  [admin-http-pool6][[]] cpm.admin.infra.action.RestartAction -::admin:::- 
    adminCertRestartData  received --{"items":[{"hostName":"asc-ise33-1037","restartTime":"2023-09-27:10:00PM"},
    {"hostName":"***-ise-33-2","restartTime":"2023-09-27:10:00PM"}]}

Restart starts:

2023-09-27 21:59:11,952 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Executing AdminCertControlledRestartStatusJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
    noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
    AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
    noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Restart configured , proceeding to trackRestartStatus for ***-ise-33-2
2023-09-27 21:59:12,113 INFO  [DefaultQuartzScheduler_Worker-6][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartStatusJob -:::::- 
    Restart configured , proceeding to trackRestartStatus for asc-ise33-1037
2023-09-27 22:00:00,003 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Executing AdminCertControlledRestartSchedulerJob 
2023-09-27 22:00:00,022 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Executing AdminCertControlledRestartSchedulerJob [AdminCertControlledRestart[id=4af7d9c4-31d9-48e0-83dc-19a6cf378528,hostname=***-ise-33-2,
    noderestartconfig=2023-09-27:10:00PM,noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:26:59 GMT-0600 (hora estandar central)], 
    AdminCertControlledRestart[id=38b811df-03b5-4a64-87b6-363290b6b4ce,hostname=asc-ise33-1037,noderestartconfig=2023-09-27:10:00PM,
    noderestartstatus=Not Restarted,details=Not Restarted,maxdate=Thu Oct 12 2023 14:43:01 GMT-0600 (hora estandar central)]]
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Restart failed or not restarted yet , hence preparing restart for ***-ise-33-2
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Configured Date is now , hence proceeding for restart ,  for ***-ise-33-2
023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
    updateRestartStatus updating restarted status
2023-09-27 22:00:00,288 INFO  [DefaultQuartzScheduler_Worker-3][[]] cpm.infrastructure.certmgmt.api.AdminCertControlRestartUIAPI -:::::- 
    Updating the data for node: ***-ise-33-2
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Restart failed or not restarted yet , hence preparing restart for asc-ise33-1037
2023-09-27 22:00:00,313 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    Configured Date is now , hence proceeding for restart ,  forasc-ise33-1037
2023-09-27 22:00:00,324 INFO  [DefaultQuartzScheduler_Worker-3][[]] admin.caservice.certmgmt.scheduler.AdminCertControlledRestartSchedulerJob -:::::- 
    restartNowList : ***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com


    Beispielprotokolle von ***-ise-33-2, restartutil.log:

    [main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:09 EST 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:00:09 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:00:14 EST 2023:RestartUtil: Restarting Local node
[main] Wed Sep 27 22:00:14 EST 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Wed Sep 27 22:27:13 EST 2023:RestartUtil: Restarted local node and waiting for it to come up...
[main] Wed Sep 27 22:37:47 EST 2023:RestartUtil: Restart success for  local node .
[main] Wed Sep 27 22:37:48 EST 2023:RestartUtil: Restarting node asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: statusLine>>>HTTP/1.1 200 
[main] Wed Sep 27 22:37:54 EST 2023:RestartUtil: Waiting for node asc-ise33-1037.aaamexrub.com to come up after restart...
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: Restart successful on node: asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil: cred file deleted 
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 22:52:43 EST 2023:RestartUtil:END-  Restart called with args apponly:1377:***-ise-33-2.aaamexrub.com,asc-ise33-1037.aaamexrub.com
[main] Wed Sep 27 22:52:43 EST 2023:--------------------------------------------------------------- 
[main] Wed Sep 27 23:00:10 EST 2023: Usage RestartUtil local||remote  apponly|full


    Beispielprotokolle von asc-ise33-1037, restartutil.log:

    main] Wed Sep 27 19:00:10 UTC 2023: Usage RestartUtil local||remote  apponly|full  
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:14 UTC 2023:RestartUtil: BEGIN - Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:37:14 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:37:16 UTC 2023:RestartUtil: Restarting Local node
[main] Thu Sep 28 04:37:16 UTC 2023:[/usr/bin/sudo, /opt/CSCOcpm/bin/cpmcontrol.sh, restart_appserver_es]
[main] Thu Sep 28 04:52:41 UTC 2023:RestartUtil: Restarted local node and waiting for it to come up...

[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: Restart success for  local node .
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil: cred file deleted 
[main] Thu Sep 28 04:53:12 UTC 2023:--------------------------------------------------------------- 
[main] Thu Sep 28 04:53:12 UTC 2023:RestartUtil:END-  Restart called with args apponly:1377:localhost
[main] Thu Sep 28 04:53:12 UTC 2023:---------------------------------------------------------------

    Fehlerbehebung

    Um die Informationen zu dieser Funktion zu überprüfen, können Sie die folgenden Dateien überprüfen:

    • ise-psc.log
    • restartutil.log

    Um sie in Echtzeit über die Befehlszeile zu überprüfen, können Sie die folgenden Befehle verwenden:

    show logging application restartutil.log tail
    show logging application ise-psc.log tail

    Zugehörige Informationen

    Technischer Support und Downloads von Cisco

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    18-Apr-2024
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Ruben De La Vega
      Technischer Berater

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.