Probleemoplossing Secure Network Analytics (SNA) - integratie van Identity Services Engine (ISE) "Verbinding mislukt - Service kan niet worden gevonden in dit ISE-cluster"

Inleiding

In dit document wordt beschreven hoe de integratie van ISE vanaf versie 7.3.2 van de SCM kan worden gevalideerd. SNA introduceert PxGrid v2.0 voor de ISE-integratiecomponent met release 7.3.2. Dit artikel concentreert zich op een aantal specifieke foutmeldingen die u kunt tegenkomen wanneer u uw Cisco ISE-integratie configureert op releases 7.3.2 en verder.

Voor meer informatie over PxGrid v2.0 en de functionaliteit ervan, gaat u naar - PxGrid v2.0

Cisco ISE-integratie

Wanneer SCM met ISE integreert, wordt een verzoek gedaan om een abonnement te nemen op de juiste service op basis van de selectievakjes die zijn geselecteerd in de configuratie UI -

ISE-services

Op basis van de geselecteerde selectievakjes kan SCM aanvragen -

Service: com.cisco.ise.config.anc

Service: com.cisco.ise.trustsec

Service: com.cisco.ise.sessie

Service: com.cisco.ise.pubsub

Omgekeerd communiceert SMC met een ISE-knooppunt om zich op de service te abonneren.  Wanneer SMC een verzoek aan de knoop van ISE voor een dienst doet, denkt het te weten wat de knooppunten van ISE dat onderwerp of dienst kunnen dienen.

 Mogelijke redenen voor falen

• "Verbindingsstatus:mislukte service com.cisco.ise.pubsub kan niet worden gevonden in dit ISE-cluster"
• "Verbindingsstatus:mislukte service com.cisco.ise.anc kan niet worden gevonden in dit ISE-cluster."
• "Verbindingsstatus:mislukte servicescom.cisco.ise.sessie kan niet worden gevonden in dit ISE-cluster."
• "Verbindingsstatus:Mislukte service com.cisco.ise.trustsec kan niet worden gevonden op dit ISE-cluster."

Verificatie en probleemoplossing

Navigeer naar Beheer > PxGrid-services > Diagnostiek > Tests en voer de Health Monitoring Test Tool uit (ISE 3.0 en verder)

Testprogramma voor gezondheidsbewaking

Voor ISE 2.4, 2.6 en 2.7:

Testprogramma voor gezondheidsbewaking

De resultaten van de test zijn beschikbaar om te bekijken in de CLI van de PXGrid-node die wordt aangegeven in de voettekst van de pagina met opmerkingen Connected via XMPP <hostname>. 

Voer de opdracht "show logging applicatie pxgrid/pxgrid-test.log" uit

Het resultaat bij aansluiting en succes geeft aan:

asc-ise24p12-347/admin# logtoepassing weergeven pxgrid/pxgrid-test.log
2021-10-29 01:46:32 INFO TestGridConnection:55 - Starten pxgrid testverbinding.........
2021-10-29 01:46:33 INFO TestGridConnectionHelper:307 - SAMENVATTING> Subscribe=CONNECTING, sessie-cnt=0; BulkDownload=NOT START, bd-sessie-cnt=0
2021-10-29 01:46:33 INFO Configuratie:313 - Verbinden met host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFO Configuratie:318 - Verbonden OK om te hosten asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:33 INFO Configuratie:343 - Aanmelden aan host asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:34 INFO Configuratie:345 - Client Login OK om te hosten asc-ise24p12-347.rtpaaa.net
2021-10-29 01:46:35 INFO NotificationHandlerSmack:70 - gedaan verfrissende verbindingsstaat.
2021-10-29 01:46:35 INFO TestGridConnectionHelper:312 - SAMENVATTING> Subscribe=CONNECTED, sessie-cnt=0; BulkDownload=NOT START, bd-sessie-cnt=0
2021-10-29 01:50:36 INFO TestGridConnection:164 - SAMENVATTING> Subscribe=CONNECTED, sessie-cnt=0;BulkDownload=SUCCESS,bd-sessie-cnt=0
2021-10-29 01:50:36 INFOHandlerSmack:81 - ontruimde verbindingsstaat...
2021-10-29 01:50:36 INFO TestGridConnectionHelper:322 - Klant ontkoppeld
2021-10-29 01:50:36 INFO TestGridConnection:75 - SAMENVATTING> Subscribe=DISCONNECTED, Session-cnt=0;BulkDownload=DISCONNECTED, bd-sessie-cnt=0

Controleer of de account voor de verbinding van SCM met ISE is ingeschakeld:

Controleer of de client is goedgekeurd en of de client in behandeling is

ISE 3.0 en verder:

Beheer > PxGrid-services > Clientbeheer > Clients:

ISE 2.4, 2.6 en 2.7:

Beheer > PxGrid-services > Alle clients

Om de verbindingsstatus van de SMC PxGrid-client te controleren en met welke ISE-knooppunt de client is verbonden, gaat u naar Beheer > PxGrid-services > Diagnostiek > WebSocket

Bekende oorzaken

• Knooppunten met PxGrid Persona ingeschakeld voor replicatieproblemen binnen de ISE-implementatie
• Problemen met PxGrid Certificate Trust

Problemen met replicatie bij ISE-implementatie

Herhaling is essentieel om ervoor te zorgen dat de informatie over alle lidknooppunten tijdens een implementatie up-to-date blijft.  Als een knooppunt dat de PxGrid-persona uitvoert, replicatiekwesties rapporteert, is het mogelijk dat het geen actuele informatie heeft over de onderwerpen en diensten die het kan leveren voor PxGrid-clients. 

Als het knooppunt alarmen voor replicatiefouten of langzame replicatie rapporteert:

OF

Dit kan leiden tot het mislukken van de integratie.

Om corrigerende maatregelen te nemen -

Controleer IP-verbinding met de ISE-knooppunt, log in via SSH en controleer of de services worden uitgevoerd door het volgende uit te geven:

           # Toepassingsstatus weergeven

Bijvoorbeeld.

asc-ise30p2-353/admin# toepassingsstatus weergeven

ISE-PROCES NAAM STAAT PROCES-ID
--------------------------------------------------------------------
24872 van Databaselozer
Databaseserver met 114 processen
Toepassingsserver met 40137
35916 voor profieldatabase
ISE-indexeringsengine uitgeschakeld
Netstekker met 40746
M&T Session Database uitgeschakeld
M&T-logprocessor uitgeschakeld
40609 van de certificatiedienst
EST-77903
SXP Engine Service uitgeschakeld
Docker Daemon 28517
TC-NAC-service uitgeschakeld
PxGrid-infrastructuurservice uitgeschakeld
PxGrid Publisher Subscriber Service uitgeschakeld
PxGrid Connection Manager uitgeschakeld
PXGrid-controller uitgeschakeld
Passive-id WMI-service uitgeschakeld
Passive-id systeemservice uitgeschakeld
Passieve API-service uitgeschakeld
Service passieve id Agent uitgeschakeld
PassiveID-endpointservice uitgeschakeld
Passive-ID SPAN-service uitgeschakeld
DHCP-server (dhcpd) uitgeschakeld
DNS-server (genaamd) uitgeschakeld
ISE-29277 voor berichtenservice
32173 voor ISE API-gatewaydatabase
ISE API-gateway voor 38161
Segmenteringsbeleidsservice uitgeschakeld
REST-autorisatieservice uitgeschakeld
SSE-connector uitgeschakeld

Handmatige synchronisatie van het betreffende knooppunt uitvoeren onder Beheer > Systeem > Implementatie

Selecteer de knooppunt rapportageproblemen en klik op Syncup

Opmerking: Hierdoor worden de services op het knooppunt opnieuw opgestart en kan het knooppunt 30 minuten lang buiten bedrijf worden gesteld. Aanbevolen wordt deze activiteit uit te voeren in een gecontroleerd wijzigingsvenster.

Controleer de certificaatketen ISE PxGrid

Navigeren naar Beheer > Systeem > Certificaten op de ISE GUI

Elke knooppunt met de PxGrid Persona heeft een certificaat met de PxGrid-rol gekoppeld aan het.

Deze certificaten kunnen worden ondertekend door een derde partij CA of de interne CA van ISE.  Vink het vakje naast het certificaat aan en druk op weergave - dit moet de certificaatgegevens en de certificaatketen vermelden.  Er is ook een statusindicator in de certificaatgegevens die aangeeft of het certificaat goed is of dat de keten onvolledig is.

Indien het certificaat is ondertekend door de interne CA van de ISE:

Er zijn 4 niveaus, die van bovenaf beginnen:

1. ISE Root CA - Dit is het CA-certificaat en elke implementatie heeft slechts 1 ISE Root CA die de primaire Admin-knooppunt is.

2. ISE Node CA - Dit is een intermediaire CA waarvan het certificaat is afgegeven door de ISE Root CA en ook de primaire Admin-knooppunt

3. ISE Endpoint Sub CA - Dit is het derde niveau en de uitgever van het PxGrid-identiteitscertificaat.  Elke knooppunt in de implementatie heeft zijn eigen ISE-endpointsubCA die is uitgegeven door de ISE-knooppunt CA (Primary Admin-knooppunt)

4. PxGrid-identiteitscertificaat - Dit is het certificaat dat de ISE-knooppunt tijdens integratie en communicatie voorstelt aan een PxGrid-client, d.w.z. een SCM

Als u een certificaat hebt ondertekend door de CA van uw organisatie, onafhankelijk van ISE en/of een bekende CA van een derde partij:

Controleer of de Root CA en alle tussenliggende CA's die het PxGrid-certificaat hebben ondertekend, zijn geïnstalleerd in het Trusted Security Certificate dat is opgeslagen op ISE onder Beheer > Systeem > Certificaten > Certificaatbeheer > Trusted Certificates

In beide gevallen, wanneer u het certificaat bekijkt, moet de UI aangeven "Certificaatstatus is goed".

Foutvoorwaarde:

Problemen met PxGrid Certificate Trust

Als de certificaatvertrouwensketen onvolledig is wanneer de interne CA van ISE in gebruik is, is het nodig om de ISE Root CA te regenereren die vervolgens uw ISE PxGrid-certificaten regenereert als deel van het proces.  Werk de vertrouwensopslag van uw SCM bij met de nieuw gegenereerde ISE Root CA en ISE Node CA vanuit de primaire Admin en het ISE Endpoint Sub CA certificaat van elke PxGrid knooppunt.

Om ISE Root CA-keten te vervangen, navigeer naar Beheer > Systeem > Certificaten > Certificaatbeheer > Certificaatondertekeningsaanvragen en selecteer Generate Certificate Signing Verzoek dat deze UI presenteert:

Selecteer in de vervolgkeuzelijst ISE Root CA en selecteer ISE Root CA Certificate Chain vervangen

Als de certificaatvertrouwensketen onvolledig is wanneer een externe CA in gebruik is, voeg de ontbrekende certificaten toe aan het ISE-vertrouwensarchief onder Beheer > Systeem > Certificaten > Certificaatbeheer > Trusted Certificates en herstart services op het knooppunt door "application stop ise" uit te geven gevolgd door "application start ise" op de ISE CLI.  De CA-certificaten worden toegevoegd door toegang te krijgen tot de GUI van de ISE-implementatie op het Primaire beheerknooppunt, maar de services moeten opnieuw worden gestart via CLI op het knooppunt dat de fout met de certificaatstatus heeft weergegeven.

Opmerking: Herstart van de services neemt het knooppunt 15-20 minuten offline.

Als er na het nemen van deze corrigerende maatregelen problemen blijven optreden, kunt u ondersteuning vragen voor ondersteuning.