物理筐体Cisco ISE x 2台を小規模HA(PAN+MNT+PSN)構成で冗長化させて運用しています。バージョンは3.2でPatchは3と4を適用してあります。

Cisco ISEを802.1xの認証サーバとして使用しており、スイッチやWLCからはradiusサーバとしてPrimary機とSecondary機のIPアドレスを設定してあります。

先日、Primary機側が何らかの原因で突如動作を停止してしまいました。その際Secondary機側に問題はなく通常稼働していましたが、エンドポイントの新規認証が出来ませんでした。

PrimaryとSecondaryによるHA構成は適切に組めている事を前提としますが、Primary機に障害が発生した場合でもSecondary機側ではPSNが稼働しているため、Primaryに昇格しなくても認証処理を行ってくれると思っていましたが、この認識は誤っていますでしょうか？

Cisco ISEにお詳しい方、知見をお持ちの方のご助言・ご指南をいただけますと助かります。