キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
3426
閲覧回数
10
いいね!
0
コメント
mnagao
Cisco Employee
Cisco Employee

 

DNA Center を古いバックアップからリストアした際など、何らかの理由で DNA Center と ISE の間で電子証明書の更新が反映されない組み合わせとなった場合は、ERS API や pxGrid の TLS handshake が失敗するようになることがあります。
DESIGN > Network Settings > Network > AAA Server にて ISE を設定済みの場合は、以下の手順で ISE を System Settings から削除せずに再インテグレーションまたは pxGrid セッションの再確立を行うことができます。


DNA Center の System Settings > System 360 にて ISE が Unavailable となっている場合

 

  • DNA Center - ISE 間の IP 接続性
  • RADIUS Shared Secret
  • NTP 同期
  • DNA Center 上で設定された ISE ユーザ名、パスワード

などに問題が無いのであれば、電子証明書の不整合により ERS API の TLS handshake が失敗している可能性があります。DNA Center 上で ISE の現行のパスワードを上書き設定することで ISE インテグレーションを再実行させることができます。(現行のパスワードを再度入力するだけですのでデバイスの再 Provision は不要です)
 

ise-passwd-update.png

 

再インテグレーションの状況は network-design-service のログで確認できます。

// ログ抜粋例
$ magctl service logs -rf network-design-service
<snip>
2019-07-11 03:05:11,626 | INFO | SimpleAsyncTaskExecutor-8 | | c.c.a.c.s.trust.ISETrustManager | ------------------------------------------------------------------- |
2019-07-11 03:05:11,626 | INFO | SimpleAsyncTaskExecutor-8 | | c.c.a.c.s.trust.ISETrustManager | STEP: Connecting to ISE Server for initiating trust establishment |
2019-07-11 03:05:11,626 | INFO | SimpleAsyncTaskExecutor-8 | | c.c.a.c.s.trust.ISETrustManager | ------------------------------------------------------------------- |
<snip>
2019-07-11 03:05:47,915 | INFO | SimpleAsyncTaskExecutor-8 | | c.c.a.c.s.trust.SessionManager | Expected success phrase received: Trust establishment completed successfully | 

 





pxGrid のみ Unavailable/Offline の場合

 

DNA Center の System Settings > System 360 にて ISE (ERS) は Available だが

  • pxGrid が Unavailable
  • ISE の Administration > pxGrid Services > All Clients にて DNA Center の subscriber が offline

などの場合は pxGrid エンドポイント証明書に不整合が発生して TLS handshake に失敗している可能性があります。証明書の問題である場合は ISE で subscriber を削除することで pxGrid セッションの再確立を実行させることができます。

Subscriber 削除 (Delete All を選択しないようご注意ください)

pxgrid-endpoint-cert-delete.png

 

数分以内に DNA Center が pxGrid セッションの再確立を試行し、Pending ステートになるので Approve します

pxgrid-endpoint-cert-reapproval.png

 


再確立の状況は identity-manager-pxgrid-service と collector-ise (DNA Center 1.3 以降の場合) のログで確認することができます。

// ログ抜粋例
$ magctl service logs -rf identity-manager-pxgrid-service <snip> 2019-07-11 04:15:19,663 | INFO | ack-Cached Executor 5 (2) | | c.c.e.i.ConnectionListener | Deleted from ISE 10.70.70.232 with id: b3ab563f-908d-4734-9e5d-5192b6a97a46 | <snip> 2019-07-11 04:15:25,277 | INFO | Thread-19220 | | c.c.e.i.u.PxGridReconnectionManager | Disconnected Grid connection | 2019-07-11 04:15:25,277 | INFO | Thread-19220 | | c.c.e.i.ConnectionListener | Connecting to ISE 10.70.70.232 with id: b3ab563f-908d-4734-9e5d-5192b6a97a46 | 2019-07-11 04:15:25,773 | INFO | Thread-19220 | | com.cisco.pxgrid.Configuration | Client Login OK to host 10.70.70.232 | <snip> 2019-07-11 04:16:23,829 | INFO | Thread-19220 | | c.c.e.i.ConnectionListener | Connected to ISE 10.70.70.232 with id: b3ab563f-908d-4734-9e5d-5192b6a97a46 | 2019-07-11 04:16:23,991 | INFO | xgid-notifier-0 | | c.c.e.i.n.PxGridMessageNotifier | Invoking NDP POST REST API for com.cisco.enc.identitymanagerpxgrid.notifier.PxGridChangedMessage@6c3ed6f6[configMetadata=com.cisco.enc.identitymanagerpxgrid.notifier.ConfigMetadata@7abd31c8[satelliteid=satellite0,siteid=site0,tenantid=tenant0],configData=com.cisco.enc.identitymanagerpxgrid.notifier.ConfigData@4a9920de[iseServerIP=10.70.70.232,username=admin,subscribername=dnacenter_dnac_ndp,anonymize=false,groupname=session,securitygroup,keystoreFilePath=/opt/maglev/services/identity-manager-pxgrid-service/7.1.41.60025/IseApicEmKeyStore.jks,truststoreFilePath=/home/maglev/iostruststore.jks],configName=ncp_6d9fda4c-9b3a-432f-af05-910e16b7df97,iseDeploymentId=6d9fda4c-9b3a-432f-af05-910e16b7df97,iseNotificationState=IN_PROGRESS,messageId=0778106f-8017-41a3-b6c0-1f0777c210a9,failureCount=0,lastFailureReason=,isRuntimeMessage=true] | 2019-07-11 04:16:24,134 | INFO | xgid-notifier-0 | | c.c.e.i.n.PxGridMessageNotifier | Completed NDP PUT of ise configuration com.cisco.enc.identitymanagerpxgrid.notifier.PxGridChangedMessage@6c3ed6f6[configMetadata=com.cisco.enc.identitymanagerpxgrid.notifier.ConfigMetadata@7abd31c8[satelliteid=satellite0,siteid=site0,tenantid=tenant0],configData=com.cisco.enc.identitymanagerpxgrid.notifier.ConfigData@4a9920de[iseServerIP=10.70.70.232,username=admin,subscribername=dnacenter_dnac_ndp,anonymize=false,groupname=session,securitygroup,keystoreFilePath=/opt/maglev/services/identity-manager-pxgrid-service/7.1.41.60025/IseApicEmKeyStore.jks,truststoreFilePath=/home/maglev/iostruststore.jks],configName=ncp_6d9fda4c-9b3a-432f-af05-910e16b7df97,iseDeploymentId=6d9fda4c-9b3a-432f-af05-910e16b7df97,iseNotificationState=IN_PROGRESS,messageId=0778106f-8017-41a3-b6c0-1f0777c210a9,failureCount=0,lastFailureReason=,isRuntimeMessage=true] | 2019-07-11 04:16:25,100 | INFO | Thread-19220 | | c.c.e.i.u.PxGridReconnectionManager | Connected to pxgrid Node | 2019-07-11 04:16:25,100 | INFO | Thread-19220 | | c.c.e.i.u.PxGridReconnectionManager | Connected to Host: 10.70.70.232 | // ログ抜粋例 $ magctl service logs -rf collector-ise <snip> {"timeMillis":1562818666888,"thread":"Smack-Cached Executor 2 (17)","level":"INFO","loggerName":"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener","message":"Disconnected from ISE with id: 84632d9b-9d46-4041-b9ef-cf81a52ccc78 IP: 10.70.70.232","endOfBatch":false,"loggerFqcn":"org.apache.logging.slf4j.Log4jLogger","threadId":401,"threadPriority":5} <snip> {"timeMillis":1562818716163,"thread":"Thread-241","level":"INFO","loggerName":"com.cisco.pxgrid.ReconnectionManager","message":"Disconnected","endOfBatch":false,"loggerFqcn":"org.apache.logging.slf4j.Log4jLogger","threadId":391,"threadPriority":5} <snip> {"timeMillis":1562818718919,"thread":"Thread-241","level":"INFO","loggerName":"com.cisco.pxgrid.Configuration","message":"Client Login OK to host 10.70.70.232","endOfBatch":false,"loggerFqcn":"org.apache.logging.slf4j.Log4jLogger","threadId":391,"threadPriority":5} <snip> {"timeMillis":1562818766352,"thread":"Thread-255","level":"INFO","loggerName":"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener","message":"Connected to ISE with id: 289261b9-7332-4f80-91d3-339101b09402 IP: 10.70.70.232","endOfBatch":false,"loggerFqcn":"org.apache.logging.slf4j.Log4jLogger","threadId":415,"threadPriority":5} {"timeMillis":1562818766353,"thread":"Thread-255","level":"INFO","loggerName":"com.cisco.tesseract.collectors.ise.pxgridconnection.ConnectionListener","message":"Updated server state to be ACTIVE. id: 289261b9-7332-4f80-91d3-339101b09402 IPaddress: 10.70.70.232","endOfBatch":false,"loggerFqcn":"org.apache.logging.slf4j.Log4jLogger","threadId":415,"threadPriority":5}

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします