Cisco Cisco Identity Services Engine 2.1 プリント

使用此命令，即可提供安全模式的 Cisco ISE 节点︰

使用内部管理员帐户登录到 Cisco ISE 用户界面。

使用 Active Directory 加入 Cisco ISE。

• 从主管理节点获取 Cisco ISE CA 证书和密钥的备份，并在辅助管理节点上还原备份。 这样，即

便发生 PAN 故障，辅助管理节点也能充当外部 PKI 的根 CA 或从属 CA，您可以将辅助管理节
点升级为主管理节点。

• 在您升级分布式部署后，同时符合下列两个条件时，主管理节点的根 CA 证书不会添加到信任

证书存储库：

辅助管理节点（1.2 版本部署中的主管理节点）升级为新部署中的主管理节点

在辅助管理节点上禁用会话服务

这可能会导致身份验证失败，并出现以下错误︰

执行 BYOD 流程期间出现未知的 CA

执行 BYOD 流程期间发生 OCSP 未知错误

对于失败的身份验证，当您从实时日志页面点击“更多详细信息”链接时，会看到这些消息。

解决办法是，在您升级部署并将辅助管理节点升级为新部署中的主管理节点后，从管理员门户
生成新的 ISE 根 CA 证书链（选择 Administration > Certificates > Certificate Signing Requests
> Replace ISE Root CA certificate chain）。

• 如果您使用 RSA SecurID 服务器作为外部身份源，请重置 RSA 节点加密。

• 升级过程会保留策略服务节点组的配置。 此版本的 Cisco ISE 不支持使用组播地址进行节点组

之间的通信。 升级后，节点组迁移，但由于组播地址已不再可用，因此不显示在节点组页面
中。

• 如果您已启用 Posture 服务，请在升级后从主管理节点执行状态更新。

• 在 SNMP 设置下，如果您手动配置了生成策略服务节点的值，则升级期间此配置将会丢失。 重

新配置此值。

• 升级后更新分析器馈送服务，确保安装的是最新的 OUI。

• 检查客户端配置中使用的原生 Supplicant 客户端配置文件，并确保无线 SSID 是正确的。 对于

iOS 设备，如果您尝试连接到的网络已隐藏，请从 iOS Settings 区域中，选中 Enable if target

network is hidden 复选框。

• （仅在您从版本 1.2 或 1.2.1 直接升级时适用）对于登录失败的保证人，应检查保证人组的映

射。 将保证人映射到相应的保证人组。 不是所有保证人组都能在升级过程中迁移，因此某些
保证人可能无法登录到保证人门户。

思科身份服务引擎升级指南，版本 1.4

升级后的任务

升级后的任务