ISE HA-Mode (Control Webgui)
-
Уважаемые специалисты, У нас есть два Cisco ISE (первичный и вторичный). ![Xibachao1_3-1762920904783.png] У нас есть вопросы по поводу службы Device Admin Services. Для чего она нужна? Мы изучили эту тему и, похоже, она связана со службой Tacas. В webgui ise-primary мы можем контролировать все функции, такие как Livelogs, Cert, Endpoint ... но в webgui ise-secondary есть только вкладка «Администрирование». Мы задаемся вопросом, связано ли это со службой Device Admin, которой нет в ise-secondary? ![Xibachao1_4-1762921211480.png] Кто-нибудь может это объяснить?
-
@Xibachao1
для включения службы Device Admin не требуется перезагрузка. Вы можете управлять кластером (всеми вкладками) только с основного PAN. Вторичный PAN будет управлять кластером только в том случае, если основной вышел из строя и вторичный был повышен в статусе. Только один из них может быть активным для управления кластером. -
@Xibachao1
Да, Device Admin предназначен для управления сетевыми устройствами TACACS+. Похоже, вам просто нужно включить Device Admin на вторичном узле. В основном узле администрирования политик (PAN) перейдите в раздел «Администрирование» > «Развертывание», отредактируйте вторичный узел и выберите
«Включить службу Device Admin».
Нажмите
«Сохранить». В распределенном развертывании только PAN будет отображать все вкладки, поскольку настройка выполняется централизованно на первичном PAN, поэтому вы не увидите все вкладки на других узлах. -
Привет
[, @Rob Ingram]
, Спасибо за поддержку. Еще один вопрос: если я включу эту настройку, потребуется ли перезагрузка или какое-то время простоя? И как я могу управлять всеми вкладками в SPAN (должно быть более 3 узлов, иначе это невозможно, пожалуйста, скажите мне)? Спасибо. -
Необходимо включить все узлы, где это требуется для службы администрирования устройств; для этого не требуется перезапуск ISE. Только PAN сможет управлять всеми узлами в развертывании. BB
=====Пренаямо Васудевам=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco -
Большое спасибо
@Rob Ingram
@balaji.bandi
. Похоже, что оба ISE используют одну и ту же аутентификацию базы данных (репликацию). Поэтому я понимаю, что если ISE-Pri выходит из строя, то вся база данных (удаленные, неудачные, успешные) переключается на ISE-Secondary и не связана со службой «Device admin», верно? Например, пользователь user1 много раз терпел неудачу в ISE-Primary (20 раз) и по-прежнему сохраняет этот счет в ISE-Second, когда ISE-Pri выходит из строя. -
@Xibachao1
Да, но в кластере с двумя узлами вам необходимо вручную повысить статус вторичного узла до первичного. Персона PAN не зависит от роли администратора устройства. Вам просто нужно включить службы на обоих узлах, чтобы они оба работали как серверы TACACS+. -
У вас есть возможность всегда продвигать другой узел в качестве основного. См. руководство для справки: https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/admin_guide/b_ise_admin_3_1/b_ISE_admin_31_deployment.html#ID246 BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти