Statusstatussynchronisierung konfigurieren und Fehlerbehebung dafür durchführen

Download-Optionen

PDF (1.2 MB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (1.1 MB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (778.2 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:18. Oktober 2024

Dokument-ID:222483

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einleitung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Hintergrundinformationen

Konfigurieren

Netzwerkdiagramm

Konfigurationen

Überprüfung

Aus DART-Paket

Von der Paketerfassung auf dem Client

Von der ISE

Statusüberprüfung bei Statusstatusänderung neu starten

Fehlerbehebung

Statusstatussynchronisierung startet nicht

Statusstatussynchronisierung schlägt mit Alarm im ISE-Dashboard fehl

Überprüfen Sie, ob dACL für das Berechtigungsprofil "Compliance" konfiguriert wurde.

Bekannte Probleme

Statusstatussynchronisierung schlägt mit Alarm auf der ISE fehl

Einleitung

In diesem Dokument werden die Konfiguration und Verwendung der in Version 3.1 der Cisco Identity Service Engine (ISE) eingeführten Statussynchronisierung beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

Statusablauf auf der Cisco ISE
Konfiguration von Statuskomponenten auf der Cisco ISE

Es wird davon ausgegangen, dass Sie eine Statuskonfiguration anstelle eines beliebigen Typs haben.

Um die später beschriebenen Konzepte besser zu verstehen, sollten Sie die folgenden Schritte durchführen:

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

Cisco ISE Version 3.1
Cisco Secure Client 5.0.00556

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Der ISE-Statusflow lässt in der Regel keine Statusaktualisierung auf dem Client von der ISE zu. Das Cisco Secure Client Posture Module wird verwendet, um den Status des Endgeräts zu bewerten und so lange aufrechtzuerhalten, bis eine Netzwerkänderung, eine regelmäßige Neubewertung oder andere clientseitige Auslöser eintreten. Wenn sich der Endpunkt-Status auf der ISE aufgrund eines Sitzungsabbruchs oder aus anderen Gründen ändert, kann dies dazu führen, dass das Secure Client Posture-Modul von dieser Änderung nichts bemerkt. Der Endpunkt bleibt also im Status Posture Unknown mit eingeschränktem Netzwerkzugriff, bis einer der clientseitigen Auslöser eintritt.

Dieses Dokument befasst sich mit einer neuen Funktion - der Statussynchronisierung. Diese Funktion wurde entwickelt, um dieses Problem zu beheben und es der ISE zu ermöglichen, dem Secure Client Posture Module Feedback zum aktuellen Status des Endpunkts zu geben.

Konfigurieren

Der Port für die Statusprüfung wurde auf jedem ISE-PSN-Knoten eingerichtet, wenn die Statusprüfung aktiviert ist - standardmäßig TCP 8449. Es soll vom Endpunkt aus erreichbar sein, wenn der Endpunkt-Status "Unbekannt" oder "Ausstehend" lautet, und nicht erreichbar, wenn der Endpunkt-Status "Konformität" lautet.

Netzwerkdiagramm

Network diagram

Konfigurationen

Die Konfiguration der Statusüberprüfung besteht aus zwei Teilen:

Konfiguration des AnyConnect-Statusprofils

1.1 Navigieren Sie in der Cisco ISE-GUI zu Richtlinie > Richtlinienelemente > Ergebnisse > Client-Bereitstellung > Ressourcen.

1.2 Wählen Sie das AnyConnect Posture Profile, das Sie bereits verwenden, oder erstellen Sie ein neues Profil.

1.3 Konfigurieren Sie im Bereich "Agent Behavior" das Statusstatus-Synchronisierungsintervall auf einen beliebigen Wert zwischen 1 und 300 Sekunden, 0 - deaktiviert die Statusstatus-Synchronisierung

1.4 Sie können die Liste mit den Statusprüfungen konfigurieren - Secure Client verwendet diese Liste, um den Status ausgewählter PSNs zu überprüfen. Wenn Sie kein PSN auswählen, werden das verbundene PSN und zwei Backup-Server als Backups für die Statusstatussynchronisierung verwendet.

Configuration

2. Konfiguration einer herunterladbaren ACL (dACL) zum Blockieren des Zugriffs auf den Port zur Statussynchronisierung der Cisco ISE, wenn der Status des Clients "Compliant" oder "Non Compliant" lautet. Sie müssen dem Posture State Synchronization-Port für jedes PSN am oberen Rand der ACLs, die für konforme Endpunkte verwendet werden, einen Deny-Eintrag für die Zugriffskontrolle hinzufügen, um den Zugriff auf den Posture State Synchronization-Port zu beschränken, wenn der Endpunktstatus bekannt ist. Beispiel:

deny tcp any host PSN1-IP-ADDRESS eq 8449
deny tcp any host PSN2-IP-ADDRESS eq 8449
permit ip any any

permit ip any any ist nicht obligatorisch, Sie können es mit einem beliebigen Satz von Regeln entsprechend Ihren Bedürfnissen ersetzen.

Hinweis: Wenn der Eintrag "deny" in der dACL nicht konfiguriert ist, wird im Cisco ISE-Dashboard der Alarm "Posture Configuration Detection" ausgelöst, und die Synchronisierung des Status auf dem Endpunkt wird deaktiviert, bis der Cisco Secure Client neu gestartet wird.

Port zur Statussynchronisierung (bidirektionaler Port) kann auf der Konfigurationsseite des Client-Bereitstellungsportals geändert werden. Navigieren Sie zu Administration > Device Portal Management > Client Provisioning > Wählen Sie das gewünschte Portal > Portal Behavior and Flow Settings aus, und öffnen Sie Portal Settings. Der Port für die Statusstatussynchronisierung für das Standard-Client-Bereitstellungsportal kann nicht geändert werden.

Portals Settings and Customization

Überprüfung

Aus DART-Paket

Die Synchronisierung des Statusstatus kann auf Client-Seite überprüft werden, indem Sie die Cisco Secure Client Posture Module-Protokolle (AnyConnect_ISEPosture.txt) aus dem DART-Paket einsehen:

1. Statusüberprüfung abgeschlossen, Status der Statusüberprüfung ist konform.

2022/11/09 12:22:47 [Information] aciseagent Function: Authenticator::sendUIStatus Thread Id: 0xC60 File: authenticator.cpp Line: 1905 Level: debug  MSG_SU_STEP_STATUS, {Status:4,Compliant:2,RemStatus:2,Phase:0,StepNumber:-1,Progress:-1,Attention:1,Cancellable:0,Restartable:0,ErrorMessage:0,Description1:"Compliant.",Description2:"Network access allowed."}.

2. Statusstatussynchronisierungsüberprüfung wurde gestartet.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 143 Level: info  Session Sync Periodic Probing start. 
2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 335 Level: info  Session sync periodic probing thread start.

3. Die HTTPS-Verbindung mit ISE PSN auf dem Port zur Statussynchronisierung (8449) wird initiiert.

2022/11/09 12:22:47 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN]. 
2022/11/09 12:22:47 [Information] aciseagent Function: HttpConnection::MakeRequest Thread Id: 0x296C File: httpconnection.cpp Line: 330 Level: debug  Url=https://ISE-PSN-FQDN:8449/auth/StateSynch.

4. Timeout für Statusstatussynchronisierungssondierung.

2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_winhttp_post Thread Id: 0x296C File: hs_transport_winhttp.c Line: 5815 Level: debug  unable to send request: 12002. 
2022/11/09 12:22:54 [Information] aciseagent Function: hs_transport_post Thread Id: 0x296C File: hs_transport.c Line: 1425 Level: trace  posting data failed. 
2022/11/09 12:22:54 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 394 Level: debug  HTTP Probe failed/timed-out, Retrying...

Von der Paketerfassung auf dem Client

Die auf dem Client erfasste Paketerfassung zeigt SYN-Pakete an, die an den ISE PSN-Knoten auf dem Port für die Statussynchronisierung (8449) ohne SYN-ACK-Antwort von ISE PSN gesendet wurden:

From Packet Capture on the Client

Von der ISE

Die richtige Konfiguration der Statussynchronisierung kann von der ISE-Seite nicht überprüft werden, da die Verbindung am Port für die Statussynchronisierung (8449) fehlschlagen soll.

Statusüberprüfung bei Statusstatusänderung neu starten

1) Die Sitzungsstatusinformationen wurden von der ISE mit dem Statusstatus "Unbekannt" empfangen, während sich der Cisco Secure Client im Status "Konformität" befindet.

2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:24 GMT. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Unknown. 
2022/11/09 12:26:24 [Information] aciseagent Function: dump_http_headers Thread Id: 0x296C File: hs_httpheader.c Line: 442 Level: debug  --------------------.

2) Der Cisco Secure Client bestätigt die Änderung des Status und startet die Statuserkennung neu:

2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 379 Level: debug  Different Session state on ISE = [ ISE-PSN-FQDN]. Restarting discovery. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 387 Level: debug  MSG_NS_SWIFT_RESTART_SEARCH, {manualRescan:0,stopPeriodicProbe:1}. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1431 Level: debug  Restarting Discovery.

3) Der Cisco Secure Client beendet die Synchronisierung des Status, bis die Statusüberprüfung durchgeführt wird:

2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::processMessage Thread Id: 0xC60 File: swifthttprunner.cpp Line: 383 Level: debug  Periodic Probes requested to be stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1436 Level: debug  MSG_PN_STOP_PERIODIC_PROBE sent. 
2022/11/09 12:26:24 [Information] aciseagent Function: SwiftHttpRunner::restartDiscovery Thread Id: 0xC60 File: swifthttprunner.cpp Line: 1437 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:24 [Information] aciseagent Function: hs_transport_free Thread Id: 0xC60 File: hs_transport.c Line: 606 Level: trace  de-initialization done. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped. 
2022/11/09 12:26:24 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x296C File: periodic_probe.cpp Line: 411 Level: info  Session sync periodic probing thread end.

Fehlerbehebung

Statusstatussynchronisierung startet nicht

Wenn in der Protokolldatei AnyConnect_ISEPosture.txt kein Hinweis auf den Start der Statussynchronisierung vorhanden ist und der Client nicht versucht, eine Verbindung mit dem ISE-PSN-Knoten am Port für die Statussynchronisierung herzustellen (8449), überprüfen Sie die Statuskonfigurationsdatei ISEPostureCFG.xml aus dem DART-Paket oder direkt auf dem Client-Computer: "%ProgramData%\Cisco\Cisco\Cisco Secure Client\ISE-Status\" für einen Windows-PC.

Der für die Statussynchronisierung verantwortliche Parameter ist "StateSyncProbeInterval". Er muss mit einem Wert größer als 0 festgelegt werden:

Posture State Synchronization Does not Start

Das Fehlen von "StateSyncProbeInterval" oder eines Werts von "0" bedeutet, dass die Statussynchronisierung deaktiviert ist.

Wenn "Posture State Synchronization Interval" (Statusstatussynchronisierungsintervall) im Statusprofil auf der ISE festgelegt ist, dies jedoch nicht in einer Konfigurationsdatei auf dem Client angezeigt wird, muss die Statusbereitstellung untersucht werden.

Statusstatussynchronisierung schlägt mit Alarm im ISE-Dashboard fehl

Wenn die Statusüberprüfung mit einem Alarm auf der ISE fehlschlägt, bedeutet dies, dass der Cisco Secure Client die ISE auf dem Port für die Statusüberprüfung (8449) erreichen konnte und einen Status für die Sitzung mit dem Status "Konformität" angefordert hat.

Alarm in der ISE-GUI:

Alarm in ISE GUI

Validierung anhand der Paketerfassung

TCP-Verbindung am Port zur Statusüberprüfung (8449) wird hergestellt:

TCP Connection on Posture State Synchronization Established

Validierung aus dem Cisco Secure Client Posture Module-Protokoll

Überprüfen Sie AnyConnect_ISEPosture.txt aus dem DART-Paket:

1) Die HTTPS-Verbindung mit ISE PSN auf dem Port zur Statussynchronisierung (8449) wird initiiert.

2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 357 Level: debug  Sending http session sync periodic probe to [ISE-PSN-FQDN].

2) Informationen zum Sitzungsstatus wurden von der ISE mit dem Statusstatus "Compliant" empfangen.

2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 430 Level: debug  --- Http Response Headers ---. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  HTTP-Version: 1.1. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Status-Code: 200. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Connection: keep-alive. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Date: Wed, 09 Nov 2022 11:26:34 GMT. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Keep-Alive: timeout=20. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Length: 0. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Server: server. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Frame-Options: SAMEORIGIN. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Strict-Transport-Security: max-age=31536000; includeSubDomains. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-Content-Type-Options: nosniff. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' http://www.cisco.com/ data:;. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-XSS-Protection: 1; mode=block. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  Accept-CH: Sec-CH-UA-Arch, Sec-CH-UA-Full-Version, Sec-CH-UA-Mobile, Sec-CH-UA-Model, Sec-CH-UA-Platform-Version, Sec-CH-UA-Platform, Sec-CH-UA. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 437 Level: debug  X-ISE-POSTURE_STATUS: Compliant. 
2022/11/09 12:26:34 [Information] aciseagent Function: dump_http_headers Thread Id: 0x2750 File: hs_httpheader.c Line: 442 Level: debug  --------------------.

3) Die Statusstatussynchronisierung wird aufgrund einer falschen Konfiguration beendet:

2022/11/09 12:26:34 [Error] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 370 Level: error  Incorrect configuration detected by ISE = [ISE-PSN-FQDN], compliant status is not expected. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::sessionSyncProbe Thread Id: 0x2750 File: periodic_probe.cpp Line: 371 Level: debug  MSG_PN_STOP_PERIODIC_PROBE, . 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 210 Level: debug  MSG_PN_STOP_PERIODIC_PROBE received.. 
2022/11/09 12:26:34 [Information] aciseagent Function: PeriodicProbe::ProcessMessage Thread Id: 0xC60 File: periodic_probe.cpp Line: 224 Level: debug  Periodic Probing stopped.

Die Statusüberprüfung kann über die Benutzeroberfläche des Cisco Secure Client nicht neu gestartet werden, indem die Statusüberprüfung oder eine Netzwerkänderung neu gestartet werden. Stattdessen muss der Cisco Secure Client neu gestartet werden, damit die Statusstatussynchronisierung wieder funktioniert.

Überprüfen Sie, ob dACL für das Berechtigungsprofil "Compliance" konfiguriert wurde.

1. Validieren Sie, ob die richtige dACL für das Berechtigungsprofil "Compliance" (konform) konfiguriert ist:

Verify dACL Configured for Posture Compliant Profile

2. Validierung des detaillierten Authentifizierungsberichts dACL wurde als Ergebnis der Authentifizierung des "konformen" Endpunkts korrekt gesendet.

Validate Detailed Authentication Report

3. Überprüfen Sie, ob dACL auf einem Netzwerkzugriffsgerät ordnungsgemäß angewendet wurde:

avakhrus_3560C#sh authe sess int fa0/12 det
            Interface:  FastEthernet0/12
          MAC Address:  0050.56a8.be02
         IPv6 Address:  Unknown
         IPv4 Address:  192.168.255.193
            User-Name:  TRAINING\bob
               Status:  Authorized
               Domain:  DATA
       Oper host mode:  multi-auth
     Oper control dir:  both
      Session timeout:  N/A
      Restart timeout:  N/A
Periodic Acct timeout:  172800s (local), Remaining: 92111s
       Session Uptime:  1515s
    Common Session ID:  C0A8FF0C00000012679EAF14
      Acct Session ID:  0x00000012
               Handle:  0x5D000005
       Current Policy:  POLICY_Fa0/12

Local Policies:
        Service Template: DEFAULT_LINKSEC_POLICY_SHOULD_SECURE (priority 150)

Server Policies:
              ACS ACL:  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac

Method status list:
       Method           State

       mab              Stopped
       dot1x            Authc Success

avakhrus_3560C#sh access-lists | s  xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac
Extended IP access list xACSACLx-IP-avakhrus_posture_probe_ACL-636b75ac (per-user)
    1 deny tcp any host PSN1-IP-ADDRESS eq 8449
    2 deny tcp any host PSN2-IP-ADDRESS eq 8449
    3 permit ip any any

Bekannte Probleme

Statusstatussynchronisierung schlägt mit Alarm auf der ISE fehl

Die Statusstatussynchronisierung kann mit einem Alarm auf der ISE fehlschlagen, selbst wenn auf einem Netzwerkzugriffsgerät eine geeignete dACL auf den Client-Endpunkt angewendet wird. Dies geschieht, wenn der Status-Synchronisationstest schneller ausgeführt wird, als dACL angewendet wird, oder wenn der Status-Synchronisationstest bereits ausgeführt wird, wenn dACL angewendet wird. Das Problem wurde unter der Cisco Bug-ID CSCwd58316 untersucht . Als Workaround müssen Sie die "Network Transition Delay" im AnyConnect Posture-Profil (ISE Posture Agent Profile Settings) auf 10 Sekunden einstellen.