Cisco Identity Services Engine 管理者ガイド リリース 1.3
分散環境での Cisco ISE の設定
分散環境での Cisco ISE の設定

目次

分散環境での Cisco ISE の設定

Cisco ISE 分散展開

複数の Cisco ISE ノードがある展開は、分散展開と呼ばれます。 フェールオーバーをサポートし、パフォーマンスを改善するために、展開に複数の Cisco ISE ノードを分散方式でセットアップできます。 Cisco ISE の分散展開では、管理およびモニタリング アクティビティは一元化され、処理はポリシー サービス ノード間で分配されます。 パフォーマンスのニーズに応じて、展開の規模を変更できます。 展開の各 Cisco ISE ノードは、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。 インライン ポスチャ ノードは、その専門的な特性のため、他のいずれのペルソナも担当することができません。 インライン ポスチャ ノードは、専用ノードである必要があります。

Cisco ISE 展開の用語

次の用語は Cisco ISE 展開シナリオの説明に一般に使用されるものです。

  • サービス:サービスは、ネットワーク アクセス、プロファイラ、ポスチャ、セキュリティ グループ アクセス、モニタリング、トラブルシューティングなどの、ペルソナが提供する固有の機能です。

  • ノード:Cisco ISE ソフトウェアを実行する個別インスタンスです。 Cisco ISE はアプライアンスとして使用でき、VMware で実行できるソフトウェアとしても使用できます。 Cisco ISE ソフトウェアを実行する各インスタンス、アプライアンス、または VMware はノードと呼ばれます。

  • ペルソナ:ノードのペルソナによって、そのノードが提供するサービスが決まります。 Cisco ISE ノードは、管理、ポリシー サービス、モニタリング、インライン ポスチャのペルソナのいずれかを担当できます。 Cisco ISE ノードは、管理、ポリシー サービス、およびモニタリングのペルソナを担当できます。 インライン ポスチャ ペルソナは、専用 Cisco ISE ノードを必要とします。 管理者ポータルで使用できるメニュー オプションは、Cisco ISE ノードが担当するロールおよびペルソナによって異なります。

  • 展開モデル:展開が分散か、スタンドアロンか、スタンドアロンのハイ アベイラビリティ(基本的な 2 ノード構成)かを決定します。

分散 Cisco ISE 展開のペルソナ

Cisco ISE ノードは、管理ペルソナ、ポリシー サービス ペルソナ、モニタリング ペルソナ、またはインライン ポスチャ ペルソナを担当することができます。

Cisco ISE ノードは担当するペルソナに基づき、各種のサービスを提供できます。 展開の各ノードは、インライン ポスチャ ノードを除き、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。 分散展開では、ネットワーク上で次の組み合わせのノードを使用できます。

  • ハイ アベイラビリティ用のプライマリ管理ノードとセカンダリ管理ノード

  • 自動フェールオーバー用の 1 組のモニタリング ノード

  • セッション フェールオーバー用の 1 つ以上のポリシー サービス ノード

  • ハイ アベイラビリティを実現する 1 組のインライン ポスチャ ノード

DNS に ISE ホスト名の正規名(CNAME)レコードを追加する必要があります。 Cisco ISE ノードごとに、A レコードとともに CNAME RR を作成するようにします。 CNAME レコードが作成されていない場合、「CNAME <ノードのホスト名> の DNS 解決に失敗しました(DNS Resolution failed for CNAME <hostname of the node>)」というアラームが発生することがあります。

管理ノード

管理ペルソナの Cisco ISE ノードは、Cisco ISE のすべての管理操作を実行することができます。 認証、許可、監査などの機能に関連したすべてのシステム関連設定を処理します。 分散環境では、1 つのノードのみ、または最大 2 つのノードで管理ペルソナを実行できます。 管理ペルソナは、スタンドアロン、プライマリ、またはセカンダリのロールのいずれかを担当できます。

管理ノードのハイ アベイラビリティ

ハイ アベイラビリティ構成では、プライマリ管理ノードがアクティブ状態になり、すべての設定変更がそのノードに対して行われます。 セカンダリ管理ノードはスタンバイ状態になり、プライマリ管理ノードからすべての設定更新を受信します。 そのため、プライマリ管理ノードの設定の完全なコピーが常に存在することになります。

プライマリ管理ノードがダウンした場合は、セカンダリ管理ノードのユーザ インターフェイスにログインし、手動でセカンダリ管理ノードを昇格する必要があります。 管理ペルソナには自動フェールオーバーがありません。

プライマリ管理ノードがダウンした場合、スポンサーは新しいゲスト アカウントを作成できません。 その間、ゲスト ポータルおよびスポンサー ポータルは、それぞれすでに作成されているゲストおよびスポンサーへの読み取り専用アクセスを提供します。 また、プライマリ管理ノードがオフラインになる前にスポンサー ポータルにログインしなかったスポンサーは、セカンダリ管理ノードが昇格されるか、プライマリ管理ノードが使用可能になるまで、スポンサー ポータルにログインできません。

分散セットアップでは、少なくとも 1 つのノードで管理ペルソナを担当する必要があります。

次の表に、機能のセットと、PAN がダウンしたときにそれらが使用可能かどうかを示します。

機能

PAN ダウン時に使用可能か(はい/いいえ)

既存の内部ユーザの RADIUS 認証

はい

既存または新しい AD ユーザの RADIUS 認証

はい

プロファイル変更がない既存のエンドポイント

はい

プロファイル変更がある既存のエンドポイント

はい

プロファイリングで学習した新しいエンドポイント

はい

既存のゲスト:LWA

はい

既存のゲスト:CWA

はい

ゲストのパスワード変更

いいえ(ゲストは古いパスワードでログインする必要がある)

ゲスト:AUP

はい

ゲスト:ログイン失敗の最大回数の適用

いいえ

新しいゲスト(Sponsored-Guest またはアカウント登録)

いいえ

ポスチャ

はい

新しいデバイスの登録

いいえ

登録済みの既存のデバイス

はい

pxGrid サービス

いいえ

ポリシー サービス ノード

ポリシー サービス ペルソナの Cisco ISE ノードは、ネットワーク アクセス、ポスチャ、ゲスト アクセス、クライアント プロビジョニング、およびプロファイリング サービスを提供します。 このペルソナはポリシーを評価し、すべての決定を行います。 複数のノードがこのペルソナを担当できます。 通常、1 つの分散展開に複数のポリシー サービス ノードが存在します。 ロード バランサの背後に存在するポリシー サービス ノードはすべて、グループ化してノード グループを形成することができます。 ノード グループのいずれかのノードで障害が発生した場合に、その他のノードは障害を検出し、保留中のすべてのセッションをリセットします。

分散セットアップでは、少なくとも 1 つのノードでポリシー サービス ペルソナを担当する必要があります。

ポリシー サービス ノードのハイ アベイラビリティ

分散展開では、要求を均等に分散するためにロード バランサの背後に複数のポリシー サービス ノードを配置することがあります。 ロード バランサは、その背後にある機能ノードに要求を分散します。 また、ノード障害を検出し、障害が発生したノードで保留状態のセッションをリセットするために、2 つ以上のポリシー サービス ノードを同じノード グループに配置できます。 ノード グループに属しているノードがダウンすると、同じノード グループの別のノードが、障害が発生したノードの保留セッションに関する許可変更(CoA)を発行します。

セッションは、許可されている場合は保留状態になりますが、ポスチャ評価は完了しません。 ノード グループを使用せずに分散展開を設定することは可能ですが、障害が発生したポリシー サービス ノードの保留状態のセッションは自動的にはリセットされません。

同じノード グループ内のすべてのノードを、ネットワーク アクセス デバイス(NAD)で RADIUS サーバおよびクライアントとして設定する必要があります。これは、それらすべてのノードで、ノード グループ内の任意のノードに対して、その NAD を介して確立されたセッションに関する CoA 要求を発行できるためです。 ノード グループ内のノードは、NAD で設定されている RADIUS サーバおよびクライアントと同じであるか、またはこれらのサブセットである必要があります。 これらのノードは RADIUS サーバとしても設定できます。

多数の ISE ノード(RADIUS サーバおよび動的許可クライアントとして)を持つ単一の NAD を設定できますが、すべてのノードが同じノード グループに属している必要はありません。

ポリシー サービス ノードでのセッション フェールオーバー

複数のアクティブ セッションがあるポリシー サービス ノードがダウンすると、エンドポイントが中間状態となります。 ポスチャ エージェントが通信していたポリシー サービス ノードのダウンを検出した場合でも、許可を再開することはできません。

ポリシー サービス ノードがノード グループに属している場合は、ノード グループ内のノード間でハートビート メッセージが交換され、ノードの障害が検出されます。 ノードに障害が発生した場合、ノード グループのピアの 1 つによって、障害が発生したノードのアクティブ セッションが検知され、それらのセッションへの接続を解除するための CoA が発行されます。

その結果、RADIUS ロード バランシングを使用して、使用可能な別のポリシー サービス ノードによって、セッションが処理されます。 セッション フェールオーバーでは、ダウンしたポリシー サービス ノードから使用可能なポリシー サービス ノードにセッションが自動的に移動しませんが、セッションを移動するための CoA が発行されます。

ポリシー サービス ノードの障害による認証の失敗

分散展開のポリシー サービス ノードは、マシン アクセス制限(MAR)キャッシュを相互に共有しません。 たとえば、クライアント マシンが、失敗したポリシー サービス ノードの 1 つで認証されている場合、展開の別のポリシー サービス ノードによってユーザ認証が処理されます。 ただし、2 番目のポリシー サービス ノードでは、その MAR キャッシュにホスト認証情報がないため、ユーザ認証に失敗します。

ポリシー サービス ノード グループ内のノード数

ノード グループに含めることができるノードの数は、展開要件によって異なります。 ノード グループを使用すると、確実に、ノードの障害が検出され、許可されたがポスチャされていないセッションに関する CoA がピアによって発行されます。 ノード グループのサイズはあまり大きくする必要はありません。

ノード グループのサイズが増加すると、ノード間で交換されるメッセージおよびハートビートの数が大幅に増加します。 その結果、トラフィックも増加します。 ノード グループ内のノードの数を少なくすることで、トラフィックを削減でき、同時にポリシー サービス ノードの障害を検出するのに十分な冗長性が提供されます。

1 つのノード グループ クラスタに最大 10 個のポリシー サービス ノードを設定できます。

モニタリング ノード

モニタリング ペルソナの機能を持つ Cisco ISE ノードがログ コレクタとして動作し、ネットワーク内のすべての管理およびポリシー サービス ノードからのログ メッセージを保存します。 このペルソナは、ネットワークとリソースを効果的に管理するために使用できる高度なモニタリングおよびトラブルシューティング ツールを提供します。 このペルソナのノードは、収集するデータを集約して関連付けて、意味のある情報をレポートの形で提供します。

Cisco ISE では、プライマリ ロールまたはセカンダリ ロールを担うことができるこのペルソナを持つノードを最大 2 つ使用してハイ アベイラビリティを実現できます。 プライマリ モニタリング ノードおよびセカンダリ モニタリング ノードの両方で、ログ メッセージを収集します。 プライマリ モニタリング ノードがダウンした場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。

分散セットアップでは、少なくとも 1 つのノードでモニタリング ペルソナを担当する必要があります。 同じ Cisco ISE ノードで、モニタリング ペルソナとポリシー サービス ペルソナを有効にしないことを推奨します。 最適なパフォーマンスを実現するために、ノードをモニタリング専用とすることを推奨します。

[モニタリング(Monitoring)] メニューには、展開内のプライマリ管理ノードおよびプライマリ モニタリング ノードからアクセスできます。

モニタリング ノードでの自動フェールオーバー

モニタリング ノードでは真の意味でハイ アベイラビリティがサポートされていないため、自動フェールオーバーという用語が使用されます。 モニタリング ノードの場合、操作監査データはポリシー サービス ノードによって複製されます。ポリシー サービス ノードは、コピーをプライマリ モニタリング ノードとセカンダリ モニタリング ノードの両方に送信します。


(注)  


モニタリングは、プライマリ(アクティブ)モニタリング ノードで行われます。 アクティブ ノードがダウンした場合、モニタリング データは、セカンダリ(スタンバイ)モニタリング ノードからのみ提供されます。 セカンダリ モニタリング ノードは読み取り専用です。


自動フェールオーバー プロセス

プライマリ モニタリング ノードがダウンした場合は、セカンダリ モニタリング ノードがすべてのモニタリング情報およびトラブルシューティング情報を引き継ぎます。 セカンダリ ノードは、読み取り専用機能を提供します。

既存のセカンダリ ノードをアクティブなプライマリ ノードに変換するには、管理者は初めに手動でセカンダリ ノードをプライマリ ロールに昇格する必要があります。 セカンダリ ノードが昇格された後にプライマリ ノードが復旧した場合、プライマリ ノードはセカンダリ ロールを担当します。 セカンダリ ノードが昇格されなかった場合、プライマリ モニタリング ノードは、復旧後にそのロールを再開します。


注意    


プライマリ ノードがフェールオーバー後に復旧すると、バックアップを取得してデータを復元し、プライマリ ノードを最新の状態にします。


モニタリング ノードのアクティブ/スタンバイ ペアを設定するためのガイドライン

ISE ネットワークでは 2 つのモニタリング ノードを指定して、アクティブ-スタンバイ ペアを作成できます。 セカンダリ モニタリング ノードを登録する場合は、プライマリ モニタリング ノードをバックアップしてから、新しいセカンダリ モニタリング ノードにデータを復元することを推奨します。 これにより、新しい変更内容が複製されるため、プライマリ モニタリング ノードの履歴が新しいセカンダリ ノードと同期状態となります。 アクティブ-スタンバイ ペアを定義すると、次のルールが適用されます。

  • すべての変更は、プライマリ モニタリング ノードで行う必要があります。 セカンダリ ノードは読み取り専用です。

  • プライマリ ノードで行った変更は、セカンダリ ノードに自動的に複製されます。

  • プライマリ ノードとセカンダリ ノードは両方とも、他のすべてのノードがログを送信するログ コレクタとしてリストされます。

  • Cisco ISE ダッシュボードは、モニタリングおよびトラブルシューティングの主要なエントリ ポイントとなります。 プライマリ モニタリング ノードからのモニタリング情報が、ダッシュボードに表示されます。 プライマリ ノードがダウンすると、セカンダリ ノードから情報が提供されます。

  • モニタリング データのバックアップおよび消去は、標準 Cisco ISE ノードのバックアップ プロセスでは行われません。 プライマリ モニタリング ノードとセカンダリ モニタリング ノードの両方でバックアップとデータ消去用のリポジトリを設定し、それぞれに同じリポジトリを使用する必要があります。

モニタリング ノードのフェールオーバー シナリオ

次のシナリオは、モニタリング ノード数に応じてアクティブ スタンバイまたは単一ノード構成に適用されます。

  • モニタリング ノードのアクティブ/スタンバイ構成では、プライマリ管理ノード(PAN)またはプライマリ管理ペルソナ(PAP)は、常にアクティブ モニタリング ノードに接続してモニタリング データを収集します。 アクティブなモニタリング ノードに障害が発生した後に、PAN はスタンバイ モニタリング スタンバイ ノードに接続します。 アクティブなモニタリング ノードからスタンバイ モニタリング ノードへのフェールオーバーは、アクティブなモニタリング ノードのダウンから 5 分以上経過した後に行われます。

    ただし、アクティブ ノードに障害が発生した後に、スタンバイ ノードはアクティブ ノードになりません。 アクティブ ノードが復旧すると、管理ノードは再開されたアクティブ ノードからのモニタリング データの収集を再び開始します。

  • アクティブなモニタリング ノードがダウンしている間に、スタンバイ モニタリング ノードをアクティブ ステータスに昇格する場合は、既存のアクティブ モニタリング ノードを登録解除する必要があります。 既存のアクティブ モニタリング ノードを登録解除すると、スタンバイ ノードがアクティブなモニタリング ノードになり、PAN は新しく昇格されたアクティブ ノードに自動的に接続を開始します。

  • アクティブ/スタンバイ ペアでは、展開からスタンバイ モニタリング ノードの登録解除を選択するか、スタンバイ モニタリング ノードがダウンすると、既存のアクティブ モニタリング ノードは、アクティブ ノードの状態を保持します。 PAN は、既存のアクティブ ノードに接続してデータを収集します。

  • ISE 展開内にモニタリング ノードが 1 だけが存在する場合、そのノードは PAN にモニタリング データを提供するアクティブ モニタリング ノードとして機能します。 ただし、新しいモニタリング ノードを登録して展開内でアクティブ ノードにすると、既存のアクティブ モニタリング ノードは自動的にスタンバイ ノードになります。 PAN は、新しく登録されたアクティブ モニタリング ノードへの接続を開始し、モニタリング データを収集します。

Cisco pxGrid サービス

Cisco pxGrid を使用すると、Cisco ISE セッション ディレクトリからの状況依存情報を、ISE エコ システムのパートナー システムなどの他のネットワーク システムや他のシスコ プラットフォームと共有できます。 pxGrid フレームワークは、Cisco ISE とサード パーティのベンダー間でのタグおよびポリシー オブジェクトの共有のように、ノード間でのポリシーおよび設定データの交換に使用できます。また、その他の情報交換にも使用できます。 pxGrid によって、サードパーティ システムは適応型のネットワーク制御アクション(EPS)を呼び出し、ネットワークまたはセキュリティ イベントに応じてユーザ/デバイスを隔離できます。 タグ定義、値、および説明のような TrustSec 情報は、TrustSec トピックを通して Cisco ISE から別のネットワークに渡すことができます。 完全修飾名(FQN)を持つエンドポイント プロファイルは、エンドポイント プロファイル メタ トピックを通して Cisco ISE から他のネットワークに渡すことができます。 Cisco pxGrid は、タグおよびエンドポイント プロファイルの一括ダウンロードもサポートしています。

ハイ アベイラビリティ設定で、Cisco pxGrid サーバは、プライマリ管理ノードを通してノード間で情報を複製します。 プライマリ管理ノードがダウンすると、pxGrid サーバは、クライアントの登録およびサブスクリプション処理を停止します。 pxGrid サーバのプライマリ管理ノードをアクティブにするには、手動で昇格する必要があります。

pxGrid クライアントおよび機能の管理

Cisco ISE に接続するクライアントは、pxGrid サービスの使用を登録する必要があります。 pxGrid クライアントは、クライアントになるために pxGrid SDK を介してシスコから使用可能な pxGrid クライアント ライブラリを採用する必要があります。 Cisco pxGrid クライアントには、pxGrid サービスに参加するための承認済みアカウントが必要です。 Cisco ISE は、自動および手動承認の両方をサポートします。 クライアントは、一意の名前と証明書ベースの相互認証を使用して pxGrid にログインできます。 スイッチの AAA 設定と同様に、クライアントは設定された pxGrid サーバのホスト名または IP アドレスに接続できます。

公開および登録するためにクライアントの pxGrid で作成される、情報トピックまたはチャネル機能があります。 Cisco ISE では、ID、適応型ネットワーク制御、SGA などの機能のみがサポートされます。 機能を有効または無効にすることができます。 無効になっている場合、クライアントは登録されていません。 機能情報は、発行、ダイレクト クエリー、または一括ダウンロード クエリーでパブリッシャから入手してください。

クライアントや機能の有効化

はじめる前に

Cisco pxGrid クライアントからの要求を表示する pxGrid ペルソナを有効にします。

手順
    ステップ 1   [管理(Administration)] > [pxGrid サービス(pxGrid Services)] を選択します。
    ステップ 2   クライアントの隣にあるチェックボックスをオンにして [承認(Approve)] をクリックします。
    ステップ 3   機能を確認するには、右上の [機能別に表示(View by Capabilities)] をクリックします。
    ステップ 4   [リフレッシュ(Refresh)] をクリックすると、最新のステータスが表示されます。

    Cisco pxGrid ライブ ログ

    [ライブ ログ(Live Logs)] ページには、すべての pxGrid 管理イベントが表示されます。 クライアント名と機能名の両方がイベント タイプおよびタイムスタンプとともに表示されます。

    [管理(Administration)] > [pxGrid サービス(pxGrid Services)] > [ライブ ログ(Live Log)] の順に移動して、イベント リストを表示します。 ログを消去して、リストを再同期またはリフレッシュすることもできます。

    Cisco pxGrid の ID マッピング

    pxGrid の ID マッピング オプションを使用すると、Cisco ISE ではなくドメイン コントローラ(DC)で認証されるユーザをモニタすることができます。 Cisco ISE がユーザのネットワーク アクセスをアクティブには認証しないネットワークでは、ID マッピングを使用して、Active Directory(AD)ドメイン コントローラからユーザ認証情報を収集することが可能です。 ID マッピングは、MS WMI インターフェイスを使用して Windows システムに接続し、Windows イベント メッセージからのログをクエリーします。 いったんユーザがネットワークにログインし、Active Directory で認証されると、DC によって、そのユーザに割り当てられたユーザ名と IP アドレスを含むイベント ログが生成されます。

    ID マッピングは、Cisco ISE が認証に対してアクティブな役割を果たしている場合でも、有効にできます。 この場合、同じセッションが 2 回識別されることがあります。 運用データには、ソースを示すセッション属性が含まれます。 [操作(Operations)] > [認証(Authentications)] に移動し、[ライブ セッションの表示(Show Live Sessions)] をクリックして、セッション ソースを確認できます。

    ID マッピング コンポーネントは、ドメイン コントローラからユーザ ログインを取得し、Cisco ISE セッション ディレクトリにインポートします。 そのため、Active Directory(AD)で認証されたユーザは、Cisco ISE のライブ セッション ビューに表示され、サードパーティ製アプリケーションによる Cisco pxGrid インターフェイスを使用してセッション ディレクトリからクエリーすることができます。 既知の情報としては、ユーザ名、IP アドレス、および AD DC ホスト名と AD DC NetBIOS 名があります。

    Cisco ISE はパッシブな役割のみを果たし、認証は行いません。 ID マッピングがアクティブな場合、Cisco ISE は AD からログイン情報を収集し、データをセッション ディレクトリに格納します。

    主な機能

    • ID マッピングは、Cisco ISE 管理コンソールから設定します。 次の設定があります:
      • ID マッピングがユーザ認証情報を収集する際に収集元となるすべての DC の定義。 これには、*.csv ファイルを使用した DC リストのインポートおよびエクスポートも含まれます
      • 認証のセキュリティ プロトコル(NTLMv1 または NTLMv2)やユーザ セッションのエージング タイムなどの DC 接続特性
      • 接続テスト。DC が、ID マッピングで有効な接続を初期化するよう正しく設定されていることを確認します
    • ID マッピング レポート。 このレポートは、トラブルシューティング用に、ID マッピング コンポーネントの情報を提供します
    • ID マッピング デバッグ ログ
    • Cisco ISE セッション ディレクトリは収集されたユーザ情報を保持して、顧客がライブ セッションから参照し、pxGrid インターフェイスからクエリーできるようにします。
    • CLI コマンド show application status を使用すると、ID マッピングを使用するノードのヘルス ステータスが示されます
    • ハイ アベイラビリティのサポート

    接続に成功するための Active Directory 要件

    ID マッピングは、Active Directory ドメイン コントローラによって生成される Active Directory ログイン監査イベントを利用して、ユーザ ログイン情報を収集します。 ID マッピングが適切に動作するには、Active Directory に接続し、ユーザ ログイン情報を取得できる必要があります。

    ID マッピングでの接続に成功するための Active Directory 要件については、『Installation and Configuration Guide for Context Directory Agent』の手順を参照してください。

    ID マッピングの設定

    ISE は、AD ドメイン コントローラ(DC)との接続を確立する必要があります。

    はじめる前に

    ID マッピングを設定できるように pxGrid サービスを有効にします。 pxGrid サービスを有効にするには、[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

    ID マッピングの新しいドメイン コントローラ(DC)を追加するには、その DC のログイン クレデンシャルが必要です。

    手順
      ステップ 1   [管理(Administration)] > [pxGrid ID マッピング(pxGrid Identity Mapping)] > [AD ドメイン コントローラ(AD Domain Controller)] を選択します。
      ステップ 2   [全般設定(General Settings)] をクリックします。
      ステップ 3   [Active Directory の全般設定(Active Directory General Settings)] ポップアップが表示されます。 必要な値を設定したら、[保存(Save)] をクリックします。
      • [履歴間隔(History interval)] は ID マッピングがすでに発生したユーザ ログイン情報を読み取る時間です。 このことは、ID マッピングの起動または再起動時に、ID マッピングが使用できなかった間に生成されたイベントを確認するために必要となります。
      • [ユーザ セッション エージング タイム(User session aging time)] は、ユーザがログインできる時間です。 ID マッピングでは、DC からの新しいユーザ ログイン イベントが識別されますが、DC はユーザがログオフするときにレポートしません。 エージング タイムを使用すると、Cisco ISE で、ユーザがログインする時間間隔を決定できます。
      • ISE と DC の間の通信プロトコルとして [NTLMv1] または [NTLMv2] を選択できます。
      ステップ 4   [追加(Add)] をクリックします。
      ステップ 5   [全般設定(General Settings)] セクションで、DC の [表示名(Display Name)]、[ドメイン FQDN(Domain FQDN)]、および [ホスト FQDN(Host FQDN)] を入力します。
      ステップ 6   [クレデンシャル(Credentials)] セクションで、DC の [ユーザ名(Username)] および [パスワード(Password)] を入力します。
      ステップ 7   (任意)[DC 接続設定の確認(Verify DC Connection Settings)] をクリックして、指定したドメインへの接続をテストします。 このテストでは、DC への接続が正常であることを確認します。 ただし、Cisco ISE がログイン時にユーザ情報を取得できるかどうかは確認しません。
      ステップ 8   [送信(Submit)] をクリックします。 更新されたテーブルは DC のリストに含まれる新しく定義された DC とともに表示されます。 ステータス カラムは DC のさまざまな状態を示します。
      DC リストをインポートまたはエクスポートすることもできます。
      (注)     

      インポート時に、テンプレートにパスワードを入力する必要があります。 ファイルにパスワードが含まれているため、インポート テンプレートは、機密情報として扱う必要があります。 [エクスポート(Export)] オプションは、パスワードをエクスポートしません。


      ID マッピングのフィルタリング

      特定のユーザを名前や IP アドレスに基づいてフィルタリングできます。 フィルタは必要なだけ追加できます。 「OR」論理演算子をフィルタの間に適用します。 両方のフィールドを 1 つのフィルタで指定する場合は、「AND」論理演算子をこれらのフィールドの間に適用します。 モニタリング ライブ セッションに、マッピング フィルタでフィルタリングされていない ID マッピング コンポーネントが表示されます。
      手順
        ステップ 1   [管理(Administration)] > [pxGrid ID マッピング(pxGrid Identity Mapping)] > [マッピング フィルタ(Mapping Filters)] を選択します。
        ステップ 2   [追加(Add)] をクリックし、フィルタするユーザのユーザ名や IP アドレスを入力して、[送信(Submit)] をクリックします。
        ステップ 3   現在モニタリング セッション ディレクトリにログインしてしているフィルタリングされていないユーザを直接表示するには、[操作(Operations)] > [認証(Authentications)] を選択します。

        インライン ポスチャ ノード

        インライン ポスチャ ノードは、ネットワーク上のワイヤレス LAN コントローラ(WLC)および VPN コンセントレータなどのネットワーク アクセス デバイスの背後にある、ゲートキーピング ノードです。 インライン ポスチャ ノードにより、ユーザが認証され、アクセス権が与えられた後にアクセス ポリシーが適用され、WLC または VPN で処理できない許可変更(CoA)要求が処理されます。 Cisco ISE では、プライマリ ロールまたはセカンダリ ロールを担当できるインライン ポスチャ ノードを 2 つ使用してハイ アベイラビリティを実現できます。

        インライン ポスチャ ノードは、専用ノードである必要があります。 このノードはインライン ポスチャ サービス専用である必要があり、他の Cisco ISE サービスと同時に実行することはできません。 同様に、そのサービスの特性のため、インライン ポスチャ ノードはどのペルソナも担当することができません。 たとえば、Cisco ISE ネットワークの管理サービスを提供する管理ノード、ネットワーク アクセス サービス、ポスチャ サービス、プロファイル サービス、およびゲスト サービスを提供するポリシー サービス ノード、またはモニタリング サービスおよびトラブルシューティング サービスを提供するモニタリング ノードとして稼働することはできません。

        インライン ポスチャのペルソナは Cisco ISE 3495 プラットフォームではサポートされません。 インライン ポスチャのペルソナは、サポートされるプラットフォームである Cisco ISE 3315、Cisco ISE 3355、Cisco ISE 3395、または Cisco ISE 3415 のいずれかにインストールしてください。

        インライン ポスチャ ノードの Web ベースのユーザ インターフェイスにアクセスすることはできません。 これは、プライマリ管理ノードからのみ設定できます。

        インライン ポスチャ ノードのインストール

        Cisco.com からインライン ポスチャ ISO イメージをダウンロードし、サポートされているプラットフォームのいずれかにインストールします。 次に、コマンドライン インターフェイス(CLI)を使用して証明書を設定する必要があります。 これで、管理者ポータルからこのノードを登録できます。


        (注)  


        リリース 1.3 用の別個のインライン ポスチャ ISO イメージはありません。 1.2 ISO イメージを使用して、インライン ポスチャ ノードをインストールおよび設定します。


        インライン ポスチャ アプリケーションをインストールして設定した後、インライン ポスチャ ノードを登録するには、証明書を設定する必要があります。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。

        Cisco ISE 分散展開

        複数の Cisco ISE ノードがある展開は、分散展開と呼ばれます。 フェールオーバーをサポートし、パフォーマンスを改善するために、展開に複数の Cisco ISE ノードを分散方式でセットアップできます。 Cisco ISE の分散展開では、管理およびモニタリング アクティビティは一元化され、処理はポリシー サービス ノード間で分配されます。 パフォーマンスのニーズに応じて、展開の規模を変更できます。 展開の各 Cisco ISE ノードは、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。 インライン ポスチャ ノードは、その専門的な特性のため、他のいずれのペルソナも担当することができません。 インライン ポスチャ ノードは、専用ノードである必要があります。

        Cisco ISE 展開の設定

        Cisco Identity Services Engine Hardware Installation Guide』で説明されているように Cisco ISE をすべてのノードにインストールした後、ノードはスタンドアロン状態で稼働します。 次に、1 つのノードをプライマリ管理ノードとして定義する必要があります。 プライマリ管理ノードの定義時に、ノードで管理ペルソナおよびモニタリング ペルソナを有効にする必要があります。 任意で、プライマリ管理ノードでポリシー サービス ペルソナを有効にできます。 プライマリ管理ノードのペルソナ定義のタスクの完了後に、他のセカンダリ ノードをプライマリ管理ノードに登録し、セカンダリ ノードのペルソナを定義できます。

        すべての Cisco ISE システムおよび機能に関連する設定は、プライマリ管理ノードでだけ実行する必要があります。 プライマリ管理ノードで行った設定の変更は、展開内のすべてのセカンダリ ノードに複製されます。

        分散展開内にモニタリング ノードが少なくとも 1 つ存在する必要があります。 プライマリ管理ノードの設定時に、モニタリング ペルソナを有効にする必要があります。 展開内のセカンダリ モニタリング ノードを登録した後、必要に応じてプライマリ管理ノードを編集したり、モニタリング ペルソナを無効にしたりできます。

        プライマリ ISE ノードからセカンダリ ISE ノードへのデータ レプリケーション

        1 つの Cisco ISE ノードをセカンダリ ノードとして登録すると、Cisco ISE はプライマリ ノードからセカンダリ ノードへのデータベース リンクをすぐに作成し、複製のプロセスを開始します。 複製は、プライマリ ノードからセカンダリ ノードに Cisco ISE 設定データを共有するプロセスです。 複製によって、展開を構成するすべての Cisco ISE ノードの設定データの整合性を確実に維持できます。

        通常、最初に ISE ノードをセカンダリ ノードとして登録したときに、完全な複製が実行されます。 完全な複製の実行後は差分複製が実行され、プライマリ管理ノードでの設定データに対する新しい変更(追加、変更、削除など)がセカンダリ ノードに反映されます。 複製のプロセスでは、展開内のすべての Cisco ISE ノードが同期されます。 Cisco ISE 管理者ポータルの展開のページから [ノード ステータス(Node Status)] 列で複製のステータスを表示できます。 セカンダリ ノードとして Cisco ISE ノードを登録するか、またはプライマリ管理ノードとの手動同期を実行すると、要求されたアクションが進行中であることを示すオレンジのアイコンがノード ステータスに表示されます。 これが完了すると、ノード ステータスは、セカンダリ ノードがプライマリ管理ノードと同期されたことを示す緑に変わります。 ノード ステータスが緑になった後、Cisco ISE アプリケーション サーバが再起動し、セカンダリ ISE ノードの設定を完了するまで約 5 分かかります。

        Cisco ISE ノードの登録解除

        展開からノードを削除するには、ノードの登録を解除する必要があります。 プライマリ管理ノードからセカンダリ ノードの登録を解除すると、登録解除されたノードのステータスがスタンドアロンに変わり、プライマリ ノードとセカンダリ ノード間の接続が失われます。 複製の更新は、登録解除されたスタンドアロン ノードに送信されなくなります。


        (注)  


        プライマリ管理ノードの登録は解除できません。


        Cisco ISE アプリケーション サーバの自動再起動

        次のいずれかの変更を行う場合、Cisco ISE ノード内のアプリケーション サーバが再起動して、遅延が発生します。

        • ノードの登録(スタンドアロンからセカンダリへ)

        • ノードの登録解除(セカンダリからスタンドアロンへ)

        • プライマリ ノードからスタンドアロンへの変更(他のノードが登録されていない場合は、プライマリからスタンドアロンに変更されます)

        • 管理ノードの昇格(セカンダリからプライマリへ)

        • ペルソナの変更(ノードからポリシー サービスまたはモニタリング ペルソナを割り当てたり、削除したりする場合)

        • ポリシー サービス ノードでのサービスの変更(セッションとプロファイラ サービスを有効または無効にします)

        • プライマリでのバックアップの復元(同期操作がトリガーされ、プライマリ ノードからセカンダリ ノードにデータが複製されます)

        分散展開を設定する場合のガイドライン

        分散環境で Cisco ISE を設定する前に、次の内容をよく読んでください。

        • ノード タイプ、ISE ノード、またはインライン ポスチャ ノードを選択します。 管理、ポリシー サービス、およびモニタリング機能の場合は、ISE ノードを選択する必要があります。 インライン ポスチャ サービスの場合は、インライン ポスチャ ノードを選択する必要があります。

        • すべてのノードで、同じ Network Time Protocol(NTP)サーバを選択します。 ノード間のタイムゾーンの問題を回避するには、各ノードのセットアップ中に同じ NTP サーバ名を指定する必要があります。 この設定で、展開内にあるさまざまなノードからのレポートとログが常にタイムスタンプで同期されるようになります。

        • Cisco ISE のインストール時に Cisco ISE 管理パスワードを設定します。 以前の Cisco ISE 管理のデフォルトのログイン クレデンシャル(admin/cisco)は無効になっています。 初期セットアップ中に作成したユーザ名とパスワードを使用するか、または後でパスワードを変更した場合はそのパスワードを使用します。

        • ドメイン ネーム システム(DNS)サーバを設定します。 DNS サーバに、分散展開に含まれるすべての Cisco ISE ノードの IP アドレスと完全修飾ドメイン名(FQDN)を入力します。 入力しなかった場合、ノード登録が失敗します。

        • DNS サーバに、分散展開のすべての Cisco ISE ノードの逆引き DNS ルックアップを設定します。 設定しなかった場合、Cisco ISE ノードの登録時および Cisco ISE ノードの再起動時に、展開に関する問題が発生することがあります。
        • (任意)プライマリ管理ノードからセカンダリ Cisco ISE ノードを登録解除して、Cisco ISE をアンインストールします。

        • プライマリ モニタリング ノードをバックアップし、新しいセカンダリ モニタリング ノードにデータを復元します。 これにより、新しい変更内容が複製されるため、プライマリ モニタリング ノードの履歴が新しいセカンダリ ノードと同期状態となります。

        • プライマリ管理 ISE ノードと、セカンダリ ノードとして登録しようとしているスタンドアロン ノードで、同じバージョンの Cisco ISE が実行されていることを確認します。

        • プライマリ ノードとセカンダリ ノードのデータベース パスワードが同じであることを確認します。 ノード インストール中にこれらのパスワードが異なって設定されている場合は、次のコマンドを使用してパスワードを変更できます。

          • application reset-passwd ise internal-database-admin

          • application reset-passwd ise internal-database-user

        プライマリ ノードおよびセカンダリ ノードで使用可能なメニュー オプション

        Cisco ISE ノードは、タスクの実行に使用できる管理者ポータルを提供します。 分散展開を構成する Cisco ISE ノードで使用可能なメニュー オプションは、ノードで有効なペルソナによって異なります。 すべての管理およびモニタリング アクティビティは、プライマリ管理ノードで実行する必要があります。 一部のタスクについては、セカンダリ ノードを使用する必要があります。 このため、セカンダリ ノードのユーザ インターフェイスでは、ノードで有効なペルソナに基づく限定されたメニュー オプションが提供されます。

        1 つのノードが、ポリシー サービス ペルソナとアクティブ ロールのモニタリング ペルソナを担当するなど、複数のペルソナを担当する場合、ポリシー サービス ノードおよびアクティブ モニタリング ノードにリストされているメニュー オプションがそのノードで使用可能となります。

        次の表に、それぞれのペルソナを担当する Cisco ISE ノードで使用可能なメニュー オプションを示します。

        表 1 Cisco ISE ノードおよび使用可能なメニュー オプション

        Cisco ISE ノード

        使用可能なメニュー オプション

        すべてのノード

        • システム時刻と NTP サーバ設定の表示および設定。

        • サーバ証明書のインストール、証明書署名要求の管理。

          (注)     

          サーバ証明書の操作は、各ノードで直接実行する必要があります。 秘密キーは、ローカル データベースに格納されず、関連ノードからコピーされません。秘密キーは、ローカル ファイル システムに格納されます。

        プライマリ管理ノード

        すべてのメニューおよびサブメニュー。

        アクティブ モニタリング ノード

        • ホームおよび操作メニュー。

        • プライマリ モニタリング ノードおよびアクティブ モニタリング ノードの両方からモニタリング データにアクセスできることで、冗長アクセスが提供されます。

        ポリシー サービス ノード

        Active Directory 接続への参加、脱退、およびテストを行うオプション。 各ポリシー サービス ノードが別個に Active Directory ドメインに参加している必要があります。 最初にドメイン情報を定義し、プライマリ管理ノードを Active Directory ドメインに参加させる必要があります。 次に、他のポリシー サービス ノードを Active Directory ドメインに個別に参加させます。

        セカンダリ管理ノード

        セカンダリ管理ノードをプライマリ管理ノードに昇格するオプション。

        (注)     

        プライマリ管理ノードにセカンダリ ノードを登録した後は、いずれのセカンダリ ノードの管理者ポータルにログインする場合にも、プライマリ管理ノードのログイン クレデンシャルを使用する必要があります。

        Cisco ISE ノードの設定

        Cisco ISE ノードをインストールすると、管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナによって提供されるすべてのデフォルト サービスがそのノードで実行されます。 このノードはスタンドアロン状態となります。 Cisco ISE ノードの管理者ポータルにログインして設定する必要があります。 スタンドアロン Cisco ISE ノードのペルソナまたはサービスは編集できません。 ただし、プライマリおよびセカンダリ Cisco ISE ノードのペルソナおよびサービスは編集できます。 最初にプライマリ ISE ノードを設定し、その後、セカンダリ ISE ノードをプライマリ ISE ノードに登録する必要があります。

        ノードに初めてログインする場合は、デフォルトの管理パスワードを変更し、有効なライセンスをインストールする必要があります。

        設定済みの Cisco ISE または本番環境では、ホスト名とドメイン名を変更しないことを推奨します。 これが必要な場合は、初期展開時にアプライアンスのイメージを再作成し、変更を加え、詳細を設定します。

        はじめる前に

        Cisco ISE での分散展開の設定方法に関する基礎を理解しておく必要があります。 分散展開を設定する場合のガイドラインを参照してください。

        手順
          ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
          ステップ 2   設定する Cisco ISE ノードの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
          ステップ 3   必要に応じて値を入力し、[保存(Save)] をクリックします。

          プライマリ管理ノードの設定

          分散展開を設定するには、Cisco ISE ノードをプライマリ管理ノードとして設定する必要があります。

          手順
            ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

            当初は [登録(Register)] ボタンが無効になっています。 このボタンを有効にするには、プライマリ管理ノードを設定する必要があります。

            ステップ 2   現在のノードの隣にあるチェックボックスをオンにして [編集(Edit)] をクリックします。
            ステップ 3   [プライマリにする(Make Primary)] をクリックして、プライマリ管理ノードを設定します。
            ステップ 4   [全般設定(General Settings)] タブでデータを入力します。
            ステップ 5   [保存(Save)] をクリックしてノード設定を保存します。

            次の作業

            1. 展開にセカンダリ ノードを追加します。

            2. 必要に応じて、プロファイラ サービスを有効にし、プローブを設定します。

            セカンダリ Cisco ISE ノードの登録

            セカンダリ ノードを登録した後、プライマリ ノードのデータベースにセカンダリ ノードの設定が追加され、セカンダリ ノードのアプリケーション サーバが再起動します。 再起動が完了した後、セカンダリ ノードでは、そのノードに対して有効にしたペルソナおよびサービスが実行されます。 プライマリ管理ノードの [展開(Deployment)] ページで、行ったすべての設定変更を表示できます。 ただし、変更が反映され、[展開(Deployment)] ページに表示されるには 5 分間の遅延が生じます。

            はじめる前に

            プライマリ ノードの証明書信頼リスト(CTL)に、登録するセカンダリ ノードの HTTPS 証明書を検証するための適切な認証局(CA)証明書があることを確認します。 CTL にセカンダリ ノードの証明書をインポートする場合は、セカンダリ ノードの証明書を検証するようにプライマリ管理ノードの [ISE 内の認証を信頼(Trust for authentication within ISE)] チェックボックスをオンにします。

            プライマリ管理ノードの CTL にインポートする証明書はセカンダリ ノードに複製されます。

            また、セカンダリ ノードをプライマリ ノードに登録した後、セカンダリ ノードで HTTPS 証明書を変更する場合は、プライマリ ノードの CTL に適切な CA 証明書をインポートする必要があります。

            登録時にノードのタイプ(Cisco ISE またはインライン ポスチャ)を決定することを推奨します。 後でノード タイプを変更する場合は、ノードを展開から登録解除し、スタンドアロン ノードで Cisco ISE を再起動してから、そのノードを登録する必要があります。

            ハイ アベイラビリティを実現するために 2 つの管理ノードを展開する場合は、セカンダリ管理ノードを登録してから、その他のセカンダリ ノードを登録します。 この順序でノードを登録する場合は、セカンダリ管理ノードをプライマリに昇格させた後にセカンダリ ISE ノードを再起動する必要はありません。

            セッション サービスを実行する複数のポリシー サービス ノードを、ノード間の相互フェールオーバーを設定して展開する場合は、ノード グループにポリシー サービス ノードを配置します。 ノードを登録する前にノード グループを作成する必要があります。

            手順
              ステップ 1   プライマリ管理ノードにログインします。
              ステップ 2   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
              ステップ 3   [登録(Register)] > [Cisco ISE ノードの登録(Register an Cisco ISE Node)] を選択して、セカンダリ Cisco ISE ノードを登録します。
              ステップ 4   セカンダリ Cisco ISE ノードの DNS 解決可能なホスト名または IP アドレスを入力します。

              Cisco ISE ノードの登録時にホスト名を使用する場合、登録するスタンドアロン ノードの完全修飾ドメイン名(FQDN)(たとえば、abc.xyz.com)は、プライマリ管理 ISE ノードから DNS を使用して解決できる必要があります。 解決できない場合は、ノード登録が失敗します。 DNS サーバでセカンダリ ノードの IP アドレスおよび FQDN を事前に定義しておく必要があります。

              ステップ 5   [ユーザ名(Username)] フィールドおよび [パスワード(Password)] フィールドに、スタンドアロン ノードの UI ベースの管理者クレデンシャルを入力します。
              ステップ 6   [次へ(Next)] をクリックします。

              Cisco ISE はセカンダリ ノードに接続し、ホスト名、デフォルト ゲートウェイなどの基本情報を取得して、表示します。

              セカンダリ Cisco ISE ノードを登録するよう選択している場合は、セカンダリ ノードの設定を編集できます。

              セカンダリ インライン ポスチャ ノードを登録するよう選択している場合は、この時点で追加の設定を行う必要はありません。

              ステップ 7   [保存(Save)] をクリックします。

              セカンダリ ノードが正常に登録されると、プライマリ管理ノードで、ノードの正常な登録を確認するアラームを受信します。 セカンダリ ノードのプライマリ管理ノードへの登録が失敗した場合は、このアラームは生成されません。 ノートが登録されると、そのノードのアプリケーション サーバが再起動します。 登録およびデータベース同期が正常に完了した後、セカンダリ ノードのユーザ インターフェイスにログインするにはプライマリ管理ノードのクレデンシャルを入力します。


              (注)  


              展開の既存のプライマリ ノードに加えて、新しいノードの登録に成功した場合は、新しく登録されたノードに対応するアラームは表示されません。 設定変更アラームは、新しく登録されたノードに対応する情報を反映します。 新しいノードが正常に登録されたことを確認するためにこの情報を使用できます。


              次の作業

              • 時間プロファイル、ゲスト ユーザのアクセスと許可、ロギングなどの時間依存タスクの場合は、ノード間のシステム時刻が同期されていることを確認します。

              • セカンダリ管理ノードを登録し、内部 Cisco ISE CA サービスを使用する場合は、プライマリ管理ノードから Cisco ISE CA 証明書およびキーをバックアップし、セカンダリ管理ノードに復元する必要があります。

              インライン ポスチャ ノードの登録

              登録時にノードのタイプ(Cisco ISE またはインライン ポスチャ)を決定することを推奨します。 後でノード タイプを変更する場合は、ノードを展開から登録解除し、スタンドアロン ノードで Cisco ISE を再起動してから、そのノードを登録する必要があります。

              はじめる前に
              • プライマリ ノードの証明書信頼リスト(CTL)に、登録するセカンダリ ノードの HTTPS 証明書を検証するための適切な認証局(CA)証明書があることを確認します。

              • セカンダリ ノードをプライマリ ノードに登録した後、セカンダリ ノードで HTTPS 証明書を変更する場合は、プライマリ ノードの CTL に適切な CA 証明書をインポートする必要があります。

              手順
                ステップ 1   プライマリ管理ノードにログインします。
                ステップ 2   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                ステップ 3   左側のナビゲーション ペインで、 [展開(Deployment)] をクリックします。
                ステップ 4   [登録(Register)] > [インライン ポスチャ ノードの登録(Register an Inline Posture Node)] を選択して、セカンダリ インライン ポスチャ ノードを登録します。

                展開内のノードの表示

                [展開ノード(Deployment Nodes)] ページで、展開を構成するすべての Cisco ISE ノード、つまりプライマリ ノードおよびセカンダリ ノードを表示できます。

                手順
                  ステップ 1   プライマリ Cisco ISE 管理者ポータルにログインします。
                  ステップ 2   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                  ステップ 3   左側のナビゲーション ペインで、 [展開(Deployment)] をクリックします。

                  展開を構成するすべての Cisco ISE ノードが表示されます。


                  プライマリおよびセカンダリの Cisco ISE ノードの同期

                  Cisco ISE の設定に変更を加えることができるのは、プライマリ管理ノードからのみです。 設定変更はすべてのセカンダリ Cisco ISE ノードに複製されます。 何らかの理由でこの複製が正しく実行されない場合は、プライマリ管理ノードに手動でセカンダリ管理ノードを同期できます。

                  はじめる前に

                  [同期ステータス(Sync Status)] が [同期していない(Out of Sync)] に設定されている場合や [複製ステータス(Replication Status)] が [失敗(Failed)] または [無効(Disabled)] の場合は、[同期を更新(Syncup)] ボタンをクリックして完全複製を強制的に実行する必要があります。

                  手順
                    ステップ 1   プライマリ Cisco ISE 管理者ポータルにログインします。
                    ステップ 2   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                    ステップ 3   プライマリ管理ノードと同期させるノードの横にあるチェックボックスをオンにし、[同期を更新(Syncup)] をクリックして完全データベース複製を強制的に実行します。

                    ポリシー サービス ノード グループの作成

                    ロード バランシング用に複数のポリシー サービス ノードを展開して、要求を均等に分散できます。 ノード障害を検出し、障害が発生したノードで保留状態のセッションをリセットするために、2 つ以上のポリシー サービス ノードを同じノード グループに配置できます。 ノードを追加する前に、ノード グループを作成する必要があります。

                    Cisco ISE 管理者ポータルの [展開(Deployment)] ページで、ポリシー サービス ノード グループを作成、編集、および削除できます。

                    はじめる前に

                    ノード グループ メンバーは TCP/7800 および TCP/7802 を使用して通信できます。

                    手順
                      ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                      ステップ 2   [操作(action)] アイコンをクリックし、[ノード グループの作成(Create Node Group)] をクリックします。
                      ステップ 3   ノード グループに付ける一意の名前を入力します。
                      ステップ 4   (任意)ノード グループの説明を入力します。
                      ステップ 5   [送信(Submit)] をクリックして、ノード グループを保存します。

                      ノード グループを保存すると、左側のナビゲーション ペインにそのグループが表示されます。 左側のペインにノード グループが表示されていない場合、そのグループは非表示になっている可能性があります。 非表示オブジェクトを表示するには、ナビゲーション ペインで [展開(Expand)] ボタンをクリックします。

                      次の作業

                      ノード グループにノードを追加します。 ノードを編集するには、[ノード グループのメンバー(Member of Node Group)] ドロップダウン リストからノード グループを選択します。

                      Cisco pxGrid サービスの展開

                      スタンドアロン ノードと分散展開ノードの両方で、Cisco pxGrid サービスを有効にできます。
                      はじめる前に
                      • Cisco pxGrid サービスを有効にするには、Plus ライセンスが必要です。
                      • Cisco pxGrid サービスは、Cisco ISE SNS 3415/3495 アプライアンスまたは VMware 上で実行されます。
                      • 管理者ノードと pxGrid ノードが同じ場合、これらのノードは同じ自己署名証明書を使用するように設定されます。 他の展開では、pxGrid ノードはルート証明書を使用して設定する必要があります。 pxGrid ノードに接続するすべてのクライアントは、同じルート証明書か、管理者が署名した証明書を提示する必要があります。
                      • 分散展開を使用しているか、または Cisco ISE 1.2 を 1.3 にアップグレードする場合は、証明書で pxGrid サービスを有効にする必要があります。 pxGrid サービスを有効にするには、[管理(Administration)] > [証明書(Certificates)] > [システム証明書(Certificates)] に移動します。 展開に使用される証明書を選択し、[編集(Edit)] をクリックします。 pxGrid を確認します。[pxGrid コントローラ(pxGrid Controller)] チェックボックスの証明書を使用します。
                      手順
                        ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                        ステップ 2   [展開ノード(Deployment Nodes)] ページで、pxGrid サービスを有効にするノードの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                        ステップ 3   [全般設定(General Settings)] タブをクリックし、[pxGrid] チェックボックスをオンにします。
                        ステップ 4   [保存(Save)] をクリックします。

                        以前のバージョンからアップグレードするとき、[保存(Save)] オプションが無効になる場合があります。 このことは、ブラウザ キャッシュが旧バージョンの Cisco ISE の古いファイルを参照する場合に発生します。 [保存(Save)] オプションを有効にするには、ブラウザ キャッシュを消去します。


                        ノード ペルソナとサービスの変更

                        Cisco ISE ノードの設定を編集して、そのノードで実行されているペルソナおよびサービスを変更できます。

                        はじめる前に

                        ポリシー サービス ノードで実行されるサービスを有効または無効にしたり、ポリシー サービス ノードを変更したりする場合は、そのサービスが実行されるアプリケーション サーバ プロセスを再起動します。 これらのサービスが再起動されるまで遅延が発生します。

                        手順
                          ステップ 1   プライマリ管理ノードにログインします。
                          ステップ 2   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                          ステップ 3   ペルソナまたはサービスを変更するノードの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                          ステップ 4   必要なサービスおよびペルソナを選択します。
                          ステップ 5   [保存(Save)] をクリックします。
                          ステップ 6   プライマリ管理ノードでアラームの受信を確認して、ペルソナまたはサービスの変更を確認します。 ペルソナまたはサービスの変更が正常に保存されなかった場合、アラームは生成されません。

                          セカンダリ管理ノードのプライマリへの昇格

                          プライマリ管理ノードで障害が発生した場合、セカンダリ管理ノードを新しいプライマリ ノードに手動で昇格する必要があります。

                          はじめる前に

                          プライマリ管理ノードに昇格するように管理ペルソナで設定された 2 番目の Cisco ISE ノードがあることを確認します。

                          手順
                            ステップ 1   セカンダリ管理ノードのユーザ インターフェイスにログインします。
                            ステップ 2   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                            ステップ 3   [ノードの編集(Edit Node)] ページで、[プライマリに昇格(Promote to Primary)] をクリックします。

                            プライマリ管理ノードに昇格できるのは、セカンダリ管理ノードのみです。 ポリシー サービス ペルソナまたはモニタリング ペルソナ、あるいはその両方のみを担当する Cisco ISE ノードはプライマリ管理ノードに昇格できません。

                            ステップ 4   [保存(Save)] をクリックします。
                            ステップ 5   セカンダリ管理ノードを登録する前に、元のプライマリ管理ノードに登録されたセカンダリ Cisco ISE ノードを再起動します。

                            たとえば、セカンダリ Cisco ISE ポリシー サービス ノードとモニタリング ノードを登録した後にセカンダリ管理ノード(新しいプライマリ)を登録した場合は、セカンダリ管理ノードを登録する前に登録したセカンダリ Cisco ISE ノードを再起動する必要があります。


                            次の作業

                            セカンダリ管理ノードをプライマリ管理ノードに昇格した後、新しく昇格したプライマリ管理ノードで、スケジュール設定された Cisco ISE バックアップを再設定する必要があります。これは、スケジュール バックアップはプライマリ管理ノードからセカンダリ管理ノードに複製されないためです。

                            元はプライマリ管理ノードであったノードは、再起動するとセカンダリ管理ノードになります。 セカンダリ ノードの [ノードの編集(Edit Node)] ページでは、オプションが無効なためペルソナまたはサービスを変更できません。 変更を加えるには、管理者ポータルにログインする必要があります。

                            自動フェールオーバー用のモニタリング ノードの設定

                            展開に 2 つのモニタリング ISE ノードがある場合は、自動フェールオーバーのプライマリ-セカンダリ ペアを設定して、Cisco ISE モニタリング サービスのダウンタイムを回避します。 プライマリ-セカンダリ ペアによって、プライマリ ノードに障害が発生した場合に、セカンダリ モニタリング ノードが自動的にモニタリングを提供します。

                            はじめる前に
                            • 自動フェールオーバー用のモニタリング ノードを設定するには、モニタリング ノードが Cisco ISE ノードとして登録されている必要があります。

                            • 両方のノードでモニタリング ロールおよびサービスを設定し、必要に応じてこれらのノードにプライマリ ロールおよびセカンダリ ロールの名前を付けます。

                            • プライマリ モニタリング ノードとセカンダリ モニタリング ノードの両方でバックアップとデータ消去用のリポジトリを設定します。 バックアップおよび消去を正しく動作させるには、両方のノードに同じリポジトリを使用します。 消去は、冗長ペアのプライマリ ノードおよびセカンダリ ノードの両方で行われます。 たとえば、プライマリ モニタリング ノードでバックアップおよび消去用に 2 つのリポジトリが使用されている場合、同じリポジトリをセカンダリ ノードに指定する必要があります。

                              システム CLI の repository コマンドを使用してモニタリング ノードのデータ リポジトリを設定します。


                              注意    


                              スケジュール バックアップと消去をモニタリング冗長ペアのノードで正しく動作させるには、CLI を使用して、プライマリ ノードとセカンダリ ノードの両方で同じリポジトリを設定します。 リポジトリは、2 つのノードの間で自動的に同期されません。


                            Cisco ISE ダッシュボードで、モニタリング ノードの準備ができていることを確認します。 [システム概要(System Summary)] ダッシュレットに、サービスが準備完了の場合は左側に緑色のチェック マークが付いたモニタリング ノードが表示されます。

                            手順
                              ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                              ステップ 2   [展開ノード(Deployment Nodes)] ページで、アクティブとして指定するモニタリング ノードの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。
                              ステップ 3   [全般設定(General Settings)] タブをクリックし、[ロール(Role)] ドロップダウン リストから [プライマリ(Primary)] を選択します。

                              1 つのモニタリング ノードをプライマリとして選択すると、もう 1 つのモニタリング ノードが自動的にセカンダリとなります。 スタンドアロン展開の場合、プライマリおよびセカンダリのロール設定は無効になります。

                              ステップ 4   [保存(Save)] をクリックします。 アクティブ ノードおよびスタンバイ ノードが再起動します。

                              展開からのノードの削除

                              展開からノードを削除するには、ノードの登録を解除する必要があります。 登録解除されたノードは、スタンドアロン Cisco ISE ノードになります。 これはプライマリ管理ノードから受信した最後の設定を保持し、管理、ポリシー サービス、およびモニタリングであるスタンドアロン ノードのデフォルトのペルソナを担当します。 モニタリング ノードを登録解除した場合、このノードは syslog ターゲットではなくなります。

                              プライマリ管理ノードの [展開(Deployment)] ページからこれらの変更を表示できます。 ただし、変更が反映され、[展開(Deployment)] ページに表示されるには 5 分間の遅延が生じます。

                              はじめる前に

                              展開からセカンダリ ノードを削除する前に、必要に応じて後で復元できる Cisco ISE 設定のバックアップを実行します。

                              手順
                                ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                                ステップ 2   削除するセカンダリ ノードの隣のチェックボックスをオンにして、[登録解除(Deregister)] をクリックします。
                                ステップ 3   [OK] をクリックします。
                                ステップ 4   プライマリ管理ノードのアラームの受信を確認し、セカンダリ ノードが正常に登録解除されたことを確認します。 セカンダリ ノードのプライマリ管理ノードからの登録解除が失敗した場合は、このアラームは生成されません。

                                スタンドアロン Cisco ISE ノードのホスト名または IP アドレスの変更

                                スタンドアロン Cisco ISE ノードのホスト名、IP アドレス、またはドメイン名を変更できます。 ノードのホスト名として「localhost」を使用することはできません。

                                はじめる前に

                                Cisco ISE ノードが分散展開の一部である場合、展開から削除し、スタンドアロン ノードであることを確認する必要があります。

                                手順
                                  ステップ 1   Cisco ISE CLI から hostnameip addressip domain-name の各コマンドを使用して Cisco ISE ノードのホスト名または IP アドレスを変更します。
                                  ステップ 2   すべてのサービスを再起動するために、Cisco ISE CLI から application stop ise コマンドを使用して Cisco ISE アプリケーション設定をリセットします。
                                  ステップ 3   Cisco ISE ノードは、分散展開の一部である場合、プライマリ管理ノードに登録します。
                                  (注)     

                                  Cisco ISE ノードの登録時にホスト名を使用する場合、登録するスタンドアロン ノードの完全修飾ドメイン名(FQDN)(たとえば、abc.xyz.com)は、プライマリ管理ノードから DNS を使用して解決できる必要があります。 解決できない場合は、ノード登録が失敗します。 DNS サーバに、分散展開の一部である Cisco ISE ノードの IP アドレスと FQDN を入力する必要があります。

                                  セカンダリ ノードとして Cisco ISE ノードを登録した後、プライマリ管理ノードは IP アドレス、ホスト名、またはドメイン名への変更を展開内の他の Cisco ISE ノードに複製します。


                                  Cisco ISE アプライアンス ハードウェアの交換

                                  Cisco ISE アプライアンス ハードウェアは、ハードウェアに問題がある場合にのみ交換する必要があります。 ソフトウェアに問題がある場合は、アプリケーションのイメージを再作成し、Cisco ISE ソフトウェアを再インストールできます。

                                  手順
                                    ステップ 1   新しいノードで Cisco ISE ソフトウェアを再インストールするか、またはイメージを再作成します。
                                    ステップ 2   プライマリおよびセカンダリ管理ノードの UDI を使用してライセンスを取得し、プライマリ管理ノードにインストールします。
                                    ステップ 3   交換プライマリ管理ノードでバックアップを復元します。 復元スクリプトはセカンダリ管理ノードでデータの同期を試行しますが、現在セカンダリ管理ノードはスタンドアロン ノードであり、同期は失敗します。 データは、プライマリ管理ノードでバックアップが実行された時刻に設定されます。
                                    ステップ 4   新しいノードをセカンダリ サーバとしてプライマリ管理ノードに登録します。