Cisco Identity Services Engine 管理者ガイド リリース 1.3
バックアップ/復元操作
バックアップ/復元操作

目次

バックアップ/復元操作

バックアップ データ型

Cisco ISE では、プライマリまたはスタンドアロン管理ノードとモニタリング ノードからデータをバック アップすることができます。 バックアップは CLI またはユーザ インターフェイスから実行できます。

Cisco ISE では次のタイプのデータのバックアップが可能です。

  • 設定データ:アプリケーション固有および Cisco ADE オペレーティング システム両方の設定データが含まれます。

  • 運用データ:モニタリングおよびトラブルシューティング データが含まれます。

復元操作は、Cisco ISE の以前のバージョンのバックアップ ファイルを使用して実行し、それ以降のバージョンに復元します。たとえば、Cisco ISE リリース 1.1 の ISE ノードのバックアップがあれば、それを Cisco ISE リリース 1.2 に復元できます。

バックアップ/復元リポジトリ

Cisco ISE では管理者ポータルを使用してリポジトリを作成および削除することができます。 次のタイプのリポジトリを作成できます。

  • ディスク

  • FTP

  • SFTP

  • NFS

  • CD-ROM

  • HTTP

  • HTTPS

SNS 3415 および SNS 3495 アプライアンスで利用可能な物理 CD-ROM はありません。 KVM を使用して作成された仮想 CD-ROM を CD-ROM としてリポジトリ タイプを作成できます。


(注)  


リポジトリは、各デバイスに対してローカルです。



(注)  


小規模な展開(100 個以下のエンドポイント)では、10 GB のリポジトリを、中規模の展開では 100 GB のリポジトリを、大規模な展開では 200 GB のリポジトリを用意することを推奨します。


リポジトリの作成

リポジトリを作成するには、CLI と GUI を使用できます。 次の理由により、GUI を使用することを推奨します。

  • CLI で作成されたリポジトリはローカルに保存され、他の展開ノードに複製されません。 これらのリポジトリは、GUI のリポジトリ ページに表示されません。

  • プライマリ管理ノードで作成されたリポジトリは、他の展開ノードに複製されます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

手順
    ステップ 1   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] を選択します。
    ステップ 2   [追加(Add)] をクリックして、新しいリポジトリを追加します。
    ステップ 3   新しいリポジトリのセット アップの必要に応じて値を入力します。
    ステップ 4   [送信(Submit)] をクリックしてリポジトリを作成します。
    ステップ 5   左側の [操作(Operations)] ナビゲーション ペインで [リポジトリ(Repository)] をクリックするか、このページ上部の [リポジトリ リスト(Repository List)] リンクをクリックして、リポジトリのリスト ページに移動して、リポジトリが正常に作成されていることを確認します。

    次の作業

    • Cisco ISE コマンドライン インターフェイスで次のコマンドを実行して、作成したリポジトリが動作していることを確認します。

      show repository repository_name

      ここで、repository_name は作成したリポジトリの名前です。


      (注)  


      リポジトリの作成時に指定したパスが存在しない場合、「%無効なディレクトリです(%Invalid Directory)」というエラーが表示されます。


    • オンデマンド バックアップを実行するかバックアップのスケジュールを設定します。

    オンデマンドおよびスケジュール バックアップ

    Cisco ISE では、プライマリ管理ノードとプライマリ モニタリング ノードのオンデマンド バックアップができます。 バックアップ データがすぐに必要な場合にオンデマンド バックアップを実行します。

    Cisco ISE では、1 回、毎日、毎週、または毎月実行するようにシステム レベル バックアップをスケジュールできます。 バックアップ操作は長時間かかる場合がありますが、スケジュールできるため中断が発生することはありません。 バックアップは、Cisco ISE CLI または Cisco ISE 管理者ポータルからスケジュールできます。


    (注)  


    Cisco ISE リリース 1.2 にアップグレードする場合は、バックアップ ジョブのスケジュール設定を再作成する必要があります。


    オンデマンド バックアップの実行

    オンデマンド バックアップを実行して、即座に設定データまたはモニタリング(運用)データをバックアップすることができます。 復元操作では、バックアップ取得時の設定状態に Cisco ISE が復元されます。

    重要:

    バックアップと復元を行う場合、復元によって、ターゲット システムの信頼できる証明書のリストがソース システムの証明書のリストによって上書きされます。 バックアップおよび復元機能に、内部認証局(CA)証明書に関連付けられている秘密キーが含まれていないことを確認することが重要です。

    1 つのシステムから別のシステムにバックアップと復元を行う場合、エラーを回避するには、次のオプションのいずれか 1 つを選択する必要があります。

    • オプション 1:

      CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲット システムに CLI を使用してインポートします。

      長所:ソース システムからエンドポイントに発行された証明書は、すべて引き続き信頼されます。 ターゲット システムによって発行された新しい証明書は、同じキーによって署名されます。

      短所:復元機能の前にターゲット システムによって発行された証明書は信頼されず、再発行される必要があります。

    • オプション 2:

      復元プロセスの後、内部 CA のすべての新しい証明書を生成します。

      長所:このオプションでは元のソース証明書や元のターゲット証明書は使用されないため、クリーンな方式として推奨されます。 元のソース システムによって発行された証明書は引き続き信頼されます。

      短所:復元機能の前にターゲット システムによって発行された証明書は信頼されず、再発行される必要があります。

    はじめる前に
    • この作業を実行する前に、Cisco ISE のバックアップ データのタイプの基本を理解している必要があります。

    • バックアップ ファイルを格納するリポジトリを作成したことを確認します。

    • ローカル リポジトリを使用してバック アップしないでください。 リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバック アップすることはできません。

    • バックアップを取得する前に、すべての証明書関連の変更を実行します。

    • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。


      (注)  


      バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。 これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。 バックアップを復元するには、リポジトリを選択し、[復元(Restore)] をクリックします。


    手順
      ステップ 1   [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。
      ステップ 2   [すぐにバックアップ(Backup Now)] をクリックします。
      ステップ 3   バックアップを実行するために必要な値を入力します。
      ステップ 4   [OK] をクリックします。
      ステップ 5   バックアップが正常に完了したことを確認します。

      Cisco ISE はタイムスタンプを持つバックアップ ファイル名を付け、指定されたリポジトリにファイルを保存します。 タイムスタンプに加えて、Cisco ISE は設定バックアップには CFG タグ、操作バックアップには OPS タグを追加します。 バックアップ ファイルが指定リポジトリにあることを確認します。

      分散展開では、バックアップの実行中にノードのロールを昇格させたり、ノードの設定を行ったりすることはできません。 バックアップの実行中にノードのロールを変更すると、すべてのプロセスがシャットダウンし、データに不一致が生じる場合があります。 ノードのロールを変更する際は、バックアップが完了するまで待機してください。


      バックアップのスケジュール

      このページを使用して、設定やモニタリング バックアップをスケジュールすることができます。

      重要:

      バックアップと復元を行う場合、復元によって、ターゲット システムの信頼できる証明書のリストがソース システムの証明書のリストによって上書きされます。 バックアップおよび復元機能に、内部認証局(CA)証明書に関連付けられている秘密キーが含まれていないことを確認することが重要です。

      1 つのシステムから別のシステムにバックアップと復元を行う場合、エラーを回避するには、次のオプションのいずれか 1 つを選択する必要があります。

      • オプション 1:

        CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲット システムに CLI を使用してインポートします。

        長所:ソース システムからエンドポイントに発行された証明書は、すべて引き続き信頼されます。 ターゲット システムによって発行された新しい証明書は、同じキーによって署名されます。

        短所:復元機能の前にターゲット システムによって発行された証明書は信頼されず、再発行される必要があります。

      • オプション 2:

        復元プロセスの後、内部 CA のすべての新しい証明書を生成します。

        長所:このオプションでは元のソース証明書や元のターゲット証明書は使用されないため、クリーンな方式として推奨されます。 元のソース システムによって発行された証明書は引き続き信頼されます。

        短所:復元機能の前にターゲット システムによって発行された証明書は信頼されず、再発行される必要があります。

      はじめる前に
      • このタスクを実行する前に、バックアップ可能なデータのタイプと、オンデマンドおよびスケジュール バックアップの基本を理解している必要があります。

      • リポジトリを設定していることを確認します。

      • ローカル リポジトリを使用してバック アップしないでください。 リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバック アップすることはできません。

      • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

      • Cisco ISE 1.1 以前のリリースから Cisco ISE 1.2 にアップグレードする場合、バックアップのスケジュールを再設定する必要があります。 『Cisco Identity Services Engine Upgrade Guide, Release 1.2』の「既知のアップグレードの問題」の項を参照してください。


        (注)  


        バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。 これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。


      手順
        ステップ 1   [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。
        ステップ 2   [作成(Create)] をクリックして、設定または操作バックアップをスケジュールします。
        ステップ 3   必要に応じてバックアップをスケジュールするための値を入力します。
        ステップ 4   [保存(Save)] をクリックして、バックアップをスケジュールします。
        ステップ 5   このページの上部にある [リフレッシュ(Refresh)] リンクをクリックして、バックアップのスケジュールを表示します。

        作成できる設定または操作バックアップのスケジュールは 1 回に 1 つだけです。 スケジュール バックアップは有効化または無効化できますが、削除はできません。

        CLI を使用してバックアップのスケジュールを設定するには、kron CLI コマンドを使用します。 CLI と GUI のこちらからでもバックアップをスケジュールできますが、GUI から実行することを推奨します。


        CLI を使用したバックアップ

        CLI と GUI の両方からバックアップをスケジュールできますが、GUI から実行することを推奨します。 ただし、セカンダリ モニタリング ノードの操作バックアップは、CLI からのみ実行できます。

        バックアップ履歴

        バックアップ履歴は、スケジュールまたはオンデマンド バックアップに関する基本情報です。 バックアップ履歴には、バックアップ名、バックアップ ファイルのサイズ、バックアップが保存されているリポジトリ、バックアップが取られたタイム スタンプを表示します。 この情報は、操作監査レポートまたは、履歴テーブルの [バックアップ/復元(Backup and Restore)] ページから入手できます。

        バックアップが失敗すると、Cisco ISE がアラームをトリガーします。 バックアップ履歴ページに失敗の原因が表示されます。 障害の原因は操作監査レポートにも記載されます。 障害の原因が欠落しているか明確でない場合は、Cisco ISE CLI から backup-logs コマンドを実行し、ADE.log でより詳細な情報が確認できます。

        バックアップ操作の実行中は、show backup status CLI コマンドを使用して、バックアップ操作の進行状況を確認することができます。

        バックアップ履歴は、Cisco ADE オペレーティング システムの設定データとともに保存されています。 つまり、アプリケーションのアップグレード後もそこに残っており、プライマリ管理ノードのイメージを再作成した場合にのみ削除されます。

        バックアップの失敗

        バックアップが失敗した場合は、次を確認してください。

        • 他のバックアップが同時に実行されていないことを確認します。

        • 設定したリポジトリの使用可能なディスク領域を確認します。

          • バックアップのモニタリングは、モニタリング データがモニタリング データベースに割り当てられたサイズの 75% を超えると失敗します。 たとえばモニタリング ノードが 600 GB 割り当てられており、モニタリング データがストレージの 450 GB を超える領域を消費すると、モニタリングのバックアップは失敗します。

          • データベースのディスク使用量が 90% を超える場合、消去が発生してデータベースを割り当てられたサイズの 75% 以下のサイズにします。

        • 消去が進行中かどうかを確認します。 消去の進行中はバックアップ/復元操作は動作しません。

        • リポジトリが正しく設定されていることを確認します。

        Cisco ISE 復元操作

        プライマリまたはスタンドアロン管理ノードに設定データを復元できます。 プライマリ管理ノードにデータを復元したら、手動でセカンダリ ノードをプライマリ管理ノードと同期する必要があります。

        運用データを復元するプロセスは、展開のタイプによって異なります。


        (注)  


        Cisco ISE リリース 1.2 の新しいバックアップ/復元のユーザ インターフェイスは、バックアップ ファイル名のメタデータを使用します。 したがって、バックアップが完了後に、バックアップ ファイル名を手動で変更しないでください。 手動でバックアップ ファイル名を変更すると、Cisco ISE バックアップ/復元のユーザ インターフェイスは、バックアップ ファイルを認識できません。 バックアップ ファイル名を変更しなければならない場合は、バックアップの復元に Cisco ISE CLI を使用する必要があります。


        データの復元に関するガイドライン

        次は、Cisco ISE バックアップ データを復元する場合に従うべきガイドラインです。

        • あるタイムゾーン内のプライマリ管理ノードからバックアップを取得して、別のタイプゾーン内の別の Cisco ISE ノードに復元する場合、復元プロセスが失敗することがあります。 この問題は、バックアップ ファイルのタイムスタンプが、バックアップが復元される Cisco ISE ノードのシステム時刻より新しい場合に発生します。 同じバックアップを、取得後 1 日経過してから復元すると、バックアップ ファイルのタイムスタンプが過去のものになり、復元プロセスは成功します。

        • バックアップを取得したホスト名と別のホスト名を持つプライマリ Cisco ISE ノードにバックアップを復元すると、プライマリ Cisco ISE ノードはスタンドアロン ノードになります。 展開が切断し、セカンダリ ノードは機能しなくなります。 スタンドアロン ノードをプライマリ ノードにし、セカンダリ ノードの設定をリセットしてプライマリ ノードに再登録する必要があります。 Cisco ISE ノードの設定をリセットするには、Cisco ISE CLI から次のコマンドを入力してください。

          • application reset-config ise

        • システムのタイムゾーンは、最初の Cisco ISE インストールおよびセットアップ後に変更しないことを推奨します。

        • 展開の 1 つ以上のノードの証明書設定を変更した場合は、データを復元するための別のバックアップをスタンドアロン Cisco ISE ノードまたはプライマリ管理ノード(PAN)から取得する必要があります。 そうしないで古いバックアップを使用してデータを復元すると、ノード間の通信が失敗する可能性があります。

        • PAN 上で設定バックアップを復元した後に、以前にエクスポートした Cisco ISE CA 証明書およびキーをインポートできます。

          (注)  


          Cisco ISE CA 証明書およびキーをエクスポートしなかった場合は、PAN 上で設定バックアップを復元した後に、PAN およびポリシー サービス ノード(PSN)でルート CA および下位 CA を生成します。


        • Cisco ISE がバックアップ ファイルを格納するデータ リポジトリが必要です。 オンデマンドまたはスケジュール設定されたバックアップを実行する前に、リポジトリを作成する必要があります。

        • スタンドアロン管理ノードに障害が発生した場合、設定バックアップを実行して復元する必要があります。 プライマリ管理ノードで障害が発生した場合、分散セットアップを使用してセカンダリ管理ノードをプライマリに昇格できます。 その後、新しいプライマリ管理ノードにデータを復元できます。


          (注)  


          Cisco ISE では、backup-logs CLI コマンドも使用できます。このコマンドを使用して、ログやコンフィギュレーション ファイルの収集を行い、これらをトラブルシューティングに利用できます。


        CLI からの設定またはモニタリング バックアップの復元

        デフォルト

        Cisco ISE CLI から設定データを復元するには、EXEC モードで restore コマンドを使用します。 設定または操作バックアップからデータを復元するには、次のコマンドを使用します。

        restore filename repository repository-name encryption-key hash|plain encryption-key name include-adeos

        構文の説明

        restore

        設定または操作バックアップからデータを復元するには、このコマンドを入力します。

        filename

        リポジトリに存在するバックアップ ファイルのファイル名。 最大 120 文字の英数字をサポートします。

        (注)     

        ファイル名の後に、tar.gpg という拡張子を付ける必要があります(myfile.tar.gpg など)。

        repository

        バックアップを含むリポジトリを指定します。

        repository-name

        バックアップを復元するリポジトリの名前。

        encryption-key

        (オプション)バックアップを復元するユーザ定義の暗号キーを指定します。

        hash

        バックアップを復元するためのハッシュされた暗号キー。 使用する暗号化された(ハッシュ化された)暗号キーを指定します。 最大 40 文字までサポートします。

        plain

        バックアップを復元するためのプレーン テキストの暗号キー。 使用する暗号化されたプレーン テキストの暗号キーを指定します。 15 文字までサポートされます。

        encryption-key name

        暗号キーを入力します。

        include-adeos

        (オプション、設定バックアップのみに該当)設定バックアップから ADE-OS 設定を復元する場合に、このコマンド オペレータ パラメータを入力します。 設定バックアップを復元場合にこのパラメータを含めないと、Cisco ISE は Cisco ISE アプリケーション設定データのみを復元します。

        デフォルトの動作または値はありません。

        EXEC

        Cisco ISE で restore コマンドを使用すると、Cisco ISE サーバが自動的に再起動します。

        データの復元処理で、暗号キーはオプションです。 暗号キーを指定しなかった以前のバックアップの復元をサポートするために、暗号キーなしで restore コマンドを使用できます。

        
        ise/admin# restore mybackup-100818-1502.tar.gpg repository myrepository encryption-key plain Lab12345
        Restore may require a restart of application services. Continue? (yes/no) [yes] ? yes
        Initiating restore.  Please wait...
        ISE application restore is in progress.
        This process could take several minutes. Please wait...
        Stopping ISE Application Server...
        Stopping ISE Monitoring & Troubleshooting Log Processor...
        Stopping ISE Monitoring & Troubleshooting Log Collector...
        Stopping ISE Monitoring & Troubleshooting Alert Process...
        Stopping ISE Monitoring & Troubleshooting Session Database...
        Stopping ISE Database processes...
        Starting ISE Database processes...
        Starting ISE Monitoring & Troubleshooting Session Database...
        Starting ISE Application Server...
        Starting ISE Monitoring & Troubleshooting Alert Process...
        Starting ISE Monitoring & Troubleshooting Log Collector...
        Starting ISE Monitoring & Troubleshooting Log Processor...
        Note: ISE Processes are initializing. Use 'show application status ise'
              CLI to verify all processes are in running state.
        ise/admin#
        
         

        説明

        backup

        バックアップ(Cisco ISE と Cisco ADE OS)を実行して、そのバックアップをリポジトリに保存します。

        backup-logs

        システム ログをバックアップします。

        repository

        バックアップ設定のリポジトリ サブモードを入力します。

        show repository

        特定のリポジトリにある使用可能なバックアップ ファイルを表示します。

        show backup history

        システムのバックアップ履歴を表示します。

        show backup status

        バックアップ操作のステータスを表示します。

        show restore status

        復元操作のステータスを表示します。

        いずれかのセカンダリ ノードでアプリケーション復元後の同期ステータスおよび複製ステータスが [同期していない(Out of Sync)] になっている場合、該当セカンダリ ノードの証明書をプライマリ管理ノードに再インポートして、手動同期を実行する必要があります。

        GUI からの設定バックアップの復元

        管理者ポータルで設定バックアップを復元できます。 GUI には Cisco ISE リリース 1.2 からのバックアップのみ表示されます。 このリリースより前のバックアップを復元するには、CLI から restore コマンドを使用します。

        手順
          ステップ 1   [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。
          ステップ 2   バックアップの名前を設定バックアップのリストから選択し、[復元(Restore)] をクリックします。
          ステップ 3   バックアップ時に使用した暗号キーを入力します。
          ステップ 4   [復元(Restore)] をクリックします。

          次の作業

          Cisco ISE CA サービスを使用する場合は、次のことを実行する必要があります。

          1. Cisco ISE CA ルート チェーン全体を再生成します。

          2. Cisco ISE CA 証明書およびキーのバックアップを PAN から取得し、セカンダリ管理ノードで復元します。 これにより、PAN の障害時にセカンダリ管理ノードがルート CA または外部 PKI の下位 CA として機能するようになり、セカンダリ管理ノードを PAN に昇格させることができます。

          モニタリング データベースの復元

          モニタリング データベースを復元するプロセスは、展開のタイプによって異なります。 次の項では、スタンドアロンおよび分散展開でモニタリング データベースを復元する方法について説明します。

          Cisco ISE リリース 1.0、1.0.4、1.1 から Cisco ISE リリース 1.2 までのオンデマンド モニタリング データベースのバックアップを復元するには、CLI を使用する必要があります。 Cisco ISE リリース間でのスケジュール バックアップの復元はサポートされていません。


          (注)  


          データが取得されたノードとは別のノードにデータを復元しようとする場合、新しいノードを指すロギング ターゲット設定を設定する必要があります。 これにより、モニタリング syslog が正しいノードに送信されるようになります。


          スタンドアロン環境でのモニタリング バックアップの復元

          GUI には Cisco ISE リリース 1.2 からのバックアップのみ表示されます。 このリリースより前のバックアップを復元するには、CLI から restore コマンドを使用します。

          はじめる前に
          • 古いモニタリング データを消去します。

          • バックアップをスケジュールするか、オンデマンド バックアップを実行します。

          手順
            ステップ 1   [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。
            ステップ 2   バックアップの名前を操作バックアップのリストから選択し、[復元(Restore)] をクリックします。
            ステップ 3   バックアップ時に使用した暗号キーを入力します。
            ステップ 4   [復元(Restore)] をクリックします。

            管理およびモニタリングペルソナによるモニタリング バックアップの復元

            管理およびモニタリング ペルソナを使用して、分散環境でのモニタリング バックアップを復元することができます。

            はじめる前に
            • 古いモニタリング データを消去します。

            • バックアップをスケジュールするか、オンデマンド バックアップを実行します。

            手順
              ステップ 1   別の Cisco ISE ノードをプライマリ管理ノードとして昇格する準備を行います。そのためには、このノードを、バックアップする既存のプライマリ ノードと同期します。

              これにより、昇格する Cisco ISE ノードの設定が最新になります。

              ステップ 2   新しく同期した管理ノードをプライマリ ステータスに昇格します。
              ステップ 3   バックアップされるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。

              展開内に、機能中のモニタリング ノードが少なくとも 1 つ必要です。

              ステップ 4   バックアップされるノードを登録解除します。
              ステップ 5   新しく登録解除されたノードにモニタリング バックアップを復元します。
              ステップ 6   現在の管理ノードにより新たに復元されたノードを登録します。
              ステップ 7   新たに復元されて登録されたノードをプライマリ管理ノードに昇格します。

              モニタリング ペルソナによるモニタリング バックアップの復元

              分散環境のモニタリング バックアップは、モニタリング ペルソナによってのみ復元できます。

              はじめる前に
              • 古いモニタリング データを消去します。

              • バックアップをスケジュールするか、オンデマンド バックアップを実行します。

              手順
                ステップ 1   復元されるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。

                展開内に、機能中のモニタリング ノードが少なくとも 1 つ必要です。

                ステップ 2   復元されるノードを登録解除します。
                (注)     

                登録解除が完了するのを待機してから、復元に進みます。 復元を続行する前に、ノードがスタンドアロン状態になっている必要があります。

                ステップ 3   新しく登録解除されたノードにモニタリング バックアップを復元します。
                ステップ 4   現在の管理ノードにより新たに復元されたノードを登録します。
                ステップ 5   新たに復元されて登録されたノードをプライマリ管理ノードに昇格します。

                復元履歴

                操作の監査レポートからは、すべての復元操作、ログ イベント、ステータスに関する情報を取得することができます。


                (注)  


                ただし操作の監査レポートには、前回の復元操作に対応する開始時間に関する情報はありません。


                トラブルシューティング情報を入手するには、Cisco ISE CLI から backup-logs コマンドを実行して、ADE.log ファイルを調べる必要があります。

                復元操作の進行中は、すべての Cisco ISE サービスは停止します。 show restore status CLI コマンドを使用して、復元操作の進行状況を確認できます。

                認証および許可ポリシー設定のエクスポート

                認証および許可ポリシー設定を XML ファイルの形式でエクスポートし、これをオフラインで読み取って設定エラーを特定し、トラブルシューティングのために使用できます。 この XML ファイルには認証および許可ポリシー ルール、単純および複合ポリシー条件、dACL、および許可プロファイルが含まれます。 XML ファイルを電子メールで送信するか、ローカル システムに保存することを選択できます。

                手順
                  ステップ 1   [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup & Restore)] を選択します。
                  ステップ 2   [ポリシーのエクスポート(Policy Export)] をクリックします。
                  ステップ 3   必要に応じて値を入力します。
                  ステップ 4   [エクスポート(Export)] をクリックします。

                  XML ファイルの内容を表示するには、ワードパッドなどのテキスト エディタを使用します。


                  分散環境でのプライマリ ノードとセカンダリ ノードの同期

                  分散環境では、プライマリ管理ノードのバックアップ ファイルの復元後に、プライマリおよびセカンダリ ノードの Cisco ISE データベースが自動的に同期されないことがあります。 この場合には、プライマリ管理ノードからセカンダリ ISE ノードへの完全複製を手動で強制実行できます。 強制同期は、プライマリ ノードからセカンダリ ノードへのみ可能です。 同期操作中は、設定を変更することはできません。 Cisco ISE では、同期が完全に完了した後にのみ、他の Cisco ISE 管理者ポータル ページに移動して設定変更を行うことができます。

                  はじめる前に

                  次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

                  手順
                    ステップ 1   [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。
                    ステップ 2   非同期レプリケーション ステータスのセカンダリ ISE ノードの横にあるチェックボックスをオンにします。
                    ステップ 3   [同期(Syncup)] をクリックし、ノードがプライマリ管理ノードと同期されるまで待ちます。 Cisco ISE 管理者ポータルへのアクセスは、このプロセスが完了するのを待たなければなりません。

                    スタンドアロンおよび分散展開での失われたノードの復元

                    この項では、スタンドアロンおよび分散展開での失われたノードの復元に使用できるトラブルシューティング情報を提供します。 次の使用例の一部では、失われたデータの復旧にバックアップと復元機能を使用し、その他の使用例では、複製機能を使用しています。

                    分散展開の既存 IP アドレスとホスト名を使用しての失われたノードの復元

                    シナリオ

                    分散展開では、自然災害が全ノードの損失につながります。 復元後に、既存 IP アドレスとホストネームを使用します。

                    たとえば、N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)の 2 ノードがあります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。 自然災害のために、N1 と N2 両方のノードに障害が発生しました。

                    前提

                    展開中のすべての Cisco ISE ノードが破壊されました。 同じホスト名と IP アドレスを使用して、新しいハードウェアのイメージが作成されました。

                    解決手順

                    1. N1 および N2 ノードの両方を置き換える必要があります。 N1 および N2 ノードはスタンドアロン構成になりました。

                    2. N1 と N2 のノードの UDI を使用してライセンスを取得し、N1 ノードにインストールします。

                    3. 置き換えた N1 ノードでバックアップを復元する必要があります。 復元スクリプトは N2 にデータを同期しようとしますが、N2 はスタンドアロン ノードであるため同期は失敗します。 N1 のデータは時刻 T1 にリセットされます。

                    4. N1 の管理者ポータルにログインして、N2 ノードを削除して再登録する必要があります。 これで、N1 および N2 ノードのデータが時刻 T1 にリセットされます。

                    分散展開の新 IP アドレスとホスト名を使用しての失われたノードの復元

                    シナリオ

                    分散展開では、自然災害が全ノードの損失につながります。 新しいハードウェアのイメージが新しいロケーションで再作成され、新しい IP アドレスとホスト名が必要になります。

                    たとえば、N1(プライマリ管理ノード)と N2(セカンダリ ポリシー サービス ノード)の 2 つの ISE ノードがあります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。 自然災害のために、N1 と N2 両方のノードに障害が発生しました。 Cisco ISE ノードが新しいロケーションで置き換えられ、新しいホスト名は N1A(プライマリ管理ノード)および N2A(セカンダリ ポリシー サービス ノード)です。 N1A および N2A はこの時点ではスタンドアロン ノードです。

                    前提条件

                    展開中のすべての Cisco ISE ノードが破壊されました。 新しいハードウェアのイメージが、異なるホスト名と IP アドレスを使用して異なるロケーションで作成されました。

                    解決手順

                    1. N1 のバックアップを入手し、これを N1A 上で復元します。 復元スクリプトは、ホスト名とドメイン名の変更を認識し、現在のホスト名に基づいて展開設定内のホスト名とドメイン名を更新します。

                    2. 新しい自己署名証明書を生成する必要があります。

                    3. N1A 上の Cisco ISE 管理者ポータルにログインし、[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択して、次の操作を行う必要があります。

                      古い N2 ノードを削除します。

                      新しい N2A ノードをセカンダリ ノードとして登録します。 N1A ノードのデータが N2A ノードに複製されます。

                    スタンドアロン展開の既存 IP アドレスとホスト名によるノードの復元

                    シナリオ

                    スタンドアロン管理ノードがダウンします。

                    たとえば、スタンドアロン管理ノード N1 があったとします。 N1 データベースのバックアップは、時刻 T1 に取得されました。 物理的な障害により N1 ノードがダウンし、イメージの再作成または新しいハードウェアが必要です。 N1 ノードを、同じ IP アドレスとホスト名を使用して回復させる必要があります。

                    前提条件

                    この展開はスタンドアロン展開であり、新規またはイメージを再作成したハードウェアは、同じ IP アドレスとホスト名を持ちます。

                    解決手順

                    イメージの再作成または新規 Cisco ISE ノードの導入により同じ IP アドレスとホスト名の N1 を回復したら、古い N1 ノードから取得したバックアップを復元する必要があります。 ロールを変更する必要はありません。

                    スタンドアロン展開の新 IP アドレスとホスト名によるノードの復元

                    シナリオ

                    スタンドアロン管理ノードがダウンします。

                    たとえば、スタンドアロン管理ノード N1 があったとします。 時刻 T1 に取得された N1 データベースのバックアップが利用可能です。 物理的な障害により N1 ノードがダウンし、異なる IP アドレスとホスト名を使用した新しいハードウェアに別のロケーションで置き換えられます。

                    前提条件

                    これはスタンドアロン展開であり、置き換えられたハードウェアは、異なる IP アドレスとホスト名を持ちます。

                    解決手順

                    1. 新しいハードウェアで N1 ノードを置き換えます。 このノードはスタンドアロン状態となり、ホスト名は N1B です。

                    2. バックアップを N1B ノード上で復元できます。 ロールを変更する必要はありません。

                    設定のロール バック

                    問題

                    意図せずに設定を変更してしまい、後でそれが正しくないことがわかる場合があります。 たとえば、いくつかの NAD を削除したり、一部の RADIUS 属性を誤って修正したりして、数時間後にこの問題に気付く場合があります。 この場合、変更を行う前に取得したバックアップを復元することにより、元の設定に戻すことができます。

                    考えられる原因

                    N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)の 2 つのノードがあり、N1 ノードのバックアップを使用できます。 N1 上で誤った設定変更をいくつか行い、変更を元に戻す必要があります。

                    ソリューション

                    誤った設定変更を行う前に取得した N1 ノードのバックアップを入手します。 N1 ノード上でこのバックアップを復元します。 復元スクリプトにより、N1 のデータで N2 が同期されます。

                    分散展開での障害発生時のプライマリ ノードの復元

                    シナリオ

                    マルチノード展開内で、プライマリ管理ノードに障害が発生しました。

                    たとえば、2 つの Cisco ISE ノード、N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)があります。 ハードウェアの問題で N1 に障害が発生します。

                    前提条件

                    分散展開内のプライマリ ノードのみに障害が発生します。

                    解決手順

                    1. N2 管理者ポータルにログインします。 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択して、N2 をプライマリ ノードとして設定します。

                      N1 ノードが新しいハードウェアで置き換えられ、イメージが再作成され、スタンドアロン状態となります。

                    2. N2 管理者ポータルで、セカンダリ ノードとして新しい N1 ノードを登録します。

                      これで、N2 ノードがプライマリ ノードになり、N1 ノードがセカンダリ ノードになります。

                    N1 ノードを再びプライマリ ノードにするには、N1 の管理者ポータルにログインして、このノードをプライマリ ノードに設定します。 N2 は、自動的にセカンダリ サーバとなります。 データ損失はありません。

                    分散展開での障害発生時のセカンダリ ノードの復元

                    シナリオ

                    マルチノード展開で、1 つのセカンダリ ノードに障害が発生しました。 復元の必要はありません。

                    たとえば、N1(プライマリ管理ノード)、N2(セカンダリ管理ノード)、N3(セカンダリ ポリシー サービス ノード)、N4(セカンダリ ポリシー サービス ノード)の複数のノードが存在します。 セカンダリノードの 1 つである N3 に障害が発生しました。

                    解決手順

                    1. 新しい N3A ノードのイメージを再作成して、デフォルトのスタンドアロン状態にします。

                    2. N1 の管理者ポータルにログインし、N3 ノードを削除します。

                    3. N3A ノードを登録します。

                      N1 から N3A へ、データが複製されます。 復元の必要はありません。