Cisco Identity Services Engine ユーザ ガイド リリース 1.2
バックアップ/復元操作の管理
バックアップ/復元操作の管理
発行日;2014/01/15 | 英語版ドキュメント(2013/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

バックアップ/復元操作の管理

バックアップ データ型

バックアップ/復元リポジトリ

リポジトリの作成

オンデマンドおよびスケジュール バックアップ

オンデマンド バックアップの実行

バックアップのスケジュール作成

CLI からのバックアップの実行

バックアップ履歴

バックアップの失敗

C isco ISE 復元操作

データの復元に関するガイドライン

CLI からの設定またはモニタリング バックアップのモニタリングの復元

GUI からの設定バックアップの復元

モニタリング データベースの復元

スタンドアロン環境でのモニタリング バックアップの復元

管理およびモニタリングペルソナによるモニタリング バックアップの復元

モニタリング ペルソナによるモニタリング バックアップの復元

復元履歴

分散環境でのプライマリ ノードとセカンダリ ノードの同期

スタンドアロンおよび分散展開での失われたノードの復元

分散展開の既存 IP アドレスとホスト名を使用しての失われたノードの復元

分散展開の新 IP アドレスとホスト名を使用しての失われたノードの復元

スタンドアロン展開の既存 IP アドレスとホスト名によるノードの復元

スタンドアロン展開の新 IP アドレスとホスト名によるノードの復元

設定のロール バック

分散展開での障害発生時のプライマリ ノードの復元

分散展開での障害発生時のセカンダリ ノードの復元

バックアップ/復元操作の管理

この章では、Cisco Identity Services Engine(ISE)アプリケーションの設定、Cisco Application Deployment Engine オペレーティング システム(ADE オペレーティング システム)設定、Cisco ISE モニタリングおよびトラブルシューティング データベースを含む Cisco ISE データベースのバックアップ/復元操作の説明をします。


) Cisco ISE、リリース 1.2 では、インライン ポスチャ ノードのバックアップと復元は利用できません。その他の既知の問題の詳細については、『Release Notes for the Cisco Identity Services Engine, Release 1.2』を参照してください。


この章は、次の項で構成されています。

「バックアップ データ型」

「バックアップ/復元リポジトリ」

「オンデマンドおよびスケジュール バックアップ」

「C isco ISE 復元操作」

「分散環境でのプライマリ ノードとセカンダリ ノードの同期」

「スタンドアロンおよび分散展開での失われたノードの復元」

バックアップ データ型

Cisco ISE では、プライマリまたはスタンドアロン管理ノードとモニタリング ノードからデータをバック アップすることができます。バックアップは CLI またはユーザ インターフェイスから実行できます。

Cisco ISE では次のタイプのデータのバックアップが可能です。

設定データ:アプリケーション固有および Cisco ADE オペレーティング システム両方の設定データが含まれます。

運用データ:モニタリングおよびトラブルシューティング データが含まれます。

復元操作は、Cisco ISE の以前のバージョンのバックアップ ファイルを使用して実行し、それ以降のバージョンに復元します。たとえば、Cisco ISE リリース 1.1 があれば、それを Cisco ISE リリース 1.2 に復元できます。

バックアップ/復元リポジトリ

Cisco ISE では 管理者ポータルを使用してリポジトリを作成および削除することができます。次のタイプのリポジトリを作成できます。

ディスク

FTP

SFTP

NFS

CD-ROM

HTTP

HTTPS

SNS 3415 および SNS 3495 アプライアンスで利用可能な物理 CD-ROM はありません。KVM を使用して作成された仮想 CD-ROM を CD-ROM としてリポジトリ タイプを作成できます。


) リポジトリは、各デバイスに対してローカルです。



) 小規模な展開(100 個以下のエンドポイント)では、10 GB のリポジトリを、中規模の展開では 100 GB のリポジトリを、大規模な展開では 200 GB のリポジトリを用意することを推奨します。


関連項目

「リポジトリの作成」

「オンデマンドおよびスケジュール バックアップ」

リポジトリの作成

リポジトリの作成には CLI と GUI が使用できますが、Cisco ISE リリース 1.2 の場合、次の理由から GUI を使用することを推奨します。

CLI で作成されたリポジトリはローカルに保存され、他のノードに複製されません。これらのリポジトリは、GUI のリポジトリ ページに表示されません。

プライマリ管理ノードで作成されたリポジトリは、他の展開ノードに複製されます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] を選択します。

ステップ 2 [追加(Add)] をクリックして、新しいリポジトリを追加します。

ステップ 3 新しいリポジトリのセット アップの必要に応じて値を入力します。

ステップ 4 [送信(Submit)] をクリックしてリポジトリを作成します。

ステップ 5 左側の [操作(Operations)] ナビゲーション ペインで [リポジトリ(Repository)] をクリックするか、このページ上部の [リポジトリ リスト(Repository List)] リンクをクリックして、リポジトリのリスト ページに移動して、リポジトリが正常に作成されていることを確認します。


 

関連項目

「リポジトリの設定」

「Cisco ISE 管理者グループ、アクセス レベル、権限、および制約事項」

次の作業

Cisco ISE コマンドライン インターフェイスで次のコマンドを実行して、作成したリポジトリが動作していることを確認します。

show repository repository_name

ここで、 repository_name は作成したリポジトリの名前です。詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2 』を参照してください。


) リポジトリの作成時に指定したパスが存在しない場合、「%無効なディレクトリです(%Invalid Directory)」というエラーが表示されます。


オンデマンド バックアップを実行するかバックアップのスケジュールを設定します。詳細については、「 オンデマンド バックアップの実行」と「 バックアップのスケジュール作成」を参照してください。

オンデマンドおよびスケジュール バックアップ

Cisco ISE では、プライマリ管理ノードとプライマリ モニタリング ノードのオンデマンド バックアップができます。バックアップ データがすぐに必要な場合にオンデマンド バックアップを実行します。

Cisco ISE では、システム レベル バックアップを一度だけ、毎日、毎週、毎月取るようにスケジュールできます。バックアップ操作は長時間かかる場合がありますが、スケジュールできるため中断が発生することはありません。バックアップは、Cisco ISE CLI または Cisco ISE 管理者ポータルからスケジュールできます。


) Cisco ISE リリース 1.2 にアップグレードする場合は、バックアップ ジョブのスケジュール設定を再作成する必要があります。


関連項目

「バックアップのスケジュール作成」

「オンデマンド バックアップの実行」

「CLI からのバックアップの実行」

「バックアップ履歴」

「バックアップの失敗」

「C isco ISE 復元操作」

オンデマンド バックアップの実行

オンデマンド バックアップを実行して、即座に設定データまたはモニタリング データをバックアップすることができます。

はじめる前に

この作業を実行するには、 バックアップ データ型Cisco ISE の基本的な理解が必要です。

完了 リポジトリの作成したことを確認します。

ローカル リポジトリを使用してバック アップしないでください。リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバック アップすることはできません。

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。


) バックアップ/復元オペレーションでは、CD-ROM、HTTP、HTTPS、TFTP のリポジトリ タイプはサポートされていません。これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルがファイルの表示をサポートしていないためです。



ステップ 1 [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。

ステップ 2 [すぐにバックアップ(Backup Now)] をクリックします。

ステップ 3 必要に応じてバックアップ実行のための値を入力します。

ステップ 4 [OK] をクリックします。

ステップ 5 バックアップが正常に完了したことを確認します。

Cisco ISE はタイムスタンプを持つバックアップ ファイル名を付け、指定されたリポジトリにファイルを保存します。タイムスタンプに加えて、Cisco ISE は設定バックアップには CFG タグ、操作バックアップには OPS タグを追加します。バックアップ ファイルが指定リポジトリにあることを確認します。


 

分散展開では、バックアップの実行中にノードのロールを変更したり、ノードの設定を行ったりすることはできません。バックアップの実行中にノードのロールを変更すると、すべての手順が中断し、データに不一致が生じる場合があります。ノードのロールを変更する際は、バックアップが完了するまで待機してください。

関連項目

「オンデマンド バックアップの設定」

「Cisco ISE 管理者グループ、アクセス レベル、権限、および制約事項」

「バックアップ/復元リポジトリ」

「バックアップのスケジュール作成」

「CLI からのバックアップの実行」

「バックアップ履歴」

「バックアップの失敗」

バックアップのスケジュール作成

このページを使用して、設定やモニタリング バックアップをスケジュールすることができます。

はじめる前に

この作業を実行する前に、Cisco ISE の バックアップ データ型 オンデマンドおよびスケジュール バックアップ 操作の基本的な理解が必要です。

リポジトリが設定済みであることを確認します。

ローカル リポジトリを使用してバック アップしないでください。リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバック アップすることはできません。

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。

Cisco ISE 1.1 以前のリリースから Cisco ISE 1.2 にアップグレードする場合、バックアップのスケジュールを再設定する必要があります。『Cisco Identity Services Engine Upgrade Guide, Rlease 1.2 』の「既知のアップグレードの問題」のセクションを参照してください。


) バックアップ/復元オペレーションでは、CD-ROM、HTTP、HTTPS、TFTP のリポジトリ タイプはサポートされていません。これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルがファイルの表示をサポートしていないためです。



ステップ 1 [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。

ステップ 2 [作成(Create)] をクリックして、設定または操作バックアップをスケジュールします。

ステップ 3 必要に応じてバックアップをスケジュールするための値を入力します。

ステップ 4 [保存(Save)] をクリックして、バックアップをスケジュールします。

ステップ 5 このページの上部にある [更新(Refresh)] リンクをクリックして、バックアップのスケジュールを表示します。


 

作成できる設定または操作バックアップのスケジュールは 1 回に 1 つだけです。スケジュール バックアップは有効化または無効化できますが、削除はできません。

CLI を使用してバックアップのスケジュールを設定するには、 kron CLI コマンドを使用します。CLI と GUI のこちらからでもバックアップをスケジュールできますが、GUI から実行することを推奨します。

関連項目

「スケジュール バックアップの設定」

「Cisco ISE 管理者グループ、アクセス レベル、権限、および制約事項」

「オンデマンド バックアップの実行」

「CLI からのバックアップの実行」

「バックアップ履歴」

「バックアップの失敗」

バックアップ/復元リポジトリ

kron コマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2 』を参照してください。

CLI からのバックアップの実行

CLI と GUI のこちらからでもバックアップをスケジュールできますが、GUI から実行することを推奨します。ただし、セカンダリ モニタリング ノードの操作バックアップは、CLI からのみ実行できます。

CLI からバックアップを実行する方法については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2 』を参照してください。

バックアップ履歴

バックアップ履歴は、スケジュールまたはオンデマンド バックアップに関する基本情報です。バックアップ履歴には、バックアップ名、バックアップ ファイルのサイズ、バックアップが保存されているリポジトリ、バックアップが取られたタイム スタンプを表示します。この情報は、操作監査レポートまたは、履歴テーブルの [バックアップ/復元(Backup and Restore)] ページから入手できます。

バックアップが失敗すると、Cisco ISE がアラームをトリガーします。バックアップ履歴ページに失敗の原因が表示されます。障害の原因は操作監査レポートにも記載されます。障害の原因が欠落しているか明確でない場合は、Cisco ISE CLI から backup-logs コマンドを実行し、ADE.log でより詳細な情報が確認できます。

バックアップ操作の実行中は、 show backup status CLI コマンドを使用して、バックアップ操作の進行状況を確認することができます。

バックアップ履歴は、Cisco ADE オペレーティング システムの設定データとともに保存されています。つまり、アプリケーションのアップグレード後もそこに残っており、プライマリ管理ノードのイメージを再作成した場合にのみ削除されます。

バックアップの失敗

バックアップが失敗した場合は、次を確認してください。

他のバックアップが同時に実行されていないことを確認します。

設定したリポジトリの使用可能なディスク領域を確認します。

バックアップのモニタリングは、モニタリング データが監視データベースに割り当てられたサイズの 75% を超えると失敗します。たとえばモニタリング ノードが 600 GB 割り当てられており、モニタリング データがストレージの 450 GB 以上の領域を消費すると、モニタリングのバックアップは失敗します。

データベースのディスク使用量が 90% を超える場合、パージが発生してデータベースを割り当てられたサイズの 75% 以下のサイズにします。

パージが進行中かどうかを確認します。パージの進行中はバックアップ/復元操作は動作しません。

リポジトリが正しく設定されていることを確認します。

C isco ISE 復元操作

プライマリまたはスタンドアロン管理ノードに設定データを復元できます。プライマリ管理ノードにデータを復元したら、手動でセカンダリ ノードをプライマリ管理ノードと同期する必要があります。

操作データベースを復元するプロセスは、展開のタイプによって異なります。


) Cisco ISE リリース 1.2 の新しいバックアップ/復元のユーザ インターフェイスは、バックアップ ファイル名のメタデータを使用します。したがって、バックアップが完了後に、バックアップ ファイル名を手動で変更しないでください。手動でバックアップ ファイル名を変更すると、Cisco ISE バックアップ/復元のユーザ インターフェイスは、バックアップ ファイルを認識できません。バックアップ ファイル名を変更しなければならない場合は、バックアップの復元に Cisco ISE CLI を使用する必要があります。


関連項目

「CLI からの設定またはモニタリング バックアップのモニタリングの復元」

「GUI からの設定バックアップの復元」

「モニタリング データベースの復元」

「分散環境でのプライマリ ノードとセカンダリ ノードの同期」

データの復元に関するガイドライン

次は、Cisco ISE バックアップ データを復元する場合に従うべきガイドラインです。

あるタイムゾーン内のプライマリ管理ノードからバックアップを取得して、別のタイプゾーン内の別の Cisco ISE ノードに復元する場合、復元プロセスが失敗することがあります。この問題は、バックアップ ファイルのタイムスタンプが、バックアップが復元される Cisco ISE ノードのシステム時刻より新しい場合に発生します。同じバックアップを、取得後 1 日経過してから復元すると、バックアップ ファイルのタイムスタンプが過去のものになり、復元プロセスは成功します。

バックアップを取得したホスト名と別のホスト名を持つプライマリ Cisco ISE ノードにバックアップを復元すると、プライマリ Cisco ISE ノードはスタンドアロン ノードになります。展開が切断し、セカンダリ ノードは機能しなくなります。スタンドアロン ノードをプライマリ ノードにし、セカンダリ ノードの設定をリセットしてプライマリ ノードに再登録する必要があります。Cisco ISE ノードの設定をリセットするには、Cisco ISE CLI から次のコマンドを入力してください。

application reset-config ise

システムのタイムゾーンは、最初の Cisco ISE インストールおよびセットアップ後に変更しないことを推奨します。

展開の 1 つ以上のノードの証明書設定を変更する場合は、バックアップ取得後にデータを復元するための別のバックアップをスタンドアロン Cisco ISE 管理ノードまたはプライマリ管理ノードから取得する必要があります。そうしないで古いバックアップを使用してデータを復元すると、ノード間の通信が失敗する可能性があります。

リストア後に Cisco ISE ノードの既存の証明書の設定を保持するには、データの復元を開始する前に、クライアント ブラウザを実行しているシステムに秘密キーとともに証明書をエクスポートすることを確認します。その後、データを復元した後、Cisco ISE ノードに秘密キーとともに証明書をインポートします。

Cisco ISE がバックアップ ファイルを格納するデータ リポジトリが必要です。オンデマンドまたはスケジュール設定されたバックアップを実行する前に、リポジトリを作成する必要があります。

スタンドアロン管理ノードに障害が発生した場合、設定バックアップを実行して復元する必要があります。プライマリ管理ノードで障害が発生した場合、分散セットアップを使用してセカンダリ管理ノードをプライマリにする必要があります。その後、新しいプライマリ管理ノードにデータを復元します。


) Cisco ISE では、backup-logs CLI コマンドも使用できます。このコマンドを使用して、ログや設定ファイルの収集を行い、これらをトラブルシューティングに利用できます。詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.2』を参照してください。


CLI からの設定またはモニタリング バックアップのモニタリングの復元

Cisco ISE CLI から設定データを復元するには、EXEC モードで restore コマンドを使用します。設定または操作バックアップからデータを復元するには、次のコマンドを使用します:

restore filename repository repository-name encryption-key hash | plain encryption-key name include-adeos

 
構文の説明

restore

設定または操作バックアップからデータを復元するには、このコマンドを入力します。

filename

リポジトリに存在するバックアップ ファイルのファイル名。最大 120 文字の英数字をサポートします。

(注) ファイル名の後に、tar.gpg という拡張子を付ける必要があります(myfile.tar.gpg など)。

repository

バックアップを含むリポジトリを指定します。

repository-name

バックアップを復元するリポジトリの名前。

encryption-key

(オプション)バックアップを復元するユーザ定義の暗号キーを指定します。

hash

バックアップを復元するためのハッシュされた暗号キー。使用する 暗号化された (ハッシュ化された)暗号化キーを指定します。最大 40 文字までサポートします。

plain

バックアップを復元するためのプレーン テキストの暗号キー。使用する 暗号化された プレーンテキストの暗号化キーを指定します。15 文字までで指定します。

encryption-key name

暗号化キーを入力します。

include-adeos

(オプション、設定バックアップのみに該当)設定バックアップから ADE-OS 設定を復元する場合に、このコマンド オペレータ パラメータを入力します。設定バックアップを復元場合にこのパラメータを含めないと、Cisco ISE は Cisco ISE アプリケーション設定データのみを復元します。

 
デフォルト

デフォルトの動作や値はありません。

 
コマンド モード

EXEC

 
使用上のガイドライン

Cisco ISE で restore コマンドを使用すると、Cisco ISE サーバが自動的に再起動します。

データの復元処理で、暗号キーはオプションです。暗号キーを指定しなかった以前のバックアップの復元をサポートするために、暗号化キーなしで restore コマンドを使用できます。

ise/admin# restore mybackup-100818-1502.tar.gpg repository myrepository encryption-key plain Lab12345
Restore may require a restart of application services. Continue? (yes/no) [yes] ? yes
Initiating restore. Please wait...
ISE application restore is in progress.
This process could take several minutes. Please wait...
Stopping ISE Application Server...
Stopping ISE Monitoring & Troubleshooting Log Processor...
Stopping ISE Monitoring & Troubleshooting Log Collector...
Stopping ISE Monitoring & Troubleshooting Alert Process...
Stopping ISE Monitoring & Troubleshooting Session Database...
Stopping ISE Database processes...
Starting ISE Database processes...
Starting ISE Monitoring & Troubleshooting Session Database...
Starting ISE Application Server...
Starting ISE Monitoring & Troubleshooting Alert Process...
Starting ISE Monitoring & Troubleshooting Log Collector...
Starting ISE Monitoring & Troubleshooting Log Processor...
Note: ISE Processes are initializing. Use 'show application status ise'
CLI to verify all processes are in running state.
ise/admin#
 

 
関連コマンド

コマンド
説明

backup

バックアップ(Cisco ISE と Cisco ADE OS)を実行して、そのバックアップをリポジトリに保存します。

backup-logs

システム ログをバックアップします。

repository

バックアップ設定のリポジトリ サブモードを入力します。

show repository

特定のリポジトリにある使用可能なバックアップ ファイルを表示します。

show backup history

システムのバックアップ履歴を表示します。

show backup status

バックアップ操作のステータスを表示します。

show restore status

復元操作のステータスを表示します。

 

詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.2 』を参照してください。

復元操作のステータス検査の詳細情報については、「復元履歴」を参照してください。

いずれかのセカンダリ ノードでアプリケーション復元後の同期ステータスおよび複製ステータスが [同期していない(Out of Sync)] になっている場合、該当セカンダリ ノードの証明書をプライマリ管理ノードに再インポートして、手動同期を実行する必要があります。手動同期の実行手順については、「分散環境でのプライマリ ノードとセカンダリ ノードの同期」を参照してください。

関連項目

「GUI からの設定バックアップの復元」

GUI からの設定バックアップの復元

管理者ポータルで設定バックアップを復元できます。GUI には Cisco ISE リリース 1.2 からのバックアップのみ表示されます。このリリースより前のバックアップを復元するには、CLI から restore コマンドを使用します。


ステップ 1 [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。

ステップ 2 バックアップの名前を設定バックアップのリストから選択し、[復元(Restore)] をクリックします。

ステップ 3 バックアップ時に使用した [暗号キー(Encryption Key)] を入力します。

ステップ 4 [復元(Restore)] をクリックします。


 

関連項目

「CLI からの設定またはモニタリング バックアップのモニタリングの復元」

モニタリング データベースの復元

モニタリング データベースを復元するプロセスは、展開のタイプによって異なります。次の項では、スタンドアロンおよび分散展開でモニタリング データベースを復元する方法について説明します。

Cisco ISE リリース 1.0、1.0.4、1.1 から Cisco ISE リリース 1.2 までのオンデマンド モニタリング データベースのバックアップを復元するには、CLI を使用する必要があります。Cisco ISE リリース間でのスケジュール バックアップの復元はサポートされていません。


) データが取得されたノードとは別のノードにデータを復元しようとする場合、新しいノードを指すロギング ターゲット設定を設定する必要があります。これにより、モニタリング syslog が正しいノードに送信されるようになります。詳細については、「リモート Syslog 収集場所の設定」を参照してください。


関連項目

「スタンドアロン環境でのモニタリング バックアップの復元」

「管理およびモニタリングペルソナによるモニタリング バックアップの復元」

「モニタリング ペルソナによるモニタリング バックアップの復元」

スタンドアロン環境でのモニタリング バックアップの復元

GUI には Cisco ISE リリース 1.2 からのバックアップのみ表示されます。このリリースより前のバックアップを復元するには、CLI から restore コマンドを使用します。

はじめる前に

正常に次の手順を実行する必要があります:

「古いモニタリング データの消去」

「バックアップのスケジュール作成」または「オンデマンド バックアップの実行」


ステップ 1 [管理(Administration)] > [システム(System)] > [バックアップ/復元(Backup and Restore)] を選択します。

ステップ 2 バックアップの名前を操作バックアップのリストから選択し、[復元(Restore)] をクリックします。

ステップ 3 バックアップ時に使用した [暗号キー(Encryption Key)] を入力します。

ステップ 4 [復元(Restore)] をクリックします。


 

関連項目

「CLI からの設定またはモニタリング バックアップのモニタリングの復元」

「管理およびモニタリングペルソナによるモニタリング バックアップの復元」

「モニタリング ペルソナによるモニタリング バックアップの復元」

管理およびモニタリングペルソナによるモニタリング バックアップの復元

管理およびモニタリング ペルソナを使用して、分散環境でのモニタリング バックアップを復元することができます。

はじめる前に

正常に次の手順を実行する必要があります:

「古いモニタリング データの消去」

「バックアップのスケジュール作成」または「オンデマンド バックアップの実行」


ステップ 1 別の Cisco ISE ノードをプライマリ管理ノードとしてプロモートする準備を行います。そのためには、このノードを、バックアップする既存のプライマリ ノードと同期します。詳細については、「分散環境でのプライマリ ノードとセカンダリ ノードの同期」を参照してください。

これにより、プロモートする Cisco ISE ノードの設定は最新になります。

ステップ 2 新しく同期した管理ノードをプライマリ ステータスにプロモートします。詳細については、「プライマリ管理ノードの設定」を参照してください。

ステップ 3 バックアップされるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。詳細については、「ノード ペルソナとサービスの変更」を参照してください。

展開内に、機能中のモニタリング ノードが少なくとも 1 つ必要です。

ステップ 4 バックアップされるノードを登録解除します。詳細については、「展開からのノードの削除」を参照してください。

ステップ 5 「スタンドアロン環境でのモニタリング バックアップの復元」の説明に従って、モニタリング バックアップを新しく登録解除されたノードに復元します。

ステップ 6 現在の管理ノードにより新たに復元されたノードを登録します。詳細については、「セカンダリ Cisco ISE ノードの登録」を参照してください。

ステップ 7 新たに復元されて登録されたノードをプライマリ管理ノードにします。詳細については、「プライマリ管理ノードの設定」を参照してください。


 

関連項目

「スタンドアロン環境でのモニタリング バックアップの復元」

「モニタリング ペルソナによるモニタリング バックアップの復元」

モニタリング ペルソナによるモニタリング バックアップの復元

分散環境のモニタリング バックアップは、モニタリング ペルソナによってのみ復元できます。

はじめる前に

正常に次の手順を実行する必要があります:

「古いモニタリング データの消去」

「バックアップのスケジュール作成」または「オンデマンド バックアップの実行」


ステップ 1 復元されるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。詳細については、「ノード ペルソナとサービスの変更」を参照してください。

展開内に、機能中のモニタリング ノードが少なくとも 1 つ必要です。

ステップ 2 復元されるノードを登録解除します。詳細については、「展開からのノードの削除」を参照してください。


) 登録解除が完了するのを待機してから、復元に進みます。復元を続行する前に、ノードがスタンドアロン状態になっている必要があります。


ステップ 3 「スタンドアロン環境でのモニタリング バックアップの復元」の説明に従って、モニタリング バックアップを新しく登録解除されたノードに復元します。

ステップ 4 現在の管理ノードにより新たに復元されたノードを登録します。詳細については、「セカンダリ Cisco ISE ノードの登録」を参照してください。

ステップ 5 新たに復元されて登録されたノードをプライマリ管理ノードにします。詳細については、「プライマリ管理ノードの設定」を参照してください。


 

関連項目

「スタンドアロン環境でのモニタリング バックアップの復元」

「管理およびモニタリングペルソナによるモニタリング バックアップの復元」

復元履歴

操作の監査レポートからは、すべての復元操作、ログ イベント、ステータスに関する情報を取得することができます。


) ただし操作の監査レポートには、前回の復元操作に対応する開始時間に関する情報はありません。


トラブルシューティング情報を入手するには、Cisco ISE CLI から backup-logs コマンドを実行して、ADE.log ファイルを調べる必要があります。

復元オペレーションの進行中は、すべての Cisco ISE サービスは停止します。 show restore status CLI コマンドを使用して、復元操作の進行状況を確認できます。

関連項目

「Cisco ISE 管理者グループ、アクセス レベル、権限、および制約事項」

分散環境でのプライマリ ノードとセカンダリ ノードの同期

分散環境では、プライマリ管理ノードのバックアップ ファイルの復元後に、プライマリおよびセカンダリ ノードの Cisco ISE データベースが自動的に同期されないことがあります。この場合には、プライマリ管理ノードからセカンダリ ISE ノードへの完全複製を手動で強制実行できます。強制同期は、プライマリ ノードからセカンダリ ノードへのみ可能です。同期操作中は、設定を変更することはできません。Cisco ISE では、同期が完全に完了した後にのみ、他の Cisco ISE 管理者ポータル ページに移動して設定変更を行うことができます。

はじめる前に

次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 非同期レプリケーション ステータスのセカンダリ ISE ノードの横にあるチェックボックスをオンにします。

ステップ 3 [同期(Syncup)] をクリックし、ノードがプライマリ管理ノードと同期されるまで待ちます。Cisco ISE 管理者ポータルへのアクセスは、このプロセスが完了するのを待たなければなりません。


 

関連項目

「Cisco ISE 管理者グループ、アクセス レベル、権限、および制約事項」

スタンドアロンおよび分散展開での失われたノードの復元

この項では、スタンドアロンおよび分散展開での失われたノードの復元に使用できるトラブルシューティング情報を提供します。次の使用例の一部では、失われたデータの復旧にバックアップと復元機能を使用し、その他の使用例では、複製機能を使用しています。

「分散展開の既存 IP アドレスとホスト名を使用しての失われたノードの復元」

「分散展開の新 IP アドレスとホスト名を使用しての失われたノードの復元」

「スタンドアロン展開の既存 IP アドレスとホスト名によるノードの復元」

「スタンドアロン展開の新 IP アドレスとホスト名によるノードの復元」

「設定のロール バック」

「分散展開での障害発生時のプライマリ ノードの復元」

「分散展開での障害発生時のセカンダリ ノードの復元」

分散展開の既存 IP アドレスとホスト名を使用しての失われたノードの復元

シナリオ

分散展開では、自然災害が全ノードの損失につながります。復元後に、既存 IP アドレスとホストネームを使用します。

たとえば、N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)の 2 ノードがあります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。自然災害のために、N1 と N2 両方のノードに障害が発生しました。

前提

展開中のすべての Cisco ISE ノードが破壊されました。同じホスト名と IP アドレスを使用して、新しいハードウェアのイメージが作成されました。

解決手順

1. N1 および N2 ノードの両方を置き換える必要があります。詳細については、「Cisco ISE アプライアンス ハードウェアの交換」を参照してください N1 および N2 ノードはスタンドアロン構成になりました。

2. N1 と N2 のノードの UDI を使用してライセンスを取得し、N1 ノードにインストールします。

3. 置き換えた N1 ノードでバックアップを復元する必要があります。詳細については、「CLI からの設定またはモニタリング バックアップのモニタリングの復元」を参照してください 復元スクリプトは N2 にデータを同期しようとしますが、N2 はスタンドアロン ノードであるため同期は失敗します。N1 のデータは時刻 T1 にリセットされます。

4. N1 の 管理者ポータルにログインして、N2 ノードを削除して再登録する必要があります。詳細については、次の各項を参照してください。

「展開からのノードの削除」

「セカンダリ Cisco ISE ノードの登録」

これで、N1 および N2 ノードが時刻 T1 にリセットされます。

分散展開の新 IP アドレスとホスト名を使用しての失われたノードの復元

シナリオ

分散展開では、自然災害が全ノードの損失につながります。新しいハードウェアのイメージが新しい場所で再作成され、新しい IP アドレスとホスト名が必要です。

たとえば、N1(プライマリ管理ノード)と N2(セカンダリ ポリシー サービス ノード)の 2 ノードがあります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。自然災害のために、N1 と N2 両方のノードに障害が発生しました。Cisco ISE ノードが新しい場所で置き換えられ、新しいホスト名は N1A(プライマリ管理ノード)および N2A(セカンダリ ポリシー サービス ノード)です。N1A および N2A はこの時点ではスタンドアロン ノードです。

前提条件

展開中のすべての Cisco ISE ノードが破壊されました。新しいハードウェアのイメージが、異なるホスト名と IP アドレスを使用して異なる場所で作成されました。

解決手順

1. N1 のバックアップを入手し、これを N1A 上で復元します。詳細については、「CLI からの設定またはモニタリング バックアップのモニタリングの復元」を参照してください 復元スクリプトは、ホスト名とドメイン名の変更を認識し、現在のホスト名に基づいて展開設定内のホスト名とドメイン名を更新します。

2. 新しい自己署名証明書を生成する必要があります。詳細については、「自己署名証明書の生成」を参照してください。

3. N1A 上の Cisco ISE Admin portal にログインし、[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択して、次の操作を行う必要があります。

a. 古い N2 ノードを削除します。詳細については、「展開からのノードの削除」を参照してください。

b. 新しい N2A ノードをセカンダリ ノードとして登録します。詳細については、「セカンダリ Cisco ISE ノードの登録」を参照してください N1A ノードのデータが N2A ノードに複製されます。

スタンドアロン展開の既存 IP アドレスとホスト名によるノードの復元

シナリオ

スタンドアロン管理ノードがダウンする。

たとえば、スタンドアロン管理ノード N1 があったとします。N1 データベースのバックアップは、時刻 T1 に取得されました。物理的な障害により N1 ノードがダウンし、イメージの再作成または新しいハードウェアが必要です。N1 ノードを、同じ IP アドレスとホスト名を使用して回復させる必要があります。

前提条件

この展開はスタンドアロン展開であり、新規またはイメージを再作成したハードウェアは、同じ IP アドレスとホスト名を持ちます。

解決手順

イメージの再作成または新規 Cisco ISE ノードの導入により同じ IP アドレスとホスト名の N1 を回復したら、古い N1 ノードから取得したバックアップを復元する必要があります。ロールを変更する必要はありません。詳細については、「CLI からの設定またはモニタリング バックアップのモニタリングの復元」を参照してください。

スタンドアロン展開の新 IP アドレスとホスト名によるノードの復元

シナリオ

スタンドアロン管理ノードがダウンする。

たとえば、スタンドアロン管理ノード N1 があったとします。時刻 T1 に取得された N1 データベースのバックアップが利用可能です。物理的な障害により N1 ノードがダウンし、異なる IP アドレスとホスト名を使用した新しいハードウェアで別の場所で置き換えられます。

前提条件

これはスタンドアロン展開であり、置き換えられたハードウェアは、異なる IP アドレスとホスト名を持ちます。

解決手順

1. 新しいハードウェアで N1 ノードを置き換えます。詳細については、「Cisco ISE アプライアンス ハードウェアの交換」を参照してください このノードはスタンドアロン状態となり、ホスト名は N1B です。

2. バックアップを N1B ノード上で復元できます。詳細については、「CLI からの設定またはモニタリング バックアップのモニタリングの復元」を参照してください。ロールを変更する必要はありません。

設定のロール バック

意図せずに設定を変更してしまい、後でそれが正しくないことがわかる場合があります。たとえば、いくつかの NAD を削除したり、一部の RADIUS 属性を誤って修正したりして、数時間後にこの問題に気付く場合があります。この場合、変更を行う前に取得したバックアップを復元することにより、元の設定に戻すことができます。

シナリオ

N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)の 2 つのノードがあり、N1 ノードのバックアップを使用できます。N1 上で誤った変更をいくつか行い、変更を元に戻す必要があります。

解決手順

誤った設定変更を行う前に取得した N1 ノードのバックアップを入手します。N1 ノード上でこのバックアップを復元します。詳細については、「CLI からの設定またはモニタリング バックアップのモニタリングの復元」を参照してください。復元スクリプトにより、N1 のデータで N2 が同期されます。

分散展開での障害発生時のプライマリ ノードの復元

シナリオ

マルチノード展開内で、プライマリ管理ノードに障害が発生しました。

たとえば、2 つの Cisco ISE ノード、N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)があります。ハードウェアの問題で N1 に障害が発生します。

前提条件

分散展開内のプライマリ ノードのみに障害が発生します。

解決手順

1. N2 管理者ポータルにログインします。[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択して、N2 をプライマリ ノードとして設定します。詳細については、「セカンダリ管理ノードのプライマリへのプロモート」を参照してください。

N1 ノードが新しいハードウェアで置き換えられ、イメージが再作成され、スタンドアロン状態となります。

2. N2 管理者ポータルで、セカンダリ ノードとして新しい N1 ノードを登録します。詳細については、「セカンダリ Cisco ISE ノードの登録」を参照してください

これで、N2 ノードがプライマリ ノードになり、N1 ノードがセカンダリ ノードになります。

N1 ノードを再びプライマリ ノードにするには、N1 の管理者ポータルにログインして、このノードをプライマリ ノードに設定します。N2 は、自動的にセカンダリ サーバとなります。データが失われることはありません。

分散展開での障害発生時のセカンダリ ノードの復元

シナリオ

マルチノード展開で、1 台のセカンダリ ノードに障害が発生しました。復元の必要はありません。

たとえば、N1(プライマリ管理ノード)、N2(セカンダリ管理ノード)、N3(セカンダリ ポリシー サービス ノード)、N4(セカンダリ ポリシー サービス ノード)の複数のノードが存在します。セカンダリノードの 1 つである N3 に障害が発生しました。

解決手順

1. 新しい N3A ノードのイメージを再作成して、デフォルトのスタンドアロン状態にします。

2. N1 管理者ポータルにログインし、N3 ノードを削除します。詳細については、「展開からのノードの削除」を参照してください。

3. N3A ノードを登録します。詳細については、「セカンダリ Cisco ISE ノードの登録」を参照してください。

N1 から N3A へ、データが複製されます。復元の必要はありません。