Cisco Identity Services Engine アップグレード ガイド リリース 1.2
Cisco ISE のアップグレード
Cisco ISE のアップグレード
発行日;2014/01/08   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

Cisco ISE のアップグレード

Cisco Identity Services Engine(ISE)は、CLI からのみ(CLI)アプリケーションのアップグレードをサポートしています。 Cisco ISE の古いリリースはすべて、新しいリリースにアップグレードできます。 以前のリリースは、パッチがインストールされているか、メンテナンス リリースである場合があります。

リリース 1.2 にアップグレードする前に確認する必要がある重要事項


(注)  


  • Cisco ISE、リリース 1.0.4.573 を Cisco ISE、リリースの新しいバージョン(たとえば、Cisco ISE、リリース 1.1、1.1.x、1.2 など)にアップグレードするとき、または Cisco ISE、リリース 1.0.4.573 バックアップから Cisco ISE の以降のバージョンに復元するときに、システムのデフォルトのスポンサー グループとスポンサー グループ ポリシーを削除しないでください。
  • 管理、サービス ポリシー、モニタリング ノードのみをアップグレードできます。 アップグレードは、インライン ポスチャ ノード(IPN)ではサポートされません。 IPN では、アプライアンスのイメージを再作成し、新規インストールを実行する必要があります。
  • すべてのノードのローカル リポジトリにアップグレード バンドルをコピーすることを強くお勧めします。 ローカル リポジトリでアップグレード バンドルを使用すると、アップグレード プロセス中にネットワークからのダウンロードにかかる時間が大幅に短縮されます。
    1. Cisco ISE UI からディスク :/ のローカル リポジトリを作成します。
    2. Cisco ISE CLI から copy コマンドを使用してローカル ディスクにアップグレード バンドルをコピーします。copyftp-filepath ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz disk:/ 再びローカル ディスクにアップグレード バンドルをコピーしたら、ローカル ディスクのアップグレード バンドルのサイズがリポジトリのアップグレード バンドルと同じであることを確認します。 dir コマンドを使用して、ローカル ディスクのアップグレード バンドルのサイズを確認します。
  • アップグレード バンドルの MD5sum を確認します。 FTP、SFTP など、リポジトリにアップグレード バンドルをダウンロードした後、MD5sum が正しいことを確認します。 Linux で md5sum コマンドまたは MAC OSX で md5 コマンドを使用できます。
  • 仮想マシンで Cisco ISE をアップグレードしている場合は、Cisco ISE、リリース 1.2 用の VMware 仮想マシンの設定のセクションを読みます。 これらの推奨事項は、ノードのイメージを再作成する場合、新しい VM またはアプライアンスとノードを交換する場合、または修復が不可能なセカンダリ ノードのアップグレード エラーがある場合にも有用です。

通信用に開く必要があるファイアウォール ポート

レプリケーション ポートは、Cisco ISE、リリース 1.2 で変更されました。プライマリ管理ノードと他のノード間でファイアウォールを導入した場合は、リリース 1.2 にアップグレードする前に次のポートを開く必要があります。

  • TCP 1528:プライマリ管理ノードとモニタリング ノード間の通信。
  • TCP 443:プライマリ管理ノードとその他すべてのセカンダリ ノード間の通信。
  • TCP 12001:グローバル クラスタのレプリケーション用。

Cisco ISE、リリース 1.2 の全リストについては、『Cisco Identity Services Engine Hardware Installation』を参照してください。

Preupgrade のその他の考慮事項

アップグレードを開始する前に、次の情報を注意深く読み、そのコンフィギュレーション(バックアップ、エクスポート、スクリーン ショットの取得)を可能な限り記録してください。

  • 新しくアップグレードされたノードにデータを復元する前に、『Cisco Identity Services Engine User Guide, Release 1.2』のデータの復元に関するガイドラインお読みください。
  • Cisco Application Deployment Engine(ADE)の設定データが含まれているプライマリ管理ノードから Cisco ISE 設定データのバックアップを実行します。
  • プライマリ モニタリング ノードから Cisco ISE 動作データのバックアップを実行します。
  • 秘密キーを含む証明書を、環境内のすべてのノードからエクスポートし、ローカル システムに保存します。 Cisco ISE ノードごとに HTTPS および EAP 証明書の Common Name (CN) または SAN が、該当ノードの完全修飾ドメイン名に一致することを確認します。
  • Cisco ISE CLI から copy running-config destination コマンドを使用して実行コンフィギュレーションのバックアップを作成します。destination は、 ftp、sftp、ディスクなどの URL です。
  • 外部アイデンティティ ソースとして Active Directory を使用している場合は、Active Directory クレデンシャルがあることを確認します。 アップグレード後に、Active Directory 接続が失われることがあります。 この場合、Cisco ISE を Active Directory に再度参加させます。
  • デフォルトのプロファイラのポリシーを編集およびカスタマイズした場合は、デフォルトのプロファイラのポリシーをファイルにエクスポートし、アップグレード後にインポートします。 アップグレード プロセスでは、デフォルトのプロファイラのポリシーが上書きされます。
  • ユーザがデフォルトの言語テンプレートに行ったカスタマイゼーションを記録します。 アップグレード後に、古い展開でカスタマイズしたデフォルト言語テンプレートを編集する必要があります。
  • アラーム、メールの設定、レポートのカスタマイズ、お気に入りレポート、モニタリング データのバックアップ スケジュール、およびデータ削除の設定を記録します。 そして、アップグレード後に再設定する必要があります。
  • アップグレード前に、ゲスト、プロファイラ、オンボード デバイスなどのサービスをディセーブルにし、アップグレード後にこれらをイネーブルにします。 そうしない場合、失われたゲスト ユーザを追加し、デバイスのプロファイルとオンボードを再度行う必要があります。
  • SNMP プロファイラのプローブ設定を記録します。 プロファイリングに使用する場合、アップグレード後にプライマリ管理ノードからのプロファイラの SNMP ポーリングを再設定する必要があります。
  • リモート アップグレードで Cisco ISE CLI からコンソール タイムアウトを一時的にディセーブルにします。 Cisco ISE CLI から次のコマンドを使用します。terminal session-timeout 0。 コンソール タイムアウトをディセーブルにした後、Cisco ISE CLI からのログアウトとログインを行います。 アップグレードの完了後、ターミナル セッション タイムアウトが元の値に設定されていることを確認します。 デフォルト値は 30 分です。
  • ノード ペルソナの変更、システム同期、ノードの登録または登録解除などの展開設定の変更は、展開内のすべてのノードが完全にアップグレードされるまで遅延することを強く推奨します。 ただし、この推奨事項は、失敗したアップグレードからの復旧時に必要な手順にはあてはまりません。
  • ディスク領域の使用率を最適化し、パフォーマンスを向上する Release 1.2 のデータベース設計とスキーマの変更のために、モニタリング ノードのデータベース サイズは Release 1.2 へのアップグレード後に減少します。
  • Cisco ISE 1.1.x から 1.2 へのアップグレードには、32 ビットから 64 ビット システムへのオペレーティング システムとアプリケーション バイナリのアップグレードが含まれます。 アップグレード中、データベース、オペレーティング システムのアップグレード後に、ノードが 2 回リブートされます。 2 回目のリブートの後、64 ビット アプリケーション バイナリがインストールされ、データベースが 64 ビット システムに移行されます。 このプロセス中に、show application status ise コマンドを使用して、CLI からアップグレードの進行状況をモニタできます。 次のメッセージが表示されます。「% NOTICE: Identity Services Engine upgrade is in progress...」

Cisco ISE、リリース 1.2 用の VMware 仮想マシンの設定

仮想マシンでノードをアップグレードしたら、次のステートメントを慎重に確認してください。 リリース 1.2 にアップグレードする前に、次の変更を行う必要があります。


(注)  


次の変更を行う前に仮想マシンの電源をオフにし、変更後に電源を再投入する必要があります。


  • Cisco ISE、リリース 1.2 は、64 ビット システムです。 仮想マシンのハードウェアが 64 ビット システムと互換性を持つことを確認します。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。 64 ビット システムに必要な BIOS 設定をイネーブルにします。 64 ビット ゲスト オペレーティング システムのハードウェアおよびファームウェアの要件については、VMware ナレッジ ベースを参照してください。 リリース 1.2 へのアップグレード後に、ゲスト オペレーティング システムとして Linux、バージョンとして Red Hat Enterprise Linux 5(64 ビット)を選択します。 詳細については、VMware ナレッジ ベースを参照してください。
  • また、仮想マシンの CPU およびメモリ サイズを増やすこともできます。 SNS 3400 シリーズ アプライアンスの導入のサイジングおよびスケーリングの推奨事項については、『Cisco Identity Services Engine Hardware Installation Guide、リリース 1.2』を参照してください。 仮想マシンのディスク サイズを大きくする場合は、アップグレードできないため、リリース 1.2 の新規インストールを実行します。 リリース 1.2 のインストール後は、Cisco ISE CLI から show inventory コマンドを使用して CPU およびメモリ サイズを検査できます。

アップグレード時間の計算

アップグレード時間の計算

次の表に、リリース 1.2 にアップグレードするためにかかる推定時間を示します。 アップグレードにかかる実際の時間は、いくつかの要因によって異なります。 実稼働ネットワークは、アップグレード プロセス中にダウンタイムなしで動作し続けます。 ここに示すデータは、44 個の Cisco ISE ノード(2 個の管理ノード、2 個の監視ノード、および 40 個ポリシー サービス ノード)を含む展開からのものです。 この展開は、100,000 のエンドポイント、12,500 のユーザ。25,000 のゲスト ユーザ。100 のユーザ グループ(ユーザごとに 5 つの属性)から構成されます。 プロファイリング サービスがイネーブルになり、DHCP、HTTP、RADIUS、ネットワーク スキャン(NMAP)、DNS、SNMPQUERY のプローブが有効になりました。

展開のタイプ

ノードのペルソナ

アップグレードにかかる時間

スタンドアロン(2000 エンドポイント) 管理、ポリシー サービス、監視 1 時間 20 分
分散(12,500 のユーザと 25,000 のエンドポイント) セカンダリ管理 7 時間
モニタリング(Monitoring) 4 hours(4 時間)
ポリシー サービス(Policy Service) 1.5 時間
管理、モニタリング 2 時間

アップグレードにかかる時間に影響する要因

  • ネットワークのエンドポイント数
  • ネットワークのユーザ数とゲスト ユーザ数
  • イネーブルの場合はプロファイリング サービス

(注)  


仮想マシンの Cisco ISE ノードでは、リリース 1.2 にアップグレードするためにさらに時間がかかることがあります。


データ損失を回避するために、アップグレードを実行する前にバックアップを行う

データ損失を防ぐために、アップグレード前に Cisco ISE の設定データおよびモニタリング(運用)データを手動でバックアップする必要があります。

Cisco ISE ユーザ インターフェイスからのオンデマンド バックアップの実行

Cisco ISE ユーザ インターフェイスでは、プライマリ管理ノードのオンデマンド バックアップを実行できます。 Cisco ISE アプリケーション、ADE-OS 設定データ、モニタリング(運用)データのバックアップを実行します。 バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。 これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。 分散展開では、プライマリ管理およびプライマリ モニタリング ペルソナが同じノード(アプライアンスまたは仮想マシン)で実行する場合、バックアップ用のローカル リポジトリを使用できます。 別のノード(アプライアンスまたは仮想マシン)で実行している場合、ローカル リポジトリをバックアップに使用できません。 リポジトリを作成するために CLI および GUI を使用できますが、Cisco ISE リリース 1.2 の場合、次の理由により GUI を使用することを推奨します。

  • CLI で作成されたリポジトリはローカルに保存され、他の展開ノードに複製されません。 こうしたリポジトリは、リポジトリの GUI ページに表示されません。
  • GUI を通じてプライマリ管理ノードで作成されたリポジトリは、他の展開ノードに複製されます。
はじめる前に
  • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
  • このタスクを実行するには、Cisco ISE でバック アップ可能なデータの種類について基本的な理解が必要です。 Cisco ISE の設定およびモニタリング データのオンデマンド バックアップを実行する必要があります。
  • このタスクを実行する前に、リポジトリを設定したことを確認します。 詳細については、『Cisco Identity Services Engine User Guide, Release 1.1.x』を参照してください。
  • バックアップを実行する場合、ノードのロールを変更しないでください。また、ノードを昇格させないでください。 バックアップの実行中にノードのロールを変更すると、すべての手順が中断し、データに不一致が生じる場合があります。 ノードのロールを変更する際は、バックアップが完了するまで待機してください。
  • 実行コンフィギュレーションをネットワーク サーバなどの安全な場所にコピーするか、Cisco ISE サーバのスタートアップ コンフィギュレーションとして保存します。 このスタートアップ コンフィギュレーションは、バックアップおよびシステム ログから Cisco ISE アプリケーションを復元またはトラブルシューティングする際に使用できます。 実行中の設定をスタートアップ コンフィギュレーションにコピーする詳細な方法については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』の「copy」コマンドを参照してください。

(注)  


運用(モニタリング データ)のバックアップは、プライマリおよびセカンダリのモニタリング ノードからのみ取得できます。


手順
    ステップ 1   Cisco ISE 管理ユーザ インターフェイスにログインします。
    ステップ 2   [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] を選択します。
    ステップ 3   [データ管理(Data Management)] > [管理ノード(Administration Node)] > [オンデマンド フル バックアップ(Full Backup On Demand)]を選択します。

    モニタリング データをバック アップする場合は、[モニタリング ノード(Monitoring Node)] を選択します。

    ステップ 4   バックアップを実行するために必要な値を入力します。
    ステップ 5   [すぐにバックアップ(Backup Now)] をクリックします。
    ステップ 6   バックアップが正常に完了したことを確認します。

    Cisco ISE は、バックアップ ファイル名にタイムスタンプを追加し、このファイルを特定のリポジトリに保存します。 バックアップ ファイルが指定したリポジトリ内に存在するかどうか確認してください。


    Cisco ISE CLI からのバックアップの実行

    Cisco ISE CLI から Cisco ISE の設定または運用データのバックアップを実行し、そのバックアップをリポジトリに保存するには、EXEC モードで backup コマンドを入力します。

    はじめる前に
    • 次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
    • このタスクを実行するには、Cisco ISE でバック アップ可能なデータの種類について基本的な理解が必要です。 Cisco ISE の設定およびモニタリング データのオンデマンド バックアップを実行する必要があります。
    • このタスクを実行する前に、リポジトリを設定したことを確認します。 詳細については、『Cisco Identity Services Engine User Guide, Release 1.1.x』を参照してください。
    • バックアップを実行する場合、ノードのロールを変更しないでください。また、ノードを昇格させないでください。 バックアップの実行中にノードのロールを変更すると、すべての手順が中断し、データに不一致が生じる場合があります。 ノードのロールを変更する際は、バックアップが完了するまで待機してください。
    • 実行コンフィギュレーションをネットワーク サーバなどの安全な場所にコピーするか、Cisco ISE サーバのスタートアップ コンフィギュレーションとして保存します。 このスタートアップ コンフィギュレーションは、バックアップおよびシステム ログから Cisco ISE を復元またはトラブルシューティングする際に使用できます。 実行中の設定をスタートアップ コンフィギュレーションにコピーする詳細な方法については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』の「copy」コマンドを参照してください。

    (注)  


    運用のバックアップは、プライマリおよびセカンダリのモニタリング ノードからのみ取得できます。

    バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。 これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。

    分散展開では、プライマリ管理およびプライマリ モニタリング ペルソナが同じノード(アプライアンスまたは仮想マシン)で実行する場合、バックアップ用のローカル リポジトリを使用できます。 別のノード(アプライアンスまたは仮想マシン)で実行している場合、ローカル リポジトリをバックアップに使用できません。


    手順
    Cisco ISE コンフィギュレーション データを取得するには、古い展開のプライマリ管理ノードで CLI で ISE コンフィギュレーション コマンドの operator パラメータと backup コマンドを入力します。 Cisco ISE 運用(モニタリングおよびトラブルシューティング)データを取得するには、古い展開のプライマリまたはセカンダリ モニタリング ノードの CLI で ise-operational のコマンドの operator パラメータとともに backup コマンドを入力します。

    Cisco ISE 設定バックアップを取得する CLI コマンド。

    backup backup-name repository repository-name ise-config encryption-key { hash | plain } encryption-keyname

    Cisco ISE 運用バックアップを取得する CLI コマンド。

    backup backup-name repository repository-name ise-operational encryption-key { hash | plain } encryption-keyname

    下の表に構文を説明します。

    backup-name

    バックアップ ファイルの名前。 最大 100 文字の英数字をサポートします。

    repository

    バックアップ ファイルを保存するリポジトリを指定します。

    repository-name

    ファイルのバック アップ先になるリポジトリの名前と場所。 最大 80 文字の英数字をサポートします。

    ise-config

    (任意)Cisco ISE コンフィギュレーション データをバックアップします(Cisco ISE ADE-OS コンフィギュレーション データが含まれます)。

    ise-operational

    (任意)Cisco ISE 運用(モニタリングおよびトラブルシューティング)データだけをバックアップします。 プライマリおよびセカンダリ モニタリング ノードでは、このコマンドの operator パラメータのみを指定できます。

    encryption-key

    暗号キーを指定して、バックアップを保護します。

    hash

    ハッシュ化された暗号キーを指定して、バックアップを保護します。

    plain

    プレーン テキストの暗号キーを指定して、バックアップを保護します。 使用する暗号化されたプレーンテキストの暗号化キーを指定します。 最大 15 文字長のサポート。 バックアップ用。

    encryption-key name

    hash | plain 形式の暗号キーの名前。 ハッシュ暗号化について 40 文字、プレーン テキストの暗号化について最大 15 文字をサポートします。


    backup コマンドは Cisco ISE と ADE-OS コンフィギュレーション データとモニタリング データのバックアップを実行し、暗号化(ハッシュ)または暗号化プレーン テキストのパスワードのバックアップをリポジトリに保存します。

    ユーザ定義の暗号キーを使用してバックアップを暗号化および復号化できます。

    
    ise/admin# backup mybackup repository myrepository ise-config encryption-key plain Lab12345
    % Creating backup with timestamped filename: backup-111125-1252.tar.gpg
    ise/admin#
    
    ise/admin# backup mybackup repository myrepository ise-operational encryption-key plain Lab12345
    % Creating backup with timestamped filename: backup-111125-1235.tar.gpg
    ise/admin#
    

    Cisco ISE 1.2 アップグレード プロセス

    Cisco ISE Command-Line Interface (CLI) からのみ Cisco ISE、リリース 1.2 にアップグレードできます。 スタンドアロンのアップグレードまたは 2 ノードの導入の手順については、「第 2 章、スタンドアロンおよび 2 ノード展開のリリース 1.2 へのアップグレード」を参照してください。 分散展開のアップグレード手順については、「第 3 章、分散展開を Cisco ISE、リリース 1.2 にアップグレードする」を参照してください。

    スタンドアロン ノードのアップグレード プロセスは、展開のノードをアップグレードするための設定とは異なります。 Cisco ISE CLI から application upgrade コマンドを実行すると、各ノードでバックグラウンドにより次の処理が行われます。

    1. アップグレード バンドルをダウンロードし、抽出します。
    2. コンフィギュレーション データベースのバックアップを実行します(リカバリ可能な障害時の自動ロール バックの場合)。
    3. 構成データベースをアップグレードするか、アップグレードされた構成データベースのダンプをダウンロードします(スタンドアロン ノードの場合)。
    4. モニタリング データベースをアップグレードします。
    5. オペレーティング システムとアプリケーション バイナリ ファイルをアップグレードします。
    6. 32 ビット システムから 64 ビット システムにデータベースを移行します。
    7. 正常なアップグレード後、Cisco ISE、リリース 1.2 にログインするプロンプトがユーザに示されます。

    分散展開では、アップグレード プロセスは分散展開モデルに従います。 新しいリリースにセカンダリ管理ノードをアップグレードした後、Cisco ISE は新規展開を作成します。 古い展開からのセカンダリ管理ノードが新規展開のプライマリ管理ノードになります。 古い展開の他のノードをアップグレードすると、新しい展開に結合されます。

    古い展開からセカンダリ管理ノードをアップグレードすると、古い展開設定が保存され、アップグレードのプライマリ管理ノードに通知されます。 古い展開のプライマリ管理ノードがアップグレードについて他のノードに通知します。 アップグレード後に、古い展開からのノードは、新規配置のプライマリ管理ノードに参加します。 アップグレード プロセスでは、ライセンスと証明書が維持されます。 ファイルを再インストールまたは再インポートする必要はありません。 Cisco ISE、リリース 1.2 は、2 ノードの Unique Device Identifier (UDI) が含まれるライセンス ファイルをサポートします。 プライマリおよびセカンダリ管理ノードの UDI を含む新しいライセンスを要求できます。 詳細については、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。


    (注)  


    以前のリリースの場合とは異なり、Cisco ISE、リリース 1.2 にアップグレードするときに、展開からノードを登録解除して、新しい展開に登録する必要はありません。 CLI から application upgrade コマンドを実行すると、アップグレード ソフトウェアがノードを登録解除し、新しい展開に自動的に登録されます。


    アップグレードは、セカンダリ管理ノードのアップグレードを開始した後で古い展開のノードのペルソナの設定を変更すると失敗します。

    最初にセカンダリ管理ノードをアップグレードします。 次に、プライマ監視ノードをアップグレードし、続いてポリシー サービス ノードとインライン ポスチャ ノードをそれぞれ個別にアップグレードします。 次に、セカンダリ監視ノードをアップグレードします(古い展開に存在する場合)。 最後に、古い展開からプライマリ管理ノードをアップグレードします。 ポリシー サービス ノードでは、データベース スキーマはアップグレードされません。 その代わりに、ポリシー サービス ノードは、新規の展開のプライマリ管理ノードから新しいデータベースのコピーを取得します。

    Cisco ISE 1.2 でサポートされるアップグレード パス

    次のリリースはすべて、Cisco ISE、リリース 1.2 にアップグレードできます。

    • Cisco ISE、リリース 1.1.0.665(または最新のパッチを適用した 1.1.0)
    • Cisco ISE、リリース 1.1.1.268(または最新のパッチを適用した 1.1.1)
    • Cisco ISE、リリース 1.1.2(最新のパッチを適用)
    • Cisco ISE、リリース 1.1.3(最新のパッチを適用)
    • Cisco ISE、リリース 1.1.4(最新のパッチを適用)

    次の表に、Cisco ISE バージョンと、そのバージョンから Cisco ISE、リリース 1.2 にアップグレードするために必要な作業を示します。

    表 1 アップグレードのロードマップ

    アップグレード前のバージョン

    アップグレード パス

    Cisco ISE、リリース 1.0 または 1.0.x

    1. Cisco ISE、リリース 1.1.0 にアップグレードします。
    2. Cisco ISE、リリース 1.1.0 の最新のパッチを適用します。
    3. Cisco ISE、リリース 1.2 にアップグレードします。

    Cisco ISE リリース 1.1

    1. Cisco ISE、リリース 1.1.0 の最新のパッチを適用します。
    2. Cisco ISE、リリース 1.2 にアップグレードします。

    Cisco ISE、リリース 1.1.x

    1. Cisco ISE、リリース 1.1.x の最新のパッチを適用します。
    2. Cisco ISE、リリース 1.2 にアップグレードします。

    アップグレード ソフトウェアのダウンロード

    Cisco.com からアップグレード バンドル(ise-upgradebundle-x.x.x.x.i386.tar.gz)をダウンロードするには、次のことを行います。

    手順
       コマンドまたはアクション目的
      ステップ 1http:/​/​www.cisco.com/​go/​swonly にアクセスします。 このリンクにアクセスするには、有効な Cisco.com ログイン クレデンシャルが事前に必要です。   
      ステップ 2[ソフトウェア ダウンロード(Download Software for this Product)] をクリックします。   
      ステップ 3アップグレード バンドルをダウンロードします。 

      リリース 1.1.x からリリース 1.2 にアップグレードするには、ise-upgradebundle-1.1.x-to-1.2.0.899.i386.tar.gz をダウンロードします。 可用性の制限されたリリースからリリース 1.2 にアップグレードするには、ise-upgradebundle-1.2.0.899.x86_64.tar.gz をダウンロードします

       
      次の作業

      展開内にインライン ポスチャ ノードがある場合は、ISE-IPN 1.2 ISO イメージもダウンロードします。

      リリース 1.2 にアップグレードするための CLI コマンド

      Cisco ISE CLI から直接アップグレードできます。 このオプションによりアプライアンスの新しい Cisco ISE ソフトウェアをインストールし、同時に情報データベースの設定とモニタリングをアップグレードできます。

      application upgrade コマンドを使用するには、Cisco ISE CLI から次を入力します。

      application upgrade application-bundle repository-name

      • application-bundle は Cisco ISE アプリケーションをアップグレードするためのアプリケーション バンドルの名前です。
      • repository-name はリポジトリの名前です。

      以前のバージョンの Cisco ISE からリリース 1.2 に Cisco ISE モニタリング ノードがアップグレードまたは復元されると、アクティブ セッションは保持されず、0 にリセットされます。

      さまざまな展開タイプのアップグレード方法

      アップグレードを続ける前に、次の展開のタイプに応じて、アップグレードの実行方法の詳細を確認するために、このマニュアルの以降の章をお読みになることをお勧めします。

      • スタンドアロンおよび 2 ノードの展開
      • 分散型展開

      アップグレード プロセスの確認

      アップグレードが正常に行われたかどうかを確認するには、次のいずれかを実行します。

      • ade.log ファイルでアップグレード プロセスを確認します。 ade.log ファイルを表示するには、Cisco ISE CLI から次のコマンドを入力します。show logging system ade/ADE.log
      • show version コマンドを実行し、ビルド バージョンを検証します。
      • すべてのサービスが実行していることを確認するために、show application status ise コマンドを入力します。

      コンフィギュレーション データベースの問題でアップグレードが失敗すると、変更は自動的にロールバックされます。 詳細については、第 4 章「Cisco ISE アップグレードの障害からの復旧」の章を参照してください。

      アップグレード後の作業

      次のタスクの詳細については、『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。

      • ローカルおよび認証局の証明書(CA)が使用できるかどうかを確認します。 これらは、必要に応じて再インポートします。
      • バックアップ スケジュールを再設定します(設定および動作)。 古い展開で設定されたスケジュール バックアップはアップグレード中に失われます。
      • Active Directory への外部アイデンティティ ソースと接続が失われたときに Active Directory を使用する場合は、Active Directory と Cisco ISE を再度結合します。
      • 外部アイデンティティ ソースとして RSA SecurID サーバを使用する場合は、RSA のノード秘密をリセットします。
      • ポスチャ サービスをイネーブルにした場合は、アップグレード後にプライマリ管理ノードからポスチャの更新を実行します。
      • カスタム プロファイラのポリシーを調べ、インポートします。 デフォルトのプロファイラのポリシーを変更した場合は、アップグレード プロセスで変更が上書きされます。
      • プローブ設定のプロファイルを検査し、必要に応じて再設定します。
      • アップグレード後のデフォルト言語テンプレートのカスタマイズ。 古い展開のデフォルト言語テンプレートをカスタマイズした場合は、アップグレード プロセスで変更が上書きされます。
      • プロファイラの SNMP ポーリングを再設定します。 この設定は、アップグレード中に失われます。
      • Cisco ISE の以前のリリースでは、ゲスト ユーザ レコードは内部ユーザ データベースで利用可能でした。 Cisco ISE、リリース 1.2 では、内部ユーザ データベースとは異なるゲスト ユーザ データベースが導入されています。 アイデンティティ ソースのシーケンスに内部ユーザ データベースを追加した場合は、ゲスト ユーザ データベースがアイデンティティ ソースのシーケンスの一部になります。 ゲスト ユーザ ログインを使用しない場合は、アイデンティティ ソースのシーケンスからゲスト ユーザ データベースを削除します。
      • 電子メール設定、お気に入りレポート、データ削除設定を再設定します。
      • 必要とする特定のアラームのしきい値またはフィルタを確認します。 すべてのアラームは、アップグレード後にデフォルトでイネーブルになります。
      • 必要に応じてレポートをカスタマイズします。 古い展開でレポートをカスタマイズした場合は、アップグレード プロセスでは、加えた変更が上書きされます。
      • 運用(モニタリング、トラブルシューティング)データの削除は、Cisco ISE、リリース 1.2 で変更されました。 削除設定のデフォルトは 90 日です。 ログの一部は、新規導入へのアップグレード後、24 時間以内に削除されます。 過去 24 時間のデータを表示しているかどうかダッシュボードを確認します。 また、レポートおよびライブ ログも検査できます。 必要とするすべてのモニタリング(運用)データのバックアップが行われていることを確認します。

      アップグレードに関する既知の問題

      ここでは、既知のアップグレードの問題とその回避策をいくつか示します。 詳細については、『Release Notes for Cisco Identity Services Engine, Release 1.2』の「Open Caveats」セクションを参照してください。

      可用性の制限されたリリースからリリース 1.2 にセカンダリ ノードをアップグレードするときに失敗する

      問題    この問題は、可用性の制限されたリリースから Cisco ISE、リリース 1.2 にセカンダリ ノードをアップグレードする場合に発生します。
      考えられる原因    この問題は、Cisco ISE でバックアップ スケジュールが設定されている場合に確認されます。
      解決法    リリース 1.2 にアップグレードする前に、バックアップ スケジュールをディセーブルにするか、またはキャンセルします。

      スケジュールされたバックアップの設定が失われる

      問題    この問題は、以前のリリースからリリース 1.2 にアップグレードした後に発生します。 アップグレードの前に設定データをバック アップしており、Cisco ISE、リリース 1.2 で復元しても、スケジュール バック アップの設定は失われます。
      解決法    Cisco ISE、リリース 1.2 のスケジュール バックアップを再設定します。

      ブラウザのキャッシュの問題

      問題    この問題は、アップグレードの前後で Cisco ISE へのアクセスに同じブラウザを使用すると発生します。
      解決法    アップグレード後に Cisco ISE、リリース 1.2 にアクセスするには、ブラウザ キャッシュをクリアする必要があります。

      Active Directory の参加の問題

      問題    外部 ID ストアとして Active Directory を使用している場合、リリース 1.2 にアップグレード後、Cisco ISE は Active Directory ドメインに参加しなくなります。
      解決法    Cisco ISE ユーザ インターフェイスの [Active Directory] ページから Active Directory ドメインにノードを再度参加させる必要があります。

      RSA の接続が失われる

      問題    外部アイデンティティ ソースとして RSA SecurID サーバを使用する場合、RSA SecurID サーバ接続は、アップグレード後に失われる可能性があります。
      解決法    プライマリ管理ノードから RSA ノードの秘密をリセットします。 詳細については、『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。

      アップグレード中に古い展開に追加された新しいユーザまたはエンドポイントが失われる

      問題    新しい展開の形成時に古い展開に追加されたエンドポイントまたはゲスト ユーザが失われます。
      解決法    アップグレード前に、ゲスト、プロファイラ、オンボード デバイスなどのサービスをディセーブルにし、アップグレード後にこれらをイネーブルにします。 そうしない場合、失われたゲスト ユーザを追加し、デバイスのプロファイルとオンボードを再度行う必要があります。

      プロファイラの SNMP ポーリングの設定が失われる

      問題    プロファイラの SNMP ポーリングの設定は、アップグレード後に失われます。
      解決法    アップグレード後に Cisco ISE、リリース 1.2 プライマリ管理ノードからプロファイラの SNMP ポーリングを再構成します。 詳細については、『Cisco Identity Services Engine User Guide, Release 1.2』を参照してください。

      デフォルトの言語テンプレートのカスタマイズが失われる

      問題    デフォルトの言語テンプレートを編集した場合でも、行った変更は、アップグレード後に失われます。
      解決法    アップグレード後、デフォルトの言語テンプレートを再度カスタマイズします。

      CLI パスワード ポリシーがアップグレード中に失われる

      問題    この問題は、Cisco ISE、リリース 1.2 にアップグレードすると発生します。
      考えられる原因    Cisco ISE、リリース 1.2 では、GUI および CLI パスワード ポリシーはすべてのノードに統合され、複製されます。
      解決法    リリース 1.2 にアップグレード後、Cisco ISE Admin Portal([管理(Administration)] > [システム(System)] > [管理者アクセス(Admin Access)] > [パスワード ポリシー(Password Policy)])からパスワード ポリシーを設定します。

      ポスチャの更新が上書きされる

      問題    アップグレード中、ポスチャ規則に影響を及ぼす可能性があるポスチャのオペレーティング システムのリストが更新されます。
      解決法    アップグレード後、プライマリ管理ユーザ インターフェイスから、[管理(Administration)] > [システム(System)] > [設定(Settings)] > [ポスチャ(Posture)] > [更新(Updates)] を選択します。 Cisco がサポートする OS バージョンを確認します。 これが 0.0.0.0 に設定されている場合、ポスチャの更新を実行します。

      アップグレード実行中のマニフェスト エラー

      問題    Cisco.com から Apple Safari などの Web ブラウザを使用してダウンロードしたアプリケーション バンドルを使用して ISE をアップグレードしようとすると、「マニフェスト エラー」が表示されることがあります。
      考えられる原因    アップグレード ファイルは、ダウンロード後に圧縮解除されます。 デフォルトでは、Apple Safari Web ブラウザで、ダウンロード後に「安全な」ファイルが開きます。 この設定により、ダウンロード後にアップグレード バンドルが圧縮解除され、アップグレード中にマニフェスト エラーが発生します。
      解決法    Apple Safari Web ブラウザの [環境設定(Preferences)] の下にある [ダウンロード後、安全なファイルを開く(open safe files after downloading)] オプションをオフにします。