Cisco Secure Access Control System 5.5 インストレーション/アップグレード ガイド
Cisco Secure Access Control システムのアップグレード
Cisco Secure Access Control システムのアップグレード
発行日;2014/02/23 | 英語版ドキュメント(2014/02/12 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Cisco Secure Access Control システムのアップグレード

アップグレード パス

ACS 配置の 5.4 から 5.5 へのアップグレード

ログ コレクタ サーバのアップグレード

セカンダリ サーバのアップグレード

プライマリ サーバのアップグレード

PKI データおよび証明書のアップグレード

セカンダリ サーバのプライマリへのプロモート

ACS Monitoring and Report Viewer のアップグレード

アップグレード後の Monitoring and Report Viewer データの復元

データベースのアップグレード

レポートのアップグレード

ACS 配置の 5.3 から 5.5 へのアップグレード

ACS サーバの 5.4 から 5.5 へのアップグレード

アプリケーション アップグレード バンドルを使用した ACS サーバのアップグレード

ACS サーバの再イメージ化とアップグレード

ACS サーバの 5.3 から 5.5 へのアップグレード

ACS パッチの適用

CSACS-1120 または CSACS-1121 上の ACS 5.3 または 5.4 の Cisco SNS-3415 または Cisco SNS-3495 へのアップグレード

Cisco Secure Access Control システムのアップグレード

この章では、ACS 配置またはスタンドアロン ACS サーバを 5.3/5.4 または利用可能な最新パッチから 5.5 にアップグレードする方法について説明します。


) ACS 5.3 から ACS 5.5 にアップグレードする場合は、ACS 5.5 へのアップグレードを開始する前に、必ずパッチ 8 以降のパッチをインストールする必要があります。



) ACS 5.0/5.1/5.2 を使用している場合は、まず ACS 5.3/5.4 にアップグレードしてから ACS 5.5 にアップグレードする必要があります。ACS 5.x から ACS 5.3 へのアップグレード手順については、『Installation and Upgrade Guide for Cisco Secure Access Control System 5.3』を参照してください。



) グループまたは属性が設定されていない LDAP ID ストアがあり、AD ID ストアが設定されていない場合、ACS 5.5 へのアップグレードに失敗することがあります。この問題を防止するには、その LDAP ID ストアにグループまたは属性を追加するか、AD ID ストアを設定してから、ACS 5.5 にアップグレードする必要があります。


この章のシナリオは次のとおりです。

「ACS 配置の 5.4 から 5.5 へのアップグレード」

「ACS 配置の 5.3 から 5.5 へのアップグレード」

「ACS サーバの 5.4 から 5.5 へのアップグレード」

次の手順のいずれかを使用できます。

「アプリケーション アップグレード バンドルを使用した ACS サーバのアップグレード」:ACS サーバの 5.4 から 5.5 への差分アップグレードを行う手順。

「ACS サーバの再イメージ化とアップグレード」:ACS 5.4 アプリケーション データをバックアップし、ACS 5.5 で復元する手順

「ACS サーバの 5.3 から 5.5 へのアップグレード」

「ACS パッチの適用」

「CSACS-1120 または CSACS-1121 上の ACS 5.3 または 5.4 の Cisco SNS-3415 または Cisco SNS-3495 へのアップグレード」

アップグレード プロセスでは、データベースに Monitoring and Report Viewer と設定情報が含まれる ACS サーバのアップグレードが必要です。


) アプリケーションのアップグレード プロセスの中で、ACS 5.5 は ADE-OS 1.x を 2.x バージョンにアップグレードします。


ACS はアップグレード プロセス中に ACS サーバを 5.5 にアップグレードし、データを ACS 5.5 サーバに復元します。復元操作の一部として、ACS は設定データを 5.5 互換の形式に変換します。

ACS はデータ アップグレード情報を acsupgrade.log ファイルに格納します。このログ ファイルの内容を表示するには、サポート バンドルをダウンロードします。

サポート バンドルのダウンロードについては、『 CLI Reference Guide for Cisco Secure Access Control System 5.5 』を参照してください。 また、ACS CLI で実行されたすべての操作の詳細が記録されている ADE.log も参照してください。ACS を 4. x から 5.5 に移行する場合は、『 Migration Guide for Cisco Secure Access Control System 5.5 』で説明されている移行手順に従う必要があります。

ACS アップグレードを実行するには、(TFTP リポジトリではなく)FTP、ネットワーク ファイル システム(NFS)、またはセキュア FTP(SFTP)ネットワーク サーバが設定されたリポジトリが必要です。

リポジトリを作成するには、 repository コマンドを使用します。この章で使用されるコマンドの詳細については、『 CLI Reference Guide for Cisco Secure Access Control System 5.5 』を参照してください。

アップグレード パス

ACS サーバを 5.x バージョンから ACS 5.5 にアップグレードするには、次のアップグレード パスを使用できます。

パス 1:ACS 5.4 から ACS 5.5 へ。ACS 5.4 から 5.5 へアップグレードするには、「ACS サーバの 5.4 から 5.5 へのアップグレード」を参照してください。

パス 2:ACS 5.3 から ACS 5.5 へ。ACS 5.3 から 5.5 へアップグレードするには、「ACS サーバの 5.3 から 5.5 へのアップグレード」を参照してください。

パス 3:ACS 5.0/5.1/5.2 から ACS 5.3/5.4、次に ACS 5.5 へ。ACS 5.0/5.1/5.2 から ACS 5.3 へのアップグレード手順については、『 Installation and Upgrade Guide for Cisco Secure Access Control System 5.3 』を参照してください。ACS 5.0/5.1/5.2 から ACS 5.4 へのアップグレード手順については、 『Installation and Upgrade Guide for Cisco Secure Access Control System 5.3 』を参照してください。


) ACS 5.3 から ACS 5.5 にアップグレードする場合は、ACS 5.5 へのアップグレードを開始する前に、必ずパッチ 8 以降のパッチをインストールする必要があります。



) 仮想マシンにインストールされた ACS を ACS 5.5 にアップグレードする場合は、仮想マシンのディスク容量は 500 GB 以上である必要があります。


ACS 配置の 5.4 から 5.5 へのアップグレード

ACS 5.4 配置を ACS 5.5 にアップグレードするには、この項で説明されている手順に従ってください。配置のアップグレード プロセスは、次の段階から構成されます。

「ログ コレクタ サーバのアップグレード」

「セカンダリ サーバのアップグレード」

「プライマリ サーバのアップグレード」


) ACS では、ACS 5.4 配置と 5.5 配置間の相互運用性はサポートされません。


複数の ACS インスタンスが関わる配置シナリオでは通常、プライマリ ACS インスタンスが設定データのマスター データベースとして機能し、セカンダリ ACS インスタンスの 1 つが監視およびレポート データを格納します。また、監視およびレポート データを保存するには、プライマリ インスタンスを使用できます。

最初に、ログ コレクタ サーバを ACS 5.5 にアップグレードし、すべてのサーバの 5.5 アップグレードが完了するまで、このサーバを ACS 5.4 配置と 5.5 配置間の共通のログ コレクタとして使用します。

この通常のセットアップにはいくつかの例外があります。これは、次に説明されているように対処できます。

ACS 5.4 プライマリ サーバが 5.4 配置でログ コレクタとしても機能する場合は、既存のプライマリ サーバをアップグレードする前に、セカンダリ サーバのいずれかを配置のプライマリ サーバとして昇格する必要があります。「セカンダリ サーバのプライマリへのプロモート」を参照してください。


) セカンダリ サーバをアップグレードする前に、プライマリ サーバからセカンダリ サーバを登録解除する必要があります。


ログ コレクタ サーバのアップグレード

ログ コレクタ サーバを ACS 5.5 にアップグレードするには、次の手順を実行します。


ステップ 1 ログ コレクタにするいずれかのセカンダリ サーバを選択します。

a. プライマリ ACS サーバから、[System Administration] > [Configuration] > [Log Configuration] > [Log Collector] を選択します。

[Log Collector] ページが表示されます。

b. [Select Log Collector Server] ドロップ ダウン リストから、ログ コレクタにする新しいセカンダリ インスタンスを選択し、[Set Log Collector] をクリックします。

新しいセカンダリ ログ コレクタの ACS サービスが再起動されます。

ステップ 2 EXEC モードで show application status acs コマンドを入力して、すべてのプロセスが正常に稼働しているかどうかを確認し、Enter を押します。

コンソールに次のメッセージが表示されます。

Process 'database' running

Process 'management' running

Process 'runtime' running

Process 'ntpd' running

Process 'adclient' running

Process 'view-database' running

Process 'view-jobmanager' running

Process 'view-alertmanager' running

Process 'view-collector' running

Process 'view-logprocessor' running

これで、すべてのプロセスが稼働していることを確認できました。

ステップ 3 古いログ コレクタ サーバを導入から登録解除し、ACS 5.4 プライマリ サーバから削除して、サーバがスタンドアロン サーバになるようにします。

a. ACS 5.4 プライマリ サーバの Web インターフェイスから、[System Administration] > [Operations] > [Distributed System Management] を選択します。

[Distributed System Management] ページが表示されます。

b. [Secondary Instances] テーブルから、登録解除するセカンダリ インスタンスの横にあるチェックボックスをオンにします。

c. [Deregister] をクリックします。

システムに次のメッセージが表示されます。

This operation will deregister the selected ACS Instance from the Primary Instance.
 
Do you wish to continue?
 

d. [OK] をクリックします。

セカンダリ インスタンス(古いログ コレクタ)サービスが再起動されます。

e. ACS 5.4 プライマリ サーバにログインします。

f. [System Administration] > [Operations] > [Distributed System Management] を選択します。

g. [Secondary Instances] テーブルから、削除する登録解除済みのセカンダリ インスタンスの横にあるチェックボックスをオンにします。

h. [Delete] をクリックします。

次のメッセージが表示されます。

Are you sure you want to delete the selected item/items?
 

i. [OK] をクリックします。

[Distributed System Management] ページに、削除されたセカンダリ インスタンスのない [Secondary Instances] テーブルが表示されます。

ステップ 4 ログ コレクタ データをバックアップします。

ACS CLI から、EXEC モードで次の backup コマンドを入力して、バックアップを実行し、バックアップをリモート リポジトリに格納します。

backup backup-file-name repository repository-name


) データをバックアップするときに、ACS で許可されたディスク クォータをデータ サイズが超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report でアラームがトリガされます。


ステップ 5 古い ACS ログ コレクタをアップグレードします。

「ACS サーバの 5.4 から 5.5 へのアップグレード」の手順を実行します。

ログ コレクタ サーバですべてのプロセスが稼働状態になったら、アップグレードが正常に完了したかどうかを Monitoring and Report Viewer で確認する必要があります。それには、[Monitoring Configuration] > [System Operations] > [Data Upgrade Status] を選択します Monitoring and Report Viewer データ アップグレードのステータスを示す [Data Upgrade Status] ページが表示されます。

データベース アップグレードが完了すると、ACS に次のメッセージが表示されます。

アップグレードが正常に完了します。

これで、古いログ コレクタが 5.5 にアップグレードされ、ACS 5.5 スタンドアロン プライマリ サーバとログ コレクタとして動作するようになりました。詳細については、「ACS Monitoring and Report Viewer のアップグレード」を参照してください。

ステップ 6 5.5 ログ コレクタを 5.4 配置のリモート ログ ターゲットとして定義します。

a. [System Administration] > [Configuration] > [Log Configuration] > [Remote Log Targets] を選択します。

[Remote Log Targets] ページが表示されます。

b. [Create] をクリックします。

[Create] ページが表示されます。

c. 次のフィールドに値を入力します。

[Name]:リモート ログ ターゲットの名前。最大 32 文字まで可能です。

[Description]:(任意)リモート ログ ターゲットの説明。説明の最大長は 1024 文字です。

[Type]:リモート ログ ターゲットのタイプ。[Syslog] は唯一のオプションです。

[IP Address]: x.x.x.x 形式のリモート ログ ターゲットの IP アドレス。5.5 ログ コレクタ サーバの IP アドレスを指定します。

[Use Advanced Syslog Options]:ポート番号、ファシリティ コード、および最大長を含む詳細 Syslog オプションをイネーブルにする場合にクリックします。

[Port]:ACS とリモート ログ ターゲット間の通信チャネルとして使用するリモート ログ ターゲットのポート番号(デフォルトは 514)。ポート番号には 20514 を入力します。

[Facility Code]:(任意)[Facility Code] ドロップダウン リストからオプションを選択します。

[Maximum Length]:リモート ログ ターゲット メッセージの最大長。有効なオプションは 200 ~ 1024 です。

d. [Submit] をクリックします。

リモート ログ ターゲット設定が保存されます。新しいリモート ログ ターゲット設定が示された [Remote Log Targets] ページが表示されます。

これで、5.4 配置からの認証の詳細が 5.4 ログ コレクタ サーバと 5.5 ログ コレクタ サーバの両方に記録されるようになりました。

ステップ 7 5.4 プライマリ サーバでは、リモート ログ ターゲットに適したロギング カテゴリを設定します。

a. [System Administration] > [Configuration] > [Log Configuration] > [Logging Categories] > [Global] を選択します。

[Logging Categories] ページが表示されます。このページから、ロギング カテゴリを参照できます。

b. 設定するロギング カテゴリの名前をクリックするか、設定するロギング カテゴリの名前の横にあるオプション ボタンをクリックして [Edit] をクリックします。

c. [General] タブで、次のフィールドに入力します。

[Log Severity]:ドロップダウン リストを使用して、重大度レベルを選択します。有効なオプションは [FATAL]、[ERROR]、[WARN]、[INFO]、および [DEBUG] です。

[Log to Local Target]:ローカル ターゲットへのロギングをイネーブルにする場合にオンにします。

[Local Target is Critical]:このローカル ターゲットをクリティカル ターゲットにする場合にチェックボックスをオンにします。アカウンティングと AAA 監査(合格した認証)ロギング カテゴリ タイプの場合だけ使用可能です。

d. [Remote Syslog Target] タブをクリックして、[Remote Targets] を選択してログを表示します。

e. [Submit] をクリックします。

設定したロギング カテゴリが示された [Logging Categories] ページが表示されます。「セカンダリ サーバのアップグレード」 に進みます。


 

セカンダリ サーバのアップグレード

配置内の各 ACS 5.4 セカンダリ サーバを ACS 5.5 にアップグレードするには、この手順を使用します。


ヒント セカンダリ サーバのローカル証明書を確実に保持するには、各セカンダリ サーバをプライマリ ロールにプロモートしてから、ACS 5.5 アップグレードを実行する必要があります。「PKI データおよび証明書のアップグレード」を参照してください。

セカンダリ ACS サーバをアップグレードする前に、サーバがアクティブであること、およびローカル モードになっていないことを確認します。

セカンダリ サーバの Web インターフェイスからステータスを確認するには、[System Administration] > [Operations] > [Local Operations] を選択します。


ステップ 1 セカンダリ サーバがログ コレクタであるかどうかを確認します。ログ コレクタである場合は、ログ コレクタ サーバを他の任意のセカンダリ サーバに変更します。ログ コレクタではない場合は、ステップ 2 に進みます。

a. ACS 5.4 プライマリ サーバで、[System Administration] > [Configuration] > [Log Configuration] > [Log Collector] を選択します。

ACS に、現在のログ コレクタ サーバが表示されます。

b. [Select Log Collector] ドロップダウン リストから、ログ コレクタとして設定する別のサーバを選択します。

c. [Set Log Collector] をクリックします。

ステップ 2 セカンダリ サーバを 5.4 配置から登録解除し、ACS 5.4 プライマリ サーバから削除して、サーバがスタンドアロン サーバになるようにします。

a. [System Administration] > [Operations] > [Distributed System Management] を選択します。

[Distributed System Management] ページが表示されます。

b. [Secondary Instances] テーブルから、登録解除するセカンダリ インスタンスの横にあるチェックボックスをオンにします。

c. [Deregister] をクリックします。

システムに次のメッセージが表示されます。

This operation will deregister the selected ACS Instance from the Primary Instance.
 
Do you wish to continue?
 

d. [OK] をクリックします。

ACS マシンが再起動します。

e. ACS 5.4 プライマリ サーバにログインします。

f. [System Administration] > [Operations] > [Distributed System Management] を選択します。

g. [Secondary Instances] テーブルから、削除するセカンダリ インスタンスの横にあるチェックボックスをオンにします。

h. [Delete] をクリックします。

次のメッセージが表示されます。

Are you sure you want to delete the selected item/items?
 

i. [OK] をクリックします。

[Distributed System Management] ページに、削除されたセカンダリ インスタンスのない [Secondary Instances] テーブルが表示されます。

ステップ 3 セカンダリ サーバ データをバックアップします。

ACS CLI から、EXEC モードで次の backup コマンドを発行して、バックアップを実行して、バックアップをリポジトリに入れます。

backup backup-name repository repository-name


) データをバックアップするときに、ACS で許可されたディスク クォータをデータ サイズが超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report でアラームがトリガされます。


ステップ 4 ACS サーバを 5.5 にアップグレードします。「ACS サーバの 5.4 から 5.5 へのアップグレード」を参照してください。

ステップ 5 セカンダリ サーバを ACS 5.5 プライマリ サーバに登録します。

a. [System Administration] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。

[Deployment Operations] ページが表示されます。

b. [Registration] ダイアログボックスの下にある次の必須フィールドに入力します。

[Primary Instance]:セカンダリ インスタンスを登録する 5.5 プライマリ サーバのホスト名。

[Admin Username]:管理者アカウントのユーザ名。

[Admin Password]:管理者アカウントのパスワード。

[Hardware Replacement]:既存の ACS インスタンスをプライマリ インスタンスに再登録できるようにして、プライマリ インスタンスにすでに存在する設定のコピーを取得する場合にオンにします。

[Recovery Keyword]:このセカンダリ サーバが、以前に収集した監視およびレポート データに関連付けられるように、5.4 配置で使用されたものと同じホスト名を指定します。

この情報の送信後に、このインスタンスはプライマリ インスタンスに接続します。プライマリ インスタンスは、キーワードに基づいて、関連付けられた ACS インスタンス レコードを検索し、各レコードに登録済みのマークを付けます。

c. [Register to Primary] をクリックします。

システムに次のメッセージが表示されます。

This operation will register this ACS Instance as a secondary to the specified Primary Instance. ACS will be restarted. You will be required to login again. Do you wish to continue?
 

d. [OK] をクリックします。

ACS は自動的に再起動します。しばらく待ってから、すべてのプロセスが正常に稼働していることを確認します。


) セカンダリ インスタンスをプライマリ インスタンスに登録すると、プライマリ インスタンスで作成された任意のアカウントを使用できます。プライマリ インスタンスで作成するクレデンシャルは、セカンダリ インスタンスに複製されます。


登録の完了後に、ACS は完全同期を実行し、ACS 5.5 設定データを 5.5 セカンダリ サーバに送信します。

ステップ 6 ローカルおよび未処理の Certificate Signing Request(CSR)をインポートします。

User Guide for Cisco Secure Access Control System 5.5 』の「 Importing Server Certificates and Associating Certificates to Protocols 」の項と「 Generating Self-Signed Certificates 」の項を参照してください。

「プライマリ サーバのアップグレード」 に進みます。


 

すべてのセカンダリ サーバが ACS 5.5 にアップグレードされたら、ACS 5.4 プライマリ サーバを ACS 5.5 にアップグレードします。プライマリ サーバに登録されたセカンダリ サーバがない場合は、プライマリ サーバ自体がログ コレクタとして機能します。

プライマリ サーバのアップグレード

プライマリ サーバを 5.4 から 5.5 配置にアップグレードするには、次の手順を実行します。


ステップ 1 プライマリ サーバがスタンドアロン サーバであることを確認します。

a. [System Administration] > [Operations] > [Distributed System Management] を選択します。

[Distributed System Management] ページが表示されます。

b. [Secondary Instances] テーブルにセカンダリ サーバがリストされているかどうかを確認します。セカンダリ サーバがある場合は、5.4 プライマリ サーバをアップグレードする前に、これらのサーバをアップグレードします。「セカンダリ サーバのアップグレード」を参照してください。

ステップ 2 ACS サーバを 5.5 にアップグレードします。「ACS サーバの 5.4 から 5.5 へのアップグレード」を参照してください。

ステップ 3 新しくアップグレードされた 5.5 サーバを既存のプライマリ ACS 5.5 サーバに登録します。

a. [System Administration] > [Operations] > [Local Operations] > [Deployment Operations] を選択します。

[Deployment Operations] ページが表示されます。

b. [Registration] ダイアログボックスの下にある次の必須フィールドに入力します。

[Primary Instance]:セカンダリ インスタンスを登録するプライマリ サーバのホスト名。

[Admin Username]:管理者アカウントのユーザ名。

[Admin Password]:管理者アカウントのパスワード。

[Hardware Replacement]:既存の ACS インスタンスをプライマリ インスタンスに再登録できるようにして、プライマリ インスタンスにすでに存在する設定のコピーを取得する場合にオンにします。

[Recovery Keyword]:このサーバが、以前に収集した監視およびレポート データに関連付けられるように、5.4 配置で使用されたものと同じホスト名を指定します。

この情報の送信後に、このインスタンスはプライマリ インスタンスに接続します。プライマリ インスタンスは、キーワードに基づいて、関連付けられた ACS インスタンス レコードを検索し、各レコードに登録済みのマークを付けます。

c. [Register to Primary] をクリックします。

システムに次のメッセージが表示されます。

This operation will register this ACS Instance as a secondary to the specified Primary Instance. ACS will be restarted. You will be required to login again. Do you wish to continue?
 

d. [OK] をクリックします。

ACS は自動的に再起動されます。しばらく待ってから、すべてのプロセスが正常に稼働していることを確認します。


) セカンダリ インスタンスをプライマリ インスタンスに登録すると、プライマリ インスタンスで作成された任意のアカウントを使用できます。プライマリ インスタンスで作成するクレデンシャルは、セカンダリ インスタンスに複製されます。


このインスタンスを ACS 5.5 プライマリ サーバとして再度プロモートします。「セカンダリ サーバのプライマリへのプロモート」を参照してください。

これで、ACS 5.4 配置が ACS 5.5 配置に完全にアップグレードされます。


 

PKI データおよび証明書のアップグレード

ACS 5.4 公開キー インフラストラクチャ(PKI)クレデンシャル、ローカル証明書、および未処理の CSR は、証明書を再インポートすることによって ACS 5.5 で復元されます。

ACS 5.4 マシンを ACS 5.5 にアップグレードすると、すべての PKI データが消去されます。ローカル証明書を保持するには、配置内のプライマリ ノードにローカルおよび未処理の CSR をすべてインポートする必要があります。

ローカル証明書を保持するには、次の手順を実行します。


ステップ 1 ACS 5.4 ターゲット マシンで、[System Administration] > [Configuration] > [Local Server Certificates] > [Local Certificates] を選択します。

ステップ 2 ローカル証明書にチェックマークを付けます。

ステップ 3 [Export] をクリックします。

ステップ 4 証明書と秘密キーをエクスポートします。

ステップ 5 すべてのローカル証明書に対してステップ 2 ~ 4 を繰り返します。

ステップ 6 [System Administration] > [Configuration] > [Local Server Certificates] > [Outstanding Signing Requests] に移動します。

ステップ 7 CSR にチェックマークを付けます。

ステップ 8 [Export] をクリックします。

ステップ 9 すべての CSR に対してステップ 7 ~ 8 を繰り返します。

ステップ 10 エクスポートしたすべての証明書と CSR を保存します。

ステップ 11 ACS 5.4 サーバを 5.5 にアップグレードします。「ACS サーバの 5.4 から 5.5 へのアップグレード」を参照してください。

ステップ 12 エクスポートしたすべての証明書と CSR をインポートします。


 

セカンダリ サーバのプライマリへのプロモート


ステップ 1 プライマリ サーバの Web インターフェイスから、[System Administration] > [Operations] > [Distributed System Management] を選択します。

[Distributed System Management] ページが表示されます。

ステップ 2 [Secondary Instances] テーブルから、プライマリにプロモートするセカンダリ サーバの横にあるチェックボックスをオンにします。

ステップ 3 [Promote] をクリックします。

システムに次のメッセージが表示されます。

This operation will promote the selected ACS Instance to become the new Primary Instance. As a consequence, the current Primary Instance will be demoted to a Secondary.
 
Do you wish to continue?
 

ステップ 4 [OK] をクリックします。

システムは、選択されたセカンダリ サーバをプライマリにプロモートし、それを [Primary Instances] テーブルに移動します。既存のプライマリ サーバは、自動的に [Secondary Instances] テーブルに移動されます。

登録が完了すると、ACS は完全同期を実行し、新たにプロモートされたプライマリ サーバに ACS 5.5 設定データを送信します。


 

ACS Monitoring and Report Viewer のアップグレード

ACS は、Monitoring and Report Viewer のアップグレードをアップグレード中のサブタスクとして呼び出します。

ACS Monitoring and Report Viewer に使用可能な最大のディスク スペースは 150 GB です。

この項の構成は、次のとおりです。

「アップグレード後の Monitoring and Report Viewer データの復元」1

「データベースのアップグレード」

「レポートのアップグレード」

データベース アップグレードのステータスを確認するには、Monitoring and Report Viewer で、[Monitoring Configuration] > [System Operations] > [Data Upgrade Status] を選択します。

Monitoring and Report Viewer データ アップグレードのステータスを示す [Data Upgrade Status] ページが表示されます。

データベース アップグレードが完了すると、ACS に次のメッセージが表示されます。

アップグレードが正常に完了します。

アップグレード後の Monitoring and Report Viewer データの復元

5.5 へのアップグレード後にバックアップ データを復元すると、変更が検出された場合に、変更は ACS によりデータベースおよびレポートと自動的に同期されます。

データを復元する期間ではなく、バックアップを作成する期間のレポート データだけを使用できます。たとえば、6 月にデータをバックアップし、8 月に復元した場合、使用できるレポート データは 8 月ではなく、6 月のデータだけになります。最新のレポート データを取得するには、再びレポートを実行する必要があります。

データベースのアップグレード

5.5 アップグレード後に、アップグレード前に作成したバックアップを復元すると、ACS により、データベース バージョンが AVPair:DBVersion=5.5 として表示され、スキーマ バージョンは av_system_settings テーブルで 5.5 に保持されます。データベース プロセスの再開時に、ACS は ACS バージョンとデータベース バージョンを調べて、古いものがあった場合はスキーマとデータのアップグレードを実行します。

レポートのアップグレード

5.5 へのアップグレード後に、アップグレード前に作成したバックアップを復元する場合、ACS は、レポート タグにより「View 5.5」が表示されるかどうかを調べて、Web プロセスの開始時に必要な更新を実行します。


) [Switch Database] をクリックすると、ログ コレクタ サーバ アップグレードのステップ 7(データベース スキーマのバージョン 5.2 へのアップグレード)の実行後に生成されるログは失われます。ACS は、ステップ 7 の実行前に生成されたログだけを保持します。


ACS 配置の 5.3 から 5.5 へのアップグレード

「ACS 配置の 5.4 から 5.5 へのアップグレード」の説明と同じ手順を実行します。

ACS サーバの 5.4 から 5.5 へのアップグレード

ACS サーバを 5.4 から 5.5 にアップグレードする 2 つの方法を次に示します。アップグレードには、次のいずれかの方法を使用できます。

「アプリケーション アップグレード バンドルを使用した ACS サーバのアップグレード」

「ACS サーバの再イメージ化とアップグレード」

アプリケーション アップグレード バンドルを使用した ACS サーバのアップグレード

ACS サーバを 5.4 から 5.5 にアップグレードするには、次の手順を実行します。


ステップ 1 ACS 5.5 アプリケーション アップグレード バンドル(ACS_5.5.tar.gz)をリモート リポジトリに格納します。

リポジトリを設定するには、『 CLI Reference Guide for Cisco Access Control System 5.5 』で説明された手順を実行します。

ステップ 2 EXEC モードで次の application upgrade コマンドを入力します。

application upgrade ACS_5.5.tar.gz repository-name

ACS に、次の確認メッセージが表示されます。

Save the current ADE-OS running configuration?(yes/no) [yes] ?

It is strongly recommended to take full backup before upgrade.Do you want to take a backup now ?(yes/no) [yes] ?


) この段階で作成されたバックアップ ファイルは、アプリケーション アップグレード バンドルを保存するために作成したものと同じリモート リポジトリに格納されます。



) ACS を以前のバージョンからバージョン 5.5 にアップグレードするときに、アップグレード バンドルのサイズが許可されたディスク クォータを超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report でアラームがトリガされます。


ステップ 3 yes と入力します。

ACS アップグレードが完了すると、次のメッセージが表示されます。

% CARS Install application required post install reboot...

The system is going down for reboot NOW!

Application upgrade successful

ACS は、ACS 5.4 設定データをアップグレードするときに、ACS 5.4 Monitoring and Report Viewer データを 5.5 形式に変換します。

ステップ 4 データ アップグレードのステータスを監視するには、Monitoring and Report Viewer で、[Monitoring Configuration] > [System Operations] > [Data Upgrade Status] を選択します。

Monitoring and Report Viewer データ アップグレードのステータスを示す [Data Upgrade Status] ページが表示されます。

データベース アップグレードが完了すると、ACS に次のメッセージが表示されます。

アップグレードが正常に完了します。

ステップ 5 [OK] をクリックします。

ステップ 6 show application version acs コマンドを入力して、ACS バージョンが正常にアップグレードされたかどうかを確認します。

次のメッセージが表示されます。

Cisco ACS VERSION INFORMATION

-----------------------------

Version : 5.5.0.46.0a

Internal Build ID : B.221

ステップ 7 EXEC モードで show application status acs コマンドを入力して、すべてのプロセスが正常に稼働しているかどうかを確認し、Enter を押します。

コンソールに次のメッセージが表示されます。

ACS role: PRIMARY

Process 'database' running

Process 'management' running

Process 'runtime' running

Process 'ntpd' running

Process 'adclient' running

Process 'view-database' running

Process 'view-jobmanager' running

Process 'view-alertmanager' running

Process 'view-collector' running

Process 'view-logprocessor' running

これで、すべてのプロセスが稼働し、ACS が正常にバージョン 5.5 にアップグレードされたことを確認できました。


 

ACS サーバの再イメージ化とアップグレード

この項では、ACS 5.4 データをバックアップし、イメージが再作成された ACS 5.5 サーバで復元することにより ACS 5.4 を 5.5 にアップグレードする方法について説明します。このアップグレード手順を実行するには、ACS アプライアンスへの物理的なアクセスが必要です。

イメージの再作成と ACS 5.5 へのアップグレードを行うには、次の手順を実行します。


ステップ 1 ACS データを ACS 5.4 サーバからバックアップします。

ステップ 2 EXEC モードで次の backup コマンドを入力して、バックアップを実行し、バックアップをリポジトリに格納します。

backup backup-name repository repository-name


) データをバックアップするときに、許可されたディスク クォータをデータ サイズが超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report でアラームがトリガされます。



) ACS 5.4 データのバックアップには、必ずリモート リポジトリを使用してください。使用しないと、5.5 のインストール後に、バックアップされたデータが失われる可能性があります。


ステップ 3 ACS 5.5 Recovery DVD を使用して ACS 5.5 をインストールします。を参照してください。

これにより、設定データなしで ACS サーバのイメージが新しい ACS 5.5 サーバに再作成されます。

ステップ 4 バックアップされたデータを復元する新しい ACS 5.5 サーバのリポジトリを設定します。

ステップ 5 ステップ 2 でバックアップされたデータを ACS 5.5 サーバに復元します。

EXEC モードで restore コマンドを入力して、バックアップを復元します。

restore filename repository repository-name


) バックアップされたデータを復元するときに、許可されたディスク クォータをデータ サイズが超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report でアラームがトリガされます。



) ADE-OS バックアップを別のハードウェアに復元する場合は、ACS マシンが稼働状態にするために、IP アドレスを変更する必要があります。


5.4 バックアップ ファイルを使用してデータを復元している間に、このコマンドによって ACS 5.4 設定データが復元されます。また、このコマンドによって、ACS 5.4 Monitoring and Report Viewer データが 5.5 形式に変換され、アップグレードされます。

バックアップされたデータ サイズが、ACS で許可されたディスク クォータを超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report にアラームが表示されます。

ステップ 6 データ アップグレードのステータスを監視するには、Monitoring and Report Viewer で、[Monitoring Configuration] > [System Operations] > [Data Upgrade Status] を選択します。

Monitoring and Report Viewer データのアップグレード ステータスを示す [Data Upgrade Status] ページが表示されます。

データベース アップグレードが完了すると、次のメッセージが表示されます。

アップグレードが正常に完了します。

ステップ 7 [OK] をクリックします。


 


警告 ACS の復元では、EAP または管理インターフェイスで PKI を更新しません。データベースに CA 署名付き証明書しかない場合でも、HTTPS は自己署名証明書を使用します。
この問題の回避策は次のとおりです。
1. 一時的な自己署名証明書を作成し、EAP または管理インターフェイスを割り当てます。
2. EAP または管理インターフェイスを CA 署名付き証明書に再度割り当てます。
3. 自己署名証明書を削除します。



バックアップ データのサイズが大きい場合は、抽出プロセスの完了までに 1 時間から数時間かかることがあります。



) IP の重複の問題を避けるために、同じ ACS サーバ内でバックアップ ファイルを復元します。


ACS サーバの 5.3 から 5.5 へのアップグレード

ACS 5.3 サーバを ACS 5.5 にアップグレードするには、「ACS サーバの 5.4 から 5.5 へのアップグレード」の説明と同じ手順を実行します。

ACS パッチの適用

ACS 5.5 累積パッチは次の場所からダウンロードできます。

http://www.cisco.com/cisco/software/navigator.html?a=a&i=rpm

パッチをダウンロードして適用するには、次の手順を実行します。


ステップ 1 Cisco.com にログインして、[Security] > [Access Control and Policy] > [Policy and Access Management] > [Cisco Secure Access Control System] > [Cisco Secure Access Control System 5.5] に移動します。

ステップ 2 パッチをダウンロードします。

ステップ 3 EXEC モードで次の acs patch コマンドを実行して、ACS 5.5 累積パッチをインストールします。ACS パッチをインストールするには、次の手順を実行します。

acs patch install patch-name repository repository-name

ACS に、次の確認メッセージが表示されます。

Save the Current ADE-OS running configuration?(yes/no) [yes] ? yes

 


) ACS を以前のバージョンからバージョン 5.5 にアップグレードするときに、アップグレード バンドルのサイズが許可されたディスク クォータを超過している場合は、CLI に警告メッセージが表示され、ACS Monitoring and Report でアラームがトリガされます。


ステップ 4 yes と入力します。

ACS に次のメッセージが表示されます。

Generating configuration...

Saved the ADE-OS running configuration to startup successfully

Getting bundle to local machine...

md5: aa45b77465147028301622e4c590cb84

sha256: 3b7f30d572433c2ad0c4733a1d1fb55cceb62dc1419b03b1b7ca354feb8bbcfa

% Please confirm above crypto hash with what is posted on download site.

% Continue?(y/N)y

ステップ 5 ACS 5.5 パッチのインストールに、digest-md5 および sha256 チェックサムが表示されます。この値を、ダウンロードされたサイトの Cisco.com で表示される値と比較します。次のどちらかを実行します。

暗号ハッシュが一致する場合は、Y を入力します。Y を入力すると、ACS はインストール手順を続行します。

% Installing an ACS patch requires a restart of ACS services.

Would you like to continue?yes/no

暗号ハッシュが一致しない場合は、N を入力します。N を入力すると、ACS はインストール プロセスを中止します。

ステップ 6 yes と入力します。

ACS バージョンが、適用されたパッチにアップグレードされます。ACS CLI EXEC モードで

show application status acs コマンドを使用して、すべてのサービスが正常に実行されていることを確認します。

ステップ 7 EXEC モードで show application version acs コマンドを入力して、パッチが正常にインストールされたことを確認します。ACS に次のメッセージが表示されます。

acs/admin# show application version acs

CISCO ACS VERSION INFORMATION

------------------------------

Version: 5.5.0.46.1

Internal Build ID: B.225

Patches:

5-5-0-46-1

acs/admin #


 


) パッチのインストール時に、許可されたディスク クォータをパッチ サイズが超過している場合は、ACS CLI に警告メッセージが表示され、[ACS Monitoring and Reports] ページにアラームが表示されます。


CSACS-1120 または CSACS-1121 上の ACS 5.3 または 5.4 の Cisco SNS-3415 または Cisco SNS-3495 へのアップグレード

CSACS-1120 または CSACS-1121 アプライアンスに ACS 5.3 または 5.4 をインストールしており、Cisco SNS-3415 または Cisco SNS-3495 にアップグレードする場合は、次の手順を実行します。


ステップ 1 既存の ACS 5.3 または 5.4 設定をバックアップします。

ステップ 2 ACS 5.5 がインストールされた Cisco SNS-3415 または Cisco SNS-3495 アプライアンスに ACS をインストールします。

ステップ 3 ステップ 1 で取得した ACS 5.3. または 5.4 のバックアップを復元します。


 


) Cisco SNS-3415 または Cisco SNS-3495 アプライアンスで ACS 5.5 に移行する場合、application upgrade コマンドは適用されません。Cisco SNS-3415 または Cisco SNS-3495 アプライアンスに ACS 5.5 をインストールし、CSACS-1120 または CSACS-1121 アプライアンスから取得したバックアップを復元する必要があります。