ASA CX および Cisco Prime Security Manager 9.1 ユーザ ガイド
スタートアップ ガイド
スタートアップ ガイド
発行日;2013/02/21   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

スタートアップ ガイド

次のトピックでは、コンテキスト対応セキュリティおよび PRSM の使用を開始する方法について説明します。

ブラウザ要件

Web インターフェイスにアクセスするには、ブラウザが JavaScript および Cookie をサポートし、受け入れがイネーブルになっている必要があります。 また、Cascading Style Sheet(CSS)を含む HTML ページをレンダリングできる必要があります。

次のリストに、Windows 7 用にサポートされる最小ブラウザ バージョンを示します。 多くの場合、より新しいバージョン、または別のオペレーティング システムを使用できる可能性があります。ただし、それらのバージョンおよびオペレーティング システムは、このアプリケーションでテストされていない可能性があり、したがっていくつかの機能の動作が異なるか、またはまったく動作しない可能性があります。

  • Mozilla Firefox 11

    (注)  


    IPv6 アドレスを使用するために使用可能な最小リリースは、Firefox 11 となります。


  • Google Chrome Frame を導入した Windows Internet Explorer 8

    (注)  


    Google Chrome Frame が導入されていない Internet Explorer を使用した Web インターフェイスでログインしようとすると、アドオンをインストールするように要求されます。 これは、必要なアプリケーションを取得する簡単な方法です。


  • Google Chrome 17

いくつかのボタンおよびリンクで追加のウィンドウが開きます。 したがって、少なくともアプリケーションのホスト デバイスからのポップアップを許可するには、ブラウザのポップアップ ブロックの設定が必要になることがあります。

システムへのログイン

PRSM 製品と CX 製品には、次の 2 つのインターフェイスがあります。

Web インターフェイス

この製品に対するメイン インターフェイスは Web ブラウザ上で動作します。 マルチ デバイス モードを使用して複数のデバイスを管理している場合でも、シングル デバイス モードを使用して CX デバイスに直接ログインする場合でも、この Web インターフェイスは Cisco Prime Security ManagerPRSM)と呼ばれます。 マルチ デバイス モード インターフェイスおよび シングル デバイス モード インターフェイスは、一方のモードで得た操作スキルを他方のモードでもすぐに使用できるように、互いに同一の外観を備えています。 両者の相違は、デバイス インベントリのような複数のデバイスの管理に関連する機能のアベイラビリティに関連するものです。

ASA CX を含む ASA をPRSM マルチ デバイス モード インベントリに追加する場合、、PRSM マルチ デバイス モードで設定すべきポリシーをデバイス上で誤って直接設定できないようにするために、管理対象デバイスの Web インターフェイスが制限されます。 Web インターフェイスには、デバイスを管理している PRSM サーバのアドレスを含めて、デバイスが管理対象モードであることが明確に示されます。

コマンドライン インターフェイス(CLI、コンソール)

最初のシステム セットアップおよびトラブルシューティングには、CLI を使用します。 システムを設定して正しく動作するようになれば、CLI の使用が必要になることはほとんどありません。 CLI コンソールにログインする方法は、PRSM のモードに基づいて異なります。

次のトピックで、これらのインターフェイスへのログイン方法を説明します。

Web インターフェイスへのログイン

Web インターフェイスを使用して、ポリシー、設定、および他のプロパティの設定を行います。 ログインするには、Web ブラウザを使用してサイトを開いてから、ユーザ名とパスワードでログインします。 ブラウザで設定可能な機能を、コマンドライン インターフェイス(CLI)で設定することはできません。セキュリティ ポリシーを実装するには、Web インターフェイスを使用する必要があります。

シングル デバイス モード および マルチ デバイス モード の Web インターフェイスでのログイン手順は同じです。単に別の Web サイトを開くだけです。

現在 PRSM サーバで管理されている CX デバイスにログインすると、そのデバイスが管理対象モードであることがホームページに示され、その管理を実行している PRSM サーバのアドレスが示されます。 管理対象モードでは、CX デバイスの大部分の Web インターフェイスがディセーブルになります。

はじめる前に

Web インターフェイスにログインする前に、初期システム セットアップを完了し、システムをネットワークに接続する必要があります。

手順
    ステップ 1   ブラウザを使用して、システムのホームページ(https://cx.example.com など)を開きます。

    設定済みのものであれば、IPv4 アドレス、IPv6 アドレス、または DNS 名を使用できます。 システム セットアップで設定した管理アドレスを使用します。

    ヒント   

    ブラウザがサーバ証明書を認識するように設定されていない場合、信頼されていない証明書に関する警告が表示されます。 証明書を例外として受け入れるか、または信頼されたルート証明書ストアのものを受け入れます。 IPv6 アドレスを使用して接続する場合、いくつかのバージョンの Firefox では、例外の作成が許可されません。 この場合には、サポートされている別のブラウザを使用するか、またはブラウザが信頼する証明書でシステムを設定します。

    ステップ 2   CX デバイスまたは PRSM について定義されているユーザ名とパスワードを入力し、[Login] をクリックします。

    事前定義されたユーザであるユーザ名 admin を使用できます。 CX デバイスのデフォルトの admin パスワードは Admin123 です。 PRSM マルチ デバイス モード にデフォルトのパスワードはありません。初期システム セットアップ中にパスワードの設定を要求されます。

    管理者が CX デバイスまたは PRSM のユーザ名として通常のディレクトリ ユーザ名を定義している場合は、DOMAIN\username(たとえば EXAMPLE\user1)、username@domain(たとえば user1@example.com)、または単にユーザ名でログインできます。

    初めてログインする場合、またはインベントリにデバイスが存在しない PRSM サーバにログインする場合は、システムへの導入を支援する導入モジュールが提示されます。 ページの右上にある [Welcome] リンクをクリックすると、いつでもこの初期画面に戻ることができます。


    ASA CX CLI へのログイン

    ASA CX コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。 CLI セッションからポリシーを設定することはできません。

    ASA CX CLI にログインするには、次のいずれかを実行します。
    • ASA 製品に付属のコンソール ケーブルを使用し、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、フロー制御なしに設定されたターミナル エミュレータを用いて PC をコンソールに接続します。 コンソール ケーブルの詳細については、ASA のハードウェア ガイドを参照してください。
    • ASA CX ソフトウェア モジュール では、ASA CLI で session cxsc console コマンドを使用してコンソール セッションを開きます。
    • SSH クライアントを使用して、管理 IP アドレスに接続します。 admin ユーザ名(デフォルトのパスワードは Admin123 です)を使用してログインします。

    ログインした後、CLI で使用可能なコマンドを確認するには、help または ? を入力してください。

    PRSM CLI へのログイン

    PRSM マルチ デバイス モード コマンドライン インターフェイス(CLI)を使用してシステムのセットアップを行い、基本的なシステムのトラブルシューティングを行います。 CLI セッションからポリシーを設定することはできません。

    PRSM CLI にアクセスするには、SSH クライアントを使用するか、または PRSM 仮想マシン(VM)用の VMware vSphere コンソールを使用します。 コンソールの使用方法の詳細については、vSphere のヘルプを参照してください。

    次の手順では、両方の方法について説明します。

    手順
      ステップ 1   SSH クライアントを使用するには、管理 IP アドレスに接続し、admin ユーザ名とパスワードを使用してログインします。
      ステップ 2   VMware vSphere コンソールを使用するには、次を実行します。
      1. vSphere クライアントにログインし、ユーザが PRSM VM を実行している vCenter サーバに接続します。
      2. サーバ上の VM のリストから PRSM VM を選択し、右側のパネルまたは別のウィンドウとして VM コンソールを開きます(ツールバーの [Launch Virtual Machine Console] ボタンをクリックするか、または [Inventory] > [Virtual Machine] > [Open Console] を選択します)。
      3. コンソール ウィンドウ内をダブルクリックしてコンソールに入り、次に admin ユーザ名とパスワードを使用してログインします。

        admin パスワードを回復するため、またはシステムを出荷時の初期状態にリセットするためにコンソールにログインする場合には、recovery ユーザ名を使用してログインします。 リカバリ ユーザとしてログインするには、コンソールを使用する必要があります。SSH クライアントは使用できません。

      ステップ 3   ログインした後、CLI で使用可能なコマンドを確認するには、help または ? を入力してください。

      Web インターフェイスの基礎

      ここでは、ASA CX/PRSM Web インターフェイスの使用方法について概要を説明します。

      ユーザ ロールで表示および実行可能な対象の制御

      ユーザ名はロールに割り当てられ、ユーザ インターフェイスで何を実行できるか、また何を表示できるかがユーザ ロールによって決まります。 ある機能を使用する権限がない場合は、その機能にアクセスするためのメニューが表示されません。読み取り専用アクセス権を持つ場合は、変更を行うためのボタンまたはコントローラが表示されません。

      したがって、オンライン ヘルプやその他のマニュアルには、表示できない機能または使用できない機能が記載されている場合があります。

      ロールを判断するには、[Administration] > [Users] を選択してアカウントを確認してください。

      可能なロールとそれらの権限の詳細については、ユーザのロールと権限を参照してください。


      ヒント


      CLI にログインできるのは、admin ユーザに限られます。


      メニュー

      Web インターフェイスの上部には、アプリケーションのメイン ページにアクセスするためのメイン メニューがあります。 また、右上には重要なリンクがあります。 シングル デバイス モードマルチ デバイス モードのメニューはほぼ同一ですが、マルチ デバイス モードには追加のコマンドがあります。

      図 1. PRSM メニュー



      次に、メニュー バーのメイン メニューと機能について説明します。
      • [Dashboard]:[Dashboard] メニューには、プライマリ ランディング ページ、ネットワークの概要、および利用可能な各ダッシュボードへのリンクがあります。 これらの機能を使用して、デバイスやポリシーなどのパフォーマンスを監視および評価します。
      • [Events]:[Events] メニューから Event Viewer を開くことができます。 Event Viewer を使用して、トラフィックおよびシステム イベントの表示と分析を行います。 これらのイベントは、ユーザ アクセスまたはシステム パフォーマンスと動作に関する問題の識別と解決に役立ちます。
      • [Policies]:[Policies] メニューには、セキュリティ ポリシーを定義するための中核機能があります。 このメニューからポリシー、ポリシー オブジェクト、およびデバイス グループを作成できます。 また、Application Visibility and Control エンジンが識別できるアプリケーションを表示できます。
      • [Device]:[Device] メニューには、デバイス設定に関連する機能があります。 マルチ デバイス モードでは、デバイス インベントリの検索、デバイスの追加、およびその他のデバイス固有の機能の設定もできます。
      • [Administration]:[Administration] メニューには、ユーザ アカウント管理やライセンシングなど、システムの管理に関連する機能があります。
      • [License Alerts]:メニュー バーで [Administration] メニューの横の領域には、製品ライセンスに関して現在または保留中の問題がある場合に、ライセンス アラートが表示されます。 アラートは問題または潜在的な問題を示します。 アラートをクリックして [Licenses] ページに移動し、操作を行うことができます。
      • [Changes Pending]/[No Changes Pending]:メニュー バーの右端のリンクは常に表示され、[Commit and Deploy Changes]ページに移動します。 リンクのテキストは、データベースにコミットしてデバイスに展開する必要がある変更があるかどうかを示します。 ポリシーを変更した場合は、変更を保存して有効にする必要があります。
      • 右上のコマンド:右上のコマンドは次のとおりです。
        • [Welcome]:概要情報およびビデオを提供する [Welcome] ページを開きます。
        • [Help]:オンライン ヘルプを開きます。
        • [Username]:現在ログインしているユーザ名を表示します。 これはリンクではありませんが、複数のユーザ アカウントがある場合、ログインに使用したユーザ名を確認するのに役立ちます。
        • [Logout]:Web インターフェイスからログアウトします。

      リストおよびテーブル

      [Policy] または [Policy Objects] ページのようなリスト、および Event Viewer およびダッシュボードなどのテーブルは、連続してスクロールします。 つまり、リストまたはテーブルの終端に向かってスクロール ダウンすると、新しいエントリが取得され、ビューに追加されます。

      項目が取得され、追加されるときに、通常、遅延が発生します。

      非常に大きなリストおよびテーブルを処理するときは、興味のある項目を見つけやすくするために内容を絞り込むフィルタリング機能を使用します。

      リストとテーブルを使用する次のヒントを考慮してください。
      • [Policy Objects] リストをフィルタリングする場合、特定のオブジェクト タイプを対象とするために [Object Type] リストを使用します。
      • Event Viewer には、イベントのフィルタリングで説明している独自のフィルタリング機能があります。
      • カラム ヘッダーをクリックしてダッシュボードのテーブルをソートできます。 ヘッダーをクリックすると、そのカラムのソート順序が昇順または降順に切り替わります。
      • タイムスタンプが記載されたデータがテーブル示されているリストまたはテーブルは、時間範囲によってフィルタリングできます。 変更履歴に関しては、ユーザ名によってもフィルタリングできます。

      ポリシー、リスト、およびアラートのアイコン

      [Policies] ページには、ポリシーまたはポリシー セットのいくつかのアイコンが表示される場合があります。 これらのアイコンのいくつかは、Web インターフェイス内に表示されることがあります。 アイコンをマウスでポイントすると、アイコンの詳細が表示されるツールチップが開きます。これらの詳細は、コンテキストによって変化します。

      次の図に、理解しておく必要がある基本的なアイコンを示します。

      図 2. ポリシー(およびアラート)アイコン



      アイコンには次のものがあります。
      • 123:これらのライセンスされた機能は、ポリシー セットで使用できます。 通常、アイコンは黒で表示されます。 背景が赤で表示されている場合は、機能に必要なライセンスに問題があることを示します。アイコンの上にマウスを置くと、問題の詳細が表示されます。 アイコンは、次の機能を表しています。
        • 1:そのポリシー セットに関して [Application filtering] がイネーブルになっています。
        • 2:そのポリシー セットに関して [URL filtering] がイネーブルになっています。
        • 3:そのポリシー セットに関して [Web reputation filtering] がイネーブルになっています。
      • 4:[Alert] を示しています。 赤い「!」 が付いた三角形は、何らかのタイプの問題が存在していることを示す一般的なアラート アイコンです。 ポリシー リストでは、ライセンスの問題が発生していることを示します。 ダッシュボードまたは PRSM デバイス インベントリでは、デバイス到達不能などのデバイスの問題が発生していることを示します。また、具体的なアラートがアイコンの横にテキストで表示されます。 ポリシー リストでは、アイコンをマウスでポイントすることによってアラートの理由を判断します。
      • 5:[Pending Changes] を示しています。 [Pending Changes] アイコンは、最も頻繁に表示されるアイコンです。 これは、この項目が変更されていることを示します。 編集されたバージョンのポリシー、オブジェクト、または他の設定を有効にする前に、変更をコミットする必要があります。
      • 6:[Packet Capture] を示しています。 このアイコンは、このポリシーに関してパケット キャプチャがオンになっていることを示しています。

      リスト項目にマウスを置いてコマンドを表示

      リスト内の項目に作用するコマンドは、項目の上にマウスを置いたときにのみ表示されます。 マウスを置く動作は Event Viewer のイベントなど他の機能でも必要になることがあります。そのため、一般的に、そのページで行う作業がよくわからない場合は、項目の上にマウスを置いてコマンドが表示されるかどうかを確認することができます。

      次の例では、最初のアクセス ポリシーにマウスを置いたことで、[Delete Policy]、[Edit Policy] などポリシーに関連する複数のコマンドが表示されています。 この画像では、ポリシー 2 に関連するコマンドは非表示になっています。また、ポリシー セットに対して非表示になっているコマンドが存在し、[Access] ヘッダー行にマウスを置くと表示されます。





      項目の選択

      多くのフィールドでは、情報を入力するか、またはリストから項目を選択できます。 多くの場合、複数の項目を選択でき、また異なるタイプの項目も選択できます。 たとえば、ASA CX アクセス ポリシーの [Source] フィールドでは、複数のネットワーク、ID、ユーザ エージェント、セキュア モビリティ、およびセキュア ポリシー オブジェクトを選択できます。 チケット ID の入力時には、リストから既存の項目を選択するだけでなく、複数の項目を入力できます。

      次の図に、項目選択フィールドを示します。 項目選択は従来のコンボ ボックスに似ていますが、複数の項目を選択できる点が独特で、また項目選択には 2 つの個別のドロップダウン リストを含めることができます。

      図 3. オブジェクトおよびオブジェクト タイプ リストでの項目ピッカー



      1

      オブジェクト リスト。

      2

      オブジェクト タイプ フィルタ。

      項目タイプを選択すると、そのタイプのオブジェクトのみ表示されるように項目リストがフィルタリングされます。 たとえば、[Source] フィールドにフィルタ リストから [Identity Object] を選択した場合、項目リストに ID オブジェクトのみ表示されます。 フィルタ リストからタイプを選択しても、フィールドに入力できる内容は制限されません。その代わり、リストに表示される内容が限定されるため、選択する項目を簡単に検索できるようになります。

      項目選択の内部をクリックして入力を開始すると、項目リストが自動的にフィルタリングされ、項目名内のいずれかの位置にその文字列を含む項目だけが表示されます(項目名の先頭からの必要はありません)。 リストから項目を選択し、Enter を押して項目選択ボックスに追加します。

      図 4. 入力内容に従ったフィルタリング




      ヒント


      どのオブジェクトを選択するか確信が持てない場合には、リスト内のオブジェクトをマウスでポイントし、右側の [View Details] リンクをクリックします。 入力フォームの右に詳細が表示されます。


      項目選択で複数の項目を選択すると、次の図に示すように、項目がスペースで区切られます。 項目にマウスを置くと、右側の詳細ペインに表示できます。 詳細ペインで [Edit Object] をクリックして、このフォームからオブジェクトの内容を編集できます(事前定義されたシステム オブジェクトに関しては [View Object] )。

      図 5. 選択した項目にマウスを置いて詳細を表示



      項目を削除する場合には、その項目の上にマウスを置き、項目名の右の [X] をクリックします。 別の項目を追加するには、最後の項目の右の空スペースをクリックします。

      無効なエントリを作成すると、問題のエントリが強調表示され、フィールドの横に [Errors] リンクが表示されます。 リンクをクリックすると、エラーに関する詳細が表示されます。[Hide Errors] をクリックすると、メッセージが閉じます。

      図 6. 項目選択エラー



      求める項目がリストになく、項目の作成が許可されている場合は、フィールドの下の [Create New Object] または [Create New Profile] リンクをクリックします。 リストの右に必要なフォームが開きます。 オブジェクト プロパティを入力し、[Save Object] をクリックします。

      ヘルプの表示

      オンライン ヘルプは製品に付属しています。 ヘルプは、Web インターフェイスを対象とするだけでなく、CLI で使用できるコマンドの参照も含みます。 ヘルプは シングル デバイス モードマルチ デバイス モードの両方をカバーしているため、現在のインターフェイスでは使用できない機能が表示される可能性があります。

      ヘルプを開くには、Web インターフェイスの右上端の [Help] リンクをクリックします。 このリンクでは、通常、現在表示しているアプリケーション ページに関連するページが開きます。

      フォームに入力するとき(たとえば、ポリシーを作成しているとき)、通常、入力フォームの右上隅に [Help] リンクがあります。 フォームの詳細については、このリンクをクリックします。

      オンライン ヘルプは、アプリケーションとは別のウィンドウで開きます。 ヘルプ システムが開いているときは、目次または索引を使用して詳細を検索できます。 また、[Search] を使用して、ヘルプ システム内の情報を検索できます。


      ヒント


      また、詳細情報とマニュアルを、Cisco.com の http:/​/​www.cisco.com/​go/​asacx または http:/​/​www.cisco.com/​en/​US/​products/​ps12521/​tsd_​products_​support_​series_​home.html で検索できます。


      基本的なシステム情報の表示

      [Administration] > [About PRSM] を選択すると、システムに関する基本的な情報を表示できます。 このページに表示される情報には、次の項目が含まれます。
      • PRSM サーバ名:CLI の setup コマンドを使用して定義された、このシステムのホスト名。
      • バージョン:システム上で実行されているソフトウェアのバージョン。
      • PID:製品 ID。
      • シリアル番号:システムのシリアル番号。
      • デバイス モード:CX デバイス(シングル デバイス モード)または PRSM サーバ(マルチ デバイス モード)に直接ログインするかどうか。
      • 最後のアップグレードの試行:システム ソフトウェアのアップグレードを最後に試行した日付。
      • 最終のアップグレードのステータス:システム ソフトウェアのアップグレードを最後に試行した結果。

      Web インターフェイスに問題がある場合のトラブルシューティング

      Web インターフェイスの使用で問題が発生した場合は、サポートされているブラウザを使用しているかを最初に確認してください(ブラウザ要件を参照)。

      次に、Web インターフェイスの使用時に発生する可能性のある問題、およびその解決策を示します。

      値エラーまたはその他の javascript エラーが発生した。

      ログアウトし、キャッシュをクリアしてみてください。 古いバージョンのアプリケーションの失効したキャッシュ エントリが問題になっている可能性があります。

      ブラウザのポップアップにスクリプトの実行に時間がかかっていると表示される。

      スクリプトの実行を待つようにするオプションを選択する必要があります。

      単純な動作が停止しているように見える。

      メニューを選択したか、またはボタンをクリックした場合で、非常に長い時間(30 秒以上)待機していることがブラウザまたはインターフェイスに示された場合は、ブラウザとデバイス間の通信に影響を及ぼす何らかの変更を、他のユーザが行った可能性があります。 たとえば、他のユーザが、Web インターフェイスで使用する証明書を変更したか、または CLI で setup コマンドを使用して重要な設定を変更した可能性があります。 ブラウザ ページをリフレッシュしてみるか、またはログアウトして、ログインし直してください。 ポリシーやオブジェクトの長いリストを表示するページをロードする場合など、操作によっては長時間かかる場合があることに注意し、通信の問題と見なさず待つようにしてください。

      アイデンティティ オブジェクトまたはユーザ フォームにユーザ名を入力しても、ユーザがディレクトリに表示されない。
      たとえば、PRSM 用の ID オブジェクトを作成する場合やリモート(ディレクトリ)ユーザ アカウントを定義する場合には、ディレクトリ ベースの項目に対するユーザ名を入力するときに、ドロップダウン リストに AD/LDAP ディレクトリから取得したオートコンプリート入力提案が示されます。 この問題は、DNS サーバの設定が誤っているため、ディレクトリの DNS 名が誤った IP アドレスに解決される場合に発生しますが、システムとディレクトリ間の通信に別の問題がある場合、またはディレクトリ設定に別の問題がある場合にも発生する可能性があります。 これらのオートコンプリート入力提案が表示されない場合は、次の点を確認してください。
      • AD レルムに対して、[Device] > [Directory Realm] を選択し、レルムにマウスを置いて [Edit Realm] をクリックし、次に [Test Domain Join] リンクをクリックします。 ドメインの参加が失敗する場合、問題を修正します。
      • [Device] > [Directory Realm] を選択し、次に各ディレクトリにマウスを置いて [Edit Directory] をクリックします。 [Test Connection] リンクをクリックして、ディレクトリとの通信を確認します。 発生する問題をすべて修正します。
      • 各ディレクトリに関して、[User Search Base] 値と [Group Search Base] 値が正しいことを確認します。 AD/LDAP 設定を評価して、ユーザ エントリを検証する必要があります。

      変更のコミットまたは破棄

      Web インターフェイスでポリシーまたは設定を更新した場合、変更がすぐにはデバイスに適用されません。 設定の変更には、次の 2 つの手順を実行します。
      • 変更を行います。
      • 変更を保存します。

      この 2 ステップの手順により、デバイスを「部分的に設定された」状態で実行することなく、関連する変更のグループ化を行えるようになります。 たとえば、ディレクトリ レルムを追加する場合、レルムの ID ポリシーも追加する必要があり、また新しいアクセス ポリシーを作成するか、または新しいレルムを使用するよう既存のポリシーを変更する場合もあります。

      目的の変更を完了した後、次の手順を使用して変更をコミットします。

      手順
        ステップ 1   メニュー バーの [Changes Pending] リンクをクリックし、[Commit and Deploy Changes] ページを開きます。




        (注)     

        このリンクには、保留中の変更の数が含まれています。 最後のコミット以降に変更が行われていない場合、このリンクには [No Pending Changes] というラベルが付きます。 その状態でも、展開ステータスを確認する場合などに、リンクをクリックして [Commit and Deploy Changes] ページを表示できます。 また、ポリシー オブジェクトやポリシーなど、変更された項目に表示される [Pending Change] アイコンをクリックすることでもページを表示できます。

        ステップ 2   保留中の変更リストを評価し、その変更を本当に適用することを確認します。

        最後にコミットしてから行われたすべての変更は、展開/縮小したフォルダの [Pending Changes] タブに表示されます。 タブは、シングル デバイス モードでは明示的にラベル付けされません。

        ステップ 3   [Commit] をクリックし、デバイス設定を更新します。




        管理対象デバイスは、次のように更新されます。
        • CX デバイス、シングル デバイス モード:変更はただちに適用されます。 ページには、展開の進行状況が表示されます。
        • CX デバイス、PRSM マルチ デバイス モードCX デバイスに変更が通知されます。 影響を受ける各デバイスは変更を取得し、それらを適用します。 これは、ポーリング モデルです。
        • ASA:変更は ASA に送信(プッシュ)され、ASA 設定に適用されます。
        ヒント   

        変更をコミットしない場合は、[Discard] をクリックします。 最後のコミット以降に設定されたすべてのポリシーまたは設定が消去されます。変更のグループから 1 つの変更を選択して元に戻す、または破棄することはできません。

        ステップ 4   PRSM マルチ デバイス モード のみ)。変更の展開ステータスを追跡するため、[Deployment Status] タブに自動的に移動します。

        ジョブの進行状況を追跡するため、メッセージおよびステータス インジケータを確認します。 正常に完了したジョブは、ページを終了するまでページに残されます。 完了したジョブをあとから確認するには、このタブの [View Historic Changes] リンクをクリックするか、[Administration] > [Change History] を選択します。

        その他のアクティブな展開ジョブがある場合は、それらもこのタブに表示されます。

        今回のジョブまたは以前のジョブの展開に問題がある場合は、注意を必要とするデバイスがセクションに表示されます。 再展開ジョブに含めるデバイスを選択([Redeploy/Do Not Redeploy] トグルを使用)し、[Redeploy] ボタンをクリックすることにより、これらのデバイスに変更の再展開を試みることができます。


        [Commit and Deploy Changes] ページ

        変更をデータベースに保存して、該当するすべてのデバイスに変更を展開するには、[Commit and Deploy Changes] ページを使用します。

        ページの外見は、PRSM のモードによって大きく異なります。
        • シングル デバイス モードCX デバイスを直接設定する場合、ページでは単に変更をコミットまたは廃棄することだけができます。
        • マルチ デバイス モード:このモードでは、すべての機能がページに含まれており、Deployment Manager とも呼ばれます。 このページは、現在の変更を表示するタブと、現在の展開ジョブとそれらの変更およびステータスの一覧を表示するタブに分割されています。
        [Commit and Deploy Changes] ページ(Deployment Manager)を開くには、メニュー バーの右端にあるリンクをクリックします。 リンクの名前は、次のようにさまざまなものがあります。
        • [Changes Pending (number)]:このリンク名は、コミットする必要のある未処理の変更があることを示します。 コミットされていない変更の数が表示されます。
        • [No Pending Changes]:このリンク名は、コミットできる未処理の変更がないことを示します。
        PRSM マルチ デバイス モードでは、[Commit and Deploy Changes] ページが個別のタブに分かれています。 シングル デバイス モードでは、[Pending Changes] タブは表示されますが、タブとしては表示されません。
        • [Pending Changes] タブ:このタブをクリックすると、コミットする必要がある未処理の変更が表示されます。 現在ログインしているユーザのすべての変更が表示されます。各変更は、既存の項目の変更か、または新しい項目の作成のいずれかを示します。 別のユーザの変更は表示できません。 次のボタンを使用できます。
          • [Commit]:このボタンをクリックすると、データベースへの変更がコミットされ、展開ジョブが開始されます。 データベース コミットが実行されている間、少し待つ必要があります。 マルチ デバイス モードで、次に、ジョブの結果を追跡できる [Deployment Status] タブに移動します。
          • [Discard]:このボタンをクリックすると、リストされているすべての変更が消去されます。 変更を 1 つだけ選択して削除することはできません。 いずれかの変更を破棄するには、すべての変更を破棄する必要があります。 したがって、大量の変更がリストされている中から少数の変更を削除するだけの場合は、該当するページに戻り、必要に応じて項目を削除または変更します。
        • [Deployment Status] タブ:(マルチ デバイス モードのみ)。このタブをクリックすると、現在の展開ジョブの結果が表示されます。 ジョブのリストは、最近のジョブから古いジョブへという順番で表示されます。 各展開ジョブには番号が付いているため、ジョブの相対順序を確認できます。番号が大きいほど最近の展開ジョブであることを示します。 ジョブの詳細が表示されていない場合は、バージョンの見出しをクリックして詳細を開きます。 ジョブ情報には、ジョブの日付と時刻、ジョブによって影響を受けるデバイスの名前とアドレス、全体的なジョブ ステータス、ジョブ内の各デバイスの展開ステータス、および変更をコミットしているユーザが含まれます。 変更の種類がリストされます。変更によっては、新しい変更(INSERT)であるか、または既存の設定への変更(UPDATE)であるかも示されています。
          [Deployment Status] タブには、次のコントロールが含まれています。
          • [View Historic Changes]:このリンクをクリックすると、[Change History] ページが開きます。ここでは、以前の展開ジョブ、およびアクティブになっていないコミットされたバージョンを確認できます。 また、[Administration] > [Change History] を選択しても [Change History] ページを表示できます。
          • [Devices Require Your Attention]:このセクションは、1 つ以上のデバイスで展開ジョブが失敗した場合に表示されます。 このセクションには、失敗したデバイスの一覧が表示されます。 再展開を試行するには、まず各デバイスの [Redeploy/Do Not Redeploy] トグルを変更して再展開ジョブに含まれる必要があるデバイスを示し、[Redeploy] ボタンをクリックします。 再展開を実行する前に [Change History] ページを確認して、デバイスに永続的な問題(たとえば、複数の展開ジョブが失敗)が存在するかどうかの確認が必要になる場合があります。 変更履歴ログのデバイスのステータスでデバイスが利用不可であることが示されている場合は、PRSM サーバとデバイス間のネットワーク接続を確認します。

        展開ジョブの管理

        PRSM マルチ デバイス モードの展開ジョブでは、一連の変更が、その変更の影響を受けるデバイスに適用されます。 デバイスへの変更をコミットするたびに、変更は適用可能なデバイスに展開されます。 Deployment Manager を使用して変更をコミットし、現在の展開ジョブの結果を表示します。 一度に 1 つの展開ジョブを実行できます。

        PRSM シングル デバイス モードでは、変更をコミットすると、変更が即座に適用されます。

        次の手順では、展開ジョブを管理する際に実行可能なさまざまな内容を説明します。


        ヒント


        シングル デバイス モードでは、[Commit and Deploy Changes] ページがタブに分割されません。タブは常にアクティブであり、命名されていないため、この手順で [Pending Changes] タブをクリックする指示がある場合、何も実行する必要はありません。


        手順
          ステップ 1   メニュー バーの右端にあるリンクをクリックし、[Commit and Deploy Changes] ページを開きます。 リンクの名前は、次のようにさまざまなものがあります。
          • [Changes Pending (number)]:このリンク名は、コミットする必要のある未処理の変更があることを示します。 コミットされていない変更の数が表示されます。
          • [No Pending Changes]:このリンク名は、コミットできる未処理の変更がないことを示します。
          ステップ 2   次のいずれかを実行します。
          • 現在の変更の表示:(すべてのモード)。最後に変更がコミットされてから行われた変更を表示するには、[Pending Changes] タブを選択します。 ポリシー、オブジェクト、設定およびその他の変更は、展開/縮小フォルダに表示されます。 これらの変更は表示のみであるため、このビューから変更を修正することはできません。
          • 変更のコミット:(すべてのモード)。行った変更をコミットして適用可能なすべてのデバイスに展開するには、[Pending Changes] タブを選択して [Commit] をクリックします。 シングル デバイス モードでは、変更が即座に展開されます。 マルチ デバイス モードでは、展開の進行状況を追跡できる [Deployment Status] タブに移動します。
          • 変更の破棄:(すべてのモード)。実装しない変更を破棄するには、[Pending Changes] タブを選択して [Discard] をクリックします。 前回のコミット後に行われたすべての変更が破棄されます。変更のサブセットを選択して破棄することはできません。
          • 現在アクティブなジョブの表示:(マルチ デバイス モードのみ)。現在のアクティブなジョブを表示するには、[Deployment Status] タブを選択します。 リストには、ジョブ ステータス、ジョブの日付と時刻および変更をコミットしたユーザの情報を含めて、すべてのアクティブ ジョブが表示されます。 バージョンの見出しをクリックして開き、コミットされた変更、影響を受けるデバイスおよび各デバイスの展開結果を表示します。 展開が完了すると、そのジョブはこのページからなくなります。 完了したジョブを確認するには、[View Historic Changes] リンクをクリックします。
          • 失敗したデバイスへの変更の再展開:(マルチ デバイス モードのみ)。1 つ以上のデバイスへの展開に失敗した場合は、注意を必要とするデバイスがこのページのセクションに表示されます。 再展開ジョブに含めるデバイスを選択([Redeploy/Do Not Redeploy] トグルを使用)し、[Redeploy] ボタンをクリックすることにより、これらのデバイスに変更の再展開を試みることができます。

          変更履歴の表示

          [Change History] ページには、展開ジョブの履歴またはその他のコミットされた変更が表示されます。 [Commit and Deploy Changes] ページの [Commit] をクリックするごとに、変更履歴バージョンが作成されます。 デバイス設定の変更に関係するバージョンも、PRSM マルチ デバイス モードでは展開ジョブと呼ばれます。

          各バージョンには番号が付いているため、ジョブの相対順序を確認できます。番号が大きいほど最近の展開ジョブであることを示します。

          変更履歴リストを使用して、展開ジョブのステータス、変更者、変更の種類を含めて、過去の変更を確認します。 これらのバージョンは、内部的な追跡のために使用できる監査情報を提供します。

          手順
            ステップ 1   [Administration] > [Change History] を選択します。

            リストは、最初は 1 日前にコミットされたバージョンのみを表示するようにフィルタリングされています。

            ヒント   

            PRSM マルチ デバイス モードでは、[Commit and Deploy Changes] ページの [Deployment Status] タブにある [View Historic Changes] リンクをクリックしても、[Change History] ページを表示できます。

            ステップ 2   レコードの表示を制限するフィルタ条件を設定します。 次の基準を使用できます。
            • [Device]:(PRSM マルチ デバイス モードのみ)。 デバイスの IP アドレスまたはホスト名と部分一致するフィルタ文字列を入力し、[Filter] をクリックします。 ドロップダウン リストからフィルタリングする基準を選択できます。
            • [Time Range]:リストの時間制限を選択します。 直前の 30 分、1 時間、24 時間、7 日間、または 30 日間を選択するか、[Custom Date Range] を選択して開始時刻と終了時刻(最小値は 30 分)を指定することもできます。 時刻はご使用のワークステーションで設定されているタイムゾーンではなく、デバイスで定義されているゾーンに基づいたものになります。
            • [Users]:変更をコミットしたユーザを選択します。 特定のユーザにリストを制限しない場合は、[All Users](デフォルト)を選択します。
            ステップ 3   バージョン レコードを分析および評価します。

            バージョンは、最近のバージョンから古いバージョンへと順番に表示されます。 [Version] 見出しには、バージョン番号、日付と時刻および変更をコミットしたユーザを含む、ジョブの概要が示されます。

            PRSM マルチ デバイス モードでは、デバイス展開に関係する各バージョンには、ジョブによって影響を受けるデバイスの名前とアドレス、全体的なジョブ ステータス、およびジョブ内の各デバイスの展開ステータスが含まれます。 インベントリから削除されたデバイスにジョブが展開された場合は、デバイス名と IP アドレスがジョブ情報から削除され、デバイスは削除済みとして示されます。

            バージョン レコードでは、次の操作を実行できます。
            • [Version] 見出しをクリックしてレコードを開き、そのバージョンに対してコミットされた変更を表示します。 そのバージョンに多数の変更が含まれている場合は、変更のサブセットのみが表示されます。 初期ビューの下部には、バージョンに含まれているレコード数の概要とともに、ビューの拡大に使用する [Show More] ボタンと [Show All] ボタンがあります。 設定のアクションが INSERT になっている場合、設定は新しい(データベースに挿入された)設定です。 UPDATE アクションは、既存の設定への変更を示します。
            • PRSM マルチ デバイス モードでは、失敗したデバイスがジョブに含まれている場合は、バージョンの見出しに赤いアイコンが含まれ、ジョブ レコードが縮小されている場合でも失敗したデバイスのリストが表示されます。 また、エラーの履歴も表示されます。 メニュー バーの [Pending Changes/No Pending Changes] リンクをクリックして [Deployment Status] タブを選択すると、これらの失敗したデバイスに再展開を試みることができます。 デバイスは、注意が必要なデバイスとしてタブに表示されます。 各デバイスで再展開するかどうかを選択し、[Redeploy] ボタンをクリックして同じバージョンを展開するための別の試行を開始します。

            設定変更がアクティブになるタイミング

            変更をデバイスに展開すると、変更は、デバイスが変更を適用するとすぐにデバイス設定の一部となります。 ただし、そのデバイスを通過して送信されるトラフィックを処理する方法に関係する変更の場合、その変更は必ずしも既存の接続に影響を与えるわけではありません。

            したがって、以前は許可されていた特定タイプのトラフィックを拒否するようポリシーを変更した場合は、有効になるまで遅延が発生する可能性があります。
            • ポリシー コミットの後に開始した接続は、新しいルールに従って処理されます。
            • HTTP には、シングル トラフィック フローで多数の個別トランザクションを伝送できることを意味する、「永続的な接続」という概念があります。 新しい Web ページにナビゲートする際に、ブラウザは必ずしも永続的な接続を閉じるわけではありません。 ブラウザは、どこか新しい場所に移動する場合は、まず宛先への接続がすでに開かれているかどうかを確認します。接続が存在する場合、可能であれば接続を再使用します。 したがって、ポリシーの変更によって特定のサイトのページをユーザが閲覧できないようにする場合、サイトへの既存の接続を持つユーザは、不定の期間(通常は数分間)、新しいページへのブラウズを継続できる可能性があります。 この動作は、ポリシーを個別にトランザクションに適用する Web プロキシの通常の動作によって異なります。

            展開ジョブとデバイス ステータス

            各展開ジョブおよびジョブ内に含まれているデバイスには、ジョブの結果を示す独自のステータスがあります。 ここでは、ジョブとデバイスで可能性のある展開ステータスについて説明します。

            展開ジョブ ステータス

            次に、可能性のある展開ジョブ ステータスを示します。 これらのステータスは、全体としてジョブに適用されます。
            • [Queued]:ジョブの準備が完了し、展開キューで開始まで待機しています。
            • [Deploying]:ジョブが実行中で、変更が該当するデバイスに展開されています。 [Deploying] 状態のジョブは、CX デバイスからの応答を待っている間にタイムアウトする可能性があるため、複数の [Deploying] 状態のジョブが存在する可能性があります。 PRSM がアクティブに変更を送信するのではなく、CX デバイスが PRSM サーバから設定変更をプルするため、デバイスは、更新が正常に行われたことを PRSM サーバに通知する必要があります。 最終的に、[Deploying] ステータスのジョブは、[Deployed] または [Deploy Failed] に変化します。 応答が受信されない場合、ジョブは失敗したと見なされます。
            • [Deployed]:ジョブは、該当するすべてのデバイスに正常に変更を展開しました。
            • [Partial Deploy]:ジョブは、いくつかのデバイスに正常に変更を展開しましたが、該当するすべてのデバイスではありません。
            • [Deploy Failed]:ジョブは、該当するデバイスに変更を展開できませんでした。

            デバイス ステータス

            各デバイスは、個別のステータスを持っています。 展開ジョブに含まれている場合、ステータスはそのデバイスでの展開の結果に基づいたものになります。 場合によっては、特定の問題を識別するために役立つ、詳細なメッセージを利用できます。ステータス メッセージの横に [+] が表示されている場合は、クリックして詳細なメッセージを表示します。

            次に、設定の展開と、デバイス検出に関連するステータスを含む各種ステータスを示します。
            • [Discovering]:PRSM は、現在、デバイス設定をデータベースにロードしています。
            • [Discovered]:PRSM は正常にデバイスを検出しました。 展開に使用できます。
            • [Discover Failed]:PRSM がデバイスを検出中に、エラーが発生しました。 デバイスを削除し、インベントリへの追加を再試行する必要があります。 この状態のデバイスには、操作を行うことができません。
            • [Deleting]:ユーザがデバイスを削除し、PRSM がデータベースからすべてのデバイス情報を削除している途中です。
            • [Delete Failed]:PRSM が、デバイスをインベントリから削除できませんでした。 もう一度試行します。
            • [Queued]:デバイスはキュー内にあり、変更を展開する準備が整っています。
            • [Deploying]:PRSM は、現在、変更をデバイスに展開しています。 CX デバイスでは、PRSM が変更を取得するようにデバイスに通知したことを示します。
            • [Deployed]:変更が、デバイスに正しく展開されました。
            • [Deploy Failed]:変更をデバイスに展開できませんでした。 最も可能性の高い問題は次のとおりです。
              • デバイスへの接続に失敗。ユーザ名またはパスワードが無効:エラーにユーザ名とパスワードが無効なことが示されている場合、通常は、デバイスをインベントリに追加したときに指定されたユーザのパスワードが変更されたことを意味しています。 デバイスをインポート後のパスワード変更は許可されていません。 問題を解決するには、パスワードを変更して元のパスワードに戻すか、またはデバイスをインベントリから削除して、追加し直します。
              • デバイスの展開がタイムアウト:デバイスが、一定の時間内に応答しませんでした。 デバイスがオンラインで、使用可能であり、また重大な遅延を発生させるネットワークの問題が存在しないことを確認します。
              • CX デバイスから、展開された変更を受信した確認応答がない:デバイスが、更新された設定の受信を確認応答しませんでした。 ネットワークの問題が存在しないことを確認し、展開を再試行します。
            • [Unavailable]:デバイスに到達できません。 一般的なメッセージには次のものがあります。
              • Device is unavailable (not reachable):PRSM サーバとデバイス間にネットワーク パスの問題がないこと、およびデバイスが電源オンされて機能していることを確認し、展開ジョブを再試行します。
              • Certificate for device is out of date:PRSM 内のデバイスの TLS/SSL 証明書が最新ではありません。 最新の証明書を取得するには、[Device] > [Devices] を選択し、インベントリ内のデバイス行にマウスを置き、[Refresh Certificate] を選択します。 その後、ジョブを再展開します。
              • Device is unavailable (not reachable) for unknown reason:問題を判定しやすいよう、詳細なメッセージが表示されます。
            • [Not Allowed] :デバイスの現在の状態では展開が許可されません。 展開先にできるデバイスは、正しく検出されたデバイス、展開されたデバイス、展開に失敗したデバイス、または現在の状態が不明なデバイスです。 現在検出中のデバイス、検出が失敗したデバイス、展開中のデバイス、またはインベントリから削除したデバイスには展開できません。