ASA CX および Cisco Prime Security Manager 9.3 ユーザ ガイド
デバイスの管理
デバイスの管理

目次

デバイスの管理


ヒント


デバイス インベントリ管理は、マルチ デバイス モードPRSM にのみ適用されます。 デバイスへの直接接続を使用して CX デバイスを設定する場合、設定のためにデバイスをインベントリにデバイスを追加する必要はありません。 シングル デバイス モードでは、デバイス インベントリ ページは表示されません。


デバイスをインベントリに追加することにより、管理するデバイスを識別する必要があります。 デバイス インベントリに追加すると、デバイス アクティビティをモニタして設定に必要な変更を加え、設定の変更を展開してデバイスに戻すことができます。

以降の各項では、デバイス インベントリの管理の基本内容を説明します。

マルチ デバイス モードでの CX デバイスの管理

PRSM マルチ デバイス モードCX デバイスを管理する場合、デバイスは管理対象モードになります。

CX デバイスが管理対象モードになると、シングル デバイス モードで Web インターフェイスから直接設定することができなくなります。 すべての設定とモニタリングは PRSM マルチ デバイス モードで実行する必要があります。 唯一の例外は、ローカル CLI を使用できるという点であり、これを使用して、IP アドレス、DNS、NTP、およびパスワードなど、基本設定をトラブルシューティングして、修正できます。

CX デバイスを管理対象モードにする

CX デバイスを管理対象モードにするには、デバイス インベントリに追加します。 CX を含む ASA をデバイス インベントリに追加した場合、CX デバイスも追加することになります。 変更を保存すると、デバイスは管理対象モードになります。


ヒント


CX で、別の PRSM サーバによってそれがすでに管理されていると判断されると、単一の CX デバイスを複数の PRSM サーバから管理することはできないため、検出は失敗します。 この場合、CX Web インターフェイスにシングル デバイス モードでログインし、リンクをクリックしてデバイスの管理解除を行います。 その後、インベントリにデバイスを追加してみます(必要に応じて、先に削除しておきます)。


管理対象モードの影響

CX デバイスを管理対象モードにすると、次の影響があります。
  • 設定のポリシー、ポリシー オブジェクト、ライセンス、および他の部分が検出され、PRSM データベースに追加されます。 将来的には、PRSM マルチ デバイス モードを使用して、Web インターフェイスから定義されているポリシー、オブジェクト、および他の設定を変更する必要があります。 ただし、すべてのデバイス設定が検出されるわけではなく、検出されなかった設定は現在データベースに定義されている設定に置き換えられます。

  • CX デバイスは、どの PRSM サーバから管理されているかを認識し続けます。 別の PRSM サーバから設定の変更をプッシュすることはできません。 ある PRSM サーバから別のサーバに CX デバイスの管理を移動する必要がある場合は、デバイスを削除し、新しいサーバに追加します。 デバイスを削除すると、非管理モードになり、現在デバイスにインストールされているライセンスは保持されます。

  • イベントは自動的に PRSM サーバに転送されます。 適切なサーバに転送されたイベントを取得するための設定はなく、自動的に実行されます。

  • PRSM は、自動的にすべての管理対象 CX デバイスからダッシュボードのデータを収集します。

  • CX デバイスの Web インターフェイスをシングル デバイス モードで開くと、大部分のインターフェイスは無効になりますが、デバイスが管理対象モードであることと、デバイスを管理している PRSM サーバへのリンクがホーム ページに表示されます。 これにより、どのサーバが特定の CX デバイスを管理しているかがわからなくなった場合は、Web インターフェイスを使用していつでも確認できます。

  • CX 管理インターフェイスから使用可能な CLI はアクティブのままとなり、完全な状態で機能します。 これを使用してトラブルシューティングを行い、基本デバイス管理設定の保守を行います。 CLI を使用して行った変更は、デバイスの管理対象モードに影響を及ぼしません。

非管理対象モードへの復帰

非管理対象モードに CX デバイスを戻す必要がある場合、2 種類の方法があります。
  • 推奨方法:デバイスをデバイス インベントリから削除します。 この操作で、デバイスが非管理対象モードに戻ります。

  • 緊急時の方法:何らかの理由で PRSM を使用できない場合、CX デバイスの Web インターフェイスをシングル デバイス モードで開き、リンクをクリックしてデバイスに対する管理を解除できます。 これにより、PRSM サーバとの接続が切断され、ローカル Web インターフェイスが有効になります。


    注意    


    デバイスを シングル デバイス モード のインターフェイスから非管理対象にし、デバイスがまだデバイス インベントリに残っている場合、そのデバイスに展開しようとするとエラーが発生します。 この方法でデバイスを非管理対象にした後、PRSM からデバイスを継続的に管理する場合は、インベントリからデバイスを削除してから、そのデバイスをインベントリに追加し直す必要があります。 ローカル設定に何も変更を加えずに、デバイスを誤って非管理対象にしてしまった場合でも、この手順をすべて行う必要があります。



(注)  


デバイスのサービスを再起動してシングル デバイス モード切替えます。 デバイスが ASA ハイ アベイラビリティ ペアの一部である場合は、これにより、 ASA は失敗します。


管理対象モード ホーム ページから実行できる作業

管理対象モードで実行している CX デバイスにログインすると、ホーム ページから次を実行できます。
  • Cisco Prime Security Manager マルチ デバイス モードにリダイレクト:デバイスはどの PRSM サーバから管理されているかを認識しているため、リンクをクリックして対象のサーバ情報を取得できます。 アドレスが表示されます。

  • ログのダウンロード:リンクをクリックしてシステム ログをダウンロードし、問題のトラブルシューティングに役立てます。 各管理対象デバイスの [Device Configuration] ページから PRSM サーバを介して各管理対象デバイスのログをダウンロードすることもできます。 デバイスのインベントリから [Device Configuration] ページにアクセスします。

  • シングル デバイス モードに切り替え:PRSM サーバとの管理接続を切断します。 詳細については、上記を参照してください。

  • すべての設定を Cisco Prime Security Manager から再同期:PRSM サーバでデータベースをリカバリした場合、PRSM サーバに保存されている設定と管理対象デバイスを一致させる必要があります。 このリンクをクリックすると、デバイスのデータベースを再度初期化し、PRSM サーバに定義されている設定に戻すことができます。 設定の再同期が完了すると、サービスは再起動されます。 サーバのアドレスが表示されます。

ASA デバイスを管理するための準備

ASA デバイスを管理するには、PRSM がデバイスと通信して設定を検出でき、変更に基づいてその設定を修正できることを確認する必要があります。 ASA モデルのハードウェア インストール ガイドに記載されている手順に従って、ASDM またはデバイス CLI を使用し、基本設定を実行します。

PRSM は SSL(HTTPS)を使用して ASA を管理します。 このため、次が設定されていることを確認する必要があります。

HTTP サーバがイネーブルになっていること。

コンフィギュレーション コマンドは、http server enable です。 デフォルトの ASA 設定では、HTTP サーバがあらかじめイネーブルになっています。

PRSM サーバの IP アドレスが HTTP サーバに接続できること。

サーバの特定の IP アドレスを指定するか、サーバが置かれているサブネットを指定することができます。

ASA の HTTP サーバへのアクセスを有効にするコマンドは、http IP_address subnet_mask interface_name です。ここで、各パラメータはサーバへのアクセスが許可された IP アドレスまたはネットワーク アドレス、そのサブネット マスク、および ASA インターフェイスであり、そのインターフェイスを介してアクセスが許可されます。 http 0.0.0.0 0.0.0.0 management を指定して、管理インターフェイスを介したすべてのホストからの接続を許可し、ユーザ名およびパスワードを使用して HTTP サーバへのアクセスを保護することができます。

http コマンドは、次の設定ではデフォルト設定に組み込まれています。 必要に応じて、設定を調整します。

http 192.168.1.0 255.255.255.0 management

Management 0/0 インターフェイスには、IP アドレス 192.168.1.1 が設定されます。 デフォルト設定では、192.168.1.0/24 ネットワークは管理ネットワークです。

ヒント

  • 管理する場合は、上記に加えて、ASA がシングル コンテキスト ルーテッド モードまたはトランスペアレント モードで設定されていることを確認する必要があります。 mode single コマンドはシングル コンテキスト モードを設定しますが、設定には表示されないことを確認します。show mode コマンドを使用してファイアウォール モードを確認できます。 デフォルトの ASA 設定はシングル コンテキスト ルーテッド モードです。 ASA がマルチ コンテキスト モードでも、含まれる CX モジュールを管理できます。

  • ASA 設定で password encryption aes コマンドを使用できません。

  • ASA 管理インターフェイスで IPv6 アドレスは使用できません。

  • 通常、特権 EXEC モード用のイネーブル パスワードも作成します。 また、デバイスにログインするためのユーザ アカウントを作成することもできます。 ユーザ アカウントを作成してログインを制御する場合、そのアカウントに権限レベル 15 を割り当てます。

デバイス検出の概要

デバイスを PRSM マルチ デバイス モードのインベントリに追加すると、デバイスに現在設定されているポリシーと設定が PRSM データベースに追加され、デバイスは PRSM サーバによって管理されていると見なされます。 デバイスの設定を変更するには、PRSM 内で変更を行い、変更をデバイスに展開します。

検出中に、検出されたオブジェクトと PRSM データベースにすでに存在しているオブジェクト間の名前の競合がある場合、検出されたオブジェクトにサフィックスを指定するか、または、追加するデバイスの既存の内容をカスタマイズためにオーバーライドを作成することによって、競合を解決するように要求されます。 このため、すべての一意のオブジェクトが検出されますが、名前が変更されることがあります。 検出されたオブジェクトが、データベース内で同じ名前が付けられたオブジェクトと同じものである場合、そのデータベース オブジェクトが単に再利用されます。 システム定義されたオブジェクトは常に同一であるため、検出されることはありません。

次に説明するように、デバイス タイプに基づいて異なるデバイス検出の制限事項について理解することが重要です。

CX デバイス検出

ポリシー、オブジェクト、ディレクトリのレルムと設定は、次の制約事項が検出されました:

ライセンス

有効なライセンスがインポートされます。 無効なライセンス、または PRSM データベースにすでに存在するものと同じライセンスは、PRSM データベースでコピーと置き換えられます。 評価ライセンスはインポートされません。

追加するすべてのデバイスに関して、PRSM サーバに十分なライセンスがすでにある必要があります。 たとえば、デバイスに、アプリケーション、URL フィルタリング、または Web レピュテーションを使用するポリシーが含まれている場合、それらの機能について使用可能なライセンスが十分に存在する必要があります。 ライセンスが存在しない場合、ライセンスを PRSM サーバに追加するまで、デバイスを追加できません。

ユーザ

ユーザはインポートされません。 既存のユーザが削除されることはなく、ユーザがサーバからインポートされることもありません。 ただし、admin ユーザ以外のすべての既存ユーザは、管理対象デバイスにログインできなくなります。 admin ユーザのパスワードは変更されません。

Backup Schedule

バックアップ スケジュールは、PRSM サーバがデバイス設定の真の送信元を保持しているため、インベントリにデバイスを追加するときに削除されます。 それでもデバイス設定をバックアップする場合は、CLI を使用できます。

エンド ユーザの通知のカスタマイズ

PRSM のすべての通知タイプがデフォルトで、デバイスに 1 つ以上カスタム ページがある場合、カスタム ページがインポートされ、すべての管理対象デバイスに使用されます。 ただし、PRSM の通知タイプのいずれかにカスタマイズしたページがある場合、ページはインポートされません。

検出されなかった設定
次の設定は、インポートされません。 検出の後、変更を保存すると、設定は PRSM サーバに定義されている設定に置き換えられます。 デバイスを追加する前に、これらの設定がどのように変更されるかについて、問題がないことを確認してください。
  • シグネチャの更新設定(頻度とプロキシの設定)。

  • ネットワーク参加。

ASA デバイス検出

ASA を追加するときに、管理対象モードで追加するか、またはモニタ専用モードで追加するかを選択できます。 モニタ専用モードでは、PRSM で管理しないので、設定は検出されません。 完全管理対象モードの場合、設定の検出は PRSM がサポートするポリシーと設定に限定されます。

他のデバイス ポリシーまたは設定を変更する必要がある場合は、ASA CLI を使用するか、ASDM などの別の管理アプリケーションを使用します。 ただし、PRSM によって現在管理されているポリシーまたは設定を自らも所有していると認識している管理アプリケーションは使用しないでください。 たとえば、PRSM と Cisco Security Manager の両方を使用して、ASA アクセス リストを管理しようとしないでください。

インベントリにデバイスを追加するときに、PRSM に問題のある設定の側面がある場合、メッセージで問題を説明します。 ある場合は検出が失敗し、別の場合は他にサポートされるポリシーがインポートされません。 また、他にサポートされる機能のサポートされないコマンドが単に無視され、変更されない(管理されない)ままになる場合があります。

次は、検出中に一般的な機能領域によってサポートされるものに関するいくつかのヒントと詳細です。

インターフェイス コンフィギュレーション

管理インターフェイスの IPv6 アドレスはサポートされません。 IPv6 アドレスを使用してインベントリに ASA を追加できません。

ブリッジ グループ インターフェイスの IPv6 アドレスはサポートされません。 IPv6 アドレスを設定すると、無視され、管理されないままになります。

管理インターフェイスは、mgmt-only 属性を使用して設定する必要があります。 これが設定されていない場合は、検出は失敗します。 この設定に関連する検出エラーが表示され、ASA CLI がその適用を許可しない場合は、問題を回避するために設定をバック アップし、ASA をリセットする必要があります。

Policy Objects

設定に次のいずれかのオブジェクト コマンドが含まれている場合、検出は失敗します。 このデバイスをインポートする前に、これらのオブジェクトを通常のサービスまたはサービス グループ オブジェクト、つまり、object service または object-group service(修飾子なし)コマンドに変換する必要があります。 サポート対象外のコマンドは次のとおりです。port-object、object-group service tcp、object-group service udp、object-group service tcp-udp、object-group icmp-type、object-group protocol。


ヒント


シスコは必要な形式にサポートされていないサービス オブジェクト コマンドを変換して、それらを使用する ACL が提供されます。オフライン ツールを。 手動で ASA への変更を適用する前に ASA コンフィギュレーションを変換するためのツールを使用して、お客様自身に確認します。 インベントリPRSMにデバイスを追加できます。 ツールは PRSM Migration Tool への CSM と呼び出され、 Cisco Prime Security Manager ソフトウェア ダウンロード ページからダウンロードできます。 ダウンロードの ReadMe ファイルには、ツールの使用手順が含まれます。


次のオブジェクトはインポートされます。ネットワーク、ネットワーク オブジェクト グループ、サービス、サービス オブジェクト グループ、時間範囲、および ASA ID ユーザ グループ オブジェクト。


(注)  


PRSM では、オブジェクト名は大文字と小文字が区別されます。 インポート時に「Object1」と「object1」は同じ名前が付けられているとは見なされません。


アクセス コントロール リスト(ACL)およびアクセス グループ

検出されたインターフェイスおよびグローバル拡張 ACL は、ポリシー セットとしてアクセス ポリシーに追加されます。 ポリシー セットの名前は ACL 名です。グローバル ACL は Universal Bottom ポリシー セットに追加されます。

検出により、ACL が割り当てられているインターフェイスごとに個別のポリシー セットが作成されます。 たとえば、10 のインターフェイスがある場合、10 の ACL が表示されます。 ただし、インポート後、任意のポリシー セットの異なるインターフェイスに対して新しいポリシーを作成できます。 展開中に、ポリシー セット全体でインターフェイスに適用されるすべてのルールに基づいて、ACL がインターフェイスごとに生成されます。

標準、Ethertype、および Web ACL はサポートされていません。 参照されない ACL は検出されず、削除もされません。

次の制約事項を慎重に考慮してください。

  • 拡張 ACL の TrustSec セキュリティ グループはサポートされません。 TrustSec 仕様を含む ACE は、展開時にアクセス リストから削除されます。

  • アクセス グループの場合、per-user-override および control-plane キーワードはサポートされません。 これらは展開時に削除されます。

Syslog サーバおよびロギングの設定

logging trap コマンドは直接サポートされていません。 代わりに、Syslog レベルがサポートされます。 最初の展開時に、logging trap 設定が上書きされます。

CX へのトラフィック リダイレクション

トラフィックを CX にリダイレクトするポリシーを設定できますが、PRSM では可能な設定がすべてサポートされているわけではありません。 サポートされていないリダイレクション ポリシーを持つデバイスをインポートする場合、そのポリシーはインポートされないので、ポリシーを維持するために他の方法を使用する必要があります。


(注)  


PRSM は、トラフィック リダイレクション ポリシーのアウトオブバンド変更を認識できません。


ハイ アベイラビリティ設定

Active-Standby 設定が検出されます。 Active-Active はサポートされていません。

Network Address Translation(NAT)

オブジェクトベースとルール ベース(Twice)の NAT が両方とも検出されます。 NAT44、NAT46、NAT64、および NAT66 ルールがサポートされています。

デバイスを削除し、再インポートする必要があるアクション

デバイスに加えた変更の一部は、PRSM 管理によってサポートできません。 変更を加えてもデバイスが完全にサポートされなくなることはないと想定して、これらの変更を加えて、PRSM でデバイスを管理し続ける場合は、インベントリからデバイスを削除し、再インポートする必要があります。

CX デバイスの非管理対象化

CX デバイスにログインし、ホーム ページからそれを管理対象外にした場合、デバイスと PRSM サーバ間の関係が破損されます。 関係を再確立するには、デバイスを削除し、再インポートする必要があります。

サポートされていないリリースへの ASA のアップグレードまたはダウングレード

PRSM を使用して ASA ソフトウェアをアップグレードできません。 したがって、適用したアップグレードは、次回にこの設定変更を展開したときに、PRSM によって認識されます。 その時点で、展開結果はアップグレードが行われたことを示し、インベントリにアップグレードが行われたことを示す情報アイコンが表示され、[Software Version] 列には現在実行中のバージョンが表示されます。 ただし、PRSM は、インベントリにデバイスを追加したときに実行していた元のソフトウェア バージョンに基づいて設定を作成します。

一方、PRSM がサポートしていないバージョンにアップグレード(またはダウングレード)する場合は、展開ジョブは失敗し、ソフトウェア バージョンがサポートされていないという理由が示されます。 問題を修正するには、サポートされているバージョンを再インストールし、展開を再試行する必要があります。 アップグレードを取り消したくない場合は、インベントリからデバイスを削除する必要があります。PRSM では管理できません。

次は、サポートされているソフトウェア バージョン変更とサポートされていないソフトウェア バージョン変更の要約です。

  • サポートされている変更:マイナーおよびポイント リリース間でアップグレードできます。たとえば、9.0.1 から 9.1.1 への変更、または 9.1.1 から 9.1.2 への変更などです。

  • サポートされていない変更:メジャー リリース番号のアップグレードまたはダウングレードはサポートされていません。 たとえば、9.x から 8.x への変更などです。 PRSM がメジャー リリース番号をサポートしている場合は、メジャー バージョン変更を処理するためには ASA の削除および再インポートが必要です。

管理 IP アドレスの変更

管理対象デバイスの管理 IP アドレスを変更した場合、PRSM とデバイス間の接続が切断されます。 アドレスを変更する前に、PRSM からデバイスを削除します。 それ以外の場合、CX デバイスでは、デバイスを削除することと、デバイスのホーム ページに移動して シングル デバイス モード に切り替えることの両方を行う必要があります。

PRSM サーバの管理アドレスを変更する場合、すべての管理対象デバイスを削除する必要があります。 アドレスを変更する前に、デバイスを削除します。

セキュリティ コンテキストおよび動作モードの変更

ASA デバイスのセキュリティ コンテキストおよび動作モードの設定を変更し、引き続き管理したい場合は、デバイスを削除し、再インポートする必要があります。 次の変更後の展開は失敗します。

  • 単一のコンテキストから複数のコンテキスト(またはその逆)。

  • ルーテッド モードからトランスペアレント モード(またはその逆)。

デバイス ハードウェアの交換

たとえば、デバイスを交換し(たとえば、ASA 5520 を 5525 で置き換える)、以前のデバイスと同じ管理 IP アドレスで新しいデバイスを設定する場合、インベントリから古いデバイスを削除し、新しいデバイスを追加する必要があります。ハードウェアの変更により管理対象デバイスに関連付けられている使用可能な機能と設定制限が変更されることがあるため、 PRSM では既存のインベントリ データのデバイス モデルを単純には変更できません。 デバイスを同じモデルのデバイスと交換しても、シリアル番号が変更されるので、削除の後に再インポートすることが最適なオプションです。

デバイス インベントリ

デバイス インベントリを表示するには、Configurations > Policies/Settings を選択し、リポジトリ ビューに切替え、[Overview][Overview]タブを開きます。

デバイスごとに、インベントリ リストにデバイス名(PRSM でデバイスを参照する名前で、必ずしもホスト名ではありません)、使用可能な機能(ライセンスに基づく)、動作モード(ルーテッドまたはトランスペアレント)、デバイス タイプ、最新の展開情報、管理 IP アドレスとポート、ソフトウェア バージョン、デバイスのシリアル番号など、デバイス情報の要約が表示されます。

デバイスは、次のようにリストされます。

  • スタンドアロン デバイスは、1 行につき 1 つリストされます。

  • CX デバイスを持つ ASA は単一行にリストされ、ASA と CX の両方の情報が表示されます。

  • ハイ アベイラビリティ ペアとして設定されている ASA では、ペアのセカンダリ デバイスがプライマリ デバイスの下に表示されます。 それを表示するには、[Show Standby Device] リンクをクリックします。


ヒント


リストに警告アイコンがある場合は、アイコンをマウスでポイントすると、デバイスの現在のステータスに関する情報が表示されます。 このステータスには、進行中の検出など、現在の状況が示されたり(デバイスを最初に追加した場合)、注意する必要のあるエラー状態が示される場合があります。


次の項では、デバイス インベントリを操作する方法について説明します。

デバイスの追加

デバイスをインベントリに追加するには、Configurations > Policies/Settings を選択し、デバイス ビューまたはリポジトリ ビューで [Add Device] リンクをクリックします。 [Add Device] ウィザードに従ってプロセスを実行します。

デバイスを追加するプロセスは、次の特性によって異なります。

  • ASA と CX:この場合、CX デバイスを含む ASA デバイスを追加します。 PRSM で親 ASA を管理するか、またはモニタリング専用モードで追加するかを決定できます。 モニタリング専用モードでは、ASA のイベントおよびダッシュボード統計情報を表示できますが、デバイス設定を変更できません。

  • スタンドアロン ASA:この場合、CX デバイスを含まない ASA を追加します。

  • ハイ アベイラビリティ用に設定されている ASA:この場合、別の ASA とハイ アベイラビリティ ペアに設定された ASA を追加します。 ASA は CX デバイスを含むことも、スタンドアロンになることもできます。

次のトピックでは、これらの方法および制約事項について詳しく説明します。

デバイスの追加の制限

デバイスをインベントリに追加する前に、デバイスは特定の制約事項を満たす必要があります。 一般的に、http:/​/​www.cisco.com/​en/​US/​docs/​security/​asacx/​compatibility/​cx_​prsm_​comp.html『Cisco CX and Cisco Prime Security Manager Compatibility』で定義されている最小以降のソフトウェア バージョンが実行されている必要があります。 デバイス モデルもサポートされる必要があります。

次の表と注記に、サポートされる組み合わせについてさらに詳しく説明します。

表 1 ASA および CX のサポートされる組み合わせ

CX なし

CX

CX のサポートされていないバージョン

CX のモニタリング専用モード

CXPRSM レルムの競合

CX ライセンス不足

ASA シングル コンテキスト モード、ルーテッドまたはトランスペアレント

Yes

Yes

ASA:Yes

CX:No

ASA:Yes

CX:No

ASA:Yes

CX:No

ASA:Yes

CX:No

ASA マルチ コンテキスト モード

No

ASA:モニタ専用モード

CX:Yes

No

No

No

No

ハイ アベイラビリティ設定での ASA

Yes

両方

ASA:Yes

CX:No

ASA:Yes

CX:No

ASA:Yes

CX:No

ASA:Yes

CX:No

凡例
  • Yes:完全にサポートされた、管理対象モード。

  • No:サポートされず、このデバイスは追加できません。

  • 両方:ASA と CX デバイスの両方が管理対象モードで完全にサポートされます。

  • モニタ専用:モニタリング専用モードで ASA を追加できます。このモードでは、デバイスのイベントおよびダッシュボードが表示されますが、デバイスの設定を変更できません。

  • N/A:この組み合わせには意味がありません。

注記
  • サードパーティ証明書を使用する場合は、サードパーティ証明書を使用するすべてのデバイス(PRSMCX、および ASA)に証明書チェーン全体(ルートおよび中間)を追加する必要があります。 中間証明書を追加するだけでは、インポート中に証明書の検証が失敗します。 PRSM が認識するパーティによってデバイス証明書が発行されていない場合は、PRSM の補足的な証明書ストアにもチェーンを追加する必要があります。

  • サーバPRSMとデバイスの間に Network Address Translation (NAT) の境界があり、管理 IP アドレスに NAT を適用すると、 HTTPS ポート、異なる値にポートを変換できないため 443 を保持します。 NAT ルールは、着信と発信の両方のトラフィックの送信元と宛先両方のアドレスを変換する必要があります。

  • モニタリング専用モードで設定された CX デバイスは追加できません。

  • PRSM で使用可能な十分な機能ライセンスがない場合、機能ライセンスが必要なポリシーを使用する CX デバイスを追加できません。 評価ライセンスで CX が正常に動作する場合がありますが、PRSM は評価ライセンスをインポートしないため、有効なライセンスと見なされません。 CX デバイスまたは PRSM に、インベントリに追加するデバイスに対する十分な機能ライセンスがあることを確認します。

  • AD レルムが CX デバイスと PRSM サーバの両方で定義され、それらが同一でない場合は、CX デバイスをインベントリに追加できません。

  • Active-Standby は、サポートされる唯一のハイ アベイラビリティ設定です。

オブジェクト名の競合の処理

インベントリにデバイスを追加すると、その設定が検出され、オブジェクト、ポリシー、およびその他の設定が PRSM データベースに追加されます。 この項では、私たちはこれらの検出された項目を「オブジェクト」と呼びます。データベース内にすでにオブジェクトがあるため、検出されたオブジェクトがデータベースにすでに定義されているオブジェクトと同じ名前になる可能性があります。

検出されたオブジェクトの項目が、データベースにすでに存在するオブジェクトと同じ名前の場合、オブジェクトの内容が同一であれば、データベースのオブジェクトが使用され、検出されたオブジェクトは置き換えられます。 たとえば、2 つのネットワーク オブジェクトの名前が同じで、同じアドレスを定義している場合、名前が競合しているとは見なされません。

名前の競合は、同じ名前のオブジェクトの内容が異なる場合に発生します。たとえば、同じ名前の 2 つのネットワーク オブジェクトに異なるアドレスが含まれている場合などです。 このタイプのすべての競合は、検出時に識別され、名前競合のテーブルにリスト表示されます。

競合を解決して、デバイスのインポートを完了するには、それらを処理する方法を選択する必要があります。 次の選択肢があります。

  • すべての競合する名前に追加するサフィックスを定義します。 デフォルトでは、検出されたデバイスのデバイス名が使用されますが、名前が一意になるのであれば、どのようなサフィックスでも使用できます。

  • ユーザが追加するデバイスにデバイス レベルのオーバーライドを作成します。 オブジェクトがデバイス レベルのオーバーライドを許可している場合は、同じオブジェクト名を保持できますが、追加するデバイスの別のカスタム値を定義するオーバーライドを作成できます。

ASA および CX の追加

CX デバイスを含む ASA を追加する場合、モニタリング専用モードで ASA を追加するオプションもあります。 このモードでは、ASA CLI を管理するために他の方法を使用します。 モニタリング専用モードは、ASDM または Cisco Security Manager などの別のアプリケーションで ASA を管理する場合に便利です。 PRSM サーバを Syslog サーバとして定義すると、モニタリング専用 ASA のイベントおよびダッシュボード データを表示できます。

手順
    ステップ 1   Configurations > Policies/Settings を選択し、デバイス ビューまたはリポジトリ ビューで [Add Device] リンクをクリックします。
    ステップ 2   次の情報を入力して、ASA デバイスの通信プロパティを定義します。
    • [Device Name]:デバイスが PRSM のセレクタに表示されるときの名前。通常、デバイスのホスト名と同じです。
    • [Hostname/IP: Port]:内部 HTTP サーバへのアクセスを許可する管理インターフェイスまたは別のインターフェイスの IP アドレスまたは DNS ホスト名、および HTTPS アクセスに使用されるポート番号。 デフォルトのポートは 443 です。
    • [Username]、[Password]:デバイスにログインするためのユーザ名とそのユーザのパスワード。

      ASA デバイスの場合、ユーザは権限レベル 15 が必要です。 デバイスがその設定のみにイネーブル パスワードを必要としている場合、[Username] フィールドおよび [Password] フィールドをブランクのままにできます。

    ホスト名または IP アドレスおよびポートを入力すると、PRSM はデバイスから証明書を取得しようとします。 続行する前に、この手順に成功する必要があります。 緑色のチェック マークが表示され、[Certificate] フィールドに [View] リンクが含まれているはずです。 リンクをクリックして証明書を調べます。

    ステップ 3   [Next] をクリックします。

    PRSM は、ASA 設定を評価し、CX デバイスが含まれているかどうか決定します。 含まれていても、ASA が他の要件を満たしていない場合は、モニタリング専用モードで ASA を追加できます。モニタリング専用モードでは、デバイスのイベントおよびダッシュボード情報を表示できますが、設定は変更できません。 PRSM が設定でこの ASA をサポートしている場合、PRSM でそれを管理するか、またはモニタリング専用モードでそれを追加するかのオプションがあります。

    ステップ 4   ASA で使用するモードを選択し、[Next] をクリックします。
    ステップ 5   CX デバイスの通信プロパティを入力します。

    通常、admin ユーザのパスワードを入力する必要があるだけで、他の情報は正しく検出されるはずです。

    変更が必要な場合は、次の点に注意してください。

    • admin ユーザ名とパスワードが必要です。 admin は、デバイスの検出が許可される唯一のユーザ名です。

    • NAT デバイスが干渉してトラフィックを別のポートに変換しない限り、ポート番号は 443 のままにします。

    • IP アドレスが親 ASA から検出されます。 IPv4 と IPv6 の両方の管理アドレスを設定した場合、IPv4 のほうが使用されます。 必要に応じて、グローバル IPv6 アドレスに置き換えることができます。 次に進む前に、正しいアドレスおよびポート情報を入力し、証明書を取得するための緑色のチェックマークを取得する必要があります。

    • PRSM サーバとデバイスの間に NAT 境界がある場合、検出されるアドレスはデバイスの実際の IP アドレスであることに注意してください。 検出を成功させるために、NAT アドレスに変更する必要があります。

    ステップ 6   [Next] をクリックします。

    PRSM は設定をインポートし、検出された項目と、データベースにすでに存在する項目の間で名前の競合があるかどうかを決定します。

    少し待ちます。 デバイス検出には時間がかかる場合があります。また、検出の完了に要する時間は、デバイス設定の規模に応じて増加します。

    ヒント   

    オブジェクトの名前に競合がある場合、その処理方法を尋ねられます。 インポートしたオブジェクトにサフィックスを追加したり、場合によっては、オブジェクト名を保持するが追加するデバイスのオーバーライドを作成するように選択したりできます。 選択し、続行します。

    ステップ 7   サマリー ページで、結果を評価し、必要に応じて説明的な情報を追加します。

    サマリー ページで、追加するデバイスのデバイス モデル、およびポリシー、レルム、ライセンス、オブジェクト、オブジェクト オーバーライド、および名前が変更されたオブジェクトの数が表示されます。 デバイスの場所、構成、部門に関する情報も入力できます。 この説明的な情報は管理だけを目的としており、デバイスの設定には影響しません。

    ステップ 8   プロセスを完了するには、[Commit Now] をクリックします。

    デバイスを管理対象モードにするには、変更を保存する必要があります。 さらにデバイスを追加するか、一部の設定をすぐに変更する場合は、[Commit Later] をクリックできますが、新しく追加されたデバイスをコミットされていない状態で長時間放置しないようにしてください。


    スタンドアロン ASA の追加

    CX デバイスが含まれていなくても、サポートされている ASA を追加できます。

    手順
      ステップ 1   Configurations > Policies/Settings を選択し、デバイス ビューまたはリポジトリ ビューで [Add Device] リンクをクリックします。
      ステップ 2   次の情報を入力して、ASA デバイスの通信プロパティを定義します。
      • [Device Name]:デバイスが PRSM のセレクタに表示されるときの名前。通常、デバイスのホスト名と同じです。
      • [Hostname/IP: Port]:内部 HTTP サーバへのアクセスを許可する管理インターフェイスまたは別のインターフェイスの IP アドレスまたは DNS ホスト名、および HTTPS アクセスに使用されるポート番号。 デフォルトのポートは 443 です。
      • [Username]、[Password]:デバイスにログインするためのユーザ名とそのユーザのパスワード。

        ASA デバイスの場合、ユーザは権限レベル 15 が必要です。 デバイスがその設定のみにイネーブル パスワードを必要としている場合、[Username] フィールドおよび [Password] フィールドをブランクのままにできます。

      ホスト名または IP アドレスおよびポートを入力すると、PRSM はデバイスから証明書を取得しようとします。 続行する前に、この手順に成功する必要があります。 緑色のチェック マークが表示され、[Certificate] フィールドに [View] リンクが含まれているはずです。 リンクをクリックして証明書を調べます。

      ステップ 3   [Next] をクリックします。

      PRSM は、ASA 設定がサポートされているかどうかを決定するためにそれを評価します。 サポートされている場合、PRSM は設定をインポートし、検出された項目と、データベースにすでに存在する項目の間で名前の競合があるかどうかを決定します。

      少し待ちます。 デバイス検出には時間がかかる場合があります。また、検出の完了に要する時間は、デバイス設定の規模に応じて増加します。

      ヒント   

      オブジェクトの名前に競合がある場合、その処理方法を尋ねられます。 インポートしたオブジェクトにサフィックスを追加したり、場合によっては、オブジェクト名を保持するが追加するデバイスのオーバーライドを作成するように選択したりできます。 選択し、続行します。

      ステップ 4   サマリー ページで、結果を評価し、必要に応じて説明的な情報を追加します。

      サマリー ページで、追加するデバイスのデバイス モデル、およびポリシー、レルム、ライセンス、オブジェクト、オブジェクト オーバーライド、および名前が変更されたオブジェクトの数が表示されます。 デバイスの場所、構成、部門に関する情報も入力できます。 この説明的な情報は管理だけを目的としており、デバイスの設定には影響しません。

      ステップ 5   プロセスを完了するには、[Commit Now] をクリックします。

      デバイスを管理対象モードにするには、変更を保存する必要があります。 さらにデバイスを追加するか、一部の設定をすぐに変更する場合は、[Commit Later] をクリックできますが、新しく追加されたデバイスをコミットされていない状態で長時間放置しないようにしてください。


      ASA ハイ アベイラビリティ ペアの追加

      アクティブ-スタンバイのハイ アベイラビリティ(HA)に設定されている ASA を管理できます。 これらのデバイスには、オプションで、CX デバイスを含むことができ、それらもフェールオーバーします。 HA ペアを単位として管理します。

      マルチ コンテキスト モードで設定されているなど、そうしないとサポートされていない ASA にデバイスが存在する場合、この手順を使用して CX デバイスを HA ペアとして追加することができます。

      手順
        ステップ 1   Configurations > Policies/Settings を選択し、デバイス ビューまたはリポジトリ ビューで [Add Device] リンクをクリックします。
        ステップ 2   次の情報を入力して、ASA デバイスの通信プロパティを定義します。
        • [Device Name]:デバイスが PRSM のセレクタに表示されるときの名前。通常、デバイスのホスト名と同じです。
        • [Hostname/IP: Port]:内部 HTTP サーバへのアクセスを許可する管理インターフェイスまたは別のインターフェイスの IP アドレスまたは DNS ホスト名、および HTTPS アクセスに使用されるポート番号。 デフォルトのポートは 443 です。
        • [Username]、[Password]:デバイスにログインするためのユーザ名とそのユーザのパスワード。

          ASA デバイスの場合、ユーザは権限レベル 15 が必要です。 デバイスがその設定のみにイネーブル パスワードを必要としている場合、[Username] フィールドおよび [Password] フィールドをブランクのままにできます。

        ホスト名または IP アドレスおよびポートを入力すると、PRSM はデバイスから証明書を取得しようとします。 続行する前に、この手順に成功する必要があります。 緑色のチェック マークが表示され、[Certificate] フィールドに [View] リンクが含まれているはずです。 リンクをクリックして証明書を調べます。

        ステップ 3   [Next] をクリックします。

        PRSM は ASA 設定を評価し、HA 用に設定されていること、および ASA に CX デバイスが含まれているかどうかを確認します。 HA ペアに名前を付けるように要求されます。

        デバイスに CX が含まれる場合、モニタリング専用モードで ASA を追加することを選択できます。

        ステップ 4   HA ペアの名前を入力し、必要に応じて 2 番目の ASA の接続情報を調整し、[Next] をクリックします。
        ステップ 5   プロンプトが表示されたら、CX の接続情報および admin パスワードを入力し、[Next] をクリックします。

        CX デバイスを HA ペアとして明示的に設定しないため、設定は CX デバイスの 1 つだけからインポートされます。使用するデバイスを選択します。 PRSM はこれ以降、これらのデバイスの設定を同じように維持します。

        PRSM は設定をインポートし、検出された項目と、データベースにすでに存在する項目の間で名前の競合があるかどうかを決定します。

        少し待ちます。 デバイス検出には時間がかかる場合があります。また、検出の完了に要する時間は、デバイス設定の規模に応じて増加します。

        ヒント   

        オブジェクトの名前に競合がある場合、その処理方法を尋ねられます。 インポートしたオブジェクトにサフィックスを追加したり、場合によっては、オブジェクト名を保持するが追加するデバイスのオーバーライドを作成するように選択したりできます。 選択し、続行します。

        ステップ 6   サマリー ページで、結果を評価し、必要に応じて説明的な情報を追加します。

        サマリー ページで、追加するデバイスのデバイス モデル、およびポリシー、レルム、ライセンス、オブジェクト、オブジェクト オーバーライド、および名前が変更されたオブジェクトの数が表示されます。 デバイスの場所、構成、部門に関する情報も入力できます。 この説明的な情報は管理だけを目的としており、デバイスの設定には影響しません。

        ステップ 7   プロセスを完了するには、[Commit Now] をクリックします。

        デバイスを管理対象モードにするには、変更を保存する必要があります。 さらにデバイスを追加するか、一部の設定をすぐに変更する場合は、[Commit Later] をクリックできますが、新しく追加されたデバイスをコミットされていない状態で長時間放置しないようにしてください。


        デバイス インポートのトラブルシューティング

        デバイスを PRSM インベントリに追加すると、PRSM はそのデバイスに接続し、デバイスの設定を読み取り、サポートされるポリシーおよび設定を設定データベースにロードします。 このプロセス中に失敗することがあれば、エラー メッセージが表示されるので、これらを丁寧に読んで問題を理解してください。

        発生する可能性のある主な問題は、次のカテゴリに分類されます。

        通信の問題

        ユーザが追加するすべてのデバイスと PRSM サーバの間にルートが存在する必要があります。 ハイ アベイラビリティとして設定されている ASA デバイスの場合、これは両方のデバイスが到達可能の必要があることを意味します。

        さらに、PRSM は検出および展開に HTTPS タイプのセキュアな通信使用するので、HTTPS に応答するにようにデバイスを設定する必要があります。 ASA が HTTPS アクセスを許可するように設定されていることを確認します。CX は常に HTTPS 用に設定されます。 PRSM サーバがデバイスの管理ポートにアクセスでき、正しい HTTPS ポートを指定していることを確認します。

        最後に、SSL 通信は有効な証明書を必要とします。 次は、証明書に関するいくつかの一般的な問題です。

        • 時刻設定がデバイスと PRSM 間で一致していない場合、証明書は有効ではない可能性があります。たとえば、PRSM の観点からは、デバイス証明書はある将来の時刻まで有効でない場合があります。 すべてのシステムで NTP を使用することが、整合性のある時刻設定を保障する最も確実な方法です。

        • PRSM とデバイス証明書の両方が、サーバ認証とクライアント認証の両方を許可する必要があります。 一方を許可し、もう一方を許可しない証明書を使用する場合、デバイスのインポートは失敗します。

        • サードパーティ証明書を使用する場合は、サードパーティ証明書を使用するすべてのデバイス(PRSMCX、および ASA)に証明書チェーン全体(ルートおよび中間)を追加する必要があります。 中間証明書を追加するだけでは、インポート中に証明書の検証が失敗します。 PRSM が認識するパーティによってデバイス証明書が発行されていない場合は、PRSM の補足的な証明書ストアにもチェーンを追加する必要があります。

        デバイスがインベントリに正常に追加されると、今後デバイスまたは PRSM の証明書を変更する場合は、PRSM デバイス インベントリの証明書を更新する必要があります。


        ヒント


        CX で自己署名証明書を使用し、デバイスのインストールまたはアップグレード後に NTP を設定した場合は、CX CLI の config cert-reset コマンドを使用して証明書を再生成します。


        デバイス名の問題

        2 つの CX デバイスは、同じ名前を持ち、同じ PRSM サーバによって管理されることはできません。 各デバイスで setup コマンドを実行しているときに一意の名前を設定することを確認します。 デバイス名は通常、証明書に含まれるので、重複する名前によって問題が生じる可能性があります。

        デバイスのログイン問題

        通信が成功すると、PRSM はデバイスにログインできる必要があります。

        • ASA デバイスのユーザ名を指定する場合、ユーザは権限レベル 15 が必要です

        • ASA でアクティブ認証(CX 用)を有効にした場合は、ローカル ユーザ名が ASA へのログインに対して機能しない場合があります。

        • CX デバイスの admin ユーザ、および正しいパスワードを使用する必要があります。

        デバイス設定の問題

        PRSM は、すべての ASA 設定をサポートしているわけではありません。 PRSM はサポートされていない設定値を無視しようとしますが、特定の設定は無視できません。 デバイスを追加する前に、これらの設定を変更する必要があります。

        エラー メッセージには、最初に検出されたサポートされていない機能が示されます。 ASDM または ASA CLI を使用して、設定を変更します。 最初のエラーだけがメッセージに表示されるので、インポートを再試行する前に同じタイプの設定の他のインスタンスを検索してください。

        機能ライセンスの問題

        CX デバイスには、サービスに必要な評価ライセンスが付属しています。 ただし、これらの評価ライセンスはインポートされません。 したがって、ライセンスが必要な機能を使用するポリシーを含むデバイスを追加したけれども、そのデバイスが評価ライセンスを使用している場合は、PRSM サーバは正しいタイプの十分なライセンスが必要です。

        デバイスが有料のライセンスを使用している場合、これらのライセンスはデバイスと共にインポートされ、ライセンス数に関する問題が発生することはないはずです。

        さらに、PRSM デバイス ライセンスには、追加するデバイスに対応するのに十分な未使用のライセンスが必要です。

        デバイス ヘルスの問題

        ユーザが追加するデバイスは、デバイス インポートが成功するように正しく機能している必要があります。 ヘルス テストには、次の項目が含まれます。

        • ping 応答をブロッキングしないことが前提で、PRSM CLI からデバイスに対して ping を実行します。 ハイ アベイラビリティ ペアの両方のデバイスが到達可能である必要があります。

        • CX CLI にログインし、show services status コマンドを使用してすべてのプロセスが実行されていることを確認します。

        • CX を含む ASA にログインし、show module コマンドを使用して CX モジュールのヘルスおよびステータスを確認します。 ステータスが「Unknown」になっていない必要があります。

        • ハイ アベイラビリティ デバイスの場合、ASA CLI で show failover コマンドを使用して、フェールオーバーがオンになっていること、LAN インターフェイスが設定され、実行されていること、アクティブおよびスタンバイの管理インターフェイスが表示され、すべての該当するセクションでモニタリングされていることを確認します。

        完全な管理への Monitor-Only デバイスの変換

        ASA がモニタリング専用モード(PRSM を使用してデバイスを設定できないがイベントとダッシュボードの情報を表示できる)場合は、デバイス構成をインポートして、完全な管理に変換できます。 これは、インベントリからデバイスを削除せずに実行できます。 ただし、PRSM が完全な管理でデバイスをサポートする場合のみ、構成をインポートできます。


        ヒント


        この手順は、ハイ アベイラビリティ ペアで設定されたデバイスでは機能しません。 デバイスがハイ アベイラビリティ用に設定されている場合、デバイスをインベントリから削除し、再度追加して構成を再インポートする必要があります。


        手順
          ステップ 1   Configurations > Policies/Settings を選択し、リポジトリ ビューに切替え、[Overview][Overview]タブを選択します。
          ステップ 2   デバイスの [Last Deployed] 列で情報アイコンを探し、アイコンをクリックします。

          ポップアップ メッセージでデバイスの状態が説明されます。 メッセージに [Import] リンクが含まれている場合は、このデバイスを管理モードに変換できます。

          ステップ 3   ポップアップ メッセージで [Import] をクリックして、ウィザードの指示に従います。

          構成をインポートするために使用するウィザードは、デバイスを追加するときに使用するものと同じです。 詳細については、デバイスを追加する手順を参照してください。


          デバイス ライセンス割り当ての表示

          インベントリの各デバイスに割り当てられているライセンスのリストを表示できます。

          手順
            ステップ 1   Configurations > Policies/Settings を選択し、リポジトリ ビューに切替え、[Overview][Overview]タブを選択します。
            ステップ 2   [License] 列のリンクをクリックします。

            これにより、[License Information] ウィンドウが開き、デバイスに割り当てられた各ライセンスおよびそれらの有効期限が一覧表示されます。


            デバイス管理のクレデンシャルの更新

            PRSM がデバイスへの接続に使用しているパスワードを変更した場合は、新しいパスワードでインベントリを更新する必要があります。

            手順
              ステップ 1   Configurations > Policies/Settings を選択し、必要に応じてデバイス ビューに切替え、デバイスを選択します。
              ステップ 2   [Overview][Overview]タブを選択します。
              ステップ 3   デバイス プロファイルで [Change Device Login Credentials] リンクをクリックします。
              ステップ 4   変更を加えて、[Save] をクリックします。

              ユーザ名およびパスワードを変更できます。


              管理 IP アドレスの変更

              PRSM サーバと管理対象デバイス間の関係は、すべてのシステムの管理 IP アドレスに基づいています。 関係のいずれかの側の管理 IP アドレスを変更した場合、関係を切断し、PRSM はデバイスを管理できません。

              切断された関係を修復する唯一の方法は、デバイスをインベントリから削除し、その後追加し直すことです。CX デバイスの場合、インベントリに追加し直す前に、Web インターフェイスにログインし、手動でシングル デバイス モードに切替える必要があります。

              したがって、システムの管理 IP アドレスを変更する必要がある場合は、変更を行う前にインベントリから削除します。 これにより、PRSM はデバイスをスムーズに管理対象外にすることができます。

              PRSM 管理アドレスを変更する場合は、変更を行う前にインベントリからすべてのデバイスを削除します。

              PRSM および CX の場合、CLI で setup コマンドを使用して、管理アドレスを変更します。 ASA の場合、ASA CLI または ASDM を使用します。

              証明書の更新

              デバイスまたは PRSM サーバで新しい証明書を生成するか、PRSM とデバイスの間の通信に何らかの問題がある場合は、デバイスに関連付けられている SSL 証明書の更新が必要になることがあります。 CX デバイスの証明書を更新すると、PRSM サーバ証明書も CX デバイスで更新されます。


              (注)  


              ASA で自己署名証明書を使用している場合は、ASA がリブートするたびに新しい証明書が生成されるため、PRSM で証明書を更新する必要があります。


              手順
                ステップ 1   Configurations > Policies/Settings を選択し、リポジトリ ビューに切替え、[Overview][Overview]タブを選択します。
                ステップ 2   証明書を更新するデバイスを選択します。
                ステップ 3   [Refresh Certificate] ボタンをクリックします。
                ステップ 4   インベントリ項目に関連付けられているすべてのデバイスから証明書が取得され、表示されます。 証明書が正しい場合は、[Accept] をクリックして保存します。

                デバイスの削除

                PRSM でデバイスを管理する必要がなくなった場合、インベントリからそのデバイスを削除できます。 デバイスを削除してもデバイス構成はまったく変更されません。現在の設定と割り当てられているライセンスを使用して、デバイスは機能し続けます。

                また、インベントリにデバイスを追加したときに作成された項目もまったく削除されません。 たとえば、検出されたポリシー オブジェクトはデータベースに残ります。 デバイスがインベントリに残っていた期間が、ダッシュボードの時間範囲内に含まれているかどうかに応じて、そのデバイスのダッシュボード データも保持され、ダッシュボードに表示されます。

                CX デバイスを削除すると、デバイスは非管理対象モードになります。 これで、別の PRSM サーバに追加したり、Web インターフェイスから直接管理できるようになります。

                手順
                  ステップ 1   Configurations > Policies/Settings を選択し、リポジトリ ビューに切替え、[Overview][Overview]タブを選択します。
                  ステップ 2   削除するデバイスを選択します。

                  選択したインベントリ項目に関連付けられたすべてのデバイス(子 CX デバイスおよびハイ アベイラビリティ設定のすべてのデバイスを含む)が削除されます。

                  ステップ 3   [Delete] ボタンをクリックします。

                  削除の確認が求められます。 メッセージ ウィンドウで [Delete] をクリックする前に、このメッセージをよくお読みください。

                  ステップ 4   削除を完了するには、変更をコミットします。
                  ヒント   

                  何らかの理由で CX デバイスとの通信が失敗すると、システムはそれを非管理対象モードにできなくなる場合があります。 その場合は、CX デバイスのホーム ページにログインしてリンクをクリックし、シングル デバイス モードに切り替えます。


                  デバイス通信のトラブルシューティング

                  PRSM がデバイスと通信するときは常に、正常な通信を妨げる問題が発生する可能性があります。 デバイスに変更を保存する場合や、ダッシュボード内に表示するためにモニタリング データが収集される場合、設定の検出中に通信が必要です。 ネットワーク概要ダッシュボードまたはデバイス インベントリ リストに、通信に関連する警告が表示されることがあります。また、デバイスを追加したり、それらに展開するときにエラー メッセージが表示されることもあります。

                  次に、一般的な通信エラーの例を示します。

                  サポート対象外のデバイス

                  サポートされないタイプまたはオペレーティング システムのバージョンのデバイスを追加した可能性があります。

                  デバイス ディレクトリにログインして、デバイス タイプとオペレーティング システムのバージョンを確認します。 正しいデバイスの IP アドレスを入力したことを確認します。

                  このエラーは、通常、デバイスを追加しようとすると発生します。 また、サポートされているデバイスからサポート対象外のデバイスに IP アドレスを割り当て直すと、エラーが表示されることがあります。 この場合は、インベントリからデバイスを削除します。

                  ユーザの認証エラー、無効なユーザ名、パスワード

                  デバイスにログインするためのユーザ名またはパスワードがデバイスで拒否されました。

                  インベントリにデバイスを追加するときにこのエラーが発生した場合は、ユーザ名とパスワードを修正します。 デバイスに直接ログインして(たとえば、SSH を使用)、ユーザ名/パスワードが機能することを確認します。

                  デバイスを追加して、それを正常に管理していてもこれが起こる場合は、デバイスを追加したときに指定したユーザのパスワードが変更されている可能性があります。 デバイスの概要タブでクレデンシャルを更新します。

                  ASA では、ユーザ パスワードがない場合、HTTP サーバのデフォルト パスワードとしてイネーブル パスワードが使用されます。

                  証明書が無効、証明書が期限切れ、証明書の更新が必要、HTTPS(SSL)エラー、SSL とネゴシエーションできない、通信エラー

                  保護された SSL(HTTPS)通信を確立できませんでした。 デバイスの通信には、常に SSL が使用されます。

                  デバイスを追加するときにこれが発生した場合は、まず、デバイスとの SSL 通信に使用されるポート番号が正しく指定されていることと、ASA で HTTP サーバがイネーブルになっていることを確認します。

                  問題が無効な証明書である場合、証明書が期限切れとなっているか、証明書の有効期間の開始日が PRSM サーバの現在時刻と比較して未来の時間になっているか、証明書がクライアントとサーバの両方の認証を許可していないかのいずれかです。 証明書が期限切れの場合は、デバイスにログインして新しい証明書を生成します。 問題が時刻に関連している場合は、時刻が不正確になっているシステムで時刻設定を修正します。 サーバで管理するすべてのシステムに対して、NTP を使用し、安定した時刻を維持することを検討してください。

                  問題が古い証明書である場合、または証明書を更新する必要があるというメッセージが表示された場合は、インベントリ リストに移動し、デバイスを選択し、[Refresh Certificate] コマンドを使用します。

                  問題が証明書でない場合は、HTTP サーバが ASA でイネーブルになっていることと、デバイスをインベントリに追加後に SSL ポートを変更していないことを確認してください。 SSL のポートを変更した場合、インベントリに指定された番号に変更し直すことができます。そうしない場合は、インベントリからデバイスを削除して、新しいポート番号を使用して追加し直す必要があります。

                  さらに、システム間に時刻の不一致がある場合に、SSL 通信が失敗する可能性があります。 たとえば、デバイス証明書の有効期間が、サーバの現在時刻から外れている場合などです。 ベスト プラクティスは、すべてのシステムに NTP を使用して、時刻を確実に同期することです。

                  PRSM 証明書が無効

                  このエラーは、PRSM サーバ自体の証明書に問題があることを意味しています。 デバイスの検出と展開は、問題を修正するまで機能しません。 証明書が期限切れになっているか、サーバと管理対象デバイスの時刻設定の間に時間のずれがあるか、証明書がクライアントとサーバの両方の認証を許可していない可能性があります。 時刻設定が正しく行われていることを確認し、新しいサーバ証明書を取得します。 証明書をアップロードするには、[Administration] > [Server Certificates] を選択します。

                  デバイスが応答しない、ホストに接続できない、デバイスを使用できない、展開のタイムアウト、通信エラー

                  サーバとデバイスの間にルートがない可能性があります。 また、デバイス設定でデバイスの IP アドレスまたはホスト名を変更したか、SSL 通信のポート番号を変更した可能性もあります。 さらに、デバイス間のトラフィックを拒否するファイアウォール ルールがある場合があります。


                  ヒント


                  同じ PRSM サーバで同じデフォルト以外の名前を持つ 2 台の CX デバイスを管理することはできません。 同じ名前のデバイスでは、証明書のサブジェクトが同じであるため、証明書の検証エラーが原因で検出がタイムアウトすることがあります。 デフォルトを使用しない場合は、各 CX デバイスで一意の名前を使用する必要があります。


                  ネットワーク接続を確認します。 問題はデバイスとサーバ間のネットワーク接続にあります。デバイスとサーバが互いに接続できない場合でも、ワークステーションからデバイスとサーバの両方に接続できることがあります。 両方のシステムの CLI にログインし、ping または traceroute を使用して接続を確認します。

                  ルートがある場合は、HTTP サーバが ASA でイネーブルになっていることを確認します。

                  デバイスとサーバの間にルートがあり、IP アドレス、ホスト名、または SSL ポート番号を変更した場合は、インベントリからデバイスを削除し、新しいアドレス情報を指定して、それを追加し直す必要があります。

                  これらの対応で問題が解決しない場合は、PRSM とデバイスの間のパスで、すべてのファイアウォール対応ネットワーク デバイスのアクセス ルールをチェックします。CX デバイスの場合、そのデバイスが存在するデバイスが含まれます。 既存のルールがポート 443 の HTTPS トラフィックをホスト間で転送することを許可していることを確認してください。PRSM が発信元のルールと、利用できないデバイスが発信元の、2 つの許可ルールが必要です。 443 以外の HTTPS ポートを設定した場合、設定したポートを許可する必要があります。 ネットワーク パス上のすべてのホップに通信を許可する必須のアクセス ルールがあることを確認します。