Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
Cisco ISE のバックアップおよび復元操作の管理
Cisco ISE のバックアップおよび復元操作の管理
発行日;2013/01/21 | 英語版ドキュメント(2012/05/02 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

Cisco ISE のバックアップおよび復元操作の管理

Cisco のバックアップと復元の概要

バックアップ、復元およびアップグレードがサポートされる事例

リポジトリの設定

リポジトリの作成

リポジトリの削除

オンデマンド バックアップ

オンデマンド バックアップの実行

スケジュール バックアップ

バックアップのスケジュール作成

スケジュール バックアップの削除

バックアップ履歴の表示

バックアップからのデータの復元

復元履歴の表示

分散環境でのプライマリ ノードとセカンダリ ノードの同期

スタンドアロンおよび分散展開での失われたノードの復旧

分散セットアップのすべてのノードを喪失、既存の IP アドレスおよびホスト名を使用して復旧

分散展開のすべてのノードを喪失、新しい IP アドレスおよびホスト名を使用して復旧

スタンドアロン展開、既存の IP アドレスおよびホスト名を使用して復元

スタンドアロン展開、新しい IP アドレスおよびホスト名を使用して復元

設定のロールバック

分散展開内のプライマリ ノードの障害

分散展開内のセカンダリ ノードの障害

Cisco ISE のバックアップおよび復元操作の管理

この章では、Cisco Identity Services Engine(ISE)データベースのバックアップおよび復元操作について説明します。このバックアップ/復元には、Cisco ISE アプリケーションの設定データ、および Cisco Application Deployment Engine オペレーティング システム(ADE オペレーティング システム)の設定データが含まれます。この章には、モニタリングおよびトラブルシューティングのデータベースのバックアップと復元の手順の説明は含まれていません。モニタリングおよびトラブルシューティングのデータベースのバックアップと復元のについては、「モニタリングおよびトラブルシューティング」を参照してください。


) Cisco ISE Release 1.1 では、インライン ポスチャ ノードのバックアップと復元は利用できません。この問題およびその他の既知の問題の詳細については、『Release Notes for the Cisco Identity Services Engine, Release 1.1.1.』を参照してください。


この章は、次の内容で構成されています。

「Cisco ISE のバックアップと復元の概要」

「バックアップ、復元およびアップグレードがサポートされる事例」

「リポジトリの設定」

「オンデマンド バックアップ」

「スケジュール バックアップ」

「バックアップ履歴の表示」

「バックアップからのデータの復元」

「復元履歴の表示」

「分散環境でのプライマリ ノードとセカンダリ ノードの同期」

「スタンドアロンおよび分散展開での失われたノードの復旧」

Cisco ISE のバックアップと復元の概要

Cisco ISE では、プライマリまたはスタンドアロンの管理 ISE ノードのデータのみをバックアップできます。バックアップは、Cisco ISE コマンドライン インターフェイス(CLI)または Cisco ISE ユーザ インターフェイスのどちらからでも行うことができます。復元操作は、CLI からのみ実行できます。

Cisco ISE では次のデータのバックアップが可能です。

アプリケーション固有の設定データ:Cisco ISE データベース内の Cisco ISE 設定データのみが含まれます。

アプリケーションと ADE オペレーティング システムのデータ:アプリケーション固有データと Cisco ADE オペレーティング システム設定データの両方が含まれます。

バックアップおよび復元操作は、以前のバージョンの Cisco ISE のバックアップ ファイルを使用して実行でき、より新しいバージョンに復元できます。たとえば、アップグレード前の ISE ノード(Cisco ISE Release 1.0)のバックアップ ファイルは、Cisco ISE Release 1.1 上に復元できます。

Cisco ISE では、Cisco ISE アプリケーションおよび ADE オペレーティング システムのデータを、プライマリまたはスタンドアロンの管理ノード上に復元できます。プライマリ管理ノード上への復元後に、変更点が展開内のセカンダリ ノードに複製されます。

あるタイムゾーン内のプライマリ管理 ISE ノードからバックアップを取得して、別のタイプゾーン内の別の ISE ノードに復元する場合、復元プロセスが失敗することがあります。この問題は、バックアップ ファイルのタイムスタンプが、バックアップが復元される ISE ノードのシステム時刻より新しい場合に発生します。同じバックアップを、取得後 1 日経過してから復元すると、バックアップ ファイルのタイムスタンプが過去のものになり、復元プロセスは成功します。


) システムのタイムゾーンは、最初の ISE のインストールおよびセットアップ後に変更しないことを推奨します。



) バックアップをスタンドアロン ISE ノードまたはプライマリ管理 ISE ノードから取得した後で、展開内の 1 つ以上のノードで証明書設定を変更した場合、データを復元するには別のバックアップを取得する必要があります。このようにする代わりに、古いバックアップを使用してデータを復元しようとした場合は、ノード間の通信ができなくなることがあります。


通常、比較的高い頻度のアプリケーション固有のバックアップと低い頻度のシステム全体のバックアップが必要となります。システム全体のバックアップは、ハードウェアのイメージの再作成が必要となるハードウェア障害が発生した場合に必要となります。

Cisco ISE がバックアップ ファイルを格納するデータ リポジトリが必要です。オンデマンドまたはスケジュール設定されたバックアップを実行する前に、リポジトリを作成する必要があります。


) スタンドアロン管理ノードに障害が発生した場合、フル システム バックアップの復元を実行する必要があります。プライマリ管理 ISE ノードに障害が発生した場合、分散セットアップを使用してセカンダリ管理 ISE ノードをプライマリにプロモートして、そのプライマリ管理 ISE ノード上にデータを復元できます。


バックアップは、CLI または Cisco ISE ユーザ インターフェイスを使用して実行できます。

CLI バックアップ コマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


) Cisco ISE では、backup-logs コマンドも使用できます。このコマンドを使用して、ログや設定ファイルの収集を行い、これらをトラブルシューティングに利用できます。詳細については、『Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x』を参照してください。


バックアップ、復元およびアップグレードがサポートされる事例

新しいビルド上での以前のバックアップに対するサポートされるアプローチおよびアップグレード事例の詳細については、『 Cisco Identity Services Engine Upgrade Guide, Release1.1.1 』の「Upgrading Cisco ISE」の章を参照してください。

リポジトリの設定

Cisco ISE では、Cisco ISE ユーザ インターフェイスを使用してリポジトリを作成および削除できます。これらのリポジトリは、バックアップや復元などのさまざまな操作に使用できます。次のタイプのリポジトリを作成できます。

DISK

FTP

SFTP

TFTP

NFS

CDROM

HTTP

HTTPS

[リポジトリ(Repositories)] ページでは、Cisco ISE 管理ユーザ インターフェイスを使用してリポジトリを管理できます。管理ユーザ インターフェイスを使用して、リポジトリを作成および削除できます。


) 小規模な展開(100 個以下のエンドポイント)では、10 GB のリポジトリを、中規模の展開では 100 GB のリポジトリを、大規模な展開では 200 GB のリポジトリを用意することを推奨します。


この項では、次のトピックを扱います。

リポジトリの作成

リポジトリの削除

リポジトリの作成

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

リポジトリを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] を選択します。

ステップ 2 左側の [操作(Operations)] ナビゲーション ペインで [リポジトリ(Repository)] をクリックします。

[リポジトリ リスト(Repository List)] ページに設定済みのリポジトリのリストが表示されます。リポジトリを初めて作成する場合は、このページには何も表示されません。

ステップ 3 [追加(Add)] をクリックして、新しいリポジトリを追加します。

[リポジトリ設定(Repository Configuration)] ページが表示されます。

ステップ 4 次の説明に従って値を入力します。

[リポジトリ(Repository)]:(必須)リポジトリの名前。最大 80 文字の英数字を使用できます。


) リポジトリの名前は編集できません。


[プロトコル(Protocol)]:(必須)ドロップダウン リストからいずれかのプロトコルを選択します。

[パス(Path)]:(必須)このフィールドにリポジトリへのパスを入力します。この値は、スラッシュ(/)で開始する必要があります。

このパスは、リポジトリの作成時に有効であり、存在している必要があります。次の 3 つのフィールドは、選択したプロトコルに応じて必須項目となります。

[サーバ名(ServerName)]:(TFTP、HTTP、HTTPS、FTP、SFTP、および NFS で必須)リポジトリの作成先サーバのホスト名または IPv4 アドレスを入力します。

[ユーザ名(Username)]:(FTP、SFTP、および NFS で必須)指定されたサーバに対する書き込み権限を持つユーザ名を入力します。使用できる文字は英数字のみです。

[パスワード(Password)]:(FTP、SFTP、および NFS で必須)指定されたサーバへのアクセスに使用するパスワードを入力します。パスワードに使用できる文字は、0 ~ 9、a ~ z、A ~ Z、-、.、|、@、#、$、%、^、&、*、,、+、および = です。

ステップ 5 [送信(Submit)] をクリックしてリポジトリを作成します。

次のようなメッセージが表示されます。

リポジトリは正常に作成されました。(Repository is created successfully.)

ステップ 6 左側の [操作(Operations)] ナビゲーション ペインで [リポジトリ(Repository)] をクリックするか、このページの上部の [リポジトリ リスト(Repository List)] リンクをクリックして、リポジトリ リストのページに移動します。


 

次の手順:

1. Cisco ISE コマンドライン インターフェイスで次のコマンドを実行して、作成したリポジトリが動作していることを確認します。

show repository repository_name

ここで、 repository_name は作成したリポジトリの名前です。詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


) リポジトリの作成時に指定したパスが存在しない場合、「%無効なディレクトリです(%Invalid Directory)」というエラーが表示されます。


2. オンデマンド バックアップを実行するかバックアップのスケジュールを設定します。詳細については、 オンデマンド バックアップの実行 バックアップのスケジュール作成を参照してください。

リポジトリの削除

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

リポジトリを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] を選択します。

ステップ 2 左側の [操作(Operations)] ナビゲーション ペインで [リポジトリ(Repository)] をクリックします。

リポジトリ リストのページが表示されます。

ステップ 3 削除するリポジトリの隣にあるオプション ボタンをクリックして、次に [削除(Delete)] をクリックします。

Cisco ISE によって次のメッセージが表示されます。

このリポジトリを削除してよろしいですか?(Are you sure you want to delete this repository?)

ステップ 4 リポジトリを削除するには [OK] をクリックします。

次のメッセージが表示されます。

リポジトリは正常に削除されました。(Repository was deleted successfully.)

[リポジトリ リスト(Repository List)] ページが表示され、削除したリポジトリはこのページに表示されなくなります。


 

オンデマンド バックアップ

Cisco ISE にはプライマリ管理ノードのオンデマンド バックアップを取得するオプションがあります。Cisco ISE アプリケーション固有の設定データ、またはアプリケーションと Cisco ADE オペレーティング システムのデータのバックアップを取得できます。

オンデマンド バックアップの実行

前提条件:

1. この作業を実行する前に、Cisco ISE での バックアップおよび復元 操作の基礎を理解しておく必要があります。

2. リポジトリを設定していることを確認します。詳細については、「リポジトリの設定」を参照してください。

3. すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。


) 操作のバックアップおよび復元では、読み取り専用リポジトリである CDROM、HTTP、または HTTPS オプションを選択することはできません。


オンデマンド バックアップを行うには次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] を選択します。

ステップ 2 左の [操作(Operations)] ナビゲーション ペインから  [データ管理(Data Management)] > [管理ノード(Administration Node)] > [オンデマンド フル バックアップ(Full Backup On Demand)] を選択します。

[オンデマンド バックアップ(Backup On Demand)] ページが表示されます。

ステップ 3 バックアップ ファイルの名前を入力します。

ステップ 4 バックアップ ファイルを保存するリポジトリを選択します。

ここにリポジトリ名を入力することはできません。ドロップダウン リストから利用可能なリポジトリのみを選択できます。バックアップの実行前にリポジトリを作成していることを確認してください。

ステップ 5 [OS システム データを除くアプリケーションのみのバックアップ(Application-Only Backup, Excludes OS System Data)] チェックボックスをオンにし、Cisco ISE アプリケーション データのバックアップを取得します。Cisco ADE オペレーティング システム データも必要な場合はこのチェックボックスをオフにします。

ステップ 6 [暗号化キー(Encryption Key)] を入力します。このキーは、バックアップ ファイルの暗号化および解読に使用されます。

ステップ 7 [すぐにバックアップ(Backup Now)] をクリックしてバックアップを実行します。


) 分散展開では、バックアップの実行中にノードのロールを変更したり、ノードの設定を行ったりすることはできません。バックアップの実行中にノードのロールを変更すると、すべての手順が中断し、データに不一致が生じる場合があります。ノードのロールを変更する際は、バックアップが完了するまで待機してください。


ステップ 8 [オンデマンド バックアップ(Backup On Demand)] ページを表示している場合、ページが更新されページの右下に次のメッセージが表示されます。

バックアップが正常に完了しました。(Backup is done successfully.)

バックアップのステータスの確認のために Cisco ISE ユーザ インターフェイスの他のページに移動している場合は、[バックアップ履歴(Backup History)] ページに移動する必要があります。詳細については、「バックアップ履歴の表示」を参照してください。

Cisco ISE は、バックアップ ファイル名にタイムスタンプを追加し、このファイルを特定のリポジトリに保存します。バックアップ ファイルが指定したリポジトリ内に存在するかどうか確認してください。


 

詳細情報:

この手順では、Cisco ISE アプリケーションと Cisco ADE オペレーティング システムのデータをバックアップします。モニタリングおよびトラブルシューティングのデータベース データをバックアップする方法については、「モニタリング データベースのバックアップと復元」を参照してください。定期的に実行するバックアップ ジョブのスケジュールを設定することもできます。詳細については、「スケジュール バックアップ」を参照してください。

スケジュール バックアップ

Cisco ISE では、システムレベルのバックアップ操作のスケジュールを設定できます。バックアップを定期的(毎日、毎週、毎月)に実行するようにスケジュール設定でき、バックアップを実行する時刻も指定できます。通常、バックアップ操作には一定の時間を要します。スケジュール オプションにより、都合のいい時間にバックアップを設定することができます。[スケジュール バックアップ(Scheduled Backup)] ページには、スケジュール設定済みのバックアップがリスト表示されます。

バックアップのスケジュールは、Cisco ISE CLI または Cisco ISE ユーザ インターフェイスを使用して設定できます。CLI を使用してジョブのスケジュールを設定するには、 kron CLI コマンドを使用します。

kron コマンドの詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。

kron policy-list policylistname コマンドの例を次に示します。

ise/admin(config)# kron policy-list policylistname
ise/admin(config-Policy List)# cli backup backupfilename repository repositoryname application ise
ise/admin(config-Policy List)# kron occurrence backup_occur_backupfilename
ise/admin(config-Occurrence)# at 10:00 Sunday
ise/admin(config-Occurrence)# recurring
ise/admin(config-Occurrence)# policy-list policylistname
ise/admin(config-Occurrence)# exit
ise/admin(config)# exit
ise/admin#
 

kron ジョブを作成するには、ポリシー リストを作成する必要があります。このポリシー リストは、Cisco ISE ユーザ インターフェイスを使用してバックアップのスケジュールを設定する際にも作成されます。


) セカンダリ管理 ISE ノードをプライマリ管理 ISE ノードにプロモートする場合、新しいプライマリ ISE ノード上でバックアップのスケジュールを再設定する必要があります。これは、スケジュール バックアップの設定はプライマリとセカンダリの管理 ISE ノード間で複製されないためです。



) Cisco ISE Release 1.0.3.377 または Cisco ISE Maintenance Release 1.0.4.573 を Cisco ISE Release 1.1 にアップグレードすると、以前のジョブが正常に機能しないため、スケジュール設定されたバックアップ ジョブを再作成する必要があります。


バックアップのスケジュール作成

前提条件:

1. この作業を実行する前に、Cisco ISE での バックアップおよび復元 オンデマンド バックアップ、および スケジュール バックアップの操作の基礎を理解しておく必要があります。

2. リポジトリを設定していることを確認します。詳細については、「リポジトリの設定」を参照してください。

3. すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。


) 操作のバックアップおよび復元では、読み取り専用リポジトリである CDROM、HTTP、または HTTPS オプションを選択することはできません。


Cisco ISE ユーザ インターフェイスを使用してバックアップのスケジュールを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] を選択します。

ステップ 2 左側の [操作(Operations)] ナビゲーション ペインから [データ管理(Data Management)] > [管理ノード(Administration Node)] > [スケジュール バックアップ(Scheduled Backup)] を選択します。

[スケジュール バックアップ リスト(Scheduled Backup List)] ページが表示されます。このページには、次の情報が表示されます。

[名前(Name)]:スケジュール バックアップ ジョブの名前。

[タイプ(Type)]:実行頻度(毎日、毎週、毎月など)。

[時刻:日(Time:Date)]:バックアップを実行する時刻、スケジュールが毎週の場合は実行する曜日、スケジュールが毎月の場合は実行する日付。

[ポリシー(Policy)]:ポリシー リストの名前。

[繰り返し(Recurring)]:バックアップを指定された日と時刻で繰り返すか、1 回のみ実行するかを指定します。

 

ステップ 3 [追加(Add)] をクリックして、スケジュール バックアップを追加します。

図 15-1 に示すような [スケジュール バックアップの設定(Scheduled Backup Configuration)] ページが表示されます。

図 15-1 スケジュール バックアップ:作成ページ

 

 

ステップ 4 バックアップ ファイルの名前を入力します。

任意のわかりやすい名前を入力できます。Cisco ISE は、バックアップ ファイル名にタイムスタンプを追加して、ファイルをリポジトリに格納します。複数のバックアップを作成するように設定しても、一意なバックアップ ファイル名を得ることができます。


) [スケジュール バックアップ(Scheduled Backup)] リスト ページで、ファイル名の先頭に「backup_occur」が追加され、このファイルが kron occurrence ジョブであることを示します。


ステップ 5 [リポジトリ名(Repository Name)] ドロップダウン リストからリポジトリを選択します。

リポジトリ名を入力することはできません。Cisco ISE ユーザ インターフェイスまたは Cisco ISE CLI を使用してリポジトリを作成する必要があります。リポジトリの作成方法の詳細については、「リポジトリの設定」を参照してください。バックアップ ジョブのスケジュールを設定する前に、リポジトリを作成してください。

ステップ 6 Cisco ISE アプリケーション データのみをバックアップする場合は、[OS システム データを除くアプリケーションのみのバックアップ(Application-Only Backup, Excludes OS System Data)] チェックボックスをオンにします。バックアップに Cisco ADE オペレーティング システムのデータも含める場合は、このチェックボックスをオフにします。

ステップ 7 指定した日と時刻でスケジュール バックアップを繰り返すには、[バックアップを繰り返す(Repeating the Backup)] チェックボックスをオンにします。バックアップを 1 回のみ実行するようにスケジュール設定する場合は、このチェックボックスをオフにします。

ステップ 8 [暗号化キー(Encryption Key)] を入力します。このキーは、バックアップ ファイルの暗号化および解読に使用されます。

ステップ 9 [スケジューリング オプション(Schedule Options)] グループ ボックスで、次の操作を行います。

バックアップを実行する時刻を選択します。

次のいずれか 1 つを選択します。

[毎日(Daily)]:指定した時刻に毎日バックアップを実行する場合に選択します。

[毎週(Weekly)]:指定された時刻に毎週バックアップを実行する曜日をドロップダウン リストから選択します。

[毎月(Monthly)]:指定された時刻に毎月バックアップを実行する日付(1 ~ 28)を選択します。

ステップ 10 [送信(Submit)] をクリックして、バックアップをスケジューリングします。

ページ上部の [スケジュール バックアップ リスト(Scheduled Backup List)] リンクをクリックして、[スケジュール バックアップ リスト(Scheduled Backup List)] ページに戻ります。


 

詳細情報:

[スケジュール バックアップ(Scheduled Backup)] ページに、スケジュール バックアップがリスト表示されます。以前にスケジュールを設定したジョブのステータスを確認する方法については、「バックアップ履歴の表示」を参照してください。この手順では、Cisco ISE アプリケーションと Cisco ADE オペレーティング システムのデータをバックアップするバックアップ ジョブのスケジュールを設定します。モニタリングおよびトラブルシューティングのデータベースのバックアップ ジョブのスケジュールを設定する方法については、「モニタリング データベースのバックアップと復元」を参照してください。

スケジュール バックアップの削除

Cisco ISE では、既存のバックアップ スケジュールの削除、および新規スケジュールの作成が可能です。Cisco ISE には、スケジュールが設定されたバックアップ ジョブを編集するオプションはありません。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

スケジュールが設定されたバックアップ ジョブを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] を選択します。

ステップ 2 左側の [操作(Operations)] ナビゲーション ペインから [データ管理(Data Management)] > [管理ノード(Administration Node)] > [スケジュール バックアップ(Scheduled Backup)] を選択します。

[スケジュール バックアップ リスト(Scheduled Backup List)] ページに、スケジュールが設定されたジョブのリストが表示されます。

ステップ 3 削除対象のスケジュール設定されたバックアップ ジョブの隣にあるオプション ボタンをクリックして、[削除(Delete)] をクリックします。

ステップ 4 次のメッセージが表示されます。

このスケジュール バックアップを削除してよろしいですか?(Are you sure you want to delete this scheduled backup?)

ステップ 5 スケジュール バックアップを削除するには、[OK] をクリックします。


 

バックアップ履歴の表示

スケジュール バックアップについて、[バックアップ履歴(Backup History)] ページで、バックアップの情報、バックアップ イベント、およびステータス(バックアップをいつ実行したか、成功したかどうか、など)を取得できます。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者、モニタリング管理者、ヘルプデスク管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

バックアップ履歴を表示するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [レポート(Reports)] > [システム(System)] を選択します。

ステップ 2 左の [システム(System)] ナビゲーション ペインから [データ管理(Data Management)] > [管理ノード(Administration Node)] > [バックアップ履歴(Backup History)] を選択します。

[バックアップ履歴(Backup History)] ページに、図 15-2 に示すように Cisco ISE ノード上で実行されたすべてのバックアップに関する情報が表示されます。

図 15-2 [バックアップ履歴(Backup History)] ページ

 


 

[バックアップ履歴(Backup History)] ページには、実行したスケジュール バックアップの基本情報が表示されます。失敗したバックアップの詳細を確認するには、Cisco ISE CLI から backup-logs コマンドを実行して、ADE.log を調べます。


) バックアップ履歴は、Cisco ADE オペレーティング システムの設定データとともに保存されています。アプリケーションのアップグレード後でもバックアップ履歴は失われず、[バックアップ履歴(Backup History)] ページには実行したすべてのバックアップがリスト表示されます。バックアップ履歴は、プライマリ管理ノードのイメージを再作成した場合に限り、削除されます。



 

バックアップからのデータの復元

データの復元は、Cisco ISE CLI からのみ行うことができます。

アプリケーション データを復元するには、Cisco ISE CLI で次のコマンドを入力します。

restore backupfilename.tar.gpg repository repositoryname application application name encryption-key hash | plain encryption-key name

アプリケーション データと Cisco ADE オペレーティング システム データを復元するには、Cisco ISE CLI で次のコマンドを入力します。

restore backupfilename.tar.gpg repository repositoryname encryption-key hash | plain encryption-key name

説明:

backupfilename.tar.gpg は復元するバックアップ ファイルの名前

repositoryname は、バックアップ ファイルを格納しているリポジトリ

encryption-key name は、バックアップ ファイルの作成時に使用したキー。データの復元時には、暗号キーはオプションです。暗号キーを提供していない以前のバックアップをサポートする場合、暗号キーなしで restore コマンドを使用できます。

データの復元後は、すべてのアプリケーション サーバ プロセスが作動するまで待機する必要があります。Cisco ISE アプリケーション サーバ プロセスが起動しているかどうかを確認するには、Cisco ISE CLI から次のコマンドを入力します。

show application status ise

詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


) データの復元は、同一バージョンの Cisco ISE 上でのみ行うことができます。Cisco ISE データベースのバックアップが、パッチ 1、2、および 3 がインストールされた Cisco ISE Release 1.0 で取得されたものである場合、パッチ 3(最新のパッチ)がインストールされた Release 1.0 の Cisco ISE ノード上でのみ復元が可能です。


復元ジョブのステータスを確認する方法については、「復元履歴の表示」を参照してください。


) いずれかのセカンダリ ノードでアプリケーション復元後の同期ステータスおよび複製ステータスが [同期していない(Out of Sync)] になっている場合、該当セカンダリ ノードの証明書をプライマリ管理ノードに再インポートして、手動同期を実行する必要があります。手動同期の実行手順については、「分散環境でのプライマリ ノードとセカンダリ ノードの同期」を参照してください。


復元履歴の表示

すべての復元操作に関する情報、復元ログ イベント、およびステータス(復元がいつ行われたか、成功したかどうかなど)を取得できます。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者、モニタリング管理者、ヘルプデスク管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

復元履歴を表示するには、次の手順を実行します。


ステップ 1 [操作(Operations)] > [レポート(Reports)] > [システム(System)] を選択します。

ステップ 2 左の [システム(System)] ナビゲーション ペインから [データ管理(Data Management)] > [管理ノード(Administration Node)] > [復元履歴(Restore History)] を選択します。

[復元履歴(Restore History)] ページに、Cisco ISE ノードで実行されたすべての復元操作に関する情報が表示されます。


 


) [バックアップ履歴(Backup History)] ページと同様に、[復元履歴(Restore History)] ページには、復元ジョブの基本的な情報が表示されます。トラブルシューティング情報を入手するには、Cisco ISE CLI から backup-logs コマンドを実行して、ADE.log ファイルを調べる必要があります。


分散環境でのプライマリ ノードとセカンダリ ノードの同期

分散環境では、プライマリ管理ノード上でバックアップ ファイルの復元を行った後に、プライマリ ノードとセカンダリ ノードの Cisco ISE データベースの同期が自動的に行われない場合があります。このような場合、プライマリ管理ノードからセカンダリ ISE ノードへの完全な複製を手動で強制的に実行できます。強制同期は、プライマリ ノードからセカンダリ ノードへのみ可能です。同期操作中は、設定を変更することはできません。同期操作が開始されると、経過表示バーが表示され、強制複製の進捗が示されます。Cisco ISE では、同期が完了しないと、別の Cisco ISE ユーザ インターフェイス ページに移動して設定の変更を行うことはできません。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

セカンダリ Cisco ISE ノードとプライマリ Cisco ISE ノードを同期するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 左側の [展開(Deployment)] ナビゲーション ペインで [展開(Deployment)] をクリックします。

[展開ノード(Deployment Nodes)] ページが表示されます。

ステップ 3 [複製ステータス(Replication Status)] が [同期していない(Out of Sync)] になっているセカンダリ ISE ノードの隣にあるチェックボックスをオンにします。

ステップ 4 [同期を更新(Syncup)] をクリックします。

該当するノードが、プライマリ管理ノードと同期されます。このプロセスが完了しないと、Cisco ISE ユーザ インターフェイスには再アクセスできません。


 

結果

すべてのノードの同期が完了すると、次のメッセージが表示されます。

すべてのノードの同期が完了しました。(Sync up is done for all the nodes.)

Cisco ISE が完全な複製を強制的に実行できない場合は、エラーメッセージが表示されます。

スタンドアロンおよび分散展開での失われたノードの復旧

この項では、スタンドアロンおよびマルチノード展開での失われたノードの復元に使用できるトラブルシューティング情報を提供します。次の使用例の一部では、失われたデータの復旧にバックアップと復元機能を使用し、その他の使用例では、複製機能を使用しています。

「分散セットアップのすべてのノードを喪失、既存の IP アドレスおよびホスト名を使用して復旧」

「分散展開のすべてのノードを喪失、新しい IP アドレスおよびホスト名を使用して復旧」

「スタンドアロン展開、既存の IP アドレスおよびホスト名を使用して復元」

「スタンドアロン展開、新しい IP アドレスおよびホスト名を使用して復元」

「設定のロールバック」

「分散展開内のプライマリ ノードの障害」

「分散展開内のセカンダリ ノードの障害」

分散セットアップのすべてのノードを喪失、既存の IP アドレスおよびホスト名を使用して復旧

分散展開セットアップで、自然災害によりすべてのノードが失われました。復旧後に、既存のアドレスとホストネームを使用します。

シナリオ

2 つのノード、N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)があり、時刻 t1 に取得した N1 ノードのバックアップを使用できます。後で自然災害により N1 ノードと N2 ノードの両方で障害が発生します。

前提

展開内のすべての Cisco ISE ノードが壊れました。同じホスト名と IP アドレスを使用して、新しいハードウェアのイメージが作成されました。

解決手順

1. N1 および N2 ノードの両方を置き換える必要があります。詳細については、「Cisco ISE アプライアンス ハードウェアの交換」を参照してください。 N1 および N2 ノードはスタンドアロン構成になりました。

2. 置き換えた N1 ノードでバックアップを復元する必要があります。詳細については、「バックアップからのデータの復元」を参照してください。 復元スクリプトは N2 にデータを同期しようとしますが、N2 はスタンドアロン ノードであるため同期は失敗します。N1 のデータは時刻 t1 にリセットされます。

3. N1 のユーザ インターフェイスにログインして、N2 ノードを削除して再登録する必要があります。詳細については、次の各項を参照してください。

「展開からのノードの削除」

「セカンダリ ノードの登録および設定」

これで、N1 および N2 ノードが時刻 t1 にリセットされます。

分散展開のすべてのノードを喪失、新しい IP アドレスおよびホスト名を使用して復旧

分散セットアップで、展開のすべてのノードが自然災害により壊れました。新しいハードウェアのイメージが新しい場所で再作成され、新しい IP アドレスとホスト名が必要です。

シナリオ

2 つの ISE ノード、N1(プライマリ管理ノード)と N2(セカンダリ ポリシー サービス ノード)があり、時刻 t1 に取得した N1 ノードのバックアップを使用できます。後で自然災害により N1 ノードと N2 ノードの両方で障害が発生します。ISE ノードが新しい場所で置き換えられ、新しいホスト名は N1A(プライマリ管理ノード)および N2A(セカンダリ ポリシー サービス ノード)です。N1A および N2A はこの時点ではスタンドアロン ノードです。

前提条件

展開内のすべての Cisco ISE ノードが壊れました。新しいハードウェアのイメージが、異なるホスト名と IP アドレスを使用して異なる場所で作成されました。

解決手順

1. N1 のバックアップを入手し、これを N1A 上で復元します。詳細については、「バックアップからのデータの復元」を参照してください。 復元スクリプトは、ホスト名とドメイン名の変更を認識し、現在のホスト名に基づいて展開設定内のホスト名とドメイン名を更新します。

2. 新しい自己署名証明書を生成する必要があります。詳細については、「自己署名証明書の生成」を参照してください。

3. N1A 上の Cisco ISE ユーザ インターフェイスにログインし、[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択して、次の操作を行う必要があります。

a. 古い N2 ノードを削除します。詳細については、「展開からのノードの削除」を参照してください。

b. 新しい N2A ノードをセカンダリ ノードとして登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。 N1A ノードのデータが N2A ノードに複製されます。

スタンドアロン展開、既存の IP アドレスおよびホスト名を使用して復元

スタンドアロンの管理ノードがダウンしています。

シナリオ

スタンドアロン管理ノード N1 があり、時刻 t1 に取得された N1 データベースのバックアップを使用できます。物理的な障害により N1 ノードがダウンし、イメージの再作成または新しいハードウェアが必要です。N1 ノードを、同じ IP アドレスとホスト名を使用して回復させる必要があります。

前提条件

この展開はスタンドアロン展開であり、新規またはイメージを再作成したハードウェアは、同じ IP アドレスとホスト名を持ちます。

解決手順

イメージの再作成または新規 ISE ノードの導入により同じ IP アドレスとホスト名の N1 を回復したら、古い N1 ノードから取得したバックアップを復元する必要があります。ロールを変更する必要はありません。詳細については、「バックアップからのデータの復元」を参照してください。

スタンドアロン展開、新しい IP アドレスおよびホスト名を使用して復元

スタンドアロンの管理ノードがダウンしています。

シナリオ

スタンドアロン管理ノード N1 があり、時刻 t1 に取得された N1 データベースのバックアップを使用できます。物理的な障害により N1 ノードがダウンし、異なる IP アドレスとホスト名を使用した新しいハードウェアで別の場所で置き換えられます。

前提条件

この展開はスタンドアロン展開であり、置き換えられたハードウェアは、異なる IP アドレスとホスト名を持ちます。

解決手順

1. 新しいハードウェアで N1 ノードを置き換えます。詳細については、「Cisco ISE アプライアンス ハードウェアの交換」を参照してください。 このノードはスタンドアロン状態となり、ホスト名は N1B です。

2. バックアップを N1B ノード上で復元できます。詳細については、「バックアップからのデータの復元」を参照してください。ロールを変更する必要はありません。

設定のロールバック

意図せずに設定を変更してしまい、後でそれが正しくないことがわかる場合があります。たとえば、いくつかの NAD を削除したり、一部の RADIUS 属性を誤って修正したりして、数時間後にこの問題に気付く場合があります。この場合、変更を行う前に取得したバックアップを復元することにより、元の設定に戻すことができます。

シナリオ

N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)の 2 つのノードがあり、N1 ノードのバックアップを使用できます。N1 上で誤った変更をいくつか行い、変更を元に戻す必要があります。

解決手順

誤った設定変更を行う前に取得した N1 ノードのバックアップを入手します。N1 ノード上でこのバックアップを復元します。詳細については、「バックアップからのデータの復元」を参照してください。復元スクリプトにより、N1 のデータで N2 が同期されます。

分散展開内のプライマリ ノードの障害

マルチノード展開内で、プライマリ管理ノードに障害が発生しました。

シナリオ

2 つの ISE ノード、N1(プライマリ管理ノード)と N2(セカンダリ管理ノード)があります。ハードウェアの問題で N1 に障害が発生します。

前提条件

分散展開内のプライマリ ノードのみに障害が発生します。

解決手順

1. N2 ユーザ インターフェイスにログインします。[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択して、N2 をプライマリ ノードとして設定します。詳細については、「管理 Cisco ISE ノードでのハイ アベイラビリティの設定」を参照してください。

N1 ノードが新しいハードウェアで置き換えられ、イメージが再作成され、スタンドアロン状態となります。

2. N2 のユーザ インターフェイスで、新しい N1 ノードをセカンダリ ノードとして登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。

これで、N2 ノードがプライマリ ノードになり、N1 ノードがセカンダリ ノードになります。

N1 ノードを再びプライマリ ノードにするには、N1 のユーザ インターフェイスにログインして、このノードをプライマリ ノードに設定します。N2 は、自動的にセカンダリ サーバとなります。データが失われることはありません。

分散展開内のセカンダリ ノードの障害

マルチノード展開で、1 台のセカンダリ ノードに障害が発生しました。復元は必要ありません。

シナリオ

N1(プライマリ管理ノード)、N2(セカンダリ管理ノード)、N3(セカンダリ ポリシー サービス ノード)、N4(セカンダリ ポリシー サービス ノード)の複数のノードが存在します。セカンダリノードの 1 つである N3 に障害が発生しました。

解決手順

1. 新しい N3A ノードのイメージを再作成して、デフォルトのスタンドアロン状態にします。

2. N1 ユーザ インターフェイスにログインして、N3 ノードを削除します。詳細については、「展開からのノードの削除」を参照してください。

3. N3A ノードを登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。

N1 から N3A へ、データが複製されます。復元は必要ありません。