Cisco Identity Services Engine ユーザ ガイド リリース 1.1.1
分散環境での Cisco ISE の設定
分散環境での Cisco ISE の設定
発行日;2013/01/21 | 英語版ドキュメント(2013/01/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 18MB) | フィードバック

目次

分散環境での Cisco ISE の設定

ノード タイプ、ペルソナ、ロール、およびサービスについて

Cisco 展開の用語

ノードの種類

Cisco ノードおよび使用可能なメニュー オプション

分散展開について

分散展開を設定する場合のガイドライン

Cisco ノードの設定

プライマリ管理 Cisco ISE ノードの設定

セカンダリ ノードの登録および設定

管理 Cisco ISE ノードでのハイ アベイラビリティの設定

展開内のノードの表示

ノード グループの管理

ノード グループの作成、編集、および削除

ノード ペルソナとサービスの変更

監視 ISE ノードでの自動フェールオーバーの設定

展開からのノードの削除

モニタリング ノードの IP アドレスの変更

Cisco アプライアンス ハードウェアの交換

分散環境での Cisco ISE の設定

Cisco Identity Services Engine(ISE)では、中央集中型の構成と管理によるランタイム サービスの分散展開が提供されます。フェールオーバーをサポートするために、複数のノードを同時に分散して展開できます。

この章では、Cisco ISE を構成するノード、ペルソナ、ロール、およびサービスのタイプと Cisco ISE ノードを設定し、Cisco ISE 分散環境を作成する方法について説明します。

Cisco ISE の展開シナリオの詳細については、『 Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』を参照してください。

この章は次のトピックで構成されています。

「ノード タイプ、ペルソナ、ロール、およびサービスについて」

「分散展開について」

「分散展開を設定する場合のガイドライン」

「Cisco ISE ノードの設定」

「セカンダリ ノードの登録および設定」

「管理 Cisco ISE ノードでのハイ アベイラビリティの設定」

「展開内のノードの表示」

「ノード グループの管理」

「ノード ペルソナとサービスの変更」

「監視 ISE ノードでの自動フェールオーバーの設定」

「展開からのノードの削除」

「モニタリング ノードの IP アドレスの変更」

「Cisco ISE アプライアンス ハードウェアの交換」


) ネットワークでのインライン ポスチャ ノードの設定方法の詳細については、「インライン ポスチャの設定」を参照してください。


ノード タイプ、ペルソナ、ロール、およびサービスについて

Cisco ISE は、スタンドアロン展開と分散展開の両方をサポートする、ハイ アベイラビリティを備えたスケーラブルなアーキテクチャを提供します。分散環境では、プライマリ管理 ISE ノードを 1 つ設定して、ネットワークに展開されているセカンダリ ISE ノードを管理します。この項では、次のトピックを扱います。

「Cisco ISE 展開の用語」

「ノードの種類」

「Cisco ISE ノードおよび使用可能なメニュー オプション」

Cisco ISE 展開の用語

この項では、ISE 展開シナリオで使用される一般的な用語の一部について説明します。 表 9-1 に、用語とその説明を示します。

 

表 9-1 Cisco ISE 展開の用語

用語
説明

サービス

サービスは、ネットワーク アクセス、プロファイラ、ポスチャ、セキュリティ グループ アクセス、モニタリング、トラブルシューティングなどの、ペルソナが提供する固有の機能です。

ノード

ノードは、Cisco ISE ソフトウェアを実行する個別インスタンスです。Cisco ISE はアプライアンスとして使用でき、VMware で実行できるソフトウェアとしても使用できます。Cisco ISE ソフトウェアを実行する各インスタンス(アプライアンスまたは VMware)はノードと呼ばれます。

ノード タイプ

ノードには、ISE ノードとインライン ポスチャ ノードの 2 つの種類があります。ノード タイプとペルソナによって、そのノードにより提供される機能の種類が決まります。

ペルソナ

ノードのペルソナによって、ノードにより提供されるサービスが決まります。ISE ノードは、管理、ポリシー サービス、および監視のペルソナのいずれかまたはすべてを担当することができます。管理ユーザ インターフェイスで使用できるメニュー オプションは、ISE ノードが担当するロールおよびペルソナによって異なります。詳細については、 Cisco ISE ノードおよび使用可能なメニュー オプションを参照してください。

ロール

ノードがスタンドアロンであるか、プライマリ ノードであるか、またはセカンダリ ノードであるかを決定します。管理 ISE ノードとモニタリング ISE ノードにのみ適用されます。

ノードの種類

Cisco ISE 分散展開には、2 種類のノードがあります。これらのノードは、次のとおりです。

ISE ノード:Cisco ISE ノードは、次のペルソナのいずれかを担当することができます。

管理:Cisco ISE ですべての管理操作を実行できます。システム関連のすべての設定と、認証、許可、監査などの機能に関連する設定を処理します。分散環境では、1 つのノードのみ、または最大 2 つのノードで管理ペルソナを実行できます。管理ペルソナは、スタンドアロン、プライマリ、またはセカンダリのロールのいずれかを担当できます。プライマリ管理 ISE ノードがダウンした場合は、セカンダリ管理 ISE ノードを手動で昇格する必要があります。管理ペルソナには自動フェールオーバーがありません。


) 分散セットアップでは、少なくとも 1 つのノードが管理ペルソナを担当する必要があります。


ポリシー サービス:ネットワーク アクセス、ポスチャ、ゲスト アクセス、クライアント プロビジョニング、およびプロファイリング サービスを提供します。このペルソナはポリシーを評価し、すべての決定を行います。複数のノードがこのペルソナを担当できます。通常は、分散展開に複数のポリシー サービス ISE ノードが存在します。ロード バランサの背後にあるすべてのポリシー サービス ISE ノードは、マルチキャスト アドレスを共有し、1 つのノード グループを形成するようグループ化できます。ノード グループのいずれかのノードで障害が発生した場合に、その他のノードは障害を検出し、保留中のすべてのセッションをリセットします。


) ポリシー サービス ISE ノード間でのデバイス ステータスの複製とネットワーク プロファイリングの効率を高めるには、複数のポリシー サービス ISE ノードを、管理 ISE ノードに接するローカル エリア ネットワーク セグメント内に設置することを推奨します。ポリシー サービス ISE ノード間をワイドエリア ネットワーク接続することは、できる限り避けてください。



) 分散セットアップでは、少なくとも 1 つのノードがポリシー サービス ペルソナを担当する必要があります。


モニタリング:Cisco ISE はログ コレクタとして機能し、ネットワーク内のすべての管理 ISE ノードとポリシー サービス ISE ノードからのログ メッセージを格納します。このペルソナは、ネットワークとリソースを効果的に管理するために使用できる高度な監視およびトラブルシューティング ツールを提供します。このペルソナのノードは、収集するデータを集約して関連付けて、意味のある情報をレポートの形で提供します。Cisco ISE では、プライマリ ロールまたはセカンダリ ロールを担うことができるこのペルソナを持つノードを最大 2 つ使用してハイ アベイラビリティを実現できます。プライマリ モニタリング ISE ノードおよびセカンダリ モニタリング ISE ノードの両方は、ログ メッセージを収集します。プライマリ モニタリング ISE ノードがダウンした場合は、セカンダリ モニタリング ISE ノードが自動的にプライマリ モニタリング ISE ノードになります。


) 分散セットアップでは、少なくとも 1 つのノードが監視ペルソナを担当する必要があります。同じ Cisco ISE ノードで、モニタリング ペルソナとポリシー サービス ペルソナを有効にしないことを推奨します。最適なパフォーマンスを実現するために、ノードをモニタリング専用とすることを推奨します。


インライン ポスチャ ノード:ネットワーク上のワイヤレス LAN コントローラ(WLC)やバーチャル プライベート ネットワーク(VPN)コンセントレータなどのネットワーク アクセス デバイスの背後にあるゲートキーパー ノード。インライン ポスチャにより、ユーザが認証され、アクセス権が与えられた後にアクセス ポリシーが適用され、WLC または VPN が処理できない許可変更(CoA)要求が処理されます。Cisco ISE では、プライマリ ロールまたはセカンダリ ロールを担当できるインライン ポスチャ ノードを 2 つ使用してハイ アベイラビリティを実現できます。詳細については、「インライン ポスチャの設定」を参照してください。


) インライン ポスチャ ノードはそのサービス専用となり、他の Cisco ISE サービスを同時に稼働できません。同様に、そのサービスの特性のため、インライン ポスチャ ノードはどのペルソナも担当することができません。たとえば、Cisco ISE ネットワークの管理 ISE ノード(管理サービスを提供)、ポリシー サービス ISE ノード(ネットワーク アクセス サービス、ポスチャ サービス、プロファイル サービス、およびゲスト サービスを提供)、またはモニタリング ISE ノード(モニタリング サービスおよびトラブルシューティング サービスを提供)として稼働することはできません。


展開の各ノードは、インライン ポスチャ ノードを除き、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。インライン ポスチャ ノードは、専用ノードである必要があります。

分散展開では、ネットワーク上で次の組み合わせのノードを使用できます。

ハイ アベイラビリティを実現するプライマリ管理 ISE ノードとセカンダリ管理 ISE ノード

自動フェールオーバー用の 1 組のモニタリング ISE ノード

セッション フェールオーバー用の 1 つ以上のポリシー サービス ISE ノード

ハイ アベイラビリティを実現する 1 組のインライン ポスチャ ノード

Cisco ISE ノードおよび使用可能なメニュー オプション

分散展開を構成する Cisco ISE ノードで使用可能なメニュー オプションは、ノードで有効なペルソナによって異なります。すべての管理アクティビティおよびモニタリング アクティビティは、プライマリ管理 ISE ノードの管理ユーザ インターフェイスから実行する必要があります。ただし、一部の操作は、セカンダリ ノードで実行する必要があります。このため、セカンダリ ノードの管理ユーザ インターフェイスでは、ノードで有効なペルソナに基づく限定されたメニュー オプションが提供されます。 表 9-2 に、ノードおよび管理ユーザ インターフェイスから使用可能なメニュー オプションを示します。1 つのノードが、ポリシー サービス ペルソナとアクティブ ロールのモニタリング ペルソナを担当するなど、複数のペルソナを担当する場合、ポリシー サービス ISE ノードおよびアクティブ モニタリング ISE ノードにリストされているメニュー オプションがそのノードで使用可能となります。


) プライマリ管理 ISE ノードにセカンダリ ノードを登録した後は、いずれのセカンダリ ノードの管理ユーザ インターフェイスにログインする場合にも、プライマリ管理 ISE ノードのログイン クレデンシャルを使用する必要があります。


 

表 9-2 Cisco ISE ノードおよび使用可能なメニュー オプション

ノードおよびペルソナ
メニュー オプション

すべてのノード

オプション:

システム時刻と NTP サーバ設定の表示および設定。

サーバ証明書のインストール、証明書署名要求の管理。

(注) サーバ証明書の操作は、各ノードで直接実行する必要があります。秘密キーは、ローカル データベースに格納されず、関連ノードからコピーされません。秘密キーは、ローカル ファイル システムに格納されます。

プライマリ管理 ISE ノード

すべてのオプション。

アクティブ モニタリング ISE ノード

[ホーム(Home)] メニューおよび [操作(Operations)] メニューへのアクセス。プライマリ モニタリング ISE ノードおよびアクティブ モニタリング ISE ノードの両方からモニタリング データにアクセスできることで、冗長アクセスが提供されます。

ポリシー サービス ISE ノード

Active Directory 接続への参加、脱退、およびテストを行うオプション。

(注) 各ポリシー サービス ISE ノードがそれぞれ Active Directory ドメインに参加していることを確認します。最初にドメイン情報を定義し、プライマリ管理 ISE ノードを Active Directory ドメインに参加させる必要があります。次に、他のポリシー サービス ISE ノードを Active Directory ドメインに個別に参加させます。

セカンダリ管理 ISE ノード

セカンダリ管理 ISE ノードをプライマリ管理 ISE ノードに昇格するオプション。

分散展開について

Cisco ISE 分散展開は、1 つのプライマリ管理 ISE ノードと複数のセカンダリ ノードから構成されます。展開の各 ISE ノードは、管理、ポリシー サービス、および監視のペルソナのいずれかを担当することができます。


) インライン ポスチャ ノードは、その特性のため、他のいずれのペルソナも担当することができません。インライン ポスチャ ノードは、専用ノードである必要があります。詳細については、「インライン ポスチャの設定」を参照してください。


Cisco Identity Services Engine Hardware Installation Guide, Release 1.1.1 』で説明されているように Cisco ISE をすべてのノードにインストールした後、ノードはスタンドアロン状態で稼働します。次に、1 つのノードをプライマリ管理 ISE ノードとして定義する必要があります。プライマリ管理 ISE ノードの定義時に、ノードで管理ペルソナおよびモニタリング ペルソナを有効にする必要があります。任意で、プライマリ管理 ISE ノードでポリシー サービス ペルソナを有効にできます。プライマリ管理 ISE ノードのペルソナ定義のタスクの完了後に、他のセカンダリ ノードをプライマリ管理 ISE ノードに登録し、セカンダリ ノードのペルソナを定義できます。


) 分散展開に少なくとも 1 つのモニタリング ISE ノードが必要です。プライマリ管理 ISE ノードを設定するときに、モニタリング ペルソナを有効にする必要があります。展開内のセカンダリ モニタリング ISE ノードを登録した後、必要に応じてプライマリ管理 ISE ノードを編集したり、モニタリング ペルソナを無効にしたりできます。


1 つの ISE ノードをセカンダリ ノードとして登録すると、Cisco ISE はプライマリ ノードからセカンダリ ノードへのデータベース リンクをすぐに作成し、複製のプロセスを開始します。複製は、プライマリ ノードからセカンダリ ノードに ISE 設定データを共有するプロセスです。複製によって、展開を構成するすべての ISE ノードの設定データの整合性を確実に維持できます。

通常、最初に ISE ノードをセカンダリ ノードとして登録したときに、完全な複製が実行されます。完全な複製の実行後は差分複製が実行され、プライマリ管理 ISE ノードでの設定データに対する新しい変更(追加、変更、削除など)がセカンダリ ノードに反映されます。複製のプロセスでは、展開内のすべての ISE ノードが同期されます。複製のステータスは、ISE 管理ユーザ インターフェイスの展開ページで確認できます。

ロード バランサの背後の 1 つの場所にあり、複数のマルチキャスト アドレスを共有するポリシー サービス ISE ノードはグループ化できます。このようなシナリオでは、ノード グループを定義し、特定のグループにノードを割り当てることができます。ノード グループの管理方法については、「ノード グループの管理」を参照してください。

展開からノードを削除するには、ノードの登録を解除する必要があります。プライマリ管理 ISE ノードからセカンダリ ノードの登録を解除すると、登録解除されたノードのステータスがスタンドアロンに変わり、プライマリ ノードとセカンダリ ノード間の接続が失われます。複製の更新は、登録解除されたスタンバイ ノードに送信されなくなります。


) プライマリ管理 ISE ノードの登録は解除できません。


インライン ポスチャ ノードの登録解除方法については、「インライン ポスチャの設定」を参照してください。

次のいずれかの変更を行うと、ISE ノードのアプリケーション サーバが再起動されます。

ノードの登録(スタンドアロンからセカンダリへ)

ノードの登録解除(セカンダリからスタンドアロンへ)

プライマリ ノードからスタンドアロンへの変更(他のノードが登録されていない場合は、プライマリからスタンドアロンに変更されます)

管理 ISE ノードの昇格(セカンダリからプライマリへ)

ペルソナの変更(ノードからポリシー サービスまたは監視ペルソナを割り当てたり、削除したりする場合)

ポリシー サービス ISE ノードでのサービスの変更(セッションとプロファイラ サービスをイネーブルまたはディセーブルにします)

プライマリでのバックアップの復元(同期操作がトリガーされ、プライマリ ノードからセカンダリ ノードにデータが複製されます)


) これらのいずれかの変更を行うと、アプリケーション サービスが再起動されます。これらのサービスが再起動されるまで遅延が発生します。


分散展開を設定する場合のガイドライン

分散環境で Cisco ISE を設定する前に、次の内容をよく読んでください。

Cisco ISE 分散展開には、2 つのタイプのノード(ISE ノードおよびインライン ポスチャ ノード)があります。ISE ノードは、管理、ポリシー サービス、およびモニタリングのペルソナを同時に担当できます。ISE ノードは、プライマリ ノード、セカンダリ ノード、またはスタンドアロン ノードにすることができます。

管理、ポリシー サービス、およびモニタリングのペルソナは、スタンドアロン ISE ノードではデフォルトで有効になります。

最初にプライマリ管理 ISE ノードを設定し、その後、セカンダリ ノードを登録して、分散展開を設定する必要があります。

分散展開に存在できるプライマリ ISE ノードは 1 つのみであり、このノードは管理ペルソナを担当する必要があります。最大 2 つの ISE ノードに管理ペルソナを担当させることができます(1 つはプライマリ ノード、もう 1 つはセカンダリ ノード)。

Cisco ISE システム関連のすべての設定と機能に関連する設定は、プライマリ ISE ノードでのみ行う必要があります。プライマリ管理 ISE ノードで行った設定の変更は、展開内のすべてのセカンダリ ノードに複製されます。

ノード間の時間帯の問題を回避するために、各ノードのセットアップ モード中に同じ NTP サーバ名を指定する必要があります。

プライマリ管理 ISE ノードがダウンした場合、セカンダリ管理 ISE ノードのユーザ インターフェイスにログインし、そのノードをプライマリ ノードにする必要があります。

インライン ポスチャ ノードは、専用ノードを必要とします。他のペルソナまたはサービスは、インライン ポスチャ ノードとして指定されたノードで実行できません。

分散展開が適切に機能するには、ドメイン ネーム システム(DNS)サーバが適切に設定されている必要があります。DNS サーバに、分散展開の一部である ISE ノードの IP アドレスと完全修飾ドメイン名(FQDN)を入力する必要があります。

セカンダリ ノードから Cisco ISE をアンインストールする場合は、最初にこのノードをプライマリ管理 ISE ノードから登録解除する必要があります。次に、スタンドアロン ノードのイメージを再作成して、プライマリ管理 ISE ノードに登録します。

Cisco ISE ノードの設定

ISE ノードをインストールすると、管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナによって提供されるすべてのデフォルト サービスがそのノードで実行されます。このノードはスタンドアロン状態となります。ノードを設定するには、ISE ノードの管理ユーザ インターフェイスにログインする必要があります。スタンドアロン ISE ノードのペルソナまたはサービスは編集できません。ただし、分散セットアップを構成する ISE ノードのペルソナおよびサービスは編集できます。


) ノードに初めてログインする場合は、デフォルトの管理パスワードを変更し、有効なライセンスをインストールする必要があります。



) セカンダリ管理 ISE ノードにログインして、このノードをプライマリ管理 ISE ノードとして実行する場合は、「管理 Cisco ISE ノードでのハイ アベイラビリティの設定」を参照してください。


前提条件:

この作業を実行するには、その前に次を実行しておく必要があります。

Cisco ISE での分散展開の設定方法に関する基礎を理解しておく必要があります。詳細については、「分散展開について」を参照してください。

「分散展開を設定する場合のガイドライン」を読んでおく必要があります。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。


) 標準の Cisco ISE 展開の場合、特定のノード設定は必要ありません。デフォルトのペルソナおよびサービスのすべてが、新しくインストールされた Cisco ISE ノードで実行されます。


Cisco ISE ノードを設定するには、次の手順を実行します。


ステップ 1 ISE 管理ユーザ インターフェイスで、[管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 左側の [展開(Deployment)] ナビゲーション ペインで [展開(Deployment)] をクリックします。

[展開リスト(Deployment List)] ページが表示されます。

ステップ 3 ISE ノードの隣にあるチェックボックスをオンにして [編集(Edit)] をクリックします。

表 9-3 で説明されているフィールドのリストを含む [ノード編集(Node Edit)] ページが表示されます。

ステップ 4 分散環境で Cisco ISE を設定するには、次の作業を実行する必要があります。

a. 「プライマリ管理 Cisco ISE ノードの設定」

b. 「セカンダリ ノードの登録および設定」


 

トラブルシューティング項目:

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

Cisco ISE の [ノード編集(Node Edit)] ページのフィールドの説明

表 9-3 では、Cisco ISE の [ノード編集(Node Edit)] ページのフィールドについて説明します。

 

表 9-3 Cisco ISE の [ノード編集(Node Edit)] ページ

フィールド
説明

ホスト名(Hostname)

(表示専用)ISE ノードのホスト名。

FQDN

(表示専用)ISE ノードの完全修飾ドメイン名。たとえば、ise1.cisco.com などです。

IP アドレス(IP Address)

(表示専用)ISE ノードの IP アドレス。

ノード タイプ(Node Type)

(表示のみ)次のいずれかです。

Identity Services Engine(ISE)

インライン ポスチャ ノード(Inline Posture Node)

ペルソナ(Personas)

管理(Administration)

この ISE ノードに管理ペルソナを担当させる場合は、このチェックボックスをオンにします。

(注) 管理ペルソナは、管理サービスを提供するようライセンスされているノードでのみ有効にできます。詳細については、「ライセンスの管理」を参照してください。

[ロール(Role)]:(表示専用)管理ペルソナが展開で担当しているロール。次のいずれかの値になります。

スタンドアロン(Standalone)

プライマリ(Primary)

セカンダリ(Secondary)

[プライマリにする(Make Primary)]:ノードをプライマリ ISE ノードにする場合にこのボタンをクリックします。展開では 1 つのプライマリ ISE ノードのみを使用できます。このページのその他のオプションは、ノードをプライマリにした後にのみアクティブになります。

展開では 2 つの管理 ISE ノードのみを使用できます。ノードにスタンドアロン ロールがある場合は、隣に [プライマリにする(Make Primary)] ボタンが表示されます。

ノードにセカンダリ ロールがある場合は、隣に [プライマリに昇格(Promote to Primary)] ボタンが表示されます。

ノードにプライマリ ロールがあり、他のノードが登録されていない場合は、隣に [スタンドアロンにする(Make Standalone)] ボタンが表示されます。このボタンをクリックすると、プライマリ ノードをスタンドアロン ノードにすることができます。

モニタリング(Monitoring)

(注) VMware プラットフォームで Cisco ISE ノードをログ コレクタとして設定するには、次のガイドラインに従って最低限必要なディスク領域を決定します。

1 日あたりネットワークのエンドポイントごとに 180 KB

1 日あたりネットワークの Cisco ISE ノードごとに 2.5 MB

モニタリング ISE ノードに何ヵ月分のデータを格納するかに応じて、必要な最大ディスク領域を計算します。

この ISE ノードにモニタリング ペルソナを担当させ、ログ コレクタとして機能させる場合は、このチェックボックスをオンにします。

(注) 分散展開に少なくとも 1 つのモニタリング ISE ノードが必要です。プライマリ管理 ISE ノードを設定するときに、モニタリング ペルソナを有効にする必要があります。展開内のセカンダリ モニタリング ISE ノードを登録した後、必要に応じてプライマリ管理 ISE ノードを編集したり、モニタリング ペルソナを無効にしたりできます。

展開にモニタリング ISE ノードが 1 つのみある場合は、スタンドアロン ロールを担当します。展開に 2 つのモニタリング ISE ノードがある場合は、Cisco ISE に、プライマリ-セカンダリ ロールを設定する他のモニタリングおよびトラブルシューティング ノードの名前が表示されます。

ロールを設定するには、[ロール(Role)] ドロップダウン リストから、次のいずれかのオプションを選択します。

[プライマリ(Primary)]:現在のノードをプライマリ モニタリング ISE ノードにする場合。

[セカンダリ(Secondary)]:現在のノードをセカンダリ モニタリング ISE ノードにする場合。

[なし(None)]:モニタリング ISE ノードにプライマリ-セカンダリ ロールを担当させない場合。

(注) [モニタリング(Monitoring)] メニューには、展開のプライマリ管理 ISE ノードおよびプライマリ モニタリング ISE ノードからアクセスできます。

プライマリ モニタリング ISE ノードおよびセカンダリ モニタリング ISE ノードの両方は、管理ログおよびポリシー サービス ログを受信します。

展開では 2 つのモニタリング ISE ノードのみを使用できます。1 つのモニタリング ISE ノードをプライマリまたはセカンダリとして設定すると、もう 1 つのモニタリング ISE ノードが自動的にそれぞれセカンダリ ノードまたはプライマリ ノードとなります。

1 つのモニタリング ISE ノードのロールを [なし(None)] に変更すると、もう 1 つのモニタリング ISE ノードのロールも [なし(None)] になるため、ハイ アベイラビリティ ペアが取り消されます。

ノードをモニタリング ISE ノードとして指定すると、このノードは syslog ターゲットとして次のページにリストされます。

[管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [リモート ロギング ターゲット(Remote Logging Targets)]

その他すべての管理 ISE ノードおよびポリシー サービス ISE ノードでは、ログがこのログ コレクタに送信されます。2 つのモニタリング ISE ノードを定義している場合は、これら両方のノードがログ コレクタとしてリストされます。

ポリシー サービス(Policy Service)

このチェックボックスをオンにする場合は、次のサービスの 1 つまたはすべてを有効にする必要があります。

[セッション サービスの有効化(Enable Session Services)] チェックボックスをオンにして、ネットワーク アクセス サービス、ポスチャ サービス、ゲスト サービス、およびクライアント プロビジョニング サービスを有効にします。

[ノード グループにノードを含める(Include Node in Node Group)] ドロップダウン リストをクリックして、ポリシー サービス ISE ノードが属するグループを選択します。そのポリシー サービス ISE ノードをグループに含めない場合は、[<なし>(<none>)] を選択します。ノード グループの詳細については、 ノード グループの管理を参照してください。

(注) ノード グループ内のすべてのノードは、レイヤ 2 で隣接している必要があり(同じサブネット上にある必要があり)、ノード間にマルチキャスト接続がある必要があります。

[プロファイリング サービスの有効化(Enable Profiling Service)] チェックボックスをオンにして、プロファイラ サービスを有効にします。プロファイリング サービスを有効にする場合は、[Profiling Configuration(プロファイリング設定)] タブをクリックし、必要に応じて詳細を入力する必要があります。詳細については、「プローブの設定」を参照してください。

コマンドを使用します。

プライマリ管理 Cisco ISE ノードの設定

分散展開を設定するには、ISE ノードをプライマリ管理 ISE ノードとして設定する必要があります。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

プライマリ管理 ISE ノードを設定するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 左側のナビゲーション ペインで、[展開(Deployment)] をクリックして、[展開ノード(Deployment Nodes)] リスト ページを開きます。

このページでは、展開に関連するすべての操作を実行できます。


) 当初は [登録(Register)] ボタンが無効になっています。このボタンを有効にするには、プライマリ管理 ISE ノードを設定する必要があります。


ステップ 3 現在のノードの隣にあるチェックボックスをオンにして [編集(Edit)] をクリックします。

ステップ 4 [ノードの編集(Edit Node)] ページが表示されます(図 9-1 を参照)。

図 9-1 [ノードの編集(Edit Node)] ページ

 

 

ステップ 5 デフォルトでは、[管理(Administration)] ペルソナが有効になっています。[プライマリにする(Make Primary)] をクリックして、プライマリ管理 ISE ノードを設定します。

ステップ 6 表 9-3 の説明に従って、[全般設定(General Settings)] タブでデータを入力します。

ステップ 7 プロファイラ サービスを有効にした場合は [Profiling Configuration(プロファイリング設定)] タブをクリックし、「プローブの設定」の説明に従ってプローブを設定します。

ステップ 8 [保存(Save)] をクリックしてノード設定を保存します。

ステップ 9 このページの上部の [展開ノード リスト(Deployment Node List)] リンクをクリックするか、または左側のナビゲーション ペインで [展開(Deployment)] リンクをクリックして、リスト ページに移動します。


 

次の手順

展開にセカンダリ ノードを追加するには、「セカンダリ ノードの登録および設定」で説明されている作業を正常に完了する必要があります。

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

セカンダリ ノードの登録および設定


) セカンダリ モニタリング ISE ノードを登録する場合は、最初にプライマリ モニタリング ISE ノードをバックアップしてから、新しいセカンダリ モニタリング ISE ノードにデータを復元することを推奨します。これにより、新しい変更が複製されると、プライマリ モニタリング ISE ノードの履歴が新しいセカンダリ ノードと同期されます。詳細については、「オンデマンド バックアップの実行」および「モニタリング データベースの復元」を参照してください。


前提条件:

登録するスタンドアロン ノードの完全修飾ドメイン名(FQDN)(たとえば、 ise1.cisco.com )は、プライマリ管理 ISE ノードから DNS を使用して解決できる必要があります。解決できない場合は、ノード登録が失敗します。DNS サーバに、分散展開の一部である ISE ノードの IP アドレスと FQDN を入力する必要があります。

プライマリ管理 ISE ノードと、セカンダリ ノードとして登録するスタンドアロン ノードでは、同じバージョンの Cisco ISE が実行されている必要があります。

Cisco ISE のインストール時に、Cisco ISE 管理パスワードを設定する必要があります。以前の Cisco ISE 管理のデフォルトのログイン クレデンシャル(admin/cisco)は無効になっています。

初期セットアップ中に作成したユーザ名とパスワードを使用するか、または後でパスワードを変更した場合はそのパスワードを使用します。

プライマリ ノードとセカンダリ ノードの DB パスワードは同じである必要があります。ノード インストール中にこれらのパスワードが異なって設定された場合は、次のコマンドを使用してパスワードを変更できます。

application reset-passwd ise internal-database-admin

application reset-passwd ise internal-database-user

CLI コマンドの使用方法の詳細については、『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。

または、登録するノードで管理者アカウントを作成し、ノードの登録にそれらのクレデンシャルを使用することもできます。各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。セカンダリ ノードを登録および設定するには、スーパー管理者またはシステム管理者のいずれかのロールが割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ハイ アベイラビリティを実現するためにセカンダリ管理 ISE ノードを登録する場合は、他の Cisco ISE ノードを登録する前に、最初にプライマリでセカンダリ管理 ISE ノードを登録することを推奨します。Cisco ISE ノードがこの順序で登録された場合は、セカンダリ管理 ISE ノードをプライマリとして昇格した後にセカンダリ ISE ノードを再起動する必要はありません。

セッション サービスを実行する複数のポリシー サービス ISE ノードを登録し、これらのノード間で相互フェールオーバーが必要な場合は、ノード グループにポリシー サービス ISE ノードを配置する必要があります。登録ページで使用するノード グループを選択する必要があるため、ノードを登録する前にノード グループを最初に作成する必要があります。詳細については、「ノード グループの作成、編集、および削除」を参照してください。

プライマリ ノードの証明書信頼リスト(CTL)に、(セカンダリ ノードとして登録する)スタンドアロン ノードの HTTPS 証明書を検証するために使用できる適切な認証局(CA)証明書が含まれていることを確認します。詳細については、「プライマリ ISE ノードでの証明書信頼リストの作成」を参照してください。

セカンダリ ノードをプライマリ ノードに登録した後で、登録したセカンダリ ノードで HTTPS 証明書を変更した場合は、セカンダリ ノードの HTTPS 証明書を検証するために使用できる適切な CA 証明書を取得し、プライマリ ノードの CTL にインポートする必要があります。詳細については、「プライマリ ISE ノードでの証明書信頼リストの作成」を参照してください。


) すべての Cisco ISE ノードを同じタイムゾーンに設定することを推奨します。この手順では、展開内にあるさまざまなノードからのレポートとログのタイムスタンプが常に同期されます。


セカンダリ ノードを登録するには、次の手順を実行します。


ステップ 1 プライマリ管理 ISE ノードにログインします。

ステップ 2 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 3 左側のナビゲーション ペインで、[展開(Deployment)] をクリックします。

[展開リスト(Deployment list)] ページが表示されます。

ステップ 4 プライマリ管理 ISE ノードの設定後に、次のいずれかを実行します。

[登録(Register)] > [ISE ノードの登録(Register an ISE Node)] を選択して、セカンダリ ISE ノードを登録します。プライマリ管理 ISE ノードの設定方法については、「Cisco ISE ノードの設定」を参照してください。

[登録(Register)] > [インライン ポスチャ ノードの登録(Register an Inline Posture Node)] を選択して、セカンダリ インライン ポスチャ ノードを登録します。インライン ポスチャ ノードの展開の詳細については、「インライン ポスチャの設定」を参照してください。


) ノードのタイプは、登録時に決定することを推奨します。後でノード タイプを変更する場合は、ノードを展開から登録解除し、スタンドアロン ノードで Cisco ISE を再起動してから、そのノードを登録する必要があります。


Cisco ISE によって次の情報の入力を求めるプロンプトが表示されます。

ノードのホスト名または IP アドレス。

ユーザ名

パスワード

ステップ 5 セカンダリ Cisco ISE ノードの DNS 解決可能なホスト名または IP アドレスを入力します。


) DNS サーバでセカンダリ ノードの IP アドレスおよび FQDN を定義しておく必要があります。


ステップ 6 [ユーザ名(Username)] フィールドおよび [パスワード(Password)] フィールドに、スタンドアロン ノードの UI ベースの管理者クレデンシャルを入力します。

セカンダリ ノードは、登録前にスタンドアロン状態である必要があります。プライマリ ノードにセカンダリ ノードを登録すると、セカンダリ ノードでプライマリ ノードからのデータベース更新の受信が開始されます。複製のステータスを表示するには、[展開(Deployment)] リスト ページ([管理(Administration)] > [システム(System)] > [展開(Deployment)])に移動し、そこに表示されている [複製ステータス(Replication Status)] 情報を確認します。

ステップ 7 [次へ(Next)] をクリックして、設定の編集ページに移動します。Cisco ISE はセカンダリ ノードに接続し、ホスト名、デフォルト ゲートウェイなどの基本情報を取得して、このページに表示します。

セカンダリ ISE ノードを登録するよう選択している場合は、セカンダリ ノードの設定を編集できます。[管理(Administration)]、[モニタリング(Monitoring)]、および [ポリシー サービス(Policy Service)] オプションの詳細は、 次の手順を参照してください。

セカンダリ インライン ポスチャ ノードを登録するよう選択している場合は、この時点で追加の設定を行う必要はありません。

ステップ 8 [保存(Save)] をクリックして設定を保存します。

セカンダリ ノードを登録した後、プライマリ ノードのデータベースにセカンダリ ノードの設定が追加され、セカンダリ ノードのアプリケーション サーバが再起動します。再起動が完了した後、セカンダリ ノードでは、そのノードに対して有効にしたペルソナおよびサービスが実行されます。


 

結果

セカンダリ ノードが正常に登録されると、プライマリ管理 ISE ノードで、ノードの正常な登録を確認するアラームが生成されます。セカンダリ ノードのプライマリ管理 ISE ノードへの登録が失敗した場合は、このアラームは生成されません。ノートが登録されると、そのノードのアプリケーション サーバが再起動します。正常な登録およびデータベース同期の後に、プライマリ管理ノードのクレデンシャルを入力してセカンダリ ノードの管理ユーザ インターフェイスにログインし、 Cisco ISE ノードおよび使用可能なメニュー オプションにリストされている任意の操作を実行する必要があります。

次の手順

時間プロファイル、ゲスト ユーザのアクセスと許可、ロギングなどの時間依存タスクの場合は、ノード間のシステム時刻が同期されていることを確認します。システム時刻を同期する方法については、「システム時刻と NTP サーバの設定」を参照してください。

ハイ アベイラビリティを設定するには、次の項で説明されている作業を完了する必要があります。

「管理 Cisco ISE ノードでのハイ アベイラビリティの設定」

「監視 ISE ノードでの自動フェールオーバーの設定」

展開にインライン PEP ノードを追加するには、「インライン ポスチャの設定」で説明されている手順を実行します。

管理 Cisco ISE ノードでのハイ アベイラビリティの設定

Cisco ISE では、展開で最大 2 つの管理 ISE ノードを使用してハイ アベイラビリティを実現できます。ハイ アベイラビリティ ペアを作成するには、1 つの管理 ISE ノードをプライマリ アクティブとして設定し、もう 1 つの管理 ISE ノードをセカンダリ スタンバイとして設定します。

ハイ アベイラビリティ

ハイ アベイラビリティ設定では、プライマリ管理 ISE ノードが、すべての設定の変更が行われるアクティブ状態になっています。セカンダリ管理 ISE ノードはスタンバイ状態であり、プライマリ管理 ISE ノードからすべての設定更新を受信します。このため、プライマリ管理 ISE ノードの設定の完全なコピーが常に存在することになります。

プライマリ管理 ISE ノードが使用不能になった場合は、セカンダリ管理 ISE ノードにログインし、このノードをプライマリ管理 ISE ノードに昇格する必要があります。管理 ISE ノードには自動フェールオーバーがありません。


) プライマリ管理 ISE ノードがダウンした場合、スポンサー管理者は新しいゲスト ユーザ アカウントを作成できません。その間、ゲストおよびスポンサーのポータルは、それぞれすでに作成されているゲスト ユーザおよびスポンサー ユーザに対する読み取り専用アクセスを提供します。また、プライマリ管理 ISE ノードがオフラインになる前にスポンサー ポータルにログインしなかったスポンサー管理者は、セカンダリ管理 ISE ノードが昇格されるか、プライマリ管理 ISE ノードが使用可能になるまでスポンサー ポータルにログインできません。


前提条件:

管理ペルソナを持つ 2 番目の ISE ノードを設定したことを確認してから、このノードをプライマリ管理 ISE ノードに昇格します。

ハイ アベイラビリティ用に管理 ISE ノードを設定する前に、セカンダリ管理 ISE ノードとして登録するスタンドアロン ノードから Cisco ISE 設定のバックアップを取得することを推奨します。

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

セカンダリ管理 ISE ノードをプライマリ管理 ISE ノードに昇格するには、次の手順を実行します。


ステップ 1 セカンダリ管理 ISE ノードのユーザ インターフェイスにログインします。

ステップ 2 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

[ノードの編集(Edit Node)] ページが表示されます。

ステップ 3 [ノードの編集(Edit Node)] ページで、[プライマリに昇格(Promote to Primary)] をクリックします。


) プライマリ管理 ISE ノードに昇格できるのは、セカンダリ管理 ISE ノードのみです。ポリシー サービス ペルソナまたはモニタリング ペルソナ、あるいはその両方のみを担当する Cisco ISE ノードはプライマリ管理 ISE ノードに昇格できません。


ステップ 4 [保存(Save)] をクリックして、セカンダリ管理 ISE ノードをプライマリ管理 ISE ノードに昇格します。

ステップ 5 セカンダリ管理 ISE ノードが登録される前にプライマリ管理 ISE ノードに登録されていたセカンダリ Cisco ISE ノード(ポリシー サービス ノードおよびモニタリング ノード)を再起動します。

たとえば、プライマリ管理 ISE ノードの設定後に、複数のポリシー サービス ノードを登録し、セカンダリ管理 ISE ノート、続いて複数のポリシー サービス ノードを登録します。この場合、プライマリ管理 ISE ノードに障害が発生し、セカンダリ管理 ISE ノードをプライマリに昇格する場合に、セカンダリ管理 ISE ノードの登録前に登録されていたポリシー サービス ノードを再起動する必要があります。

元はプライマリ管理 ISE ノードであったこのノードは、再起動するとセカンダリ管理 ISE ノードになります。

セカンダリ ノードの [ノードの編集(Edit Node)] ページでは、ペルソナまたはサービスを変更することはできません。これらのオプションは無効になっています。プライマリ管理 ISE ノードのユーザ インターフェイスにログインして、ペルソナまたはサービスを変更するセカンダリ ノードを選択し、[編集(Edit)] をクリックして変更を行う必要があります。


) セカンダリ管理 ISE ノードをプライマリ管理 ISE ノードに昇格した後に、新しく昇格されたプライマリ管理 ISE ノードのスケジュール設定された ISE バックアップを再設定する必要があります。これは、スケジュール バックアップはプライマリ管理 ISE ノードからセカンダリ管理 ISE ノードに複製されないためです。詳細については、「スケジュール バックアップ」を参照してください。



 

展開内のノードの表示

[展開ノード(Deployment Nodes)] ページから、展開を構成するすべての Cisco ISE ノード(プライマリ ノードおよびセカンダリ ノードの両方)を表示できます。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

すべてのノードを表示するには、次の手順を実行します。


ステップ 1 プライマリまたはセカンダリの ISE 管理ユーザ インターフェイスにログインします。

ステップ 2 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 3 左側のナビゲーション ペインで、[展開(Deployment)] をクリックします。

図 9-2 に示すように、ノードのリストを含む [展開ノード(Deployment Nodes)] ページが表示されます。

図 9-2 分散展開リスト ページ

 

 

このページには、次の情報が表示されます。

[ホスト名(Hostname)]:ノードのホスト名。

[ノード タイプ(Node Type)]:ノード タイプには次のいずれかを指定できます。

ISE

インライン ポスチャ ノード(Inline Posture node)。

[ペルソナ(Personas)]:(ノード タイプが ISE の場合にのみ表示)ISE ノードが担当してきたペルソナがリストされます。[管理(Administration)]、[ポリシー サービス(Policy Service)] などがあります。

[ロール(Role)]:そのノードで管理ペルソナまたはモニタリング ペルソナが有効になっている場合、これらのペルソナが担当しているロール(プライマリ、セカンダリ、またはスタンドアロン)が示されます。ロールは、次のうちの 1 つまたは複数にできます。

[PRI(A)]:プライマリ管理 ISE ノードを意味します

[SEC(A)]:セカンダリ管理 ISE ノードを意味します

[PRI(M)]:プライマリ モニタリング ISE ノードを意味します

[SEC(M)]:セカンダリ モニタリング ISE ノードを意味します

[サービス(Services)]:(ポリシー サービス ペルソナが有効な場合にのみ表示)その ISE ノードで実行されているサービスがリストされます。サービスは次のいずれか 1 つとなります。

セッション(Session)

プロファイリング(Profiling)

すべて(All)

[複製ステータス(Replication Status)]:(セカンダリ ISE ノードの場合にのみ表示)プライマリ管理 ISE ノードからセカンダリ ノードへの差分複製が完了したかどうかが示されます。次の状態のいずれかが表示されます。

[失敗(Failed)]:データベースの差分複製に失敗しました。

[進行中(In-Progress)]:データベースの差分複製が現在進行中です。

[完了(Complete)]:データベースの差分複製が完了しました。

[該当なし(Not Applicable)]:ISE ノードがスタンドアロンまたはプライマリ ノードの場合に表示されます。

[複製が無効(Replication Disabled)]:ノード上の証明書の期限が切れた場合、またはノードに 6 時間以上到達できない場合に表示されます。

[同期ステータス(Sync Status)]:(セカンダリ ISE ノードの場合にのみ表示)プライマリ管理 ISE ノードからセカンダリ ノードへのデータベースの完全複製が完了したかどうかが示されます。データベースの完全複製は、ノードがセカンダリとして登録された場合や [同期を更新(Syncup)] をクリックしてデータベースの完全複製を強制的に実行した場合に行われます。次の状態のいずれかが表示されます。

[同期完了(Sync Completed)]:データベースの完全複製が完了しました。

[同期進行中(Sync in Progress)]:データベースの完全複製が現在進行中です。

[同期していない(Out of Sync)]:セカンダリ ノードがプライマリ ISE ノードに登録されたときにデータベースがダウンしていました。

[該当なし(Not Applicable)]:ISE ノードがスタンドアロン ノードの場合に表示されます。

[複製が無効(Replication Disabled)]:ノード上の証明書の期限が切れた場合、またはノードに 6 時間以上到達できない場合に表示されます。このような場合には、ノードで手動同期を実行する必要があります。

ステップ 4 セカンダリ ノードの同期ステータスが「同期していない」になっている場合は、そのノードの隣のチェックボックスをオンにしてから、[同期を更新(Syncup)] をクリックしてデータベースの完全複製を強制的に実行します。


) [同期ステータス(Sync Status)] が [同期していない(Out of Sync)] の場合や [複製ステータス(Replication Status)] が [失敗(Failed)] または [無効(Disabled)] の場合は、[同期を更新(Syncup)] オプションを使用して完全複製を強制的に実行する必要があります。


 

このページでは、次の操作が可能です。

ノードの編集。このオプションは、単一のノードを選択した場合にのみ有効になります。ノードを選択した後に、[編集(Edit)] ボタンをクリックして、そのノードのペルソナおよびロールを編集します。

セカンダリ ノードの登録。このオプションは、プライマリ管理 ISE ノードを設定した後にのみ有効になります。[登録(Register)] をクリックして、ISE ノードまたはインライン ポスチャ ノードを登録します。

プライマリ ノードから選択したセカンダリ ノードへのデータベースの完全複製の開始。

1 つ以上のセカンダリ ノードの登録解除。


 

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

ノード グループの管理

分散展開では、要求を均等に分散するためにロード バランサの背後に複数のポリシー サービス ISE ノードを配置することがあります。ロード バランサによって、背後の機能ノードに負荷が分散されます。ノード グループ内のすべてのノードは、同じマルチキャスト アドレスを共有し、このアドレスを使用してヘルス ステータスをやり取りします。

展開では、設定データ(ユーザ、リソース、配布、マッピングなど)はすべてのポリシー サービス ISE ノードに複製されますが、セッション情報はすべてのポリシー サービス ISE ノードにわたって複製されません。

ノード障害を検出し、障害が発生したノードで保留状態のセッションをリセットするために、2 つ以上のポリシー サービス ISE ノードを同じノード グループに配置できます。ノード グループに属しているノードがダウンすると、同じノード グループの別のノードが、障害が発生したノードでのセッションの保留に関する CoA を発行します。


) セッションは許可されている場合は保留状態になりますが、ポスチャ評価は完了していません。ノード グループを使用せずに分散展開を設定することは可能ですが、障害が発生したポリシー サービス ISE ノードの保留状態のセッションは自動的にリセットされません。


ポリシー サービス ISE ノードでのセッション フェールオーバー

Cisco ISE のハートビート機能によって、ポリシー サービス ISE ノードでのセッション フェールオーバーが処理されます。複数のアクティブ セッションがあるポリシー サービス ISE ノードがダウンすると、エンドポイントが中間状態となります。ポスチャ エージェントが通信していたポリシー サービス ISE ノードのダウンを検出した場合でも、許可を再開することはできません。ポリシー サービス ISE ノードがノード グループに属している場合は、ノード グループ内のノード間でハートビートが交換され、ノードの障害が検出されます。ノードに障害が発生した場合、ノード グループのピアの 1 つによって、障害が発生したノードのアクティブ セッションが検知され、それらのセッションへの接続を解除するための CoA が発行されます。その結果、RADIUS ロード バランシングを使用して、使用可能な別のポリシー サービス ISE ノードによって、再起動され、セッションが処理されます。セッション フェールオーバーでは、ダウンしたポリシー サービス ISE ノードから使用可能なポリシー サービス ISE ノードにセッションが自動的に移動しませんが、セッションを移動するための CoA が発行されます。


) 分散展開の PDP ノードは、マシン アクセス制限(MAR)を相互に共有しません。たとえば、ポリシー サービス ISE ノードの 1 つである PDP1 によってクライアント マシンが認証され、PDP1 がダウンした場合、展開の別のポリシー サービス ISE ノード PDP2 によってユーザ認証が処理されます。この場合、ユーザ認証は失敗します。これは、PDP2 の MAR キャッシュにホスト認証情報がないためです。


ノード グループのすべてのノードは、CoA を発行するため、ネットワーク アクセス デバイス(NAD)で RADIUS クライアントとして設定する必要があります。通常、これらのノードは RADIUS サーバとしても設定します。スイッチでの CoA 関連の設定の詳細については、「RADIUS 許可変更(CoA)の有効化」を参照してください。

複数の ISE ノード(RADIUS サーバおよび動的許可クライアントとして)を持つ単一の NAD を設定できますが、すべてのノードが同じノード グループに属している必要はありません。

同じノード グループ内のすべてのノードは、NAD で、RADIUS サーバおよびクライアントとして設定する必要があります。これは、それらのすべてのノードが、ノード グループ内の任意のノードに対して、その NAD を介して確立されたセッションに関する CoA 要求を発行できるためです。ノード グループ内のノードは、NAD で設定されている RADIUS サーバおよびクライアントと同じであるか、またはこれらのサブセットである必要があります。

ポリシー サービス ISE ノードでのセッション フェールオーバーの詳細については、[サーバ操作監査(Server Operations Audit)] レポート([操作(Operations)] > [レポート(Reports)] > [カタログ(Catalog)] > [サーバ インスタンス(Server Instance)] > [サーバ操作監査(Server Operations Audit)])を参照してください。

ノード グループ内のノード数

ノード グループに含めることができるノードの数は、展開要件によって異なります。ノード グループを使用すると、確実に、ノードの障害が検出され、許可されたがポスチャされていないセッションに関する CoA がピアによって発行されます。ノード グループのサイズはあまり大きくする必要はありません。

ノード グループの数を最小化することによって、管理する必要があるマルチキャスト アドレスの数を削減する場合は、NAD で設定されているすべての RADIUS サーバおよびクライアントを 1 つのノード グループとしてグループ化できます。

マルチキャスト アドレスの管理は問題ないものの、マルチキャスト トラフィックを最小化する必要がある場合は、ノード グループ内のノード数を減らすことができます。


) ノード グループのノード数は、2 つ、3 つ、または最大で 4 つにすることを推奨します。


ノード グループのサイズが増加すると、ノード間で交換されるメッセージおよびハートビートの数が大幅に増加します。その結果、マルチキャスト トラフィックも増加します。ノード グループ内のノードの数を少なくすることで、マルチキャスト トラフィックを削減でき、同時にポリシー サービス ISE ノードの障害を検出するのに十分な冗長性が提供されます。

ノード グループは、作成、編集、および削除できます。これらの操作は、Cisco ISE 管理ユーザ インターフェイスの [展開(Deployment)] ページで実行できます。

この項では、次のトピックを扱います。

「ノード グループの作成、編集、および削除」

ノード グループの作成、編集、および削除

Cisco ISE では、ノード グループを作成および編集できます。

前提条件:

ノード グループ内のすべてのノードは、レイヤ 2 で隣接している必要があります(同じサブネット上にある必要があります)。レイヤ 2 で隣接とは、ノードが同じスイッチに接続され、同じ VLAN 内にあることを意味します。

同じノード グループに属しているノード間の IP マルチキャストを有効にする必要があります。通常、ノード グループ内のすべてのノードは、同じスイッチに接続され、同じ VLAN 内にあります。

2 つのノード グループに同じマルチキャスト アドレスを設定することはできません。

ノード グループに割り当てたマルチキャスト アドレスは、展開内の他のネットワーク プロトコルで使用するために予約しないでください。Cisco ISE では、入力したマルチキャスト アドレスが許可された有効なマルチキャスト アドレスであるかどうかが確認されます。224.0.0.0 をマルチキャスト アドレスとして使用することは許可されませんが、マルチキャスト アドレスの予約リストは確認されません。使用することができない予約済みマルチキャスト アドレスのリストは、 http://www.iana.org/assignments/multicast-addresses/ multicast-addresses.xml を参照してください。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

ノード グループを作成するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 ナビゲーション ペインで、[展開(Deployment)] をクリックします。

ステップ 3 [操作(action)] アイコンをクリックし、[ノード グループの作成(Create Node Group)] をクリックします。

[ノード グループの作成(Create Node Group)] ページが表示されます。

ステップ 4 ノード グループに付ける一意の名前を入力します。

ステップ 5 任意で説明を入力することもできます。

ステップ 6 一意のマルチキャスト アドレスを入力します。マルチキャスト アドレスは 224.0.0.1 と 239.255.255.255 の間である必要があります。


) ノード グループに割り当てたマルチキャスト アドレスは、展開内の他のネットワーク プロトコルで使用するために予約しないでください。予約済みマルチキャスト アドレスのリストは、http://www.iana.org/assignments/multicast-addresses/ multicast-addresses.xml を参照してください。


マルチキャスト アドレスは、ノードの健全性のモニタおよびセッション クリーンアップのための、グループ内のノード間での通信に使用されます。

ステップ 7 [送信(Submit)] をクリックして、ノード グループを保存します。


 

結果

ノード グループを保存すると、左側のナビゲーション ペインにそのグループが表示されます。左側のペインにノード グループが表示されない場合は、非表示になっている可能性があります。ナビゲーション ペインで [展開(Expand)] ボタンをクリックして非表示のオブジェクトを表示します。

任意の手順:

ノードをノード グループに追加するには、ノードを編集し、[ノード グループのメンバー(Member of Node Group)] ドロップダウン リストからノード グループを選択します。

ノードをノード グループから削除するには、ノードを編集し、[ノード グループのメンバー(Member of Node Group)] ドロップダウン リストから [<なし>(<none>)] を選択します。

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

ノード グループを編集するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 左側の [展開(Deployment)] ナビゲーション ペインで、編集するノード グループをクリックします。


) 左側のペインにノード グループが表示されない場合は、非表示になっている可能性があります。ナビゲーション ペインで [展開(Expand)] ボタンをクリックして非表示のオブジェクトを表示します。


[ノード グループの編集(Edit Node Group)] ページが表示されます。編集できるのは、説明およびマルチキャスト アドレスのみです。

ステップ 3 (任意)新しい説明を入力します。

ステップ 4 新しいマルチキャスト アドレスを入力します。マルチキャスト アドレスは一意である必要があります。

ステップ 5 [送信(Submit)] をクリックして変更を保存します。


 

任意の手順:

ノードをノード グループに追加するには、ノードを編集し、[ノード グループのメンバー(Member of Node Group)] ドロップダウン リストからノード グループを選択します。

ノードをノード グループから削除するには、ノードを編集し、[ノード グループのメンバー(Member of Node Group)] ドロップダウン リストから [<なし>(<none>)] を選択します。

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

ノード グループを削除するには、次の手順を実行します。


ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 左側の [展開(Deployment)] ナビゲーション ペインで、削除するノード グループをクリックします。

[ノード グループの編集(Edit Node Group)] ページが表示されます。

ステップ 3 左側のナビゲーション ペインで [操作(action)] アイコンをクリックし、[ノード グループの削除(Delete Node Group)] をクリックします。

次のメッセージが表示されます。

削除してもよろしいですか?(Are you sure you want to delete?)

ステップ 4 ノード グループを削除するには、[OK] をクリックします。

ノード グループが削除されると、このページに確認メッセージが表示されます。ノード グループを削除しても、そのグループに属しているノードは削除されません。ノードはグループから分離されるのみです。


 

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

ノード ペルソナとサービスの変更

Cisco ISE ノードの設定を編集して、そのノードで実行されているペルソナおよびサービスを変更できます。たとえば、デバイスをプロファイルするノードで、サービスを無効にしたり、有効にしたりできます。ただし、インライン ポスチャ ノードとして指定されているノードにサービスやロールを追加することはできません。

前提条件:

インフラ ポスチャ ノードを再利用する場合は、最初にノードの登録を解除し、 application reset-config ise コマンドを使用して、ノードの設定をリセットします。次に、そのノードを新規ノードとして再登録します。

インライン ポスチャ ノードの登録を解除すると、スタンドアロン状態で有効なデフォルトの管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナに設定され、再起動します。ノードは再起動すると、インライン ポスチャ ノード設定に戻ります。

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。


) ポリシー サービス ISE ノードで実行されるサービスを有効または無効にしたり、ポリシー サービス ISE ノードを変更したりする場合は、そのサービスが実行されるアプリケーション サーバ プロセスを再起動します。これらのサービスが再起動されるまで遅延が発生します。


ISE ノードのロールとサービスを変更するには、次の手順を完了します。


ステップ 1 プライマリ管理 ISE ノードにログインします。

ステップ 2 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 3 左側のナビゲーション ペインで、[展開(Deployment)] をクリックします。

[展開ノード リスト(Deployment Nodes List)] ページが表示されます。

ステップ 4 ペルソナまたはサービスを変更するノードの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。

ステップ 5 ノードのペルソナおよびサービスを編集します。[ISE ノードの編集(ISE Edit Node)] ページのフィールドの説明については、 表 9-3 を参照してください。

ステップ 6 [保存(Save)] をクリックして変更を保存します。

ペルソナまたはサービスの変更が正常に保存されると、プライマリ管理 ISE ノードで、ペルソナまたはサービスの変更を確認するアラームが生成されます。ペルソナまたはサービスの変更が正常に保存されなかった場合、アラームは生成されません。


 

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

「Policy Service ISE ノードを Administration ISE ノードに登録した後にモニタリングおよびトラブルシューティング データを消失」

監視 ISE ノードでの自動フェールオーバーの設定

モニタリング ISE ノードでは真の意味でハイ アベイラビリティがサポートされていないため、自動フェールオーバーという用語が使用されます。モニタリング ISE ノードの場合、操作監査データはポリシー サービス ISE ノードによって複製されます。ポリシー サービス ISE ノードは、コピーをプライマリ モニタリング ISE ノードとセカンダリ モニタリング ISE ノードの両方に送信します。


) モニタリングは、プライマリ(アクティブ)モニタリング ISE ノードで行われます。アクティブ ノードがダウンした場合、モニタリング データは、セカンダリ(スタンバイ)モニタリング ISE ノードからのみ提供されます。セカンダリ モニタリング ISE ノードは読み取り専用です。このため、セカンダリ モニタリング ISE ノードの設定を変更することはできません。


自動フェールオーバー プロセス

プライマリ モニタリング ISE ノードがダウンした場合は、セカンダリ モニタリング ISE ノードがすべてのモニタリング情報およびトラブルシューティング情報を引き継ぎます。セカンダリ ノードでは読み取り専用機能が提供されます。つまり、このノードの設定を変更することはできません。

セカンダリ ノードの設定を変更するには、管理者は最初にセカンダリ ノードをプライマリ ロールに手動で昇格する必要があります。セカンダリ ノードが昇格された後にプライマリ ノードが復旧した場合、プライマリ ノードはセカンダリ ロールを担当します。セカンダリ ノードが昇格されなかった場合、プライマリ モニタリング ISE ノードは、復旧後にそのロールを再開します。


警告 フェールオーバー後にプライマリ ノードが復旧した場合、手動でバックアップおよび復元して、失われたデータが再生されるようにプライマリ ノードを更新する必要があります。


プライマリ モニタリング ISE ノードとセカンダリ モニタリング ISE ノードの設定

ISE ネットワークでは 2 つのモニタリング ISE ノードを指定して、アクティブ-スタンバイ ペアを作成できます。アクティブ-スタンバイ ペアを定義すると、次のルールが適用されます。

すべての設定変更は、プライマリ モニタリング ISE ノードで行うことができます。セカンダリ ノードは読み取り専用です。

プライマリ ノードで行った設定変更は、セカンダリ ノードに自動的に複製されます。

プライマリ ノードとセカンダリ ノードは両方とも、他のノードがログを送信するログ コレクタとしてリストされます。

Cisco ISE ダッシュボードは、モニタリングおよびトラブルシューティングの主要なエントリ ポイントとなります。プライマリ モニタリング ISE ノードからのモニタリング情報は、ダッシュボードに表示されます。プライマリ ノードがダウンすると、セカンダリ ノードから情報が提供されます。

モニタリング データのバックアップおよび消去は、標準 Cisco ISE ノードのバックアップ プロセスでは行われません。プライマリ モニタリング ISE ノードとセカンダリ モニタリング ISE ノードの両方でバックアップとデータ消去用のリポジトリを設定し、それぞれに同じリポジトリを使用する必要があります。


) セカンダリ モニタリング ISE ノードを登録する場合は、プライマリ モニタリング ISE ノードをバックアップしてから、新しいセカンダリ モニタリング ISE ノードにデータを復元することを推奨します。これにより、新しい変更が複製されると、プライマリ モニタリング ISE ノードの履歴が新しいセカンダリ ノードと同期されます。詳細については、「オンデマンド バックアップの実行」および「モニタリング データベースの復元」を参照してください。


前提条件:

2 つのモニタリング ISE ノードを自動フェールオーバー用に設定するには、最初に 「分散展開を設定する場合のガイドライン」および 「Cisco ISE ノードの設定」の説明に従ってこれらのノードを Cisco ISE ノードとして登録する必要があります。

両方のノードでモニタリング ロールおよびサービスを指定し、必要に応じてこれらのノードにプライマリ ロールおよびセカンダリ ロールの名前を付けます。

プライマリ モニタリング ISE ノードとセカンダリ モニタリング ISE ノードの両方でバックアップとデータ消去用のリポジトリを設定し、それぞれに同じリポジトリを使用する必要があります。これは、バックアップおよび消去機能を正しく動作させるために重要です。消去は、冗長ペアのプライマリ ノードおよびセカンダリ ノードの両方で行われます。たとえば、プライマリ モニタリング ISE ノードでバックアップおよび消去用に 2 つのリポジトリが使用されている場合、同じリポジトリをセカンダリ ノードに指定する必要があります。

モニタリング ISE ノードのデータ リポジトリは、システムのコマンドライン インターフェイス(CLI)で repository コマンドを使用して設定できます。詳細については、「モニタリング データベースのバックアップと復元」および『 Cisco Identity Services Engine CLI Reference Guide, Release 1.1.x 』を参照してください。


警告 スケジュール バックアップと消去をモニタリング冗長ペアのノードで正しく動作させるには、CLI を使用して、プライマリ ノードとセカンダリ ノードの両方で同じリポジトリを設定する必要があります。リポジトリは、2 つのノード間で自動的には同期されません。


自動フェールオーバー用にモニタリング ISE ノードを設定するには、次の手順を実行します。


ステップ 1 Cisco ISE ダッシュボードで、モニタリング ISE ノードの準備ができていることを確認します。

[システム概要(System Summary)] ダッシュレットに、サービスが準備完了の場合は左側に緑色のチェック マークが付いたモニタリング ISE ノードが表示されます。


) 展開の変更にサービスの開始が必要な場合があります。サービスの起動に 1 分かかります。


ステップ 2 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 3 [展開(Deployment)] ナビゲーション ペインの [展開(Deployment)] をクリックします。

ステップ 4 [展開ノード(Deployment Nodes)] ページで、アクティブとして指定するモニタリング ISE ノードの隣にあるチェックボックスをオンにします。

ステップ 5 [編集(Edit)] をクリックします。

ステップ 6 [全般設定(General Settings)] タブをクリックし、[ロール(Role)] ドロップダウン リストから [プライマリ(Primary)] を選択します。


) 1 つのモニタリング ISE ノードをプライマリとして選択すると、もう 1 つのモニタリング ISE ノードが自動的にセカンダリとなります。スタンドアロン展開の場合、プライマリおよびセカンダリのロール設定は無効になります。


ステップ 7 [保存(Save)] をクリックします。アクティブ ノードおよびスタンバイ ノードが再起動します。


 

展開からのノードの削除

展開からノードを削除するには、ノードの登録を解除する必要があります。

前提条件:

すべての Cisco ISE 管理者アカウントには、1 つ以上の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、Super Admin または System Admin のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

特定のノードを展開から削除するには、次の手順を実行します。


) 展開からセカンダリ ノードを削除する前に、必要に応じて後で復元できるように Cisco ISE 設定のバックアップを実行することを推奨します。



ステップ 1 [管理(Administration)] > [システム(System)] > [展開(Deployment)] を選択します。

ステップ 2 [展開(Deployment)] ナビゲーション ペインの [展開(Deployment)] をクリックします。

ステップ 3 削除するセカンダリ ノードの隣のチェックボックスをオンにして、[登録解除(Deregister)] をクリックします。

システムに次のメッセージが表示されます。

選択されているアイテムを登録解除しますか?(Are you sure you want to deregister the selected items?)

ステップ 4 [OK] をクリックすると、そのノードが展開から削除されます。

これで、登録解除されたノードがスタンドアロン ISE ノードになります。このノードは、プライマリ管理 ISE ノードから受信した最後の設定を保持し、スタンドアロン ノードのデフォルトのペルソナを担当します(管理、ポリシー サービス(セッションおよびプロファイリング サービス)、モニタリング)。

モニタリング ISE ノードの登録を解除すると、このノードは syslog ターゲットとしてリストされません([管理(Administration)] > [システム(System)] > [ロギング(Logging)] > [ロギング ターゲット(Logging Targets)])。

セカンダリ ノードが正常に登録解除されると、プライマリ管理 ISE ノードで、ノードの正常な登録解除を確認するアラームが生成されます。セカンダリ ノードのプライマリ管理 ISE ノードからの登録解除が失敗した場合は、このアラームは生成されません。


 

トラブルシューティング項目

「スタンドアロンの再インストールに続いて Cisco ISE 管理対象リストにノードを登録」

モニタリング ノードの IP アドレスの変更

モニタリング ノードの IP アドレスを変更するには、この項で説明されている手順に従ってください。

前提条件

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

モニタリング ノードの IP アドレスを変更するには、次の手順を実行します。


ステップ 1 展開からモニタリング ノードを削除します。詳細については、「展開からのノードの削除」を参照してください。

ステップ 2 モニタリング ノードの IP アドレスを変更します。

ステップ 3 モニタリング ノードをセカンダリ サーバとしてプライマリ管理 ISE ノードに登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。


) モニタリング ノードの登録時にホスト名を使用する場合、登録するスタンドアロン ノードの完全修飾ドメイン名(FQDN)(たとえば、ise1.cisco.com)は、プライマリ管理 ISE ノードから DNS を使用して解決できる必要があります。解決できない場合は、ノード登録が失敗します。DNS サーバに、分散展開の一部である ISE ノードの IP アドレスと FQDN を入力する必要があります。


プライマリ管理ノードによって、モニタリング ノードの IP アドレスの変更が展開内のその他の ISE ノードに複製されます。


 

Cisco ISE アプライアンス ハードウェアの交換

Cisco ISE アプライアンス ハードウェアは、ハードウェアに問題がある場合にのみ交換する必要があります。ソフトウェアに問題がある場合は、アプリケーションのイメージを再作成し、Cisco ISE ソフトウェアを再インストールできます。

前提条件:

各 ISE 管理者アカウントには、1 つまたは複数の管理ロールが割り当てられています。次の手順で説明されている操作を実行するには、スーパー管理者またはシステム管理者のいずれかのロールを割り当てられている必要があります。さまざまな管理ロールの詳細と、各ロールに関連付けられている権限については、 「Cisco ISE 管理者グループのロールおよび役割」 を参照してください。

分散展開で Cisco ISE アプライアンス ハードウェアを交換するには、次の手順を実行します。


ステップ 1 展開からノードを削除します。詳細については、「展開からのノードの削除」を参照してください。

ステップ 2 新しいノードをセカンダリ サーバとしてプライマリ管理 ISE ノードに登録します。詳細については、「セカンダリ ノードの登録および設定」を参照してください。

ステップ 3 削除されたノードで実行されていたのと同じペルソナおよびサービスを設定します。詳細については、「ノード ペルソナとサービスの変更」を参照してください。