Neue Split-Upgrades auf der ISE

Download-Optionen

  • PDF     (2.5 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:3. April 2025
Dokument-ID:220857

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die in 3.2 P3 eingeführte verbesserte Split-Upgrade-Funktion im Vergleich zur herkömmlichen Split-Upgrade-Methode beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

  • Grundkenntnisse der Cisco Identity Service Engine

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Hintergrundinformationen

Methoden für GUI-Upgrades

  • Aufteilen
    • Schrittweiser sequenzieller Prozess zum Upgrade Ihrer Bereitstellung, solange die Services verfügbar sind.

Old Split UpgradeAltes Split-Upgrade

  • Full-Commit
    • Zweistufiger Prozess zur parallelen Aktualisierung aller Knoten bei einem Serviceausfall.
    • Nimmt weniger Zeit in Anspruch als ein geteiltes Upgrade.

Full UpgradeVollständiges Upgrade

  • Neuer Split
    • Batch-Upgrade
    • Höhere Stabilität und weniger Ausfallzeiten
    • Geringerer Zeitaufwand als beim alten Split-Upgrade.
    • Vorabprüfungen.
    • Kein URT.

New Split UpgradeNeues Split-Upgrade

Upgrade-Pfade

  • 2.6, 2.7, 3.0 > AUFTEILEN/VOLLSTÄNDIG > 3.1
  • 2,7, 3.0, 3.1 > AUFTEILEN/VOLLSTÄNDIG > 3.2
  • 3.0, 3.1, 3.2 > AUFTEILEN/VOLLSTÄNDIG > 3.3
    • Ab Version 3.2 P3 ersetzte das neue Split-Upgrade das alte Split-Upgrade, wobei nur zwei Optionen übrig blieben: Vollständiges Upgrade und New Split.

Neues und altes Split-Upgrade

Alter Split-Upgrade-Prozess

Old Split Upgrade StepsAlte Schritte für Split-Upgrades

1. SPAN: Registrierung aufheben, Datenaktualisierung konfigurieren, auf PAN heraufstufen.

2. MnT: Registrierung aufheben, Registrierung bei neuer Bereitstellung durchführen, Betriebsdaten-Upgrade herunterladen und importieren

3. PSN1: Registrierung aufheben, Registrierung für neue Bereitstellung, Herunterladen und Importieren von Daten

4. PSN2: Registrierung aufheben, Registrierung für neue Bereitstellung, Herunterladen und Importieren von Daten

5. MnT: Registrierung aufheben, Registrierung bei neuer Bereitstellung durchführen, Betriebsdaten-Upgrade herunterladen und importieren

6. PPAN: Registrieren, Herunterladen und Importieren von Daten, Heraufstufen von SPAN, um dieselbe Bereitstellung wie vor dem Upgrade zu ermöglichen

Old Split vs New SplitAlte Aufteilung und neue Aufteilung

Neue Split-Aktualisierung - Assistent

Step 1. Welcome to Cisco ISE UpgradeSchritt 1:

Step 2. ChecklistSchritt 2: Checkliste

Step 3. Select NodesSchritt 3. Knoten auswählen

Step 4. Prepare to UpgradeSchritt 4: Vorbereitung des Upgrades

Step 6. Upgrade NodesSchritt 6. Knoten aktualisieren

Summary PageÜbersichtsseite

note-icon

Anmerkung: Die gleichen Schritte werden pro Iteration wiederholt.

Schritte im Detail

Schritt 1: Willkommen beim Cisco ISE-Upgrade

Schritt 2: Checkliste

Schritt 3:  Knoten für Iterationen auswählen

Für dieselbe Bereitstellung können verschiedene Iterationen ausgewählt werden.

Iteration OptionsIterationsoptionen

Bei 2 Iterationen beginnt Schritt 3 mit der Auswahl der Knoten.

Iteration1 Node SelectionIteration1 Knotenauswahl

Schritt 4: Vorbereitung des Upgrades

Node SelectionKnotenauswahl

Pre PreChecksVorprüfungen

Vorprüfungen

  • Die Repository-Validierung überprüft, ob das Repository für alle Knoten konfiguriert ist.
  • Download-Paket hilft beim Herunterladen.
  • Memory Check überprüft, ob auf dem PAN-Knoten 25 % und auf anderen Knoten 1 GB Speicherplatz verfügbar ist.
  • Das Herunterladen des Patch-Pakets hilft beim Herunterladen des Patch-Pakets für die ausgewählten Knoten.
  • Bei der PAN-Failover-Validierungsprüfung wird geprüft, ob die PAN-Hochverfügbarkeit aktiviert ist. Benachrichtigung, dass PAN-Failover deaktiviert wird, wenn sie aktiviert ist.
  • Die zeitgesteuerte Datensicherung überprüft, ob die zeitgesteuerte Datensicherung aktiviert ist. - nicht obligatorisch.
  • Config Backup Check überprüft, ob die Konfigurationssicherung kürzlich durchgeführt wurde. Der Aktualisierungsvorgang wird erst nach Abschluss der Sicherung ausgeführt.
  • Das Konfigurationsdaten-Upgrade führt das Konfigurationsdaten-Upgrade auf dem Konfigurationsdatenbankklon aus und erstellt das Upgrade-Daten-Dump. Diese Prüfung beginnt nach dem Herunterladen des Pakets.
  • Dienste- oder Prozessfehler geben den Status des Dienstes oder der Anwendung an (unabhängig davon, ob dieser ausgeführt wird oder sich in einem Fehlerzustand befindet).
  • Die Prüfung der Plattformunterstützung überprüft die unterstützten Plattformen in der Bereitstellung. Es überprüft, ob das System über mindestens 12 Core-CPUs, eine Festplatte mit 300 GB und 16 GB Speicher verfügt. Außerdem wird überprüft, ob die ESXi-Version 6.5 oder höher ist.
  • Bei der Bereitstellungsvalidierung wird der Status des Bereitstellungsknotens überprüft (unabhängig davon, ob er synchronisiert ist oder gerade ausgeführt wird).
  • Die DNS-Auflösbarkeit überprüft die Vor- und Rückwärtssuche von Hostname und IP-Adresse.
  • Bei der Zertifikatvalidierung des Vertrauensstellungsspeichers wird überprüft, ob das Zertifikat des Vertrauensstellungsspeichers gültig ist oder abgelaufen ist.
  • Die Systemzertifikatvalidierung überprüft die Systemzertifikatvalidierung für jeden Knoten.
  • Festplattenspeicherplatz Überprüfen Sie, ob die Festplatte über genügend freien Speicherplatz verfügt, um mit dem Upgrade fortzufahren.
  • NTP-Validierung Überprüft, ob das im System konfigurierte NTP die Zeitquelle vom NTP-Server ist.
  • Load Average Check überprüft die Systemauslastung in einem bestimmten Intervall. Die Frequenz kann 1,5 oder 15 Minuten betragen.
note-icon

Anmerkung: Nicht alle Vorabprüfungen gelten für alle Knoten, einige werden nur im PAN ausgeführt.

  • Alle Knoten
    • Repository-Validierung
    • Paketdownload
    • Speicherprüfung
    • Patch-Paket herunterladen
    • Service- oder Prozessfehler
    • Prüfung der Plattformunterstützung
    • DNS-Auflösbarkeit
    • Prüfung des Festplattenspeichers
    • NTP-Validierung
    • Durchschnittsprüfung laden.
  • Nur bei PAN
    • PAN-Failover-Validierungsprüfung
    • Geplante Backup-Prüfung
    • Überprüfung der Konfigurationssicherung
    • Konfigurationsdaten-Upgrade
    • Bereitstellungsvalidierung
    • Zertifikatsvalidierung für Vertrauensspeicher
    • Überprüfung des Systemzertifikats

Der Status aller Vorabprüfungen kann wie folgt lauten:

  • Erfolg
  • Warnung
  • Fehler

Nach der Korrektur können die Vorabprüfungen mit Warnungen und Fehlern neu bewertet werden.

Precheck StatusVorwahlstatus

note-icon

Anmerkung: ISE-Services können weiterhin ausgeführt werden, während Vorabprüfungen durchgeführt werden. Der Bericht kann 12 Stunden lang gültig sein, während derer das Upgrade ausgelöst werden kann.

note-icon

Anmerkung: Bundle-Download, Patch-Bundle-Download, Plattform-Check, Konfigurationsdaten-Upgrade und Prüfung des Festplattenspeichers sind 12 Stunden lang gültig. Andere Vorabprüfungen laufen nach 3 Stunden ab und können mithilfe der Schaltfläche zum Aktualisieren der Überprüfung oder der Schaltfläche zum Aktualisieren erneut validiert werden.

note-icon

Anmerkung: Das Upgrade-Paket wird heruntergeladen und unter ./storeddata/Installing/.upgrade/ gespeichert.

Schritt 5: Bereitstellung

Nachdem alle Vorprüfungen erfolgreich bestanden wurden, ist der nächste Schritt das Staging. Das PAN kopiert den in einem früheren Schritt erstellten Konfigurationsdatenbankabbild in den Rest der Knoten in der Iteration.

IterStaging

Iter StagingIter-Staging

note-icon

Anmerkung: Wenn Sie mit dem Upgrade des Staging fortfahren (indem Sie auf "Staging starten" klicken), können Sie die Nutzung von ISE-Services nicht aussetzen. Precheck kann die Ausführung im Hintergrund fortsetzen, auch wenn die ISE-Benutzeroberfläche geschlossen ist.

Schritt 6: Upgrade

  • Alle Knoten in der Iteration werden parallel aktualisiert, wodurch Dienste unterbrochen werden.
  • Jeder Knoten verfügt über einen eigenen Fortschrittsbalken und einen weiteren für den Gesamtfortschritt der Iteration.
  • Der Aktualisierungsfortschritt wird über PPAN überwacht.
 

UpgradeUpgrade

Iteration 2

  • Es gelten die gleichen Vorprüfungen.
  • Während des Stagings wird das Konfigurationsdatenbank-Dump (nicht das Upgrade-Paket) aus dem neuen PPAN in Version 3.3 von Iteration 1 kopiert.

Iteration 2 StagingIteration 2 Staging

  • Die Knoten werden aktualisiert, und der Status wird über das neue PPAN (3.3) überwacht.

Iteration 2 UpgradeIteration-2-Upgrade

Fehlerbehebung

Vorprüfungen fehlgeschlagen

Weitere Informationen finden Sie in den Dateien ADE.log und ise-psc.log.

show logging system ade/ADE.log
show logging application ise-psc.log

Prüfung von Konfigurationsdaten-Upgrades

Weitere Informationen finden Sie unter ADE.log, configdb-upgrade-[timestamp].log und dbupgrade-data-global-[timestamp].log auf dem sekundären Admin-Knoten.

show logging system ade/ADE.log
show logging application configdb-upgrade-[timestamp].log
show logging application dbupgrade-data-global-[timestamp].log
note-icon

Anmerkung: Wenn Sie das Support-Paket erfassen, stellen Sie sicher, dass Sie die vollständige Überprüfung der Konfigurationsdatenbank aktivieren, um die Protokolle configdb-upgrade einzuschließen.

Upgrade-Probleme, Protokollerfassung

Upgrade in einem der Knoten fehlgeschlagen und kann nicht mit dem Rest der Bereitstellung fortgesetzt werden.

Zu überwachende Protokolle:

  • Auf sekundärem Knoten
(Accessible via admin CLI "show logging application" or "show logging system")
/configdb-upgrade-<timestamp>.log 
/dbupgrade-schema-<timestamp>.log
/dbupgrade-data-global-<timestamp>.log
ade/ADE.log
  • An PAN
show logging application ise-psc.log

Upgrade-Probleme, Behebung von Problemen

Troubleshooting ActionsMaßnahmen zur Fehlerbehebung

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
2.0
03-Apr-2025
Aktualisierter Titel, Einführung, Stilanforderungen, maschinelle Übersetzung, Bildbeschriftungen und Formatierung.
1.0
29-Aug-2023
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jonathan Casillas
    Security Technical Leader

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.