Mise à niveau Identity Services Engine (ISE)

Options de téléchargement

  • PDF     (527.0 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (433.8 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (417.1 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 mai 2020
ID du document:215528

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment mettre à niveau la version 2.4 actuelle d'Identity Services Engine (ISE) vers la version 2.6. configurée sur l'appliance Cisco ISE et la machine virtuelle (VM). Il explique également comment utiliser l'outil URT (Upgrade Readiness Tool) pour détecter et résoudre les problèmes de mise à niveau des données de configuration avant le début du processus de mise à niveau.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Identity Services Engine (ISE)
    • Compréhension de la terminologie utilisée pour décrire les différents types de déploiements ISE

    Components Used

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • ISE, version 2.4
    • ISE, version 2.6

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Note: La procédure est similaire ou identique pour les autres versions d'ISE. Ces étapes peuvent être utilisées sur toutes les versions du logiciel ISE 2.x, sauf indication contraire.

    Informations générales

    Une mise à niveau de déploiement Cisco ISE est un processus en plusieurs étapes qui doit être effectué dans l'ordre spécifié dans ce document. Utilisez les estimations de temps fournies dans ce document pour planifier une mise à niveau avec un temps d'arrêt minimal. Dans le cas d'un déploiement avec plusieurs noeuds de service de stratégie (PSN) faisant partie d'un groupe PSN, il n'y a pas d'interruption. Si des terminaux sont authentifiés via un PSN mis à niveau, la demande est traitée par un autre PSN du groupe de noeuds. Le point d'extrémité est réauthentifié et se voit accorder l'accès réseau une fois l'authentification réussie.

    Outil Upgrade Readiness

    Utilisez l'URT pour détecter et résoudre les problèmes de mise à niveau des données de configuration avant de commencer le processus de mise à niveau. La plupart des échecs de mise à niveau se produisent en raison de problèmes de mise à niveau des données de configuration. L'URT valide les données avant la mise à niveau afin d'identifier, de signaler ou de résoudre le problème, dans la mesure du possible. L'URT est disponible sous la forme d'un bundle téléchargeable distinct qui peut être exécuté sur un noeud Administration des politiques secondaires ou un noeud autonome. Il n'y a pas de temps d'arrêt pour exécuter cet outil.

    Attention : L'outil URT ne peut pas être exécuté sur un noeud d'administration principal.

    Ce lien vidéo explique comment utiliser la fonction URT.

    URT s'exécute sur le noeud d'administration secondaire ou sur un noeud autonome.

    Attention : L'outil URT ne simule pas les mises à niveau des données opérationnelles du noeud de surveillance (MnT).

    Voici un exemple qui montre comment exécuter URT sur un noeud autonome (le même processus peut être suivi sur un noeud d'administration secondaire).

    Étape 1. Téléchargez l’offre groupée URT.

    Étant donné que la mise à niveau vers la version 2.6 est prévue, téléchargez l'URL publiée sur Cisco.com pour ISE 2.6, comme illustré dans l'image.

    URT for 2.6URT pour 2,6

    Étape 2 : création d'un référentiel et copie de l'ensemble URT

    Il est recommandé d'utiliser le protocole FTP (File Transfer Protocol) pour améliorer les performances et la fiabilité. N'utilisez pas de référentiels situés sur des liaisons WAN lentes. Il est conseillé d'utiliser un référentiel local plus proche des noeuds.

    Dans l'interface utilisateur graphique d'ISE, accédez à Administration > System > Maintenance > Repository > Add comme indiqué dans l'image. 

    RepositoryRéférentiel

    Éventuellement, pour gagner du temps, copiez l'ensemble URT sur le disque local du noeud Cisco ISE à l'aide de cette commande :

    copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    Par exemple, si le protocole SFTP (Secure FTP) est utilisé pour copier le bundle de mise à niveau, procédez comme suit :

    (Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    aaa.bbb.ccc.ddd est l'adresse IP ou le nom d'hôte du serveur SFTP et ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz est le nom du bundle URT. 

    Astuce : Il est recommandé d'avoir le bundle URT dans le disque local pour gagner du temps.

    Étape 3. Exécutez l'ensemble URT.

    Entrez la commande application install pour installer l'URL :

    application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame

    URT

    L'avertissement indique les services qui s'exécutent sur le noeud et si l'utilisateur souhaite continuer à exécuter l'URT sur ce noeud. Tapez Y pour continuer comme indiqué dans l'image.

    URT2

    Vous remarquerez que parfois l'âge de l'URT est vieux. S'il s'agit de la dernière offre téléchargée sur le site Web de Cisco, vous pouvez continuer. Les derniers bundles URT peuvent également dater de plus de 45 jours. Tapez Y pour continuer.

    Cas 1 .  Exécution URT réussie

    1. Si l'URT fonctionne correctement, le résultat est le suivant :

    URT success

    URT success2

    2. L’URT fournit une estimation du temps de mise à niveau de chacun des noeuds en fonction de la taille de la configuration et des données MNT.

    3. Une fois que vous avez réussi l'exécution de l'URT, passez à la mise à niveau.

    4. L’URT :

    • Vérifie si l'URT est exécuté sur une version prise en charge de Cisco ISE. Les versions prises en charge sont les versions 2.1, 2.2, 2.3 et 2.4 (mise à niveau vers la version 2.6).
    • Vérifie que l'URT est exécuté sur un noeud Cisco ISE autonome ou un noeud secondaire d'administration des politiques (PAN secondaire).
    • Vérifie si le bundle URT a moins de 45 jours - Cette vérification est effectuée pour vous assurer que vous utilisez le bundle URT le plus récent.

    Vérifie si toutes les conditions préalables sont remplies.

    Voici les conditions préalables vérifiées par l'URT :

    • Compatibilité des versions
    • Contrôles personnels
    • Espace disque

    Note: Vérifiez la taille de disque disponible avec la taille de disque requise. Si vous devez augmenter la taille du disque, réinstallez ISE et restaurez une sauvegarde de configuration.

    • serveur NTP
    • Mémoire
    • Validation du système et des certificats sécurisés

    5. Clone la base de données de configuration.

    6. Copie les derniers fichiers de mise à niveau vers le bundle de mise à niveau.

    Note: S'il n'y a pas de correctifs dans le bundle URT, alors le résultat retourne : N/A.This est le comportement attendu lorsque vous installez un correctif à chaud.

    7. Effectue une mise à niveau du schéma et des données sur la base de données clonée.

    • Si la mise à niveau de la base de données clonée est réussie, elle fournit une estimation du temps nécessaire à la fin de la mise à niveau.

    • Si la mise à niveau réussit, la base de données clonée est supprimée.

    • Si la mise à niveau de la base de données clonée échoue, elle collecte les journaux requis, demande un mot de passe de cryptage, génère un lot de journaux et le stocke sur le disque local.

    Cas 2. Échec de l'exécution URT

    1. L'URT peut échouer pour une raison qui peut entraîner des problèmes avec la mise à niveau. Dans ce cas, URT renvoie la cause de l'échec.

    2. Voici un exemple d'exécution d'une erreur URT :

    URT Fail

    3. L’URT a échoué pour la raison suivante : Le certificat de confiance portant le nom convivial « VeriSign Class 3 Secure Server CA - G3 » n'est pas valide : Le certificat a expiré.

    4. Comme expliqué dans les vérifications préalables de la mise à niveau, si le système ISE a des certificats expirés, la mise à niveau échoue. Tous les certificats expirés doivent être renouvelés ou remplacés.

    5. URT enregistre les journaux d'échec qui peuvent être partagés avec le TAC Cisco si l'utilisateur n'est pas sûr de la raison de l'échec.

    6. Il vous invite à saisir un mot de passe pour chiffrer les journaux. Ces journaux URT sont enregistrés sur le disque local.

    URT Fail2

    7. Copiez-les du disque local vers un référentiel et partagez-les avec le TAC Cisco pour la résolution.

    URT Fail3

    Mise à niveau ISE

    Avant de commencer la mise à niveau, assurez-vous que les tâches suivantes sont effectuées :

    1. Obtenez une sauvegarde de la configuration ISE et des données opérationnelles.

    *Lorsque Cisco ISE est exécuté sur VMware, les snapshots VMware ne sont pas pris en charge pour la sauvegarde des données ISE.

    2. Obtenez une sauvegarde des journaux système.

    3. Désactivez les sauvegardes planifiées. Reconfigurer les plannings de sauvegarde une fois la mise à niveau du déploiement terminée.

    4. Exportez les certificats et les clés privées.

    5. Configurez un référentiel. Téléchargez le bundle de mise à niveau et placez-le dans le référentiel.

    6. Notez les informations d'identification de jointure Active Directory (AD) et le secret de noeud RSA SecurID, le cas échéant. Ces informations sont nécessaires pour se connecter au serveur Active Directory ou RSA SecurID après la mise à niveau.

    7. Purgez les données opérationnelles pour améliorer les performances de mise à niveau.

    8. Assurez-vous que la connexion Internet au référentiel est correcte.

    Note: Le téléchargement d'un bundle de mise à niveau d'un référentiel vers un noeud expire si cela prend plus de 35 minutes.

    Préparation de la mise à niveau :

    Ces instructions permettent de résoudre les problèmes du déploiement actuel qui peuvent survenir lors du processus de mise à niveau. Cela réduit les interruptions de mise à niveau globales et augmente l'efficacité.

    Dernier correctif : Effectuez une mise à niveau vers le dernier correctif de la version actuelle avant la mise à niveau.

    Environnement intermédiaire : Il est recommandé de tester la mise à niveau dans un environnement intermédiaire afin d'identifier et de résoudre les problèmes de mise à niveau avant la mise à niveau pour les réseaux de production.

    Niveau du correctif : Tous les noeuds du déploiement Cisco ISE sont dans le même niveau de correctif pour échanger des données.

    Note: Si tous les noeuds du déploiement ne sont pas sur la même version de Cisco ISE et de correctif, un message d'avertissement s'affiche : L'option « La mise à niveau ne peut pas commencer » est affichée. Ce message indique que la mise à niveau est bloquée. Assurez-vous que tous les noeuds du déploiement sont dans la même version (y compris la version du correctif, le cas échéant) avant de lancer le processus de mise à niveau.

    Données opérationnelles (journaux) : Il est recommandé d'archiver les anciens journaux et de ne pas les transférer vers les nouveaux déploiements. En effet, les journaux opérationnels restaurés dans les MnT ne sont pas synchronisés sur différents noeuds au cas où les rôles MnT seraient modifiés ultérieurement. Si le plan prévoit de conserver les journaux MnT, effectuez ces tâches pour les noeuds MnT et joignez le nouveau déploiement en tant que noeuds MnT. Cependant, s'il n'est pas nécessaire de conserver les journaux d'exploitation, cela peut être ignoré en recréant l'image des noeuds MnT. 

    Dans le cas d'une ré-image nécessaire : L'installation de Cisco ISE peut être effectuée en parallèle s'il s'agit d'un déploiement multinoeud sans impact sur le déploiement de production. Lorsque vous installez des serveurs ISE en parallèle, cela permet de gagner du temps, en particulier lorsque des sauvegardes et des restaurations à partir d'une version précédente sont utilisées. Vous pouvez ajouter des PSN au nouveau déploiement pour télécharger les stratégies actuelles au moment du processus d'enregistrement à partir du PAN.

    Utilisez le calculateur de latence et de bande passante ISE afin de comprendre la latence et les exigences de bande passante dans le déploiement Cisco ISE.

    Datacenters haute disponibilité : S'il existe des data centers (DC) avec un déploiement distribué complet, mettez à niveau le DC de sauvegarde et testez les cas d'utilisation avant de mettre à niveau le DC principal.

    Télécharger la veille : Téléchargez et stockez la dernière offre groupée de mise à niveau dans un référentiel local avant la mise à niveau pour accélérer le processus.

    Prédiction temporelle : Pour la mise à niveau ISE depuis l'interface utilisateur graphique, le délai d'attente du processus est de quatre heures. Si le processus prend plus de quatre heures, la mise à niveau échoue. Si l'URT prend plus de quatre heures, Cisco recommande d'utiliser l'interface de ligne de commande pour ce processus.

    Équilibreurs de charge : Effectuez une sauvegarde des équilibreurs de charge avant de modifier la configuration. Supprimez les PSN des équilibreurs de charge au moment de la fenêtre de mise à niveau et rajoutez-les après la mise à niveau.

    Basculement PAN : Désactivez le basculement PAN automatique (s'il est configuré) et désactivez Heartbeat entre les PAN au moment de la mise à niveau.

    Vérifier les politiques : Examiner les stratégies et règles actuelles et supprimer les stratégies et règles obsolètes, redondantes et périmées.

    Journaux indésirables : Supprimez les journaux de surveillance et les données de point de terminaison indésirables.

    Vérification des bogues : Utilisez l'Outil de recherche de bogues afin de trouver les défauts liés à la mise à niveau qui sont ouverts ou corrigés.

    Post-mise à niveau : Testez tous les cas d'utilisation du nouveau déploiement avec moins d'utilisateurs pour assurer la continuité du service.

    Mise à niveau ISE depuis l'interface utilisateur

    Cisco ISE propose une mise à niveau centralisée basée sur une interface utilisateur graphique à partir du portail Admin. Le processus de mise à niveau est beaucoup plus simple et la progression de la mise à niveau et le statut des noeuds sont affichés à l'écran. La page Vue d'ensemble sous l'option de menu Administration > Mise à niveau répertorie tous les noeuds du déploiement, les personnalités qui y sont activées, la version d'ISE installée et le statut (indique si un noeud est actif ou inactif) du noeud. La mise à niveau ne peut commencer que si les noeuds sont à l'état Actif.

    La mise à niveau basée sur l'interface utilisateur graphique à partir du portail Admin est prise en charge uniquement si ISE est sur la version 2.0 ou ultérieure et nécessite une mise à niveau vers la version 2.0.1 ou ultérieure.

    Si ce message d'avertissement s'affiche : "Le noeud est revenu à son état antérieur à la mise à niveau", accédez à la fenêtre Mise à niveau, cliquez sur le lien Détails. Résolvez les problèmes répertoriés dans la fenêtre Détails de l'échec de la mise à niveau. Une fois tous ces problèmes résolus, cliquez sur Upgrade pour relancer la mise à niveau.

    Étape 1. Cliquez sur l’onglet Upgrade du portail Admin.

    Étape 2. Cliquez sur Continuer.

    La fenêtre Vérifier la liste de contrôle apparaît. Lisez attentivement les instructions données, comme indiqué sur l'image.

    GUI upgrade

    Étape 3. Cochez la case « J'ai vérifié la liste de contrôle », puis cliquez sur Continuer.

    La fenêtre Download Bundle to Nodes s'affiche comme illustré dans l'image.

    GUI upgrade2

    Étape 4. Téléchargez le bundle de mise à niveau du référentiel vers les noeuds :

    1. Cochez la case en regard des noeuds vers lesquels le bundle est téléchargé.

    2. Cliquez sur Télécharger. La fenêtre Sélectionner le référentiel et le bundle s'affiche comme illustré dans l'image.

    3. Sélectionnez le référentiel.

    4. Cochez la case en regard du bundle utilisé pour la mise à niveau.

    5. Cliquez sur Confirmer. Une fois le bundle téléchargé sur le noeud, l'état du noeud passe à Prêt pour la mise à niveau.

    Étape 5. Cliquez sur Continue. La fenêtre Upgrade Nodes s'affiche ensuite. Cliquez sur Upgrade afin de commencer.

    Mettre à niveau ISE depuis la CLI

    Avant de continuer, lisez le chapitre intitulé « Avant de commencer ». Voici un exemple de mise à niveau d'un noeud ISE autonome à partir de l'interface de ligne de commande.

    Étape 1. Vérifiez si le référentiel à utiliser contient le fichier de mise à niveau à l'aide de la commande show repository reponame comme indiqué dans l'image.

    CLI upgrade1

    Étape 2. À partir de l’interface de ligne de commande (CLI) de Cisco ISE, entrez la commande application upgrade prepare avec le nom du fichier d’ensemble et le nom du référentiel où le fichier est stocké.

    Cette commande copie le bundle de mise à niveau dans le référentiel local.

    CLI upgrade2

    Étape 3. À partir de l’interface de ligne de commande Cisco ISE, entrez la commande application upgrade progress, comme indiqué dans l’image.

    CLI upgrade3

    CLI upgrade4

    Une fois que ce message apparaît, démarrez une session SSH après 30 minutes et exécutez la commande show application status ise afin de voir la progression. Ce message apparaît % NOTICE : Mise à niveau du moteur Identity Services Engine en cours...

    La mise à niveau est considérée comme terminée lorsque l'état de tous les services attendus passe à l'exécution.

    Note: Si la mise à niveau échoue pour une raison quelconque, avant de tenter une nouvelle mise à niveau, utilisez la commande application upgrade cleanup pour effacer les anciens fichiers.

    Problèmes courants

    1. Si le téléchargement du bundle à partir du référentiel prend trop de temps ou expire lors du téléchargement via l'interface utilisateur graphique :

    • Assurez-vous que la bande passante est suffisante pour gérer le téléchargement du bundle.
    • Lorsqu'un bundle de mise à niveau est téléchargé d'un référentiel vers un noeud, le téléchargement expire s'il prend plus de 35 minutes. Assurez-vous que la connexion Internet au référentiel est correcte. 

    2. Dans une mise à niveau de déploiement distribué, l'erreur « Aucun noeud d'administration secondaire dans le déploiement » peut s'afficher lorsque :

    • Il n'existe aucun noeud Administration secondaire dans le déploiement.

    • Le noeud Administration secondaire est arrêté.

    • Le noeud Administration secondaire est mis à niveau et déplacé vers le déploiement mis à niveau. En général, cela se produit si l'option Actualiser les détails du déploiement est utilisée après la mise à niveau du noeud Administration secondaire.

    Afin de résoudre ce problème, effectuez l'une des tâches suivantes, le cas échéant :

    • Si le déploiement n'a pas de noeud d'administration secondaire, configurez un noeud d'administration secondaire et recommencez la mise à niveau.

    • Si le noeud Administration secondaire est en panne, ouvrez le noeud et recommencez la mise à niveau.

    • Si le noeud Administration secondaire est mis à niveau et déplacé vers le déploiement mis à niveau, utilisez l'interface de ligne de commande pour mettre à niveau manuellement les autres noeuds du déploiement.

    3. L'état de mise à niveau d'un noeud n'a pas changé : 

    • Si l'état de la mise à niveau ne change pas pendant longtemps (et reste à 80 %) dans l'interface utilisateur graphique, vérifiez les journaux de mise à niveau à partir de l'interface de ligne de commande ou l'état de la mise à niveau à partir de la console.
    • Connectez-vous à l'interface de ligne de commande ou affichez la console du noeud Cisco ISE afin d'afficher la progression de la mise à niveau. Utilisez la commande show logging application pour afficher les fichiers upgrade-uibackend-cliconsole.log et upgrade-postosupgrade-yyyymmdd-xxxxxx.log.
    • Affichez ces journaux de mise à niveau depuis l'interface de ligne de commande à l'aide de la commande show logging application : DB Data Upgrade Log, DB Schema Log et Post OS Upgrade Log.

    4. Revenez à la version précédente de l'image ISO :

    • Dans de rares cas, il peut être nécessaire de réinstaller l'appliance Cisco ISE avec l'image de la version précédente et de restaurer les données à partir du fichier de sauvegarde. Après la restauration des données, enregistrez-vous avec l'ancien déploiement et activez les personnages comme dans l'ancien déploiement. Par conséquent, il est recommandé de sauvegarder la configuration et les données opérationnelles de Cisco ISE avant le démarrage du processus de mise à niveau.
    • Parfois, les échecs de mise à niveau qui se produisent en raison de problèmes dans la base de données de configuration et de surveillance ne sont pas restaurés automatiquement. Dans ce cas, une notification apparaît indiquant que la base de données n'est pas restaurée, ainsi qu'un message d'échec de la mise à niveau. Dans de tels scénarios, réinstallez manuellement le système, installez Cisco ISE et restaurez les données de configuration et les données opérationnelles (si le personnage MnT est activé).
    • Générez un bundle de support à l'aide de la commande backup-logs avant une tentative de restauration ou de récupération, puis placez le bundle de support dans un référentiel distant pour examen ultérieur par le TAC si nécessaire.

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    15-May-2020
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Shivam Kumar
      Ingénieur TAC Cisco
    • Harrison Forest
      Technicien d'ingénierie livraison client
    • Freda Schmitt
      Rédacteur technique ICD

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits