Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Cisco Identity Services Engine de mise à jour (ISE)

Options de téléchargement

  • PDF     (892.7 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (757.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (793.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:18 mai 2020
ID du document:215528
À propos des traductions

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment améliorer des versions 2.4 à 2.6 existantes du Cisco Identity Services Engine (ISE) installées sur l'appliance de Cisco ISE et l'ordinateur virtuel (VM). Il inclut également comment utiliser l'outil de préparation de mise à jour (URT) pour détecter et réparer toutes les questions de mise à jour de données de configuration avant que le processus de mise à niveau commence. 

    Conditions préalables

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Cisco Identity Services Engine (ISE)
    • Compréhension de terminologie utilisée pour décrire différents types de déploiements ISE

    Composants utilisés

    Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

    • ISE, version 2.4
    • ISE, version 2.6

    Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Remarque: La procédure est semblable ou identique pour d'autres versions ISE. Ces étapes peuvent être utilisées sur toutes les versions logicielles 2.x ISE sauf indication contraire.

    Informations générales

    Une mise à jour de déploiement de Cisco ISE est un processus multipas et doit être exécutée dans la commande qui est spécifiée dans ce document. Utilisez les évaluations de temps fournies dans ce document pour prévoir pour une mise à jour avec le temps d'arrêt minimum. Pour un déploiement avec la plusieurs stratégie entretenez les Noeuds (PSNs) qui font partie d'un groupe RPC, là n'est aucun temps d'arrêt. S'il y a des points finaux qui sont authentifiés par un RPC qui est mis à jour, la demande est traitée par un autre RPC dans le groupe de noeud. Le point final est authentifié à nouveau et est accordé l'accès au réseau après que l'authentification soit réussie.

    Outil de préparation de mise à jour

    Employez l'URT afin de détecter et réparer toutes les questions de mise à jour de données de configuration avant que vous commenciez le processus de mise à niveau. La plupart des pannes de mise à jour se produisent en raison des questions de mise à jour de données de configuration. L'URT valide les données avant la mise à jour afin de l'identifier, et signale ou répare la question, dans la mesure du possible. L'URT est disponible comme paquet téléchargeable distinct qui peut être exécuté sur un noeud secondaire de gestion de stratégie ou le noeud autonome. Il n'y a aucun temps d'arrêt pour exécuter cet outil.

    Attention : L'outil URT ne peut pas être exécuté sur un noeud primaire de gestion.

    Ce lien visuel explique comment utiliser l'URT.

    L'URT devrait être exécuté sur le noeud secondaire de gestion ou un noeud autonome.

    Attention : L'outil URT ne simule pas des mises à jour opérationnelles de données du noeud de surveillance (MNT).

    Voici un exemple qui explique comment exécuter l'URT sur un noeud autonome (le même processus peut être suivi sur un noeud secondaire de gestion).

    Étape 1. Téléchargez le paquet URT.

    Puisque le plan est d'améliorer à la version 2.6., téléchargez l'URT édité sur Cisco.com pour ISE 2.6 (ise-urtbundle-2.6.0.156-1.0.0.SPA.x86_64.tar.gz) suivant les indications de l'image.

    URT pour 2.6

    Étape 2. Créez un référentiel et copiez le paquet URT.

    Il est recommandé pour utiliser le Protocole FTP (File Transfer Protocol) pour de meilleures performances et fiabilité. N'utilisez pas les référentiel qui se trouvent à travers des liaisons WAN lentes. On lui suggère d'utiliser un référentiel local qui est plus près des Noeuds.

    Du GUI ISE, naviguez vers la gestion > le système > la maintenance > le référentiel > ajoutent suivant les indications de l'image. 

    Référentiel

    Sur option, afin d'épargner le temps, copiez le paquet URT sur le disque local sur le noeud de Cisco ISE avec l'utilisation de cette commande :

    copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    Par exemple, si le FTP sécurisé (SFTP) est utilisé pour copier le paquet de mise à jour, suivez ceci :

    (Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/

    aaa.bbb.ccc.ddd est l'adresse IP ou l'adresse Internet du serveur et d'ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz de SFTP est le nom du paquet URT. 

    Conseil : Il est recommandé pour avoir le paquet URT dans le disque local afin d'épargner le temps.

    Étape 3. Exécutez le paquet URT.

    Entrez dans l'application installent la commande afin d'installer l'URT :

    application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame

    L'avertissement parle des services qui exécutent sur le noeud et si l'utilisateur voulait toujours continuer d'exécuter l'URT sur ce noeud. Type afin de poursuivre suivant les indications de l'image.

    Vous pourriez noter que parfois l'âge URT est vieux. Tant que le paquet est le dernier téléchargé du site Web de Cisco, il est correct de poursuivre plus loin. Les derniers paquets URT peuvent également être de plus de 45 jours de. Type afin de poursuivre.

    Le passage de l'affaire 1. URT est réussi

    1. Si l'URT fonctionne avec succès, la sortie est semblable à ceci :

    2. L'URT fournit un temps prévu pour la mise à jour de chaque noeud basée sur la taille de la configuration et des données MNT.

    3. Après que vous vous soyez avec succès terminé le passage URT, poursuivez à la mise à jour.

    4. L'URT :

    • Vérifie si l'URT est exécuté sur une version prise en charge de Cisco ISE. Les versions prises en charge sont des versions 2.1, 2.2, 2.3, et 2.4 (pour améliorer à la version 2.6).
    • Vérifie que l'URT est exécuté sur un noeud autonome de Cisco ISE ou un noeud secondaire de gestion de stratégie (CASSEROLE secondaire).
    • Vérifie si le paquet URT est de moins de 45 jours de - ce contrôle est fait pour s'assurer que vous utilisez le paquet URT le plus récent.

    Vérifie si toutes les conditions préalables sont rencontrées.

    Ce sont les conditions préalables qui sont vérifiées par l'URT :

    • Compatibilité de version
    • Contrôles de Person
    • Espace disque

    Remarque: Vérifiez la taille disponible de disque avec la taille de condition requise de disque. Si vous êtes requis d'augmenter la taille de disque, réinstallez ISE et restaurez une sauvegarde de config.

    • Serveur de NTP
    • Mémoire
    • Validation de système et de certificat de confiance

    5. Copie la base de données de configuration.

    6. Les derniers fichiers de mise à niveau de copies au paquet de mise à jour.

    Remarque: S'il n'y a aucun correctif par paquet URT puis la sortie retournera : N/A.This est comportement prévu quand vous installez un correctif chaud.

    7. Exécute une mise à jour de schéma et de données sur la base de données copiée.

    • Si la mise à jour sur la base de données copiée est réussie, elle fournit une évaluation du temps où elle devrait prendre pour que la mise à jour finisse.

    • Si la mise à jour est réussie, elle enlève la base de données copiée.

    • Si la mise à jour sur la base de données copiée échoue, elle collecte les logs exigés, incite pour un mot de passe de cryptage, génère un paquet de log, et l'enregistre dans le disque local.

    Le passage de l'affaire 2. URT est infructueux

    1. L'URT peut échouer en raison d'une raison qui peut entraîner des questions avec la mise à jour. Si cela se produit, l'URT renvoie la cause de la panne.

    2. Voici une série d'exemple de panne URT :

    3. L'URT a manqué avec la raison : Le certificat de confiance serveur sécurisé CA de la classe 3 avec du nom amical le 'Verisign - G3 est non valide : Le certificat a expiré.

    4. Comme expliqué dans les prévérifications de mise à jour, si le système ISE a des Certificats expirés, la mise à jour échouera. On l'exige que tous les Certificats expirés sont renouvelés ou remplacés.

    5. L'URT enregistre les logs de panne qui peuvent être partagés avec Cisco TAC si l'utilisateur est incertain de la raison de panne.

    6. Il incitera à entrer un mot de passe pour chiffrer les logs. Ces logs URT sont enregistrés dans le disque local.

    7. Copiez-les à partir du disque local sur un référentiel et partagez-les avec Cisco TAC pour la résolution.

    Mise à jour ISE

    Avant que la mise à jour commence, assurez-vous que ces tâches sont terminées :

    1. Obtenez une sauvegarde de la configuration ISE et des données opérationnelles.

    2. Obtenez une sauvegarde des logs système.

    3. Sauvegardes programmées par débronchement. Modifiez les programmes de sauvegarde après que la mise à jour de déploiement soit complète.

    4. Exportez les Certificats et les clés privées.

    5. Configurez un référentiel. Téléchargez le paquet de mise à jour et placez-le dans le référentiel.

    6. Notez le Répertoire actif (AD) joignent le secret de qualifications et de noeud RSA SecurID, si c'est approprié. Ces informations sont nécessaires pour se connecter au Répertoire actif ou au serveur RSA SecurID après la mise à jour.

    7. Purgez les données opérationnelles pour améliorer des performances de mise à jour.

    8. Assurez-vous que la connexion Internet au référentiel est bonne.

    Remarque: Le téléchargement du paquet de mise à jour d'un référentiel aux temps de noeud si cela prend plus de 35 minutes pour se terminer.

    Préparez-vous à la mise à jour :

    Ces instructions aident à aborder les questions dans le déploiement en cours qui peut se produire dans le processus de mise à niveau. Ceci réduira le temps d'arrêt global de mise à jour et augmentera l'efficacité.

    Le plus défunt correctif : Mise à jour au dernier correctif dans la version existante avant mise à jour.

    Environnement de présentation : Il est recommandé pour tester la mise à jour dans un environnement de mise en place pour identifier et réparer toutes les questions de mise à jour avant d'améliorer les réseaux de production.

    Correctif de niveau : Tous les Noeuds dans le déploiement de Cisco ISE devraient être dans les mêmes données d'échange de niveau de correctif.

    Remarque: Si tous les Noeuds dans le déploiement ne sont pas sur la même version de Cisco ISE et corrigent la version, un message d'avertissement : La « mise à jour ne peut pas commencer » est affichée. Ce message indique que la mise à jour est dans un état bloqué. Assurez-vous que tous les Noeuds dans le déploiement sont dans la même version (version y compris de correctif, si quel) avant les débuts de processus de mise à niveau.

    Données opérationnelles (logs) : Il est dans une pratique recommandée d'archiver les vieux logs et de ne pas les transiter aux nouveaux déploiements. C'est parce que des logs opérationnels restaurés dans le MnTs ne sont pas synchronisés à différents Noeuds au cas où les rôles MNT seraient changés plus tard. Si le plan est de retenir le MNT se connecte, effectue ces tâches pour des Noeuds MNT et joignez le nouveau déploiement comme Noeuds MNT. Cependant, s'il n'y a aucun besoin de retenir les logs opérationnels, ceci peut être ignoré par nouvelle création d'images les Noeuds MNT. 

    En cas de re-image nécessaire : L'installation de Cisco ISE peut être faite en parallèle si c'est déploiement de multi-noeud sans incidence au déploiement de production. Quand vous installez des serveurs ISE dans-parallèles, il épargne le temps particulièrement si de sauvegarde et des restaurations d'une release précédente sont utilisés. PSNs peut être ajouté au nouveau déploiement pour télécharger les stratégies existantes au moment de la procédure d'enregistrement de la CASSEROLE.

    Calculatrice de latence et de bande passante de l'utilisation ISE afin de comprendre la latence et la bande passante nécessaire dans le déploiement de Cisco ISE.

    Centres d'hébergement ha : S'il y a les centres de traitement des données (C.C) avec le plein déploiement distribué, améliorez le C.C de sauvegarde et testez les cas d'utilisation avant que vous amélioriez le C.C primaire.

    Téléchargez un jour avant : Téléchargez et enregistrez le dernier paquet de mise à jour pour la mise à jour dans un référentiel local avant mise à jour pour accélérer le processus.

    Prévision de temps : Pour la mise à jour ISE du GUI, le délai d'attente pour le processus est de quatre heures. Si le processus prend plus de quatre heures, la mise à jour échoue. Si l'URT prend plus de quatre heures, Cisco recommande d'utiliser le CLI pour ce processus.

    Équilibreurs de charge : Prenez la sauvegarde des équilibreurs de charge avant que vous changiez la configuration. Retirez le PSNs des équilibreurs de charge au moment de la fenêtre de mise à jour et ajoutez-les de retour après la mise à jour.

    Basculement de CASSEROLE : Désactivez le Basculement automatique de CASSEROLE (si configuré) et désactivez la pulsation entre les casseroles au moment de la mise à jour.

    Stratégies d'examen : Passez en revue les stratégies existantes et les règles et retirez la stratégie et les règles périmées, redondantes, et éventées.

    Logs non désirés : Enlevez les logs non désirés de surveillance et les données de point final.

    Contrôle de bogue : Utilisez l'outil de recherche de bogue afin de trouver les défauts associés par mise à jour qui sont ouverts ou fixes.

    Mise à jour de courrier : Testez tous les cas d'utilisation pour le nouveau déploiement avec moins utilisateurs afin d'assurer la continuité de service.

    Mise à jour ISE du GUI

    Cisco ISE offre une mise à jour centralisée basée sur GUI du portail d'admin. Le processus de mise à niveau est beaucoup simplifié, et la progression de la mise à jour et le statut des Noeuds sont affichés à l'écran. La page de vue d'ensemble sous l'option du menu de gestion > de mise à jour répertorie tous les Noeuds dans le déploiement, les Person qui sont activés sur eux, la version d'ISE installé, et le statut (indique si un noeud est en activité ou inactif) du noeud. La mise à jour peut commencer seulement si les Noeuds sont dans l'état active.

    La mise à jour basée sur GUI du portail d'admin est prise en charge seulement s'ISE est sur version 2.0 ou plus tard et a besoin d'une mise à jour pour relâcher 2.0.1 ou plus tard.

    Au cas où ce message d'avertissement serait vu : « Le noeud a été retourné à son état de pré-mise à jour », naviguent vers la fenêtre de mise à jour, cliquent sur le lien de détails. Abordez les questions qui sont répertoriées dans la fenêtre de détails de panne de mise à jour. Après tout ces questions sont réparées, mise à jour de clic pour reinitiate la mise à jour.

    Étape 1. Cliquez sur l'onglet de mise à jour dans le portail d'admin.

    Étape 2. Le clic poursuivent.

    La fenêtre de liste de contrôle d'examen apparaît. Lisez les instructions données soigneusement suivant les indications de l'image.

    Étape 3. Vérifiez « je la case à cocher ont passé en revue liste de contrôle », et le clic continuent.

    Le paquet de téléchargement à la fenêtre de Noeuds apparaît suivant les indications de l'image.

    Étape 4. Téléchargez le paquet de mise à jour du référentiel aux Noeuds :

    1. Vérifiez la case à cocher à côté des Noeuds auxquels le paquet devrait être téléchargé.

    2. Cliquez sur Download. La fenêtre choisie de référentiel et de paquet apparaît suivant les indications de l'image.

    3. Sélectionnez le référentiel.

    4. Vérifiez la case à cocher à côté du paquet qui sera utilisé pour la mise à jour.

    5. Le clic confirment. Une fois que le paquet est téléchargé au noeud, les changements d'état de noeud à préparer pour la mise à jour.

    Étape 5. Le clic continuent. Puis, la fenêtre de Noeuds de mise à jour apparaît. Mise à jour de clic afin de commencer.

    Mise à jour ISE du CLI

    Assurez pour lire le chapitre intitulé « avant que vous commenciez » avant que vous poursuiviez. Voici un exemple d'une mise à jour autonome de noeud ISE de CLI.

    Étape 1. Vérifiez si le référentiel à utiliser a le fichier de mise à niveau actuel avec l'utilisation du reponame de référentiel d'exposition de commande suivant les indications de l'image.

    Étape 2. De l'interface de ligne de commande de Cisco ISE (CLI), écrivez la mise à jour d'application préparent la commande avec le nom du fichier de paquet et le nom de référentiel où le fichier est enregistré.

    Ce commandes copy le paquet de mise à jour au référentiel local.

    Étape 3. De Cisco ISE CLI, écrivez la mise à jour d'application poursuivent la commande suivant les indications de l'image.

    Une fois que ce message apparaît, commencez une session de SSH après 30 minutes et exécutez la commande d'ise d'état d'application d'exposition afin de voir la progression. Ce message apparaît % d'AVIS : La mise à jour de Cisco Identity Services Engine est en cours…

    La mise à jour est considérée complète quand le changement d'état de tous les services prévus à s'exécuter.

    Remarque: Si la mise à jour échoue pour quelque raison. Avant que vous tentiez une mise à jour de nouveau, employez le nettoyage de mise à jour d'application de commande afin d'effacer les anciens fichiers.

    Problèmes courants

    1. Si le paquet prend trop long pour le télécharger du référentiel ou des temps une fois téléchargé par l'intermédiaire du GUI :

    • Assurez qu'il y a assez de bande passante pour manipuler le téléchargement de paquet.
    • Quand un paquet de mise à jour est téléchargé d'un référentiel à un noeud, les temps du téléchargement si cela prend plus de 35 minutes pour se terminer. Assurez-vous que la connexion Internet au référentiel est bonne. 

    2. Dans une mise à jour distribuée de déploiement, l'erreur « aucun noeud secondaire de gestion dans le déploiement » peut être vue quand :

    • Il n'y a aucun noeud secondaire de gestion dans le déploiement.

    • Le noeud secondaire de gestion est en baisse.

    • Le noeud secondaire de gestion est mis et déplacé à jour au déploiement mis à jour. Typiquement, ceci se produit si l'option de détails de déploiement de régénération est utilisée après que le noeud secondaire de gestion soit mis à jour.

    Afin de résoudre ce problème, effectuez une de ces tâches, comme applicable :

    • Si le déploiement n'a pas un noeud secondaire de gestion, configure un noeud secondaire de gestion et relance la mise à jour.

    • Si le noeud secondaire de gestion est en baisse, évoquez le noeud et relancez la mise à jour.

    • Si le noeud secondaire de gestion est mis et déplacé à jour au déploiement mis à jour, employez le CLI pour améliorer manuellement les autres Noeuds dans le déploiement.

    3. L'état de mise à jour pour un noeud n'a pas changé : 

    • Si l'état de mise à jour ne change pas pendant longtemps (et des restes à 80%) dans le GUI, vérifiez les logs de mise à jour du CLI ou du statut de la mise à jour de la console.
    • Ouvrez une session au CLI ou visualisez la console du noeud de Cisco ISE afin de visualiser la progression de la mise à jour. Employez la commande d'application de show logging afin de visualiser upgrade-uibackend-cliconsole.log et upgrade-postosupgrade-yyyymmdd-xxxxxx.log.
    • Visualisez ces logs de mise à jour du CLI avec la commande d'application de show logging : Log de mise à jour de données de DB, log de schéma de DB et log de mise à jour du système d'exploitation de courrier.

    4. Déploiement de nouveau à la version préalable de l'image ISO :

    • Dans de rares cas, il pourrait y a un besoin de réimager l'appliance de Cisco ISE avec l'image de version préalable et de restaurer les données à partir du fichier de sauvegarde. Après que les données restaurent, inscrivez-vous au vieux déploiement, et activez les Person comme fait dans le vieux déploiement. Par conséquent, il est recommandé pour sauvegarder la configuration de Cisco ISE et les données opérationnelles avant que les débuts de processus de mise à niveau.
    • Parfois, des pannes de mise à jour qui se produisent en raison des questions dans la configuration et la base de données de surveillance ne sont pas roulées de retour automatiquement. Quand ceci se produit, une notification est évident que des déclarer que la base de données n'est pas roulée de retour, avec un message d'échec de mise à jour. Dans de tels scénarios, réimagez manuellement le système, installez Cisco ISE, et restaurez les données de configuration et les données opérationnelles (si la Person MNT est activée).
    • Générez un paquet de support avec les journaux de sauvegarde commandent avant une tentative de repositionnement ou de reprise, et placent le paquet de support dans un référentiel distant pour l'enquête plus tard par TAC s'il y a lieu.
    TAC Authored

    Contribution d’experts de Cisco

    • Shivam Kumar
      Ingénieur TAC Cisco

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Discussions connexes de communautés de Cisco

    Ce document s’applique à ces produits

    Suivez-nous
    Salle de presseÉvénementsBloguesCommunauté
    À propos de nous
    Communiquer Avec Nous
    Travailler Avec Nous