アップグレード Identity Services Engine (ISE)
目次
概要
この資料に Cisco ISE アプライアンスおよび Virtual Machine (VM)で設定される 2.6 に既存の Identity Services Engine (ISE)バージョン 2.4 をアップグレードする方法を記述されています。 それはまたアップグレード プロセスが開始される前にコンフィギュレーションデータ アップグレードの問題を検出し、解決するのにアップグレード準備ツール(URT)を使用する方法を含まれています。
前提条件
要件
次の項目に関する知識が推奨されます。
- Identity Services Engine(ISE)
- ISE 配備の異なる型を記述するのに使用される用語の知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- ISE、リリース 2.4
- ISE、リリース 2.6
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
Cisco ISE 配備アップグレードはマルチステップ プロセスで、この資料で規定 される順序で実行された必要があります。 最小ダウンタイムのアップグレードのために計画するために提供されるこの資料で時間推定を使用して下さい。 PSN グループとの配備に関してはの一部である複数のポリシー Service Node (PSN)、ダウンタイムがありません。 アップグレードされる PSN によって認証されるエンドポイントがあれば、要求はノード グループの別の PSN によって処理されます。 エンドポイントは認証が正常だった後再認証され、ネットワーク アクセスを認められます。
アップグレード準備ツール
アップグレード プロセスを開始する前にコンフィギュレーションデータ アップグレードの問題を検出し、解決するために URT を使用して下さい。 アップグレード障害のほとんどはコンフィギュレーションデータ アップグレードの問題が理由で発生します。 URT はアップグレードの前に識別するためにデータを検証し問題を、可能な限り報告するか、または解決します。 URT はセカンダリ ポリシー 管理 ノードかスタンドアロン ノードで実行することができる別途のダウンロード可能バンドルとして利用できます。 このツールを実行するダウンタイムがありません。
このビデオ リンクは URT を使用する方法を説明します。
URT はセカンダリ管理 ノードかスタンドアロン ノードで実行する必要があります。
スタンドアロン ノードの URT を実行する方法を示す例はここにあります(同じプロセスはセカンダリ管理 ノードで従うことができます)。
ステップ 1. URT バンドルをダウンロードして下さい。
計画が。バージョン 2.6 へアップグレードすることであるので、イメージに示すように ISE 2.6 (ise-urtbundle-2.6.0.156-1.0.0.SPA.x86_64.tar.gz)のための Cisco.com で送達される URT をダウンロードして下さい。
2.6 のための URT
ステップ 2.リポジトリを作成し、URT バンドルをコピーして下さい。
方がパフォーマンスおよび信頼性のためにファイル転送プロトコル(FTP)を使用するために推奨します。 低速WANリンクを渡ってあるリポジトリを使用しないで下さい。 ノードに近い方にあるローカル リポジトリを使用することを提案します。
ISE GUI から、イメージに示すように Administration > システム > メンテナンス > リポジトリ > Add への移動。
リポジトリ
任意で、時間を節約するために、このコマンドの使用の Cisco ISE ノードのローカル ディスクに URT バンドルをコピーして下さい:
copy repository_url/path/ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/たとえばアップグレード バンドルをコピーしたらのにセキュア FTP (SFTP)が使用されていたらこれに続いて下さい:
(Add the host key if it does not exist) crypto host_key add host mySftpserver
copy sftp://aaa.bbb.ccc.ddd/ ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd は IP アドレスですまたは SFTP サーバおよび ise-urtbundle-2.6.0.xxx-1.0.0.SPA.x86_64.tar.gz のホスト名は URT バンドルの名前です。
ステップ 3. URT バンドルを実行して下さい。
URT をインストールするためにアプリケーション インストール コマンドを入力して下さい:
application install ise-urtbundle-2.6.0.x.SPA.x86_64.tar.gz reponame
警告はノードで動作しているユーザがまだ URT をこのノードで実行し続けることを望んだらサービス述べ。 イメージに示すように続行するために Y を入力して下さい。
時々 URT 経過時間が古いことに注意するかもしれません。 バンドルは Cisco Webサイトからダウンロードされる最新のものである限り更に続行することは良いです。 最新の URT バンドルはまた 45 日以上古い場合もあります。 続行するために Y を入力して下さい。
ケースは 1. URT 実行正常です
1. URT がうまく働く場合、出力はこれに類似したです:
2. URT は設定および MNT データのサイズに基づいて各ノードのアップグレードのための推定所要時間を提供します。
3. 正常に URT 実行を完了した後、アップグレードに進んで下さい。
4. URT:
- URT が Cisco ISE のサポート対象バージョンで動作すればチェック。 サポート対象バージョンはリリース 2.1、2.2、2.3、および 2.4 です(バージョン 2.6 へのアップグレードのために)。
- URT が Cisco スタンドアロン ISE ノードかセカンダリ ポリシー 管理 ノード(セカンダリ PAN)で動作することを確認します。
- URT バンドルが 45 日以下古ければチェックは-このチェック最新 URT バンドルを使用するようにするために行われます。
すべての前提条件が満たされればチェック。
これらは URT によってチェックされる前提条件です:
- バージョン互換性
- ペルソナ チェック
- ディスク領域
- NTP サーバ
- メモリ
- システムおよび信頼できる証明書確認
5. 設定 データベースをクローンとして作ります。
6. コピーはアップグレード バンドルに最も遅くファイルをアップグレードします。
7. クローンとして作られたデータベースのスキーマおよびデータ アップグレードを行います。
-
クローンとして作られたデータベースのアップグレードが正常である場合、アップグレードが終了することができるようにかかる必要がある時間の推定を提供します。
-
アップグレードが正常である場合、クローンとして作られたデータベースを取除きます。
-
クローンとして作られたデータベースのアップグレードが失敗した場合、必須ログを集め、暗号化パスワードのためにプロンプト表示し、ログ バンドルを生成し、ローカル ディスクで保存します。
ケース 2. URT 実行は不成功です
1. URT はアップグレードにおいての問題を引き起こす場合がある原因が原因で失敗する場合があります。 それが起こる場合、URT は失敗の原因を戻します。
2. URT 失敗の実行例はここにあります:
3. 原因と失敗される URT: 友好的なネーム「VeriSign クラス 3 セキュアサーバ CA が付いている信頼できる証明書は- G3 無効です: 証明書は切れました。
4. アップグレード事前点検で説明されているように、ISE システムに期限切れの証明書があれば、アップグレードは失敗します。 すべての期限切れの証明書が更新されるか、または取り替えられることが必要となります。
5. URT はユーザが失敗原因の不確実である場合 Cisco TAC と共有することができる失敗ログを保存します。
6. それはログを暗号化するためにパスワードを入力するためにプロンプト表示します。 これらの URT ログはローカル ディスクで保存されます。
7. それらをローカル ディスクからリポジトリにコピーし、解決のための Cisco TAC とそれを共有して下さい。
ISE をアップグレードして下さい
アップグレードが開始される前に、これらのタスクが完了するようにして下さい:
1. ISE 設定および操作上データのバックアップを得て下さい。
2. システムログのバックアップを得て下さい。
3. スケジュールバックアップを無効に して下さい。 配備アップグレードが完了する後バックアップ スケジュールを再構成して下さい。
4. 証明書およびプライベート キーをエクスポートして下さい。
5. リポジトリを設定して下さい。 アップグレード バンドルをダウンロードし、リポジトリに置いて下さい。
6. Active Directory (AD)のメモに該当する場合資格情報および RSA SecurID ノード シークレットに加入させます。 この情報はアップグレードの後で Active Directory か RSA SecurID サーバに接続するために必要です。
7. アップグレード パフォーマンスを改善するために操作上データを削除して下さい。
8. リポジトリへのインターネット接続がよいことを確認して下さい。
アップグレードの準備をして下さい:
これらのガイドラインはアップグレード プロセスに発生する場合がある現在の配備の問題の対処を助けます。 これは全面的なアップグレード ダウンタイムを短縮し、効率を高めます。
最新のパッチ: アップグレードの前の既存のバージョンの最新のパッチへのアップグレード。
ステージング環境: 本番ネットワークをアップグレードする前にアップグレードの問題を特定および解決するためにステージング 環境のアップグレードをテストすることを推奨します。
水平なパッチ: Cisco ISE 配備のすべてのノードは同じパッチ レベル交換データにあるはずです。
操作上データ(ログ): それは古いログをアーカイブし、新しい配備に通過しない最良の方法です。 これは MnT ロールが変更された以降なら MnTs で復元される操作上ログが異なるノードに同期されないという理由によります。 計画が記録 したり、行ったら MnT ノードのためのこれらのタスクをおよび MnT を保つこと MnT ノードとして新しい配備に加入して下さい。 ただし、操作上ログを保つ必要がなければこれは MnT ノードのイメージ変更によってスキップすることができます。
必要のの場合にはイメージ変更して下さい: Cisco ISE インストールはそれが本番配備へ影響なしにマルチノード配備である場合並行してすることができます。 ISE サーバを並行してインストールするとき、それは特に以前のリリースからのバックアップと復元ときの使用される時間を節約します。 PSN は新しい配備に PAN から登録 手続の時に既存のポリシーをダウンロードするために追加することができます。
Cisco ISE 配備のレイテンシーおよび帯域幅の要求を理解するために ISE レイテンシーおよび帯域幅カルキュレータを使用して下さい。
HA データセンター: 完全な分散配備を用いるデータセンタ(DC)がある場合、プライマリ DC をアップグレードする前にバックアップ DC をアップグレードし、ユース ケースをテストして下さい。
日を前にダウンロードして下さい: アップグレードの前にローカル リポジトリでアップグレードのための最新のアップグレード バンドルをダウンロードし、プロセスを高速化するために保存して下さい。
時間予測: GUI からの ISE アップグレードに関しては、プロセスのためのタイムアウトは 4 時間です。 プロセスは 4 時間以上かかる場合、アップグレードは失敗します。 URT は 4 時間以上かかる場合、Cisco はこのプロセスのために CLI を使用するために推奨します。
負荷つりあい機: 設定を変更する前に負荷つりあい機のバックアップを奪取 して下さい。 PSN をロードつりあい機から Upgrade ウィンドウの時に取除き、アップグレードの後で追加して下さい。
PAN フェールオーバー: 自動 PAN フェールオーバーを(もし設定するなら)無効に し、アップグレードの時にパン間のハートビートを無効に して下さい。
確認ポリシー: 既存のポリシーおよびルール検討し、旧式、冗長 で、および古いポリシーおよびルールを取除いて下さい。
不必要なログ: 不必要なモニタリング ログおよびエンドポイント データを取除いて下さい。
不具合 チェック: 開いているまたは固定であるアップグレード関連問題を検出するために不具合 検索ツールを使用して下さい。
ポスト アップグレード: サービス継続を確認するために少数のユーザとの新しい配備のためのすべてのユース ケースをテストして下さい。
GUI から ISE をアップグレードして下さい
Cisco ISE は Admin ポータルからの GUI ベース中央集中型アップグレードを提供します。 アップグレード プロセスは大いに簡単で、アップグレードの進行状況およびノードのステータスは画面に表示されます。 ノードがアクティブまたは非アクティブであるかどうか Administration > Upgrade メニュー オプションの下の概要 ページ リストそれらで有効に なる配置、外的人格、インストールされる ISE のバージョンおよびノードのステータスのすべてのノード(示します)。 アップグレードはノードが ACTIVE 状態にあるときだけ開始されることができます。
Admin ポータルからの GUI ベース アップグレードは ISE がリリース 2.0 か以降にあり、リリース 2.0.1 か以降にアップグレードを必要とすればときだけサポートされます。
この警告メッセージが見られれば: 「ノード Upgrade ウィンドウにアップグレード前の状態に」は、ナビゲートします、クリックします詳細 リンクを変更を取り消しました。 アップグレード障害 Details ウィンドウにリストされている問題に対処して下さい。 結局それらの問題は固定、『Upgrade』 をクリック します アップグレードを再起動するためにです。
ステップ 1. Admin ポータルの Upgrade タブをクリックして下さい。
ステップ 2.続行しますクリックして下さい。
確認チェックリスト ウィンドウは現われます。 イメージに示すようにある特定の手順を熟読して下さい。
ステップ 3 「検討しチェックリスト」チェックボックスを、『Continue』 をクリック しますチェックして下さい。
ノード ウィンドウへのダウンロード バンドルはイメージに示すように現われます。
ステップ 4.リポジトリからノードにアップグレード バンドルをダウンロードして下さい:
1. バンドルがダウンロードする必要があるノードの隣でチェックボックスをチェックして下さい。
2. [Download] をクリックします。 選定されたリポジトリおよびバンドル ウィンドウはイメージに示すように現われます。
3. リポジトリを選択して下さい。
4. アップグレードのために使用するバンドルの隣でチェックボックスをチェックして下さい。
5. 確認しますクリックして下さい。 バンドルがノードにダウンロードされれば、アップグレードの用意するべきノード ステータス 変更。
ステップ 5. 『Continue』 をクリック して下さい。 それから、Upgrade ノード ウィンドウは現われます。 始まるために『Upgrade』 をクリック して下さい。
CLI から ISE をアップグレードして下さい
続行する前に」始める前に「タイトルを付けられる章を読むために確認して下さい。 CLI からのスタンドアロン ISE ノード アップグレードの例はここにあります。
ステップ 1: 使用されるべきリポジトリがコマンドの使用と現在のアップグレード ファイルをイメージに示すようにリポジトリ reponame を示してもらうかどうか確認して下さい。
呼び出します。 Cisco ISE Command Line Interface (CLI)から、アプリケーションのアップグレードを準備しますファイルが保存されるバンドル ファイル名およびリポジトリ名前のコマンドを入力して下さい。
このコマンドはローカル リポジトリにアップグレード バンドルをコピーします。
ステップ 3 Cisco ISE CLI から、アプリケーションのアップグレードをコマンド続行しますイメージに示すように入力して下さい。
このメッセージが現れたら、SSH セッションを 30 分後に開始し、進行状況を見るために提示アプリケーション ステータス ise コマンドを実行して下さい。 表記%がこのメッセージによってが現れます: Identity Services Engine アップグレードはです進行中…
アップグレードは完全時すべての実行への期待されたサービスのステータス 変更検討されます。
一般的な問題
1. GUI によってダウンロードされた場合バンドルがリポジトリか時からダウンロードするには余りに時間がかかれば:
- そこにですバンドル ダウンロードを処理する十分な帯域幅確認して下さい。
- アップグレード バンドルがリポジトリからノードへのダウンロードされる時、完了するために 35 分以上かかる場合ダウンロード時。 リポジトリへのインターネット接続がよいことを確認して下さい。
2. 分散配置アップグレードでは、エラーは「配置のセカンダリ管理 ノード」次の場合には見られる場合がありません:
-
配置にセカンダリ管理 ノードがありません。
-
セカンダリ管理 ノードはダウンしています。
-
セカンダリ管理 ノードはアップグレードされた配置にアップグレードされ、移動されます。 通常、これはセカンダリ管理 ノードがアップグレードされた後リフレッシュ配置詳細オプションが使用される場合発生します。
この問題を解決するために、適当ようにこれらのタスクの 1 つを、行って下さい:
-
配置にセカンダリ管理 ノードがないし、セカンダリ管理 ノードを設定し、アップグレードを再試行するために。
-
セカンダリ管理 ノードがダウンしている場合、始動はノード アップグレードを再試行し。
-
セカンダリ管理 ノードがアップグレードされた配置にアップグレードされ、移動される場合、配置の他のノードを手動でアップグレードするのに CLI を使用して下さい。
3. ノードのためのアップグレード ステータスは変更しませんでした:
- アップグレード ステータスが GUI で(および 80% に残ります)長い間変更しない場合、CLI からのアップグレード ログかコンソールからのアップグレードのステータスをチェックして下さい。
- CLI へのログインはまたはアップグレードの進行状況を表示するために Cisco ISE ノードのコンソールを表示します。 upgrade-uibackend-cliconsole.log および upgrade-postosupgrade-yyyymmdd-xxxxxx.log を表示するために show logging application コマンドを使用して下さい。
- show logging application コマンドで CLI からのこれらのアップグレード ログを調べて下さい: DB データ アップグレード ログ、DB スキーマ ログおよびポスト OS アップグレード ログ。
4. ISO イメージの前のバージョンに戻るロール:
- まれに、前のバージョン イメージの Cisco ISE アプライアンスをイメージ変更し、バックアップ ファイルからのデータを復元する必要があるかもしれません。 データ リストアが古い配備と、登録した、古い配備でされるように外的人格を有効に する後。 それ故にアップグレード プロセスが開始する前に、Cisco ISE 設定および操作上データをバックアップすることを推奨します。
- 時々、設定 および モニタリング データベースの問題が理由で発生するアップグレード障害は自動的に転送されません。 これが発生するとき、通知はアップグレード障害 メッセージと共にデータベースが転送されないことことに状態、現われます。 そのようなシナリオでは、(MnT ペルソナが有効に なったら)手動で システムをイメージ変更し、Cisco ISE をインストールし、コンフィギュレーションデータおよび操作上データを復元して下さい。
- バックアップ ログが付いているサポート バンドルを命じロールバックまたはリカバリ試みの前に、調査以降のためのリモート リポジトリに TAC によって必要であれば置きますサポート バンドルを生成して下さい。
フィードバック