Firepower Management Center のハイ アベイラビリティについて
運用の継続性を確保するために、ハイ アベイラビリティ機能を使用して、冗長 Firepower Management Center でデバイスを管理するように指定することができます。Firepower Management Center では、1 つのアプライアンスがアクティブ ユニットであり、デバイスを管理する、アクティブ/スタンバイ ハイ アベイラビリティがサポートされます。スタンバイ ユニットは、アクティブにデバイスを管理しません。アクティブ ユニットは、データ ストアに設定データを書き込み、両方のユニットのデータを複製し、必要な場合は同期を使用してスタンバイ ユニットと一部の情報を共有します。
アクティブ/スタンバイ ハイ アベイラビリティでは、プライマリ Firepower Management Center に障害が発生した場合、セカンダリ Firepower Management Center を設定して、プライマリの機能を引き継ぐことができます。プライマリ Firepower Management Center に障害が発生した場合は、セカンダリ Firepower Management Center をプロモートしてアクティブ ユニットにする必要があります。
イベント データは、管理対象デバイスからハイ アベイラビリティ ペアの両方の Firepower Management Center に配信されます。一方の Firepower Management Center で障害が発生した場合、他方の Firepower Management Center の使用を中断せずにネットワークをモニタすることができます。
ハイ アベイラビリティ ペアとして設定する 2 つの Firepower Management Center は、信頼された同じ管理ネットワーク上に存在する必要も、同じ地理的ロケーションに存在する必要もありません。
 注意 |
システムでは一部の機能をアクティブ Firepower Management Center に制限しているため、そのアプライアンスで障害が発生した場合は、スタンバイ Firepower Management Center をアクティブにプロモートする必要があります。 |
リモート アクセス VPN のハイ アベイラビリティについて
プライマリ デバイスに、CertEnrollment オブジェクトを使用して登録された ID 証明書を使用したリモート アクセス VPN 設定がある場合、セカンダリ デバイスには、同じ CertEnrollment オブジェクトを使用して登録された ID 証明書が必要です。CertEnrollment オブジェクトは、デバイス固有のオーバーライドにより、プライマリ デバイスとセカンダリ デバイスに異なる値を持つことができます。この制限は、ハイ アベイラビリティの形成前に 2 つのデバイスに同じ CertEnrollment オブジェクトを登録することだけです。
高可用性 Firepower Management Center での役割とステータス
プライマリ/セカンダリの役割
Firepower Management Center を高可用性ペアの形でセットアップする際は、一方の Firepower Management Center をプライマリとして設定し、もう一方をセカンダリとして設定します。設定中に、プライマリ ユニットのポリシーは、セカンダリ ユニットに同期されます。この同期が完了すると、プライマリ Firepower Management Center がアクティブ ピアになり、セカンダリ Firepower Management Center がスタンバイ ピアになって、2 つのユニットが管理対象デバイスおよびポリシー設定に対して単一のアプライアンスとして機能します。
アクティブ/スタンバイ ステータス
高可用性ペアを構成する 2 つの Firepower Management Center の間の主な違いは、どちらがアクティブ ピアで、どちらがスタンバイ ピアであるかという点です。アクティブ Firepower Management Center は、完全に機能する状態に維持され、デバイスとポリシーを管理するために使用できます。スタンバイ Firepower Management Center では機能が非表示になるため、設定の変更を行うことはできません。
Firepower Management Center のハイ アベイラビリティ ペアでのイベント処理
ハイ アベイラビリティ ペアの両方の Firepower Management Center が管理対象デバイスからイベントを受信するため、アプライアンスの管理 IP アドレスは共有されません。これは Firepower Management Center で障害が発生した場合に、継続的な処理を確保するために介入する必要がないことを意味します。
AMP クラウド接続とマルウェア情報
ハイ アベイラビリティ ペアを構成する Firepower Management Center は、ファイル ポリシーおよび関連する設定は共有しますが、シスコ AMP クラウド接続およびマルウェア処理は共有しません。運用の継続性を確保し、検出されたファイルのマルウェア処理が両方の Firepower Management Center で同じであるようにするためには、プライマリとセカンダリ両方の Firepower Management Center が AMP クラウドにアクセスできる必要があります。
URL フィルタリングとセキュリティ インテリジェンス
URL フィルタリングとセキュリティ インテリジェンスの設定および情報は、ハイ アベイラビリティ展開の Firepower Management Center の間で同期されます。ただし、プライマリ Firepower Management Center だけが、セキュリティ インテリジェンス フィードの更新用の URL カテゴリおよびレピュテーション データをダウンロードします。
プライマリ Firepower Management Center に障害が発生した場合は、セカンダリ Firepower Management Center がインターネットにアクセスして脅威インテリジェンスを更新できることを確認する必要があるだけでなく、セカンダリ Firepower Management Center の Web インターフェイスを使用してセカンダリをアクティブにプロモートする必要もあります。
Firepower Management Center フェールオーバー中のユーザ データ処理
プライマリ Firepower Management Center に障害が発生した場合、セカンダリ Firepower Management Center は、TS エージェントおよびユーザーエージェントアイデンティティソースソースからのユーザーから IP へのマッピングと、ISE/ISE-PIC アイデンティティソースからの SGT マッピングを、管理対象デバイスに伝播します。アイデンティティソースでまだ認識されていないユーザーは、[不明(Unknown)] として識別されます。
ダウンタイム後、[不明(Unknown)] ユーザはアイデンティティ ポリシーのルールに従って再び識別され、処理されます。
Firepower Management Center ハイ アベイラビリティ ペアの構成管理
ハイ アベイラビリティ展開では、アクティブな Firepower Management Center のみがデバイスを管理し、ポリシーを適用できます。両方の Firepower Management Center は継続的な同期状態を保ちます。
アクティブ状態の Firepower Management Center に障害が発生すると、ハイ アベイラビリティ ペアは縮退状態となります。縮退状態は、スタンバイ状態のアプライアンスを手動でアクティブ状態に上げるまで続きます。スタンバイ状態のアプライアンスをアクティブ状態に上げると、両アプライアンスのメンテナンス モードが終了します。
Threat Intelligence Director およびハイ アベイラビリティ構成
ハイ アベイラビリティ構成のアクティブな Firepower Management Center で TID をホスティングする場合、システムは TID 構成と TID データをスタンバイ Firepower Management Center に同期しません。フェールオーバー後にデータを復元できるように、アクティブ Firepower Management Center で TID データの定期的なバックアップを実行することを推奨します。
詳細については、TID データのバックアップおよび復元について を参照してください。
バックアップ中の Firepower Management Center の高可用性動作
Firepower Management Center 高可用性ペアでバックアップを実行する場合、バックアップ動作によってピア間の同期が一時停止します。この動作中は、引き続きアクティブな Firepower Management Center を使用できますが、スタンバイ ピアを使用することはできません。
バックアップが完了すると、同期が再開され、少しの間、アクティブ ピアでのプロセスが無効になります。この一時停止中、[高可用性(High Availability)] ページには、すべてのプロセスが再開されるまでは一時的に保留ページが表示されます。
Firepower Management Center ハイ アベイラビリティのスプリットブレイン
高可用性ペアのアクティブな Firepower Management Center が(電源の問題、ネットワークや接続の問題で)ダウンした場合は、スタンバイ Firepower Management Center をアクティブ状態に昇格させることができます。元のアクティブなピアが起動すると、両方のピアがアクティブであるとみなされる場合があります。この状態は「スプリットブレイン」と定義されます。このような状況が発生すると、システムによってアクティブなアプライアンスを選択するように要求されます。それによって、もう一方のアプライアンスはスタンバイ状態に降格します。
アクティブな Firepower Management Center がダウンした(またはネットワーク障害により切断された)場合は、高可用性を中断するか、またはロールを切り替えることができます。スタンバイ Firepower Management Center は縮退状態になります。
 (注) |
セカンダリとして使用するアプライアンスがどれであっても、スプリットブレインの解決時にデバイス登録とポリシー設定のすべてが失われます。たとえば、セカンダリに存在し、プライマリには存在しなかったポリシーへの変更は失われます。Firepower Management Center が両方のアプライアンスがアクティブな高可用スプリットブレイン シナリオである場合に、スプリットブレインを解決する前に管理対象デバイスを登録してポリシーを展開する場合は、ハイ アベイラビリティを再確立する前に、ポリシーをエクスポートして、管理対象デバイスを対象のスタンバイ Firepower Management Center から登録解除する必要があります。その後、管理対象デバイスを登録し、目的のアクティブ Firepower Management Center にポリシーをインポートすることができます。 |
ハイ アベイラビリティ ペアでの Firepower Management Center のアップグレード
Cisco は、各種の更新プログラムを電子形式で定期的に配信します。更新プログラムには、システム ソフトウェアのメジャーおよびマイナー アップグレードが含まれます。ハイ アベイラビリティ セットアップでは、これらの更新を両方の Firepower Management Center にインストールする必要が生じることがあります。
 警告 |
アップグレード中には、少なくとも 1 つの Firepower Management Center を動作状態に維持してください。 |
始める前に
アップグレードに付属しているリリース ノートまたはアドバイザリ テキストを読んでください。リリース ノートでは、サポートされるプラットフォーム、互換性、前提条件、警告、特定のインストールおよびアンインストールの手順など重要なデータが提供されます。
手順
| ステップ 1 |
アクティブ Firepower Management Center の Web インターフェイスにアクセスし、データ同期を一時停止します(Firepower Management Center ペア間の通信の一時停止を参照)。 |
| ステップ 2 |
スタンバイ Firepower Management Center をアップグレードします(アップグレードガイドを参照)。 |
| ステップ 3 |
もう一方の Firepower Management Center をアップグレードします。 |
| ステップ 4 |
どちらの Firepower Management Center をスタンバイとして使用するかを決定します。同期を一時停止した後にスタンバイに追加された追加のデバイスまたはポリシーは、アクティブ Firepower Management Center に同期されません。その追加のデバイスのみを登録解除し、維持する必要がある設定をエクスポートします。 新しいアクティブ Firepower Management Center を選択すると、セカンダリとして指定した Firepower Management Center は、同期されていないデバイス登録と展開されたポリシー設定を失います。 |
| ステップ 5 |
最新のポリシーとデバイスに必要なすべての設定を含む新しいアクティブ Firepower Management Center を選択して、スプリットブレインを解決します。 |
Firepower Management Center のハイ アベイラビリティのトラブルシューティング
この項では、Firepower Management Center のハイ アベイラビリティ操作のいくつかの一般的なエラーに関するトラブルシューティング情報を示します。
|
エラー |
説明 |
ソリューション |
||
|---|---|---|---|---|
|
スタンバイにログインする前に、アクティブな Firepower Management Center のパスワードをリセットする必要があります。(You must reset your password on the active Firepower Management Center before you can log into the standby) |
アカウントの強制的なパスワードリセットが有効になっているときに、スタンバイ FMC にログインしようとしました。 |
データベースはスタンバイ FMC に対して読み取り専用であるため、アクティブな FMC のログインページでパスワードをリセットします。 |
||
|
500 内部(500 Internal) |
ピア ロールの切り替えや同期の一時停止と再開などのクリティカルな Firepower Management Center のハイ アベイラビリティ操作を実行しているときに Web インターフェイスにアクセスしようとすると表示されることがあります。 |
Web インターフェイスを使用する前に、操作が完了するまでお待ちください。 |
||
|
システム プロセスが起動しています、お待ちください(System processes are starting, please wait) また、Web インターフェイスは応答しません。(Also, the web interface does not respond.) |
ハイ アベイラビリティまたはデータ同期操作中に Firepower Management Center が再起動(手動でまたは電源切断からの回復中に)する場合に表示されることがあります。 |
|
フィードバック