パッチをアンインストールする

ほとんどのパッチをアンインストールすることができます。以前のメジャーリリースまたはメンテナンスリリースに戻す必要がある場合は、イメージを再作成する必要があります。

パッチをアンインストールするとアップグレード前のバージョンに戻り、設定は変更されません。FMC では、管理対象デバイスと同じかより新しいバージョンを実行する必要があるため、最初にデバイスからパッチをアンインストールします。アンインストールは、 ホットフィックスではサポートされていません。

アンインストールに対応するパッチ

特定のパッチをアンインストールすると、アンインストールが成功した場合でも、問題が発生する可能性があります。次のような問題があります。

  • アンインストール後に設定変更を展開できない

  • オペレーティングシステムと ソフトウェアの間に互換性がなくなる

  • セキュリティ認定コンプライアンスが有効な状態(CC/UCAPL モード)でそのパッチが適用されていた場合、アプライアンスの再起動時に FSIC(ファイル システム整合性チェック)が失敗する


注意    

セキュリティ認定の遵守が有効な場合に FSIC が失敗すると、ソフトウェアは起動せず、リモート SSH アクセスが無効になるため、ローカルコンソールを介してのみアプライアンスにアクセスできます。この問題が発生した場合は、Cisco TACにお問い合わせください。

アンインストールに対応したバージョン 7.0 のパッチ

この表は、バージョン 7.0 のパッチでサポートされているアンインストールのシナリオを示しています。アンインストールすると、アップグレード前のパッチレベルに戻ります。アンインストールによってサポートされているよりも前に戻る場合は、イメージを再作成してから、目的のパッチレベルにアップグレードすることをお勧めします。

表 1. アンインストールに対応したバージョン 7.0 のパッチ

現在のバージョン

アンインストールすべき最も古いバージョン

FTD/FTDv

ASA FirePOWER

NGIPSv

FMC/FMCv

7.0.6.2 以降

7.0.6

7.0.6.1

7.0.6.1

7.0.6.1

7.0.6

アンインストールに対応したバージョン 6.7 のパッチ

現在、すべてのバージョン 6.7 パッチがアンインストールに対応しています。

アンインストールに対応したバージョン 6.6 のパッチ

現在、すべてのバージョン 6.6 パッチがアンインストールに対応しています。

アンインストールに対応したバージョン 6.5 のパッチ

この表は、バージョン 6.5 のパッチでサポートされているアンインストールのシナリオを示しています。アンインストールすると、アップグレード前のパッチレベルに戻ります。アンインストールによってサポートされているよりも前に戻る場合は、イメージを再作成してから、目的のパッチレベルにアップグレードすることをお勧めします。

表 2. アンインストールに対応したバージョン 6.5.0 のパッチ

現在のバージョン

アンインストールすべき最も古いバージョン

FTD/FTDv

ASA FirePOWER

NGIPSv

FMC/FMCv

6.5.0.2 以降

6.5.0

6.5.0

6.5.0.1

6.5.0.1

6.5.0

6.5.0

アンインストールに対応したバージョン 6.4 のパッチ

この表は、バージョン 6.4 のパッチでサポートされているアンインストールのシナリオを示しています。アンインストールすると、アップグレード前のパッチレベルに戻ります。アンインストールによってサポートされているよりも前に戻る場合は、イメージを再作成してから、目的のパッチレベルにアップグレードすることをお勧めします。

表 3. アンインストールに対応したバージョン 6.4.0 のパッチ

現在のバージョン

アンインストールすべき最も古いバージョン

FTD/FTDv

Firepower 7000/8000

ASA FirePOWER

NGIPSv

FMC/FMCv

6.4.0.5 以降

6.4.0.4

6.4.0.4

6.4.0.4

6.4.0.4

6.4.0.3

6.4.0

6.4.0.2

6.4.0

6.4.0.1

6.4.0

6.4.0

6.4.0

アンインストールに対応したバージョン 6.3 のパッチ

この表は、バージョン 6.3 のパッチでサポートされているアンインストールのシナリオを示しています。アンインストールすると、アップグレード前のパッチレベルに戻ります。アンインストールによってサポートされているよりも前に戻る場合は、イメージを再作成してから、目的のパッチレベルにアップグレードすることをお勧めします。

表 4. アンインストールに対応したバージョン 6.3.0 のパッチ

現在のバージョン

アンインストールすべき最も古いバージョン

6.3.0.5

6.3.0.1 ~ 6.3.0.4

6.3.0

アンインストールに対応したバージョン 6.2.3 のパッチ

この表は、バージョン 6.2.3 のパッチでサポートされているアンインストールのシナリオを示しています。アンインストールすると、アップグレード前のパッチレベルに戻ります。アンインストールによってサポートされているよりも前に戻る場合は、イメージを再作成してから、目的のパッチレベルにアップグレードすることをお勧めします。

表 5. アンインストールに対応したバージョン 6.2.3 のパッチ

現在のバージョン

アンインストールすべき最も古いバージョン

FTD/FTDv

Firepower 7000/8000

ASA FirePOWER

NGIPSv

FMC/FMCv

6.2.3.16 以降

6.2.3.15

6.2.3.15

6.2.3.15

6.2.3.15

6.2.3.12 ~ 6.2.3.14

6.2.3

6.2.3.11

6.2.3.11

6.2.3.11

6.2.3

6.2.3.8 ~ 6.2.3.10

6.2.3

6.2.3.7

6.2.3.7

6.2.3.7

6.2.3

6.2.3.1 ~ 6.2.3.6

6.2.3

6.2.3

6.2.3

アンインストールに対応したバージョン 6.2.2 のパッチ

この表は、バージョン 6.2.2 のパッチでサポートされているアンインストールのシナリオを示しています。以前のパッチからアップグレードした場合でも、アンインストールすると直前のパッチに戻ります。アンインストールによってサポートされているよりも前に戻る場合は、イメージを再作成してから、目的のパッチレベルにアップグレードすることをお勧めします。

表 6. アンインストールに対応したバージョン 6.2.2 のパッチ

現在のバージョン

アンインストールすべき最も古いバージョン

6.2.2.3 ~ 6.2.2.5

6.2.2.2

6.2.2.2

6.2.2.1

6.2.2

高可用性/拡張性のアンインストール順序

高可用性/拡張性の展開では、一度に 1 つのアプライアンスからアンインストールすることで中断を最小限に抑えます。アップグレードとは異なり、システムはこの操作を行いません。次に移る前に、パッチが 1 つのユニットから完全にアンインストールされるまで待ちます。

表 7. FMC 高可用性のアンインストール順序

設定

アンインストール順序

FMC ハイ アベイラビリティ

同期を一時停止した状態(「スプリットブレイン」と呼びます)で、ピアから一度に 1 つずつアンインストールします。ペアが split-brain の状況で、構成の変更または展開を行わないでください。

  1. 同期を一時停止します(スプリットブレインに移行します)。

  2. スタンバイからアンインストールします。

  3. アクティブからアンインストールします。

  4. 同期を再開します(スプリットブレインから抜けます)。
表 8. FTD 高可用性およびクラスタのアンインストール順序

設定

アンインストール順序

FTD ハイ アベイラビリティ

ハイ アベイラビリティ用に設定されたデバイスからパッチをアンインストールすることはできません。先にハイ アベイラビリティを解除する必要があります。

  1. ハイ アベイラビリティを解除します。

  2. 以前のスタンバイからアンインストールします。

  3. 以前のアクティブからアンインストールします。

  4. ハイ アベイラビリティを再確立します。

FTD クラスタ

一度に 1 つのユニットからアンインストールし、制御ユニットを最後に残します。クラスタ化されたユニットは、パッチのアンインストール中はメンテナンス モードで動作します。

  1. データモジュールから一度に 1 つずつアンインストールします。

  2. データモジュールの 1 つを新しい制御モジュールに設定します。

  3. 以前のコントロールからアンインストールします。
表 9. ASA フェールオーバーペア/クラスタ内の ASA with FirePOWER Services のアンインストール順序

設定

アンインストール順序

ASA FirePOWER が有効な ASA アクティブ/スタンバイ フェールオーバー ペア

常にスタンバイからアンインストールします。

  1. スタンバイ ASA デバイスの ASA FirePOWER モジュールからアンインストールします。

  2. フェールオーバーします。

  3. 新しいスタンバイ ASA デバイスの ASA FirePOWER モジュールからアンインストールします。

ASA FirePOWER が有効な ASA アクティブ/アクティブ フェールオーバー ペア

アンインストールしないユニットの両方のフェールオーバー グループをアクティブにします。

  1. プライマリ ASA デバイスの両方のフェールオーバー グループをアクティブにします。

  2. セカンダリ ASA デバイスの ASA FirePOWER モジュールからアンインストールします。

  3. セカンダリ ASA デバイスの両方のフェールオーバー グループをアクティブにします。

  4. プライマリ ASA デバイスの ASA FirePOWER モジュールからアンインストールします。

ASA FirePOWER が有効な ASA クラスタ

アンインストールの前に、各ユニットでクラスタリングを無効にします。一度に 1 つのユニットからアンインストールし、制御ユニットを最後に残します。

  1. データユニットでクラスタリングを無効にします。

  2. そのユニットの ASA FirePOWER モジュールからアンインストールします。

  3. クラスタリングを再び有効にします。ユニットが再びクラスタに参加するのを待ちます。

  4. 各データユニットに対して手順を繰り返します。

  5. 制御ユニットでクラスタリングを無効にします。新しい制御ユニットが引き継ぐまで待ちます。

  6. 以前の制御ユニットの ASA FirePOWER モジュールからアンインストールします。

  7. クラスタリングを再び有効にします。

FMC を使用した デバイスパッチのアンインストール

Linux シェル(エキスパートモード)を使用してパッチをアンインストールします。デバイスの admin ユーザーとして、または CLI 設定アクセス権を持つ別のローカル ユーザーとして、デバイス シェルにアクセスできる必要があります。FMC ユーザーアカウントは使用できません。 シェルアクセスを無効にした場合は、 ロックダウンを元に戻すために Cisco TAC にご連絡ください。


注意    

アンインストール中に設定の変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、進行中のアンインストールを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アンインストールに失敗する、アプライアンスが応答しないなど、アンインストールで問題が発生した場合には、Cisco TAC にお問い合わせください。

始める前に

手順

ステップ 1

デバイスの設定が古い場合は、この時点で FMC から展開します。

アンインストールする前に展開すると、失敗する可能性が減少します。展開とその他の必須のタスクが完了していることを確認してください。アンインストールの開始時に実行中だったタスクは停止され、失敗したタスクとなって再開できなくなります。後で失敗ステータス メッセージを手動で削除できます。

ステップ 2

デバイスの Firepower CLI にアクセスします。admin として、または設定アクセス権を持つ別の CLI ユーザーとしてログインします。

デバイスの管理インターフェイスに SSH 接続するか(ホスト名または IP アドレス)、コンソールを使用できます。コンソールを使用する場合、一部のデバイスではデフォルトでオペレーティングシステムの CLI に設定されていて、Firepower CLI にアクセスする場合は、次の表に示すような、追加の手順が必要になります。

Firepower 1000 シリーズ

connect ftd

Firepower 2100 シリーズ

connect ftd

Firepower 4100/9300

connect module slot_number console、次に connect ftd(最初のログインのみ)

ASA FirePOWER

session sfr

ステップ 3

expert コマンドを使用して Linux シェルにアクセスします。

ステップ 4

アップグレードディレクトリにアンインストールパッケージがあることを確認します。

ls /var/sf/updates

パッチのアンインストーラには、アップグレードパッケージと同様に名前が付けられていますが、ファイル名には Patch ではなく Patch_Uninstaller が含まれています。デバイスにパッチを適用すると、そのパッチ用のアンインストーラがアップグレードディレクトリに自動的に作成されます。アンインストーラがない場合は、Cisco TAC までお問い合わせください。

ステップ 5

uninstall コマンドを実行し、プロンプトが表示されたらパスワードを入力します。

sudo install_update.pl --detach /var/sf/updates/uninstaller_name

注意    

 

確認を求められることはありません。このコマンドを入力すると、デバイスの再起動を含むアンインストールが開始されます。アンインストール時のトラフィック フローとインスペクションの中断は、アップグレード時に発生する中断と同じです。準備が整っていることを確認してください。--detach オプションを使用すると、SSH セッションがタイムアウトした場合にアンインストールプロセスが強制終了されなくなり、デバイスが不安定な状態になる可能性があることに注意してください。

ステップ 6

ログアウトするまでアンインストールを監視します。

個別のアンインストールの場合は、tailtailf を使用してログを表示します。

  • FTD:tail /ngfw/var/log/sf/update.status

  • ASA FirePOWER および NGIPSv:tail /var/log/sf/update.status

それ以外の場合は、コンソールか端末で進行状況を監視します。

ステップ 7

アンインストールが成功したことを確認します。

アンインストールが完了したら、デバイスのソフトウェアバージョンが正しいことを確認します。FMC で、[デバイス(Devices)] > [デバイス管理(Device Management)] を選択します。

ステップ 8

高可用性/スケーラビリティの展開では、ユニットごとに手順 2 から 6 を繰り返します。

クラスタの場合、制御ユニットからアンインストールしないでください。すべてのデータユニットからアンインストールしたら、そのうちの 1 つを新しい制御ユニットに設定し、以前の制御ユニットからアンインストールします。

ステップ 9

構成を再展開します。

例外:複数のバージョンが構成されている高可用性ペアまたはデバイスクラスタには展開しないでください。展開は最初のデバイスからアンインストールする前に行いますが、すべてのグループメンバーからパッチのアンインストールを終えるまでは再度展開しないでください。

次のタスク

  • 高可用性については、高可用性を再確立します。

  • クラスタについては、特定のデバイスに優先するロールがある場合は、それらの変更をすぐに行います。

スタンドアロン FMC パッチのアンインストール

FMC パッチのアンインストールには Web インターフェイスを使用することをお勧めします。Web インターフェイスを使用できない場合は、Linux シェルを、シェルの admin ユーザーまたはシェル アクセス権を持つ外部ユーザーのどちらかとして 使用できます。シェルアクセスを無効にした場合は、 ロックダウンを元に戻すために Cisco TAC にご連絡ください。


注意    

アンインストール中に設定の変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、進行中のアンインストールを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アンインストールに失敗する、アプライアンスが応答しないなど、アンインストールで問題が発生した場合には、Cisco TAC にお問い合わせください。

始める前に

  • アンインストールによって FMC のパッチレベルが管理対象デバイスより低くなる場合は、最初にデバイスからパッチをアンインストールします。

  • 正常に展開され、通信が確立されていることを確認します。

手順

ステップ 1

構成が古い管理対象デバイスに展開します。

アンインストールする前に展開すると、失敗する可能性が減少します。

ステップ 2

[利用可能なアップデート(Available Updates)] で該当するアンインストールパッケージの横にある [インストール(Install)] アイコンをクリックして、FMC を選択します。

パッチのアンインストーラには、アップグレードパッケージと同様に名前が付けられていますが、ファイル名には Patch ではなく Patch_Uninstaller が含まれています。FMC にパッチを適用すると、そのパッチ用のアンインストーラが自動的に作成されます。アンインストーラがない場合は、Cisco TAC までお問い合わせください。

ステップ 3

[インストール(Install)] をクリックしてから、アンインストールすることを確認して再起動します。

ログアウトするまで、メッセージセンターでアンインストールの進行状況を確認します。

ステップ 4

可能なときに再度ログインし、アンインストールが成功したことを確認します。

ログイン時にアンインストールの成功メッセージが表示されない場合は、[ヘルプ(Help)] > [バージョン情報(About)] の順に選択して、現在のソフトウェアのバージョン情報を表示します。

ステップ 5

すべての管理対象デバイスに設定を再展開します。

高可用性 FMC パッチのアンインストール

FMC パッチのアンインストールには Web インターフェイスを使用することをお勧めします。Web インターフェイスを使用できない場合は、Linux シェルを、シェルの admin ユーザーまたはシェル アクセス権を持つ外部ユーザーのどちらかとして 使用できます。シェルアクセスを無効にした場合は、 ロックダウンを元に戻すために Cisco TAC にご連絡ください。

高可用性ピアから一度に 1 つずつアンインストールします。同期を一時停止した状態で、先にスタンバイからアンインストールし、次にアクティブからアンインストールします。スタンバイでアンインストールが開始されると、ステータスがスタンバイからアクティブに切り替わり、両方のピアがアクティブになります。この一時的な状態のことを「スプリットブレイン」と呼び、アップグレード中とアンインストール中を除き、サポートされていません。


注意    

ペアが split-brain の状況で、構成の変更または展開を行わないでください。同期の再開後に変更内容は失われます。展開すると、システムが使用不可能な状態になり、再イメージ化が必要になる場合があります。 アンインストール中に設定の変更を行ったり、展開したりしないでください。システムが非アクティブに見えても、進行中のアンインストールを手動で再起動、シャットダウン、または再起動しないでください。システムが使用できない状態になり、再イメージ化が必要になる場合があります。アンインストールに失敗する、アプライアンスが応答しないなど、アンインストールで問題が発生した場合には、Cisco TAC にお問い合わせください。

始める前に

  • アンインストールによって FMC のパッチレベルが管理対象デバイスより低くなる場合は、最初にデバイスからパッチをアンインストールします。

  • 正常に展開され、通信が確立されていることを確認します。

手順

ステップ 1

アクティブな FMC で、構成が古い管理対象デバイスに展開します。

アンインストールする前に展開すると、失敗する可能性が減少します。

ステップ 2

アクティブ状態の FMC で、同期を一時停止します。

  1. [システム(System)]システム歯車アイコン > [統合(Integration)]を選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[同期の一時停止(Pause Synchronization)] をクリックします。

ステップ 3

ピアからパッチを一度に 1 つずつアンインストールします。先にスタンバイで行い、次はアクティブで行います。

スタンドアロン FMC パッチのアンインストール」の手順に従います。ただし、初期の展開は省略し、各ピアでアンインストールが成功したことを確認したら停止します。要約すると、各ピアで次の手順を実行します。

  1. [システム(System)] > [更新(Updates)] ページで、パッチをアンインストールします。

  2. ログアウトするまで進行状況を確認し、ログインできる状態になったら再びログインします。

  3. アンインストールが成功したことを確認します。

ステップ 4

アクティブ ピアにする FMC で、同期を再開します。

  1. [システム(System)]システム歯車アイコン > [統合(Integration)]を選択します。

  2. [ハイ アベイラビリティ(High Availability)] タブで、[アクティブにする(Make-Me-Active)] をクリックします。

  3. 同期が再開し、その他の FMC がスタンバイ モードに切り替わるまで待ちます。

ステップ 5

すべての管理対象デバイスに設定を再展開します。