この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
複数の Cisco ISE ノードがある展開は、分散展開と呼ばれます。フェールオーバーをサポートし、パフォーマンスを改善するために、展開に複数の Cisco ISE ノードを分散方式でセットアップできます。Cisco ISE の分散展開では、管理およびモニタリング アクティビティは一元化され、処理はポリシー サービス ノード間で分配されます。パフォーマンスのニーズに応じて、導入環境の規模を変更できます。展開の各 Cisco ISE ノードは、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。
次の用語は Cisco ISE 展開シナリオの説明に一般に使用されるものです。
サービス:サービスは、ネットワーク アクセス、プロファイラ、ポスチャ、セキュリティ グループ アクセス、モニタリング、トラブルシューティングなどの、ペルソナが提供する固有の機能です。
ノード:Cisco ISE ソフトウェアを実行する個別インスタンスです。Cisco ISE はアプライアンスとして使用でき、VMware で実行できるソフトウェアとしても使用できます。Cisco ISE ソフトウェアを実行する各インスタンス、アプライアンス、または VMware はノードと呼ばれます。
ペルソナ:ノードのペルソナによって、そのノードが提供するサービスが決まります。Cisco ISE ノードは、管理、ポリシー サービス、モニタリング、および pxGrid のペルソナのいずれかを担うことができます。管理者ポータルで使用できるメニュー オプションは、Cisco ISE ノードが担当するロールおよびペルソナによって異なります。
展開モデル:展開が分散か、スタンドアロンか、スタンドアロンのハイ アベイラビリティ(基本的な 2 ノード構成)かを決定します。
Cisco ISE ノードは、管理、ポリシー サービス、またはモニタリングのペルソナを担当できます。
Cisco ISE ノードは担当するペルソナに基づき、各種のサービスを提供できます。導入の各ノードは、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。分散展開では、ネットワーク上で次の組み合わせのノードを使用できます。
管理ペルソナの Cisco ISE ノードは、Cisco ISE のすべての管理操作を実行することができます。認証、許可、監査などの機能に関連したすべてのシステム関連設定を処理します。分散環境では、最大 2 つの管理ペルソナを実行するノードを実行できます。管理ペルソナは、スタンドアロン、プライマリ、またはセカンダリのロールのいずれかを担当できます。
ハイ アベイラビリティ構成では、プライマリ PAN がアクティブ状態になり、すべての設定変更がそのノードに対して行われます。セカンダリ PAN はスタンバイ状態になり、プライマリ PAN からすべての設定更新を受信します。そのため、プライマリ PAN の設定の完全なコピーが常に存在することになります。
Cisco ISE は、管理ペルソナの自動フェールオーバーをサポートしています。プライマリ PAN がダウンした場合は、セカンダリ PAN の自動プロモーションが開始されます。この場合、非管理セカンダリ ノードが各管理ノードのヘルス チェック ノードとして指定されます。ヘルス チェック ノードは、「ポーリング間隔」と呼ばれる設定された間隔でプライマリ PAN の正常性を確認します。プライマリ PAN の正常性について受信されたヘルス チェック応答がダウンしたり到達不能である場合、ヘルス チェック ノードは、「フェールオーバー前の障害の数(Count of failures before failover)」に設定されたしきい値まで待機した後、プライマリ ロールを引き継ぐようにセカンダリ PAN のプロモーションを開始します。
自動フェールオーバー機能をイネーブルにするには、分散セットアップで少なくとも 2 つのノードが管理ペルソナを引き継ぎ、1 つのノードが非管理ペルソナを引き継ぐ必要があります。
次の表に、プライマリ PAN がダウンし、セカンダリ PAN がまだ引き継がれていない場合に影響を受ける機能を示します。
機能 |
プライマリ PAN のダウン時に使用できるかどうか(はい/いいえ) |
---|---|
既存の内部ユーザの RADIUS 認証 |
はい |
既存または新しい AD ユーザの RADIUS 認証 |
はい |
プロファイル変更がない既存のエンドポイント |
はい |
プロファイル変更がある既存のエンドポイント |
いいえ |
プロファイリングで学習した新しいエンドポイント |
いいえ |
既存のゲスト:LWA |
はい |
既存のゲスト:CWA |
はい(自動デバイス登録機能を持つ ホットスポット、BYOD、CWA などのデバイス登録に有効なフローを除く) |
ゲストのパスワード変更 |
いいえ |
ゲスト:AUP |
いいえ |
ゲスト:ログイン失敗の最大回数の適用 |
いいえ |
新しいゲスト(Sponsored-Guest またはアカウント登録) |
いいえ |
ポスチャ(Posture) |
はい |
内部 CA による BYOD |
いいえ |
登録済みの既存のデバイス |
はい |
MDM オンボーディング |
いいえ |
pxGrid サービス |
いいえ |
内部認証局による証明書のプロビジョニングの場合は、プロモーションの後に元のプライマリ PAN のルート証明書とそのキーを新しいプライマリ ノードにインポートする必要があります。証明書のプロビジョニングは、新しく追加された、つまり、プライマリ PAN へのセカンダリ ノードのプロモーションの後に追加された PSN ノードからの自動フェールオーバー後は機能しません。
プライマリ PAN のヘルス チェック ノードはアクティブなヘルス チェック ノードと呼ばれるのに対し、セカンダリ PAN のヘルス チェック ノードはパッシブなヘルス チェック ノードと呼ばれます。アクティブなヘルス チェック ノードは、プライマリ PAN のステータスをチェックし、管理ノードの自動フェールオーバーを管理する役割があります。ヘルス チェック ノードとして指定された 2 つの非管理 ISE ノードをそれぞれプライマリおよびセカンダリの PAN に設定することを推奨します。また、プライマリ PAN およびセカンダリ PAN の両方にヘルス チェック ノードとして単一の非管理 ISE ノードを指定することもできます。単一のヘルス チェック ノードがプライマリ PAN とセカンダリ PAN 両方の状態を確認する場合、そのノードはアクティブおよびパッシブ両方の役割を担います。
ヘルス チェック ノードは非管理ノードで、ポリシー サービス ノード、モニタリング ノード、または pxGrid ノード、あるいはそれらの組み合わせにできます。管理ノードとして同じデータセンターにある PSN ノードはハイアベイラビリティのヘルス チェック ノードとして指定することを推奨します。ただし、2 つの管理ノードが同じ場所(LAN またはデータセンター)にある小規模または一元化された展開では、管理ペルソナを持っていないノード(PSN/pxGrid/MnT)をハイアベイラビリティのヘルス チェック ノードとして使用できます。
プライマリ PAN のヘルス チェック ノードは、設定したポーリング間隔の間に、そのヘルス ステータスに到達します。プライマリ PAN のヘルス ステータスがダウンの場合、または設定した「フェーオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値に対して到達不能である場合、プライマリ ヘルス チェック ノードは展開のプライマリ PAN として引き継ぐようにセカンダリ PAN に通知します。
自動フェールオーバーのヘルス チェック ノードはシングル ポイント障害です。プライマリ PAN のヘルス チェック ノード自体がダウンすると、ハイアベイラビリティ フェールオーバーは行われません。
セカンダリ PAN のヘルス チェック ノードはパッシブ モニタです。セカンダリ PAN がプライマリ PAN として昇格するまで、このノードはアクションを実行しません。セカンダリ PAN がプライマリ ロールを引き継ぐと、関連するヘルス チェック ノードは管理ノードの自動フェールオーバーを管理するアクティブ ロールを担います。以前のプライマリ PAN のヘルス チェック ノードはセカンダリ PAN のヘルス チェック ノードになり、受動的にモニタリングを行います。
ノードがヘルス チェック ロールから削除された場合、または自動フェールオーバー設定が無効な場合、ヘルス チェック サービスはそのノードで停止します。自動フェールオーバー設定が指定されたハイアベイラビリティ ヘルス チェック ノードでイネーブルになると、ノードは管理ノードの正常性のチェックを再度開始します。ノードでハイアベイラビリティ ヘルス チェック ロールを指定または削除しても、そのノードのいずれのアプリケーションが再起動されることはありません。ヘルス チェック アクティビティのみが開始または停止します。
ハイアベイラビリティのヘルス チェック ノードを再起動すると、プライマリ PAN の以前のダウンタイムが無視され、再びヘルス ステータスのチェックが開始されます。
アクティブなヘルス チェック ノードは、設定したポーリング間隔でプライマリ PAN のヘルス ステータスをチェックします。プライマリ PAN に要求を送信し、受信した応答が指定した設定を満たせば、ヘルス チェック ノードはプライマリ PAN が良好な状態であると見なします。そうでなければ、ヘルス チェック ノードはプライマリ PAN が不良な状態であると見なします。プライマリ PAN の状態が設定した「フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値を超えて連続的に不良である場合、ヘルス チェック ノードはセカンダリ PAN へのフェールオーバーを開始します。
ヘルス チェックの任意の時点で、「フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値内で前に不良と報告された後にヘルス ステータスが良好であると検出されると、ヘルス チェック ノードはプライマリ PAN のステータスを良好としてマークし、ヘルス チェック サイクルをリセットします。
プライマリ PAN のヘルス チェックからの応答は、そのヘルス チェック ノードで使用可能な設定値に照らして検証されます。応答が一致しない場合、アラームが発生します。ただし、プロモーション要求はセカンダリ PAN に行われます。
たとえば、ヘルス チェック ノード(N1)が非同期になり、他のノード(N2)がプライマリ PAN のヘルス チェック ノードになるとします。この場合、プライマリ PAN がダウンした時点で、同じプライマリ PAN をチェックしている別のノード(N2)があることを N1 が認識する方法はありません。その後、N2 もダウンしたりネットワークから出た場合は、実際のフェールオーバーが必要になります。しかし、セカンダリ PAN はプロモーション要求を拒否する権限を保持します。したがって、セカンダリ PAN がプライマリ ロールに昇格すると、さらなるプロモーション要求(ノード N2 をチェックするノードから)がエラーとともに拒否されます。プライマリ PAN の高可用性ヘルス チェック ノードが非同期の場合でも、プライマリ PAN の状態は引き続きチェックされます。ヘルス チェック応答がフェールオーバーに有効な場合(つまり、正しいプライマリ PAN が正しいヘルス チェック ノードによってチェックされ、ヘルス チェック ノードに正しいセカンダリ PAN の情報が含まれていることが応答によって示されている場合)は、プライマリ PAN がフェールオーバーの基準を満たしている場合に、セカンダリ PAN へのフェールオーバーも試行されます。
すべての検証に合格すると、セカンダリ PAN はプライマリ ロールに自身を昇格させます。
次に、セカンダリ PAN の自動フェールオーバーが試行されるシナリオのサンプルを示します(ただしこれに限定されません)。
ポーリング期間中に、プライマリ PAN の正常性が「フェールオーバーの前に障害が発生したポール数(Number of failure polls before failover)」の値に対して一貫して良好でない。
プライマリ PAN の Cisco ISE サービスが手動で停止され、設定された「フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値に対しそのままになっている。
プライマリ PAN がソフトの停止または再起動のオプションを使用してシャットダウンされ、設定された「フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値に対しそのままになっている。
プライマリ PAN が突然ダウン(電源オフ)し、設定された「フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値に対してそのままになっている。
プライマリ PAN のネットワーク インターフェイスがダウンしたか(ネットワーク ポートのオフまたはネットワーク サービスのダウン)、または他の理由でヘルス チェック ノードによって到達不能であり、設定された「フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)」の値に対してそのままになっている。
次に、ヘルス チェック ノードによる自動フェールオーバーが回避された場合、またはセカンダリ ノードへのプロモーション要求が拒否された場合を表すシナリオの例を示します。
Cisco ISE は、元のプライマリ PAN へのフォールバックをサポートしていません。これは、セカンダリ PAN への自動フェールオーバーが開始された後に、元のプライマリ PAN がネットワークで再度起動されると、元のプライマリ ノードがセカンダリ ロールを所有し続け、プライマリ ロールに昇格されないことを意味します。
Cisco ISE は、プライマリ ロールへのセカンダリ PAN の自動および手動プロモーションをサポートしています。自動フェールオーバーが有効な場合、セカンダリ PAN の手動プロモーションを引き続き実行できます。プライマリ ロールへのセカンダリ PAN のプロモーションは完全に独立しており、プロモーションが手動または自動で実行されるかどうかにかかわらず影響を受けません。
次の表に、PAN の自動フェールオーバーの設定が展開でイネーブルの場合にブロックされる機能、または追加の設定変更を必要とする機能を示します。
機能 |
影響の詳細 |
---|---|
ブロックされる操作 |
|
アップグレード |
CLI によるアップグレードがブロックされます。 PAN の自動フェールオーバー機能は、Cisco ISE の以前のバージョンからリリース 1.4 にアップグレードした後の構成で使用できます。デフォルトでは、この機能は無効になっています。PAN の自動フェールオーバーをイネーブルにするには、展開内に少なくとも 2 つの管理ノードと 1 つの非管理ノードが必要です。 |
バックアップの復元 |
CLI による復元およびユーザ インターフェイスがブロックされます。 PAN の自動フェールオーバーの設定が復元前にイネーブルであった場合は、正常に復元した後に再設定する必要があります。 |
ノード ペルソナの変更 |
ユーザ インターフェイスによる次のノード ペルソナの変更がブロックされます。 |
その他の CLI 操作 |
CLI による次の管理操作がブロックされます。 |
他の管理ポータル操作 |
ユーザ インターフェイスによる次の管理操作がブロックされます。 |
PAN の自動フェールオーバーをディセーブルにする必要がある操作 |
|
CLI の操作 |
PAN の自動フェールオーバーの設定がイネーブルの場合、CLI による次の管理操作では警告メッセージが表示されます。サービス/システムがフェールオーバー ウィンドウ内で再起動されない場合、これらの操作によって自動フェールオーバーが起動する場合があります。そのため、以下の操作の実行時には、PAN の自動フェールオーバーの設定を無効にすることを推奨します。 |
ポリシー サービス ペルソナの Cisco ISE ノードは、ネットワーク アクセス、ポスチャ、ゲスト アクセス、クライアント プロビジョニング、およびプロファイリング サービスを提供します。このペルソナはポリシーを評価し、すべての決定を行います。複数のノードがこのペルソナを担当できます。通常、1 つの分散展開に複数のポリシー サービス ノードが存在します。同じ高速ローカル エリア ネットワーク(LAN)またはロード バランサの背後に存在するポリシー サービス ノードはすべて、グループ化してノード グループを形成することができます。ノード グループのいずれかのノードで障害が発生した場合、その他のノードは障害を検出し、URL にリダイレクトされたセッションをリセットします。
ノード障害を検出し、障害が発生したノードで URL がリダイレクトされたすべてのセッションをリセットするために、2 つ以上のポリシー サービス ノードを同じノード グループに配置できます。ノード グループに属しているノードがダウンすると、同じノード グループの別のノードが、障害が発生したノードで URL がリダイレクトされたすべてのセッションに関する許可変更(CoA)を発行します。
同じノード グループ内のすべてのノードが、ネットワーク アクセス デバイス(NAD)で RADIUS クライアントとして設定され、CoA の許可を得る必要があります。これは、それらすべてのノードで、ノード グループ内の任意のノードを介して確立されたセッションに関する CoA 要求を発行できるためです。ロード バランサを使用していない場合、ノード グループ内のノードは、NAD で設定されている RADIUS サーバおよびクライアントと同じであるか、またはこれらのサブセットである必要があります。これらのノードは RADIUS サーバとしても設定できます。
多数の ISE ノード(RADIUS サーバおよび動的許可クライアントとして)を持つ単一の NAD を設定できますが、すべてのノードが同じノード グループに属している必要はありません。
ノード グループのメンバーは、ギガビット イーサネットなどの高速 LAN 接続を使用して相互に接続する必要があります。ノード グループのメンバーは L2 隣接関係である必要はありませんが、十分な帯域幅と到達可能性を確保するには L2 隣接関係が強く推奨されます。詳細については、ポリシー サービス ノード グループの作成 の項を参照してください。
展開内に複数のポリシー サービス ノードがある場合、ロード バランサを使用して要求を均等に分散できます。ロード バランサは、その背後にある機能ノードに要求を分散します。ロード バランサの背後に PSN を展開する詳細とベスト プラクティスについては、『Cisco and F5 Deployment Guide: ISE Load Balancing using BIG-IP』を参照してください。
アクティブな URL にリダイレクトされたセッションがあるポリシー サービス ノードがダウンすると、エンドポイントが中間状態となります。リダイレクト エンドポイントが通信していたポリシー サービス ノードのダウンを検出した場合でも、許可を再開することはできません。
ポリシー サービス ノードがノード グループに属している場合は、ノード グループ内のノード間でハートビート メッセージが交換され、ノードの障害が検出されます。ノードに障害が発生した場合、ノード グループのピアの 1 つによって、障害が発生したノードのアクティブな URL にリダイレクトされたセッションが学習され、それらのセッションへの接続を解除するための CoA が発行されます。
その結果、同じノード グループで使用可能な別のポリシー サービス ノードによって、セッションが処理されます。セッション フェールオーバーでは、ダウンしたポリシー サービス ノードから使用可能なポリシー サービス ノードにセッションが自動的に移動しませんが、セッションを移動するための CoA が発行されます。
分散展開のポリシー サービス ノードは、マシン アクセス制限(MAR)キャッシュを相互に共有しません。Cisco ISE で MAR 機能を有効にしていて、クライアント マシンが障害が発生したポリシー サービス ノードによって認証される場合は、展開内の別のポリシー サービス ノードがユーザ認証を処理します。ただし、2 番目のポリシー サービス ノードでは、その MAR キャッシュにホスト認証情報がないため、ユーザ認証が失敗します。
ノード グループに含めることができるノードの数は、展開要件によって異なります。ノード グループを使用すると、確実に、ノードの障害が検出され、許可されたがポスチャされていないセッションに関する CoA がピアによって発行されます。ノード グループのサイズはあまり大きくする必要はありません。
ノード グループのサイズが増加すると、ノード間で交換されるメッセージおよびハートビートの数が大幅に増加します。その結果、トラフィックも増加します。ノード グループ内のノードの数を少なくすることで、トラフィックを削減でき、同時にポリシー サービス ノードの障害を検出するのに十分な冗長性が提供されます。
モニタリング ペルソナの機能を持つ Cisco ISE ノードがログ コレクタとして動作し、ネットワーク内のすべての管理およびポリシー サービス ノードからのログ メッセージを保存します。このペルソナは、ネットワークとリソースを効果的に管理するために使用できる高度な監視およびトラブルシューティング ツールを提供します。このペルソナのノードは、収集するデータを集約して関連付けて、意味のある情報をレポートの形で提供します。
Cisco ISE では、プライマリ ロールまたはセカンダリ ロールを担うことができるこのペルソナを持つノードを最大 2 つ使用してハイ アベイラビリティを実現できます。プライマリ モニタリング ノードおよびセカンダリ モニタリング ノードの両方で、ログ メッセージを収集します。プライマリ モニタリング ノードがダウンした場合は、セカンダリ モニタリング ノードが自動的にプライマリ モニタリング ノードになります。
分散セットアップでは、少なくとも 1 つのノードが監視ペルソナを担当する必要があります。同じ Cisco ISE ノードで、モニタリング ペルソナとポリシー サービス ペルソナを有効にしないことを推奨します。最適なパフォーマンスを実現するために、ノードをモニタリング専用とすることを推奨します。
モニタリング ノードでは真の意味でハイ アベイラビリティがサポートされていないため、自動フェールオーバーという用語が使用されます。モニタリング ノードの場合、操作監査データはポリシー サービス ノードによって複製されます。ポリシー サービス ノードは、コピーをプライマリ モニタリング ノードとセカンダリ モニタリング ノードの両方に送信します。
(注) | モニタリングは、プライマリ(アクティブ)モニタリング ノードで行われます。アクティブ ノードがダウンした場合、モニタリング データは、セカンダリ(スタンバイ)モニタリング ノードからのみ提供されます。セカンダリ モニタリング ノードは読み取り専用です。 |
プライマリ モニタリング ノードがダウンした場合は、セカンダリ モニタリング ノードがすべてのモニタリング情報およびトラブルシューティング情報を引き継ぎます。セカンダリ ノードは、読み取り専用機能を提供します。
既存のセカンダリ ノードをアクティブなプライマリ ノードに変換するには、管理者は初めに手動でセカンダリ ノードをプライマリ ロールに昇格する必要があります。セカンダリ ノードが昇格された後にプライマリ ノードが復旧した場合、プライマリ ノードはセカンダリ ロールを担当します。セカンダリ ノードが昇格されなかった場合、プライマリ モニタリング ノードは、復旧後にそのロールを再開します。
注意 | プライマリ ノードがフェールオーバー後に復旧すると、バックアップを取得してデータを復元し、プライマリ ノードを最新の状態にします。 |
ISE ネットワークでは 2 つのモニタリング ノードを指定して、アクティブ/スタンバイ ペアを作成できます。セカンダリ モニタリング ノードを登録する場合は、プライマリ モニタリング ノードをバックアップしてから、新しいセカンダリ モニタリング ノードにデータを復元することを推奨します。これにより、新しい変更内容が複製されるため、プライマリ モニタリング ノードの履歴が新しいセカンダリ ノードと同期状態となります。アクティブ-スタンバイ ペアを定義すると、次のルールが適用されます。
次のシナリオは、モニタリング ノード数に応じてアクティブ/スタンバイまたは単一ノード構成に適用されます。
モニタリング ノードのアクティブ/スタンバイ構成では、プライマリ管理ノード(PAN)は、常にアクティブ モニタリング ノードに接続してモニタリング データを収集します。アクティブなモニタリング ノードに障害が発生した後に、PAN はスタンバイ モニタリング スタンバイ ノードに接続します。アクティブなモニタリング ノードからスタンバイ モニタリング ノードへのフェールオーバーは、アクティブなモニタリング ノードのダウンから 5 分以上経過した後に行われます。
ただし、アクティブ ノードに障害が発生した後に、スタンバイ ノードはアクティブ ノードになりません。アクティブ ノードが復旧すると、管理ノードは再開されたアクティブ ノードからのモニタリング データの収集を再び開始します。
アクティブなモニタリング ノードがダウンしている間に、スタンバイ モニタリング ノードをアクティブ ステータスに昇格する場合は、既存のアクティブ モニタリング ノードを登録解除する必要があります。既存のアクティブ モニタリング ノードを登録解除すると、スタンバイ ノードがアクティブなモニタリング ノードになり、PAN は新しく昇格されたアクティブ ノードに自動的に接続を開始します。
アクティブ/スタンバイ ペアでは、展開からスタンバイ モニタリング ノードの登録解除を選択するか、スタンバイ モニタリング ノードがダウンすると、既存のアクティブ モニタリング ノードは、アクティブ ノードの状態を保持します。PAN は、既存のアクティブ ノードに接続してデータを収集します。
ISE 展開内にモニタリング ノードが 1 つだけ存在する場合、そのノードは PAN にモニタリング データを提供するアクティブ モニタリング ノードとして機能します。ただし、新しいモニタリング ノードを登録して展開内でアクティブ ノードにすると、既存のアクティブ モニタリング ノードは自動的にスタンバイ ノードになります。PAN は、新しく登録されたアクティブ モニタリング ノードへの接続を開始し、モニタリング データを収集します。
Cisco pxGrid を使用すると、Cisco ISE セッション ディレクトリからの状況依存情報を、ISE エコ システムのパートナー システムなどの他のネットワーク システムや他のシスコ プラットフォームと共有できます。また、pxGrid フレームワークは、Cisco ISE とサード パーティのベンダー間でのタグおよびポリシー オブジェクトの共有のように、ノード間でのポリシーおよび設定データの交換に使用でき、その他の情報交換にも使用できます。また、pxGrid では、サードパーティ システムが適応型ネットワーク制御アクション(EPS)を起動して、ネットワーク イベントまたはセキュリティ イベントに応答してユーザ/デバイスを隔離できます。タグ定義、値、および説明のような TrustSec 情報は、TrustSec トピックを通して Cisco ISE から別のネットワークに渡すことができます。完全修飾名(FQN)を持つエンドポイント プロファイルは、エンドポイント プロファイル メタ トピックを通して Cisco ISE から他のネットワークに渡すことができます。Cisco pxGrid は、タグおよびエンドポイント プロファイルの一括ダウンロードもサポートしています。
pxGrid 経由で SXP バインディング(IP-SGT マッピング)を発行および受信登録できます。SXP バインディングの詳細については、セキュリティ グループ タグの交換プロトコル を参照してください。
ハイ アベイラビリティ設定で、Cisco pxGrid サーバは、PAN を通してノード間で情報を複製します。PAN がダウンすると、pxGrid サーバは、クライアントの登録およびサブスクリプション処理を停止します。pxGrid サーバの PAN をアクティブにするには、手動で昇格する必要があります。[pxGrid サービス(pxGrid Services)] ページ([管理(Administration)] > [pxGrid サービス(pxGrid Services)])を調べ、pxGrid ノードが現在アクティブであるか、スタンバイ状態であるかを確認できます。
セカンダリ pxGrid ノードへの自動フェールオーバーが開始された後、元のプライマリ pxGrid ノードがネットワークに戻された場合、元のプライマリ pxGrid ノードは引き続きセカンダリ ロールを持ち、現在のプライマリ ノードがダウンしない限り、プライマリ ロールに昇格されません。
(注) | 時々、元のプライマリ pxGrid ノードがプライマリ ロールに自動的に昇格されることがあります。 |
ハイ アベイラビリティ展開では、プライマリ pxGrid ノードがダウンすると、セカンダリ pxGrid ノードに切り替えるのに約 3 ~ 5 分かかることがあります。プライマリ pxGrid ノードに障害が発生した場合は、キャッシュ データを消去する前に、クライアントはスイッチオーバーが完了するまで待機することを推奨します。
pxGrid ノードでは、次のログを使用できます。
pxgrid.log:状態変更通知。
pxgrid-cm.log:パブリッシャ/サブスクライバおよびクライアントとサーバ間のデータ交換アクティビティの更新。
pxgrid-controller.log:クライアント機能、グループ、およびクライアント許可の詳細を表示します。
pxgrid-jabberd.log:システムの状態と認証に関連するすべてのログ。
pxgrid-pubsub.log:パブリッシャとサブスクライバのイベントに関する情報。
(注) | ノードで pxGrid サービスが無効になっている場合、ポート 5222 はダウンしますが、(Web クライアントで使用される)ポート 8910 は機能し、引き続き要求に応答します。 |
(注) | Base ライセンスを使用して pxGrid を有効にできますが、pxGrid ペルソナを有効にするには Plus ライセンスが必要です。また、 のアップグレード ライセンスを最近インストールしている場合には、Base インストールで特定の拡張 pxGrid サービスが使用可能である可能性があります。 |
(注) | パッシブ ID ワーク センターを使用するには pxGrid を定義する必要があります。詳細については、PassiveID ワーク センターを参照してください。 |
Cisco ISE に接続するクライアントは、pxGrid サービスを使用するには登録が必要です。pxGrid クライアントは、クライアントになるために pxGrid SDK を介してシスコから使用可能な pxGrid クライアント ライブラリを採用する必要があります。Cisco pxGrid クライアントには、pxGrid サービスに参加するための承認済みアカウントが必要です。Cisco ISE は、自動および手動承認の両方をサポートします。クライアントは、一意の名前と証明書ベースの相互認証を使用して pxGrid にログインできます。スイッチの AAA 設定と同様に、クライアントは設定された pxGrid サーバのホスト名または IP アドレスに接続できます。
公開および登録するためにクライアントの pxGrid で作成される、情報トピックまたはチャネル機能があります。Cisco ISE では、ID、適応型ネットワーク制御、SGA などの機能のみがサポートされます。クライアントが新しい機能を作成すると、その機能は
に表示されます。機能は個別に有効または無効にできます。機能情報は、発行、ダイレクト クエリー、または一括ダウンロード クエリーでパブリッシャから入手してください。(注) | pxGrid セッション グループが EPS グループの一部であるため、EPS ユーザ グループに割り当てられたユーザはセッション グループで操作を実行できます。ユーザが EPS グループに割り当てられると、ユーザは pxGrid クライアントのセッションのグループに加入できます。 |
[ライブ ログ(Live Logs)] ページには、すべての pxGrid 管理イベントが表示されます。イベント情報には、クライアント名と機能名、およびイベント タイプとタイムスタンプが含まれています。
の順に移動して、イベント リストを表示します。ログを消去して、リストを再同期またはリフレッシュすることもできます。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
[pxGrid の設定(pxGrid Settings )] ページで [テスト(Test)] オプションを使用して、pxGrid ノードでヘルス チェックを実行します。pxgrid/pxgrid-test.log ファイルで詳細を確認できます。
複数の Cisco ISE ノードがある展開は、分散展開と呼ばれます。フェールオーバーをサポートし、パフォーマンスを改善するために、展開に複数の Cisco ISE ノードを分散方式でセットアップできます。Cisco ISE の分散展開では、管理およびモニタリング アクティビティは一元化され、処理はポリシー サービス ノード間で分配されます。パフォーマンスのニーズに応じて、導入環境の規模を変更できます。展開の各 Cisco ISE ノードは、管理、ポリシー サービス、およびモニタリングのペルソナのいずれかを担当することができます。
『Cisco Identity Services Engine Hardware Installation Guide』で説明されているように Cisco ISE をすべてのノードにインストールした後、ノードはスタンドアロン状態で稼働します。次に、1 つのノードをプライマリ PAN として定義する必要があります。プライマリ PAN の定義時に、そのノードで管理ペルソナおよびモニタリング ペルソナを有効にする必要があります。任意で、プライマリ PAN でポリシー サービス ペルソナを有効にできます。プライマリ PAN のペルソナ定義のタスクの完了後に、他のセカンダリ ノードをプライマリ PAN に登録し、セカンダリ ノードのペルソナを定義できます。
すべての Cisco ISE システムおよび機能に関連する設定は、プライマリ PAN でだけ実行する必要があります。プライマリ PAN で行った設定の変更は、展開内のすべてのセカンダリ ノードに複製されます。
分散展開内にモニタリング ノードが少なくとも 1 つ存在する必要があります。プライマリ PAN の設定時に、モニタリング ペルソナを有効にする必要があります。展開内のモニタリング ノードを登録した後、必要に応じてプライマリ PAN を編集したり、モニタリング ペルソナを無効にしたりできます。
1 つの Cisco ISE ノードをセカンダリ ノードとして登録すると、Cisco ISE はプライマリ ノードからセカンダリ ノードへのデータ レプリケーション チャネルをすぐに作成し、複製のプロセスを開始します。複製は、プライマリ ノードからセカンダリ ノードに Cisco ISE 設定データを共有するプロセスです。複製によって、展開を構成するすべての Cisco ISE ノードの設定データの整合性を確実に維持できます。
通常、最初に ISE ノードをセカンダリ ノードとして登録したときに、完全な複製が実行されます。完全な複製の実行後は差分複製が実行され、PAN での設定データに対する新しい変更(追加、変更、削除など)がセカンダリ ノードに反映されます。複製のプロセスでは、展開内のすべての Cisco ISE ノードが同期されます。Cisco ISE 管理者ポータルの展開のページから [ノード ステータス(Node Status)] 列で複製のステータスを表示できます。セカンダリ ノードとして Cisco ISE ノードを登録するか、または PAN との手動同期を実行すると、要求されたアクションが進行中であることを示すオレンジのアイコンがノード ステータスに表示されます。これが完了すると、ノード ステータスは、セカンダリ ノードが PAN と同期されたことを示す緑に変わります。
展開からノードを削除するには、ノードの登録を解除する必要があります。プライマリ PAN からセカンダリ ノードの登録を解除すると、登録解除されたノードのステータスがスタンドアロンに変わり、プライマリ ノードとセカンダリ ノード間の接続が失われます。複製の更新は、登録解除されたスタンドアロン ノードに送信されなくなります。
PSN の登録が取り消されると、エンドポイント データは失われます。スタンドアロン ノードになった後も PSN にエンドポイント データを残すには、以下のいずれかを実行します。
プライマリ PAN からバックアップを取得し、PSN がスタンドアロン ノードになったときに、このデータ バックアップを復元します。
PSN のペルソナを管理者(セカンダリ PAN)に変更し、管理者ポータルの展開ページからデータを同期してから、ノードを登録解除します。この時点で、このノードに、すべてのデータがあります。この後、既存の展開にセカンダリ管理ノードを追加できます。
(注) |
分散環境で Cisco ISE を設定する前に、次の内容をよく読んでください。
ノード タイプ、ISE ノード、を選択します。管理、ポリシー サービス、およびモニタリング機能の場合は、ISE ノードを選択する必要があります。
すべてのノードで、同じ Network Time Protocol(NTP)サーバを選択します。ノード間のタイムゾーンの問題を回避するには、各ノードのセットアップ中に同じ NTP サーバ名を指定する必要があります。この設定で、展開内にあるさまざまなノードからのレポートとログが常にタイムスタンプで同期されるようになります。
Cisco ISE のインストール時に Cisco ISE 管理パスワードを設定します。以前の Cisco ISE 管理のデフォルトのログイン クレデンシャル(admin/cisco)は無効になっています。初期セットアップ中に作成したユーザ名とパスワードを使用するか、または後でパスワードを変更した場合はそのパスワードを使用します。
ドメイン ネーム システム(DNS)サーバを設定します。DNS サーバに、分散展開に含まれるすべての Cisco ISE ノードの IP アドレスと完全修飾ドメイン名(FQDN)を入力します。解決できない場合は、ノード登録が失敗します。
(任意)プライマリ PAN からセカンダリ Cisco ISE ノードを登録解除して、Cisco ISE をアンインストールします。
プライマリ モニタリング ノードをバックアップし、新しいセカンダリ モニタリング ノードにデータを復元します。これにより、新しい変更内容が複製されるため、プライマリ モニタリング ノードの履歴が新しいセカンダリ ノードと同期状態となります。
プライマリ PAN と、セカンダリ ノードとして登録しようとしているスタンドアロン ノードで、同じバージョンの Cisco ISE が実行されていることを確認します。
Cisco ISE ノードは、タスクの実行に使用できる管理者ポータルを提供します。分散展開を構成する Cisco ISE ノードで使用可能なメニュー オプションは、ノードで有効なペルソナによって異なります。すべての管理およびモニタリング アクティビティは、プライマリ PAN を介して実行する必要があります。一部のタスクについては、セカンダリ ノードを使用する必要があります。このため、セカンダリ ノードのユーザ インターフェイスでは、ノードで有効なペルソナに基づく限定されたメニュー オプションが提供されます。
1 つのノードが、ポリシー サービス ペルソナとアクティブ ロールのモニタリング ペルソナを担当するなど、複数のペルソナを担当する場合、ポリシー サービス ノードおよびアクティブ モニタリング ノードにリストされているメニュー オプションがそのノードで使用可能となります。
次の表に、それぞれのペルソナを担当する Cisco ISE ノードで使用可能なメニュー オプションを示します。
Active Directory 接続への参加、脱退、およびテストを行うオプション。各ポリシー サービス ノードが別個に Active Directory ドメインに参加している必要があります。最初にドメイン情報を定義し、PAN を Active Directory ドメインに参加させる必要があります。次に、他のポリシー サービス ノードを Active Directory ドメインに個別に参加させます。 |
|||
セカンダリ PAN をプライマリ PAN に昇格させるオプション。
|
Cisco ISE ノードをインストールすると、管理ペルソナ、ポリシー サービス ペルソナ、およびモニタリング ペルソナによって提供されるすべてのデフォルト サービスがそのノードで実行されます。このノードはスタンドアロン状態となります。Cisco ISE ノードの管理者ポータルにログインして設定する必要があります。スタンドアロン Cisco ISE ノードのペルソナまたはサービスは編集できません。ただし、プライマリおよびセカンダリ Cisco ISE ノードのペルソナおよびサービスは編集できます。最初にプライマリ ISE ノードを設定し、その後、セカンダリ ISE ノードをプライマリ ISE ノードに登録する必要があります。
ノードに初めてログインする場合は、デフォルトの管理パスワードを変更し、有効なライセンスをインストールする必要があります。
設定済みの Cisco ISE または本番環境では、ホスト名とドメイン名を変更しないことを推奨します。これが必要な場合は、初期展開時にアプライアンスのイメージを再作成し、変更を加え、詳細を設定します。
Cisco ISE での分散展開の設定方法に関する基礎を理解しておく必要があります。分散展開を設定する場合のガイドラインを参照してください。
ISE ノードをプライマリ PAN に登録して、マルチノード展開を形成することができます。プライマリ PAN 以外の展開内のノードは、セカンダリ ノードと呼ばれます。ノードを登録する際に、ノード上で有効にする必要があるペルソナとサービスを選択できます。登録されたノードは、プライマリ PAN から管理することができます(たとえば、ノードのペルソナ、サービス、証明書、ライセンス、パッチの適用などの管理)。
ノードが登録されると、プライマリ PAN は設定データをセカンダリ ノードにプッシュし、セカンダリ ノード上のアプリケーション サーバが再起動します。これが完了すると、プライマリ PAN で行われた設定の追加変更がセカンダリ ノードに複製されます。セカンダリ ノードで変更が複製されるのにかかる時間は、ネットワーク遅延、システムへの負荷などのさまざまな要因によって決まります。
プライマリ PAN と登録されているノードが相互に DNS 解決可能であることを確認します。登録されているノードが信頼できない自己署名証明書を使用している場合は、証明書の詳細が記載された証明書の警告がプロンプト表示されます。証明書を受け入れると、プライマリ PAN の信頼できる証明書ストアに追加され、ノードとの TLS 通信が可能になります。ノードが自己署名されていない証明書(たとえば外部 CA によって署名された証明書)を使用している場合、そのノードの関連する証明書チェーンをプライマリ PAN の信頼できる証明書ストアに手動でインポートする必要があります。信頼できる証明書ストアにセカンダリ ノードの証明書をインポートする場合は、セカンダリ ノードの証明書を検証するように PAN の [ISE 内の認証用に信頼する(Trust for Authentication within ISE)] チェックボックスをオンにします。
セッション サービスが有効になっているノード(ネットワーク アクセス、ゲスト、ポスチャなど)を登録する場合は、それをノード グループに追加できます。同じノード グループに属するノードはセッション情報を共有するため、高い可用性とフェイルオーバー機能が提供されます。
ステップ 1 | プライマリ PAN にログインします。 |
ステップ 2 | を選択します。 |
ステップ 3 | [登録(Register)] をクリックして、セカンダリ ノードの登録を開始します。 |
ステップ 4 | 登録するスタンドアロン ノードの DNS 解決可能な完全修飾ドメイン名(FQDN)を入力します(hostname.domain-name の形式(たとえば、abc.xyz.com))。プライマリ PAN の FQDN と登録されているノードは、互いに解決可能でなければなりません。 |
ステップ 5 | [ユーザ名(Username)] フィールドおよび [パスワード(Password)] フィールドに、セカンダリ ノードの UI ベースの管理者クレデンシャルを入力します。 |
ステップ 6 | [Next] をクリックします。
プライマリ PAN は、登録されているノードを使用して TLS 通信を(初めて)確立しようとします。
|
ステップ 7 | ノード上で有効にするペルソナとサービスを選択し、[保存(Save)] をクリックします。 |
ノードが登録されると、プライマリ PAN でアラーム(ノードが展開に追加されたことを確認するアラーム)が生成されます。このアラームは [アラーム(Alarms)] ページで表示できます。登録済みノードを同期して再起動したら、プライマリ PAN で使用されているのと同じクレデンシャルを使用してセカンダリ ノードの GUI にログインできます。
次の作業
[展開ノード(Deployment Nodes)] ページで、展開を構成するすべての Cisco ISE ノード、プライマリ ノードおよびセカンダリ ノードを表示できます。
Cisco ISE の設定に変更を加えることができるのは、プライマリ PAN からのみです。設定変更はすべてのセカンダリ ノードに複製されます。何らかの理由でこの複製が正しく実行されない場合は、プライマリ PAN に手動でセカンダリ PAN を同期できます。
[同期ステータス(Sync Status)] が [同期していない(Out of Sync)] に設定されている場合や [複製ステータス(Replication Status)] が [失敗(Failed)] または [無効(Disabled)] の場合は、[同期を更新(Syncup)] ボタンをクリックして完全複製を強制的に実行する必要があります。
2 つ以上のポリシー サービス ノード(PSN)が同じ高速ローカル エリア ネットワーク(LAN)に接続されている場合は、同じノード グループに配置することを推奨します。この設計は、グループにローカルの重要度が低い属性を保持し、ネットワークのリモート ノードに複製される情報を減らすことによって、エンドポイント プロファイリング データのレプリケーションを最適化します。ノード グループ メンバーは、ピア グループ メンバーの可用性もチェックします。グループがメンバーに障害が発生したことを検出すると、障害が発生したノードの URL にリダイレクトされたすべてのセッションをリセットし、回復することを試行します。
(注) | すべての PSN を同じノード グループの同じローカル ネットワークの部分に置くことを推奨します。PSN は、同じノード グループに参加するために負荷分散クラスタの一部である必要はありません。ただし、負荷分散クラスタの各ローカル PSN は通常同じノード グループに属している必要があります。 |
ノード グループにメンバーとして PSN を追加する前に、最初にノード グループを作成する必要があります。管理者ポータルの [展開(Deployment)] ページで、ポリシー サービス ノード グループを作成、編集、および削除できます。
ステップ 1 | を選択します。 |
ステップ 2 | [アクション(action)] アイコンをクリックし、[ノード グループの作成(Create Node Group)] をクリックします。 |
ステップ 3 | ノード グループに付ける一意の名前を入力します。 |
ステップ 4 | (任意)ノード グループの説明を入力します。 |
ステップ 5 | [MAR キャッシュ分散の有効化(Enable MAR Cache Distribution)] チェックボックスをオンにし、その他のオプションを入力します。このオプションを有効にする前に、[Active Directory] ページで MAR が有効になっていることを確認してください。 |
ステップ 6 | [送信(Submit)] をクリックして、ノード グループを保存します。 |
ノード グループを保存すると、左側のナビゲーション ペインにそのグループが表示されます。左側のペインにノード グループが表示されていない場合、そのグループは非表示になっている可能性があります。非表示オブジェクトを表示するには、ナビゲーション ペインで [展開(Expand)] ボタンをクリックします。
次の作業
ノード グループにノードを追加します。ノードを編集するには、[ノード グループのメンバー(Member of Node Group)] ドロップダウン リストからノード グループを選択します。
ステップ 1 | を選択します。 |
ステップ 2 | [展開ノード(Deployment Nodes)] ページで、pxGrid サービスを有効にするノードの隣にあるチェックボックスをオンにし、[編集(Edit)] をクリックします。 |
ステップ 3 | [全般設定(General Settings)] タブをクリックし、[pxGrid] チェックボックスをオンにします。 |
ステップ 4 | [保存(Save)] をクリックします。
以前のバージョンからアップグレードするとき、[保存(Save)] オプションが無効になる場合があります。このことは、ブラウザ キャッシュが旧バージョンの Cisco ISE の古いファイルを参照する場合に発生します。[保存(Save)] オプションを有効にするには、ブラウザ キャッシュを消去します。 |
プライマリ PAN が失敗し、PAN の自動フェールオーバーを設定していないした場合は、セカンダリ PAN を新しいプライマリ PAN に手動で昇格させる必要があります。
プライマリ PAN に昇格するように管理ペルソナで設定された 2 番目の Cisco ISE ノードがあることを確認します。
元はプライマリ PAN であったノードが復帰した場合は、自動的にレベル下げされ、セカンダリ PAN になります。セカンダリ ノードの [ノードの編集(Edit Node)] ページでは、オプションが無効なためペルソナまたはサービスを変更できません。変更を加えるには、管理者ポータルにログインする必要があります。
自動フェールオーバー機能をイネーブルにするには、分散セットアップで少なくとも 2 つのノードが管理ペルソナを引き継ぎ、1 つのノードが非管理ペルソナを引き継ぐようにします。
ステップ 1 | プライマリ PAN のユーザ インターフェイスにログインします。 |
ステップ 2 | の順に選択します。 |
ステップ 3 | プライマリ PAN の自動フェールオーバーをイネーブルにするには、[PAN の自動フェールオーバーを有効にする(Enable PAN Auto Failover)] チェックボックスをオンにします。
セカンダリ PAN をプライマリ PAN に昇格させることしかできません。ポリシー サービス ペルソナ、モニタリング ペルソナ、または pxGrid ペルソナ、あるいはそれらの組み合わせのみを担当する Cisco ISE ノードはプライマリ PAN に昇格できません。 |
ステップ 4 | 使用可能なすべてのセカンダリ ノードを含む [プライマリ ヘルス チェック ノード(Primary Health Check Node)] ドロップダウン リストから、プライマリ PAN のヘルス チェック ノードを選択します。
このノードは、プライマリ PAN と同じロケーションまたはデータセンターに置くことを推奨します。 |
ステップ 5 | 使用可能なすべてのセカンダリ ノードを含む [セカンダリ ヘルス チェック ノード(Secondary Health Check Node)] ドロップダウン リストから、セカンダリ PAN のヘルス チェック ノードを選択します。
このノードは、セカンダリ PAN と同じロケーションまたはデータセンターに置くことを推奨します。 |
ステップ 6 | 管理ノードのステータスがチェックされるまでの [ポーリング間隔(Polling Interval)] 時間を指定します。有効な範囲は 30 ~ 300 秒です。 |
ステップ 7 | [フェールオーバーの前に障害が発生したポール数(Number of Failure Polls before Failover)] の数を指定します。
フェールオーバーは、管理ノードのステータスが障害が発生したポール数として指定された数に対して良好でない場合に発生します。有効な範囲は 2 ~ 60 です。 |
ステップ 8 | [保存(Save)] をクリックします。 |
セカンダリ PAN のプライマリ PAN へのプロモーション後に、次の操作を実行します。
展開に 2 つのモニタリング ISE ノードがある場合は、自動フェールオーバーのプライマリ-セカンダリ ペアを設定して、Cisco ISE モニタリング サービスのダウンタイムを回避します。プライマリ-セカンダリ ペアによって、プライマリ ノードに障害が発生した場合に、セカンダリ モニタリング ノードが自動的にモニタリングを提供します。
自動フェールオーバー用のモニタリング ノードを設定するには、モニタリング ノードが Cisco ISE ノードとして登録されている必要があります。
両方のノードでモニタリング ロールおよびサービスを設定し、必要に応じてこれらのノードにプライマリ ロールおよびセカンダリ ロールの名前を付けます。
プライマリ モニタリング ノードとセカンダリ モニタリング ノードの両方でバックアップとデータ消去用のリポジトリを設定します。バックアップおよび消去を正しく動作させるには、両方のノードに同じリポジトリを使用します。消去は、冗長ペアのプライマリ ノードおよびセカンダリ ノードの両方で行われます。たとえば、プライマリ モニタリング ノードでバックアップおよび消去用に 2 つのリポジトリが使用されている場合、同じリポジトリをセカンダリ ノードに指定する必要があります。
システム CLI の repository コマンドを使用してモニタリング ノードのデータ リポジトリを設定します。
注意 | スケジュール バックアップと消去をモニタリング冗長ペアのノードで正しく動作させるには、CLI を使用して、プライマリ ノードとセカンダリ ノードの両方で同じリポジトリを設定します。リポジトリは、2 つのノードの間で自動的に同期されません。 |
Cisco ISE ダッシュボードで、モニタリング ノードの準備ができていることを確認します。[システム概要(System Summary)] ダッシュレットに、サービスが準備完了の場合は左側に緑色のチェック マークが付いたモニタリング ノードが表示されます。
ステップ 1 | を選択します。 |
ステップ 2 | [展開ノード(Deployment Nodes)] ページで、アクティブとして指定するモニタリング ノードの隣にあるチェックボックスをオンにし、[編集(Edit)]Editをクリックします。 |
ステップ 3 | [全般設定(General Settings)] タブをクリックし、[ロール(Role)] ドロップダウン リストから [プライマリ(Primary)] を選択します。
1 つのモニタリング ノードをプライマリとして選択すると、もう 1 つのモニタリング ノードが自動的にセカンダリとなります。スタンドアロン展開の場合、プライマリおよびセカンダリのロール設定は無効になります。 |
ステップ 4 | [保存(Save)]Saveをクリックします。アクティブ ノードおよびスタンバイ ノードが再起動します。 |
展開からノードを削除するには、ノードの登録を解除する必要があります。登録解除されたノードは、スタンドアロン Cisco ISE ノードになります。
これはプライマリ PAN から受信した最後の設定を保持し、管理、ポリシー サービス、およびモニタリングであるスタンドアロン ノードのデフォルトのペルソナを担当します。モニタリング ノードを登録解除した場合、このノードは syslog ターゲットではなくなります。
プライマリ PSN の登録が取り消されると、エンドポイント データは失われます。スタンドアロン ノードになった後も PSN にエンドポイント データを残すには、以下のいずれかを実行します。
プライマリ PAN からバックアップを取得し、PSN がスタンドアロン ノードになったときに、このデータ バックアップを復元します。
PSN のペルソナを管理者(セカンダリ PAN)に変更し、管理者ポータルの展開ページからデータを同期してから、ノードを登録解除します。この時点で、このノードに、すべてのデータがあります。この後、既存の展開にセカンダリ PAN を追加できます。
プライマリ PAN の [展開(Deployment)] ページからこれらの変更を表示できます。ただし、変更が反映され、[展開(Deployment)] ページに表示されるには 5 分間の遅延が生じます。
展開からセカンダリ ノードを削除する前に、必要に応じて後で復元できる Cisco ISE 設定のバックアップを実行します。
スタンドアロン Cisco ISE ノードのホスト名、IP アドレス、またはドメイン名を変更できます。ノードのホスト名として「localhost」を使用することはできません。
Cisco ISE ノードが分散展開の一部である場合、展開から削除し、スタンドアロン ノードであることを確認する必要があります。
ステップ 1 | Cisco ISE CLI から hostname、ip address、ip domain-name の各コマンドを使用して Cisco ISE ノードのホスト名または IP アドレスを変更します。 | ||
ステップ 2 | すべてのサービスを再起動するために、Cisco ISE CLI から application stop ise コマンドを使用して Cisco ISE アプリケーション設定をリセットします。 | ||
ステップ 3 | Cisco ISE ノードは、分散 展開の一部である場合、プライマリ PAN に登録します。
セカンダリ ノードとして Cisco ISE ノードを登録した後、プライマリ PAN は IP アドレス、ホスト名、またはドメイン名への変更を展開内の他の Cisco ISE ノードに複製します。 |
Cisco ISE アプライアンス ハードウェアは、ハードウェアに問題がある場合にのみ交換する必要があります。ソフトウェアに問題がある場合は、アプリケーションのイメージを再作成し、Cisco ISE ソフトウェアを再インストールできます。
ステップ 1 | 新しいノードで Cisco ISE ソフトウェアを再インストールするか、またはイメージを再作成します。 |
ステップ 2 | プライマリおよびセカンダリ PAN の UDI を使用してライセンスを取得し、プライマリ PAN にインストールします。 |
ステップ 3 | 置き換えられたプライマリ PAN でバックアップを復元します。 復元スクリプトはセカンダリ PAN でデータの同期を試行しますが、現在セカンダリ PAN はスタンドアロン ノードであり、同期は失敗します。データは、プライマリ PAN でバックアップが実行された時刻に設定されます。 |
ステップ 4 | 新しいノードをセカンダリ サーバとしてプライマリ PAN に登録します。 |