この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco ISE では、プライマリ PAN とモニタリング ノードからデータをバックアップすることができます。バックアップは CLI またはユーザ インターフェイスから実行できます。
Cisco ISE では次のタイプのデータのバックアップが可能です。
設定データ:アプリケーション固有および Cisco ADE オペレーティング システム両方の設定データが含まれます。バックアップは、GUI または CLI を使用してプライマリ PAN を介して実行できます。
運用データ:モニタリングおよびトラブルシューティング データが含まれます。バックアップは、プライマリ PAN GUI を介して、またはモニタリング ノードの場合は CLI を使用して実行できます。
Cisco ISE が VMware で実行されている場合、ISE データをバックアップするのに、VMware スナップショットはサポートされていません。
(注) | Cisco ISE は、ISE データのバックアップ用の VMware スナップショットをサポートしていません。これは、VMware スナップショットが特定の時点で VM のステータスを保存するためです。マルチノード Cisco ISE 環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。シスコは、データのバックアップおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。 VMware スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。 |
復元操作は、以前のバージョンの Cisco ISE のバックアップ ファイルを使用して実行でき、以降のバージョンで復元できます。たとえば、Cisco ISE リリース 1.3 または 1.4 からの ISE ノードのバックアップがある場合、そのバックアップを Cisco ISE リリース 2.1 で復元できます。
Cisco ISE リリース 2.2 は、リリース 1.4 以降から取得したバックアップからの復元をサポートしています。
Cisco ISE では管理者ポータルを使用してリポジトリを作成および削除することができます。次のタイプのリポジトリを作成できます。
(注) |
(注) | 小規模な展開(100 個以下のエンドポイント)では、10 GB のリポジトリを、中規模の展開では 100 GB のリポジトリを、大規模な展開では 200 GB のリポジトリを用意することを推奨します。 |
リポジトリを作成するには、CLI と GUI を使用できます。次の理由により、GUI を使用することを推奨します。
キーはプライマリ PAN でのみ GUI で生成されます。このためアップグレード時に、新しいプライマリ管理ノードの GUI でキーを再生成して、SFTP サーバにエクスポートする必要があります。展開からノードを除去する場合、非管理ノードの GUI でキーを生成し、SFTP サーバにエクスポートする必要があります。
RSA 公開キー認証を使用する Cisco ISE の SFTP リポジトリを設定できます。データベースとログを暗号化するために管理者が作成したパスワードを使用する代わりに、セキュア キーを使用する RSA 公開キー認証を選択できます。RSA 公開キーを使用して作成された SFTP リポジトリの場合、GUI から作成されたリポジトリは CLI では複製されず、CLI から作成されたリポジトリは GUI では複製されません。CLI と GUI で同じリポジトリを設定するには、CLI と GUI の両方で RSA 公開キーを生成し、この両方のキーを SFTP サーバにエクスポートします。
RSA 公開キー認証を使用する SFTP リポジトリを作成する場合は、次を実行してください。
SFTP リポジトリの RSA 公開キー認証を有効にします。詳細については、SFTP リポジトリでの RSA 公開キー認証の有効化を参照してください。
crypto host_key add コマンドを使用して Cisco ISE CLI から SFTP サーバのホスト キーを入力します。ホスト キー文字列は、リポジトリの設定ページで、[パス(Path)] フィールドに入力したホスト名と一致する必要があります。
GUI でキー ペアを生成し、ローカル システムに公開キーをエクスポートします。Cisco ISE CLI から crypto key generate rsa passphrasetest123 コマンドを使用してキー ペアを生成し(この場合パスフレーズは 5 文字以上でなければなりません)、キーを任意のリポジトリ(ローカル ディスクまたは設定されているその他のリポジトリ)にエクスポートします。
エクスポートした RSA 公開キーを PKI 対応の SFTP サーバにコピーし、「authorized_keys」ファイルに追加します。
ステップ 1 | [管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [リポジトリ(Repository)] を選択します。 |
ステップ 2 | [追加(Add)] をクリックして、新しいリポジトリを追加します。 |
ステップ 3 | 新しいリポジトリのセット アップの必要に応じて値を入力します。フィールドの説明については、リポジトリの設定を参照してください。 |
ステップ 4 | [送信(Submit)] をクリックしてリポジトリを作成します。 |
ステップ 5 | 左側の [操作(Operations)] ナビゲーション ペインで [リポジトリ(Repository)] をクリックするか、このページ上部の [リポジトリ リスト(Repository List)] リンクをクリックして、リポジトリのリスト ページに移動して、リポジトリが正常に作成されていることを確認します。 |
SFTP リポジトリの RSA 公開キー認証を有効にするには、以下のステップに従います。
Cisco ISE では、プライマリ PAN およびプライマリ モニタリング ノードのオンデマンド バックアップができます。バックアップ データがすぐに必要な場合にオンデマンド バックアップを実行します。
Cisco ISE では、1 回、毎日、毎週、または毎月実行するようにシステム レベルのバックアップをスケジュールできます。バックアップ操作は長時間かかる場合がありますが、スケジュールできるため中断が発生することはありません。Cisco ISE 管理者ポータルからバックアップをスケジュールできます。
(注) | Cisco ISE リリース 1.2 にアップグレードする場合は、バックアップ ジョブのスケジュール設定を再作成する必要があります。 |
オンデマンド バックアップを実行して、即座に設定データまたはモニタリング(運用)データをバックアップすることができます。復元操作では、バックアップ取得時の設定状態に Cisco ISE が復元されます。
バックアップと復元を行う場合、復元では、ターゲット システムの信頼できる証明書のリストがソース システムの証明書のリストで上書きされます。バックアップおよび復元機能に内部認証局(CA)の証明書に関連付けられた秘密キーが含まれないことに注意することが非常に重要です。
1 つのシステムから別のシステムにバックアップと復元を行う場合は、エラーを回避するために、次のオプションのいずれかを選択する必要があります。
オプション 1:
CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲット システムに CLI を使用してインポートします。
長所:ソース システムからエンドポイントに発行されたすべての証明書が引き続き信頼されます。ターゲット システムによって発行された新しい証明書は、同じキーによって署名されます。
短所:復元機能を使用する前にターゲット システムによって発行された証明書は信頼されないため、再発行する必要があります。
オプション 2:
復元処理の後、内部 CA のすべての新しい証明書を生成します。
長所:このオプションは推奨される適切な方法です。元のソースの証明書も元のターゲットの証明書も使用されません。元のソース システムによって発行された証明書は引き続き信頼されます。
短所:復元機能の前にターゲット システムによって発行された証明書は信頼されず、再発行される必要があります。
ローカル リポジトリを使用してバックアップしないでください。リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバックアップすることはできません。
バックアップを取得する前に、すべての証明書関連の変更を実行します。
次のタスクを実行するには、スーパー管理者またはシステム管理者である必要があります。
(注) | バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。バックアップを復元するには、リポジトリを選択し、[復元(Restore)] をクリックします。 |
オンデマンド バックアップを実行して、即座に設定データまたはモニタリング(運用)データをバックアップすることができます。復元操作では、バックアップ取得時の設定状態に Cisco ISE が復元されます。
バックアップと復元を行う場合、復元では、ターゲット システムの信頼できる証明書のリストがソース システムの証明書のリストで上書きされます。バックアップおよび復元機能に内部認証局(CA)の証明書に関連付けられた秘密キーが含まれないことに注意することが非常に重要です。
1 つのシステムから別のシステムにバックアップと復元を行う場合は、エラーを回避するために、次のオプションのいずれかを選択する必要があります。
オプション 1:
CA 証明書をソース ISE ノードから CLI を使用してエクスポートし、ターゲット システムに CLI を使用してインポートします。
長所:ソース システムからエンドポイントに発行されたすべての証明書が引き続き信頼されます。ターゲット システムによって発行された新しい証明書は、同じキーによって署名されます。
短所:復元機能を使用する前にターゲット システムによって発行された証明書は信頼されないため、再発行する必要があります。
オプション 2:
復元処理の後、内部 CA のすべての新しい証明書を生成します。
長所:このオプションは推奨される適切な方法です。元のソースの証明書も元のターゲットの証明書も使用されません。元のソース システムによって発行された証明書は引き続き信頼されます。
短所:復元機能の前にターゲット システムによって発行された証明書は信頼されず、再発行される必要があります。
ローカル リポジトリを使用してバックアップしないでください。リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバックアップすることはできません。
Cisco ISE 1.1 以前のリリースから Cisco ISE 1.2 にアップグレードする場合、バックアップのスケジュールを再設定する必要があります。『Cisco Identity Services Engine Upgrade Guide, Release 1.2』の「Known Upgrade Issues」の項を参照してください。
(注) | バックアップ/復元操作では、次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。 |
CLI と GUI の両方からバックアップをスケジュールできますが、GUI から実行することを推奨します。ただし、セカンダリ モニタリング ノードの操作バックアップは、CLI からのみ実行できます。
バックアップ履歴は、スケジュールまたはオンデマンド バックアップに関する基本情報です。バックアップ履歴には、バックアップ名、バックアップ ファイルのサイズ、バックアップが保存されているリポジトリ、バックアップが取られたタイム スタンプを表示します。この情報は、操作監査レポートまたは、履歴テーブルの [バックアップ/復元(Backup and Restore)] ページから入手できます。
バックアップが失敗すると、Cisco ISE がアラームをトリガーします。バックアップ履歴ページに失敗の原因が表示されます。障害の原因は操作監査レポートにも記載されます。障害の原因が欠落しているか明確でない場合は、Cisco ISE CLI から backup-logs コマンドを実行し、ADE.log でより詳細な情報を確認できます。
バックアップ操作の実行中は、show backup status CLI コマンドを使用して、バックアップ操作の進行状況を確認することができます。
バックアップ履歴は、Cisco ADE オペレーティング システムの設定データとともに保存されています。つまり、アプリケーションのアップグレード後もそこに残っており、PAN のイメージを再作成した場合にのみ削除されます。
プライマリまたはスタンドアロン 管理ノードで設定データを復元できます。プライマリ PAN にデータを復元したら、手動でセカンダリ ノードをプライマリ PAN と同期する必要があります。
運用データを復元するプロセスは、展開のタイプによって異なります。
次は、Cisco ISE バックアップ データを復元する場合に従うべきガイドラインです。
あるタイムゾーン内のプライマリ PAN からバックアップを取得して、別のタイムゾーン内の別の Cisco ISE ノードに復元する場合、復元プロセスが失敗することがあります。この問題は、バックアップ ファイルのタイムスタンプが、バックアップが復元される Cisco ISE ノードのシステム時刻より新しい場合に発生します。同じバックアップを、取得後 1 日経過してから復元すると、バックアップ ファイルのタイムスタンプが過去のものになり、復元プロセスは成功します。
バックアップを取得したホスト名と別のホスト名を持つプライマリ PAN にバックアップを復元すると、プライマリ PAN はスタンドアロン ノードになります。展開が切断し、セカンダリ ノードは機能しなくなります。スタンドアロン ノードをプライマリ ノードにし、セカンダリ ノードの設定をリセットしてプライマリ ノードに再登録する必要があります。Cisco ISE ノードの設定をリセットするには、Cisco ISE CLI から次のコマンドを入力してください。
展開の 1 つ以上のノードの証明書設定を変更した場合は、データを復元するための別のバックアップをスタンドアロン Cisco ISE ノードまたはプライマリ PAN から取得する必要があります。そうしないで古いバックアップを使用してデータを復元すると、ノード間の通信が失敗する可能性があります。
(注) | Cisco ISE CA 証明書およびキーをエクスポートしなかった場合は、プライマリ PAN 上で設定バックアップを復元した後に、プライマリ PAN およびポリシー サービス ノード(PSN)でルート CA および下位 CA を生成します。 |
Cisco ISE がバックアップ ファイルを格納するデータ リポジトリが必要です。オンデマンドまたはスケジュール設定されたバックアップを実行する前に、リポジトリを作成する必要があります。
スタンドアロン管理ノードに障害が発生した場合、設定バックアップを実行して復元する必要があります。プライマリ PAN で障害が発生した場合、分散セットアップを使用してセカンダリ管理ノードをプライマリに昇格できます。その後、新しいプライマリ PAN にデータを復元できます。
(注) | Cisco ISE では、backup-logs CLI コマンドも使用できます。このコマンドを使用して、ログやコンフィギュレーション ファイルの収集を行い、これらをトラブルシューティングに利用できます。 |
Cisco ISE CLI から設定データを復元するには、EXEC モードでrestore コマンドを使用します。設定または操作バックアップからデータを復元するには、次のコマンドを使用します。
restore filename repository repository-name encryption-key hash|plain encryption-key nameinclude-adeos
Cisco ISE で restore コマンドを使用すると、Cisco ISE サーバが自動的に再起動します。
データの復元処理で、暗号キーはオプションです。暗号キーを指定しなかった以前のバックアップの復元をサポートするために、暗号キーなしで restore コマンドを使用できます。
ise/admin# restore mybackup-100818-1502.tar.gpg repository myrepository encryption-key plain Lab12345 Restore may require a restart of application services. Continue? (yes/no) [yes] ? yes Initiating restore. Please wait... ISE application restore is in progress. This process could take several minutes. Please wait... Stopping ISE Application Server... Stopping ISE Monitoring & Troubleshooting Log Processor... Stopping ISE Monitoring & Troubleshooting Log Collector... Stopping ISE Monitoring & Troubleshooting Alert Process... Stopping ISE Monitoring & Troubleshooting Session Database... Stopping ISE Database processes... Starting ISE Database processes... Starting ISE Monitoring & Troubleshooting Session Database... Starting ISE Application Server... Starting ISE Monitoring & Troubleshooting Alert Process... Starting ISE Monitoring & Troubleshooting Log Collector... Starting ISE Monitoring & Troubleshooting Log Processor... Note: ISE Processes are initializing. Use 'show application status ise' CLI to verify all processes are in running state. ise/admin#
backup | |
backup-logs | |
repository | |
show repository | |
show backup history | |
show backup status | |
show restore status |
いずれかのセカンダリ ノードでアプリケーション復元後の同期ステータスおよび複製ステータスが [非同期(Out of Sync)] になっている場合、該当セカンダリ ノードの証明書をプライマリ PAN に再インポートして、手動同期を実行する必要があります。
管理者ポータルで設定バックアップを復元できます。GUI には現在のリリースから取得されたバックアップのみが表示されます。このリリースより前のバックアップを復元するには、CLI から restore コマンドを使用します。
プライマリ PAN の自動フェールオーバー設定が展開でイネーブルになっている場合はオフにします。設定バックアップを復元すると、アプリケーション サーバ プロセスが再起動されます。これらのサービスが再起動されるまで遅延が発生する場合があります。このサービスの再起動の遅延により、セカンダリ PAN の自動フェールオーバーが開始される場合があります。
Cisco ISE CA サービスを使用する場合は、次のことを実行する必要があります。
モニタリング データベースを復元するプロセスは、展開のタイプによって異なります。次の項では、スタンドアロンおよび分散展開でモニタリング データベースを復元する方法について説明します。
Cisco ISE の以前のリリースからのオンデマンド モニタリング データベースのバックアップを復元するには、CLI を使用する必要があります。Cisco ISE リリース間でのスケジュール バックアップの復元はサポートされていません。
(注) | データが取得されたノードとは別のノードにデータを復元しようとする場合、新しいノードを指すロギング ターゲット設定を設定する必要があります。これにより、モニタリング syslog が正しいノードに送信されるようになります。 |
GUI には現在のリリースから取得されたバックアップのみが表示されます。前のリリースから取得されたバックアップを復元するには、CLI から restore コマンドを使用します。
ステップ 1 | 別の Cisco ISE ノードを PAN として昇格する準備を行います。そのためには、このノードを、バックアップする既存のプライマリ ノードと同期します。 |
ステップ 2 | 新しく同期した管理ノードをプライマリ ステータスに昇格します。 |
ステップ 3 | バックアップされるノードを登録解除する準備を行います。そのためには、モニタリング ペルソナを展開内の別のノードに割り当てます。 |
ステップ 4 | バックアップされるノードを登録解除します。 |
ステップ 5 | 新しく登録解除されたノードにモニタリング バックアップを復元します。 |
ステップ 6 | 現在の管理ノードにより新たに復元されたノードを登録します。 |
ステップ 7 | 新たに復元されて登録されたノードを PAN に昇格します。 |
操作監査レポートからは、すべての復元操作、ログ イベント、ステータスに関する情報を取得することができます。
(注) | ただし操作監査レポートには、前回の復元操作に対応する開始時間に関する情報はありません。 |
トラブルシューティング情報を入手するには、Cisco ISE CLI から backup-logs コマンドを実行して、ADE.log ファイルを調べる必要があります。
復元操作の進行中は、すべての Cisco ISE サービスは停止します。show restore status CLI コマンドを使用して、復元操作の進行状況を確認できます。
認証および許可ポリシー設定を XML ファイルの形式でエクスポートし、これをオフラインで読み取って設定エラーを特定し、トラブルシューティングのために使用できます。この XML ファイルには認証および許可ポリシー ルール、単純および複合ポリシー条件、dACL、および許可プロファイルが含まれます。XML ファイルを電子メールで送信するか、ローカル システムに保存することを選択できます。
分散環境では、PAN のバックアップ ファイルの復元後に、プライマリおよびセカンダリ ノードの Cisco ISE データベースが自動的に同期されないことがあります。この場合には、PAN からセカンダリ ISE ノードへの完全複製を手動で強制実行できます。強制同期は、PAN からセカンダリ ノードにのみ可能です。同期操作中は、設定を変更することはできません。Cisco ISE では、同期が完全に完了した後にのみ、他の Cisco ISE 管理者ポータル ページに移動して設定変更を行うことができます。
この項では、スタンドアロンおよび分散展開での失われたノードの復元に使用できるトラブルシューティング情報を提供します。次の使用例の一部では、失われたデータの復旧にバックアップと復元機能を使用し、その他の使用例では、複製機能を使用しています。
分散展開では、自然災害が全ノードの損失につながります。復元後に、既存 IP アドレスとホストネームを使用します。
たとえば、2 つのノード、N1(プライマリ ポリシー管理ノードすなわちプライマリ PAN)と N2(セカンダリ ポリシー管理ノードすなわちセカンダリ PAN)があります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。自然災害のために、N1 と N2 両方のノードに障害が発生しました。
展開内のすべての Cisco ISE ノードが破壊されました同じホスト名と IP アドレスを使用して、新しいハードウェアのイメージが作成されました。
分散展開では、自然災害が全ノードの損失につながります。新しいハードウェアのイメージが新しい場所で再作成され、新しい IP アドレスとホスト名が必要です。
たとえば、2 つの ISE ノード N1(プライマリ ポリシー管理ノード(プライマリ PAN))と N2(セカンダリ ポリシー サービス ノード)があります。時刻 T1 に取得された N1 ノードのバックアップが利用可能です。自然災害のために、N1 と N2 両方のノードに障害が発生しました。Cisco ISE ノードが新しいロケーションで置き換えられ、新しいホスト名は N1A(プライマリ PAN)および N2A(セカンダリ ポリシー サービス ノード)です。N1A および N2A はこの時点ではスタンドアロン ノードです。
展開内のすべての Cisco ISE ノードが破壊されました新しいハードウェアのイメージが、異なるホスト名と IP アドレスを使用して異なる場所で作成されました。
たとえば、スタンドアロン管理ノード N1 があったとします。N1 データベースのバックアップは、時刻 T1 に取得されました。物理的な障害により N1 ノードがダウンし、イメージの再作成または新しいハードウェアが必要です。N1 ノードを、同じ IP アドレスとホスト名を使用して回復させる必要があります。
この展開はスタンドアロン展開であり、新規またはイメージを再作成したハードウェアは、同じ IP アドレスとホスト名を持ちます。
イメージの再作成後、または同一 IP アドレスとホスト名で新しい Cisco ISE ノードを導入した後に N1 ノードが起動したら、古い N1 ノードから取得したバックアップを復元する必要があります。ロールを変更する必要はありません。
たとえば、スタンドアロン管理ノード N1 があったとします。時刻 T1 に取得された N1 データベースのバックアップが利用可能です。物理的な障害により N1 ノードがダウンし、異なる IP アドレスとホスト名を使用した新しいハードウェアに別のロケーションで置き換えられます。
これはスタンドアロン展開であり、置き換えられたハードウェアは、異なる IP アドレスとホスト名を持ちます。
意図せずに設定を変更してしまい、後でそれが正しくないことがわかる場合があります。たとえば、いくつかの NAD を削除したり、一部の RADIUS 属性を誤って修正したりして、数時間後にこの問題に気付く場合があります。この場合、変更を行う前に取得したバックアップを復元することにより、元の設定に戻すことができます。
N1(プライマリ ポリシー管理ノードすなわちプライマリ PAN)と N2(セカンダリ ポリシー管理ノードすなわちセカンダリ PAN)の 2 つのノードがあり、N1 ノードのバックアップを使用できます。N1 上で誤った変更をいくつか行い、変更を元に戻す必要があります。
誤った設定変更を行う前に取得した N1 ノードのバックアップを入手します。N1 ノード上でこのバックアップを復元します。復元スクリプトにより、N1 のデータで N2 が同期されます。
たとえば、2 つの Cisco ISE ノード、N1(PAN)と N2(セカンダリ管理ノード)があります。ハードウェアの問題で N1 に障害が発生します。
N1 ノードを再びプライマリ ノードにするには、N1 の管理者ポータルにログインして、このノードをプライマリ ノードに設定します。N2 は、自動的にセカンダリ サーバとなります。データが失われることはありません。
マルチノード展開で、1 台のセカンダリ ノードに障害が発生しました。復元の必要はありません。
たとえば、N1(プライマリ PAN)、N2(セカンダリ PAN)、N3(セカンダリ ポリシー サービス ノード)、N4(セカンダリ ポリシー サービス ノード)の複数のノードが存在します。セカンダリノードの 1 つである N3 に障害が発生しました。