この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
展開のアップグレード後に、この章にリストされているタスクを実行します。
Cisco ISE リリース 2.3 以降では、すべてのネットワーク アクセス ポリシーとポリシー セットを置き換える、新しい拡張された [ポリシーセット(Policy Sets)] ページが提供されます。以前のリリースからリリース 2.3 以降にアップグレードすると、すべてのネットワーク アクセス ポリシーの設定(認証および承認の条件、ルール、ポリシー、プロファイル、および例外を含む)が ISE GUI の新しい [ポリシーセット(Policy Sets)] 領域に移行されます。変更に関する詳細については、『Release Notes for Cisco Identity Services Engine, Release 2.3』の「Upgrade Considerations and Requirements」の項を参照してください。
次のタスクの詳細については、『Cisco Identity Services Engine Administrator Guide』を参照してください。
タスクの説明 |
追加情報/『Cisco ISE Administrator Guide』の関連セクションのリンク |
||
---|---|---|---|
VMware 仮想マシンのゲスト オペレーティング システムが Red Hat Enterprise Linux(RHEL)7 に設定され、ネットワーク アダプタが E1000 または VMXNET3 に設定されていることを確認します。
|
— |
||
アップグレード後、Cisco ISE 管理者ポータルにアクセスする前に、ブラウザのキャッシュをクリアしていることを確認し、ブラウザを閉じて、新しいブラウザ セッションを開きます。サポート対象のブラウザは次のとおりです。 |
— |
||
リリース 2.3 へのアップグレード後、[ゲストポータル(Guest Portals)] および [ゲストタイプ(Guest Types)] ページは最初は空のように表示されます。この問題は、使用されなかったか、まだアクティブになっている、リリース 1.2 で作成された最初のログインからのゲスト タイプのアカウントがある場合に発生します。アップグレード後、システムが初期化されると、これらのアカウントは移行に時間がかかります。 一定時間後(1.2 で作成した「最初のログインからの」ゲスト アカウントの数による)、データが正常に移行されたら、[ゲスト ポータル(Guest Portals)] および [ゲスト タイプ(Guest Types)] ページを更新して情報を表示できます。 これらのアカウントが不要になった場合は、スポンサー ポータルから手動で削除することができます。 |
— |
||
外部アイデンティティ ソースとして使用している Active Directory との接続が失われた場合は、Active Directory とすべての Cisco ISE ノードを再度結合します。再結合した後に、外部アイデンティティ ソースのコール フローを実行して、確実に接続します。
|
|||
DNS サーバに分散配置されているすべての Cisco ISE ノードに対して逆引き DNS ルックアップが設定されていることを確認します。そうしないと、アップグレード後に配置関連の問題が発生する可能性があります。 |
— |
||
脅威中心型 NAC(TC-NAC)サービスを有効にしている場合は、アップグレード後に、TC-NAC アダプタが機能しない可能性があります。ISE GUI の [脅威中心型 NAC(Threat-Centric NAC)] ページからアダプタを再起動する必要があります。アダプタを再起動するには、アダプタを選択して [再起動(Restart)] をクリックします。 |
— |
||
プライマリ管理ノードから Cisco ISE CA 証明書およびキーのバックアップを取得し、セカンダリ管理ノードで復元します。これにより、PAN に障害が発生し、セカンダリ管理ノードをプライマリ管理ノードに昇格する場合に、セカンダリ管理ノードが外部 PKI ルート CA または下位 CA として動作するようになります。 |
|||
分散展開をアップグレードした後に、次の両方の条件が満たされた場合は、プライマリ管理ノードのルート CA 証明書は信頼できる証明書ストアに追加されません。 これにより、次のエラーで認証が失敗する可能性があります。 これらのメッセージは、失敗した認証の [ライブ ログ(Live Logs)] ページの [詳細(More Details)] リンクをクリックすると表示されます。 回避策として、展開をアップグレードし、新しい展開でプライマリ管理ノードになるようにセカンダリ管理ノードをプロモートした後に、管理者ポータルから新しい ISE ルート CA 証明書チェーンを作成します( の順に選択)。 |
|||
Cisco ISE は、シスコ以外の一部のネットワーク アクセス デバイス(NAD)をサポートしています。 リリース 2.0 以前にシスコ以外の NAD を展開し、それらを使用するようにポリシー ルールや RADIUS ディクショナリを作成した場合、これらは通常どおりに機能し続けます。 リリース 2.0 以降のリリースでは、MAB、dot1x、認可変更(CoA)、URL リダイレクト(ゲスト、フロー、ポスチャなどへのフローを可能にする)などのさまざまな機能をサポートできるように、シスコ以外のデバイスに適用できる事前定義されたネットワーク デバイス プロファイルがいくつか用意されています。 ネットワーク デバイス プロファイルを表示するには、管理者用ポータルから、 の順に選択します。ネットワーク デバイス プロファイルを NAD に適用するには、次の手順を実行します。 NAD の一覧をエクスポートし、プロファイルを追加、NAD を再インポートすることによって、簡単にネットワーク デバイス プロファイルを多くの NAD に同時に適用できます。 |
|||
外部アイデンティティ ソースとして RSA SecurID サーバを使用する場合は、RSA のノード秘密をリセットします。 |
|||
ポスチャ サービスをイネーブルにした場合は、アップグレード後にプライマリ管理ノードからポスチャの更新を実行します。 |
|||
SNMP の設定で、手動で [元のポリシー サービス ノード(Originating Policy Services Node)] の値を設定した場合、この設定はアップグレード中に失われます。この値を再設定する必要があります。 |
「Network Device Definition Settings」の「SNMP Settings」を参照してください。 |
||
アップグレード後にプロファイラ フィード サービス更新して、最新 OUI がインストールされているようにします。 |
Cisco ISE 管理者用ポータルから: |
||
アップグレード後に Cisco Temporal Agent を設定するには、次のいずれかのアップデートを実行します。
|
— |
||
クライアント プロビジョニング ポリシーで使用されているネイティブのサプリカント プロファイルをチェックして、ワイヤレス SSID が正しいことを確認します。iOS デバイスの場合、接続対象ネットワークが非表示の場合は、[iOS の設定(iOS Settings)] エリアで [ターゲット ネットワーク非表示時にイネーブルにする(Enable if target network is hidden)] チェック ボックスをオンにします。 |
— |
||
Cisco ISE リリース 2.3 は、次の暗号方式をサポートしています。TLS バージョン 1.0、1.1 および 1.2 がサポートされます。 EAP-TLS、PEAP、EAP-FAST、EAP-TTLS の場合:
[弱い暗号方式を EAP に許可する(Allow weak ciphers for EAP)] チェックボックスをオンにすると、次の暗号方式がサポートされます。
EAP-FAST 匿名プロビジョニングの場合: ADH_WITH_AES_128_SHA
サポートされている暗号スイートの完全なリストについては、『Cisco Identity Services Engine Network Component Compatibility, Release 2.2』を参照してください。 |
— |
||
電子メール設定、お気に入りレポート、データ削除設定を再設定します。 |
『Cisco ISE Administrator Guide』の「Monitoring and Troubleshooting section」を参照してください。 |
||
必要とする特定のアラームのしきい値またはフィルタを確認します。すべてのアラームは、アップグレード後にデフォルトでイネーブルになります。 |
|||
必要に応じてレポートをカスタマイズします。古い展開でレポートをカスタマイズした場合は、加えた変更が、アップグレード プロセスによって上書きされます。 |
|||
RSA キーを使用して SFTP リポジトリを作成した場合、セカンダリ管理ノードをそれ以降のリリースにアップグレードすると、RSA キーはプライマリ管理ノードから生成されるため、SFTP リポジトリはアクセス不能になります。 アップグレード後、SFTP リポジトリにアクセスするには、次のいずれかを実行します。
|
詳細については、『Cisco ISE Administrator Guide』の「Create Repositories」の項を参照してください。 |
||
次のコマンドを次の順序で実行して、システムの Cisco TrustSec 対応レイヤー 3 インターフェイスにポリシーをダウンロードする必要があります。
|
— |