この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
application upgrade コマンドを直接使用したり、アプリケーション アップグレード prepare および proceed コマンドを順番に使用してスタンドアロン ノードをアップグレードすることもできます。
管理、ポリシー サービス、pxGrid、およびモニタリングのペルソナを担当するスタンドアロン ノードの CLI から application upgrade コマンドを実行できます。このコマンドを直接実行する場合は、application upgrade コマンドを実行する前にリモート リポジトリから Cisco ISE ノードのローカル ディスクにアップグレード バンドルをコピーして、アップグレードの時間を短縮することを推奨します。
または、application upgrade prepare および application upgrade proceed コマンドを使用できます。application upgrade prepare コマンドを使用すると、アップグレード バンドルがダウンロードされ、ローカルに抽出されます。このコマンドはリモート リポジトリから Cisco ISE ノードのローカル ディスクにアップグレード バンドルをコピーします。ノードをアップグレードする準備ができたら、application upgrade proceed コマンドを実行してアップグレードを正常に完了します。
以下で説明する application upgrade prepare および proceed コマンドを実行することをお勧めします。
先に、アップグレード前の注意事項に関する章の説明を必ず読んでください。
application upgrade prepare コマンドおよび proceed コマンドを使用して、2 ノード展開をアップグレードします。手動でノードの登録を解除して、再登録する必要はありません。アップグレード ソフトウェアは自動的にノードを登録解除し、新しい展開に移行します。2 ノード展開をアップグレードする場合、最初にセカンダリ管理ノード(ノード B)だけをアップグレードする必要があります。セカンダリ ノードのアップグレードを完了したら、プライマリ ノード(ノード A)をアップグレードします。次の図に示すような展開の設定の場合、このアップグレード手順を続けることができます。
管理とモニタリングのペルソナが、展開の両方のノードでイネーブルにされていることを確認します。
管理ペルソナがプライマリ管理ノードでのみイネーブルである場合、アップグレード プロセスによりセカンダリ管理ノードを最初にアップグレードすることが求められるので、セカンダリノードの管理ペルソナをイネーブルにします。
または、2 ノード展開で 1 つの管理ノードのみがある場合は、セカンダリ ノードの登録を解除します。両方のノードがスタンドアロン ノードになります。両方のノードをスタンドアロン ノードとしてアップグレードし、アップグレード後に、展開をセット アップします。
モニタリング ペルソナが 1 つのノードのみでイネーブルの場合、次に進む前に他のノードのモニタリング ペルソナをイネーブルにします。
初めに、セカンダリ管理ノードを新しいリリースにアップグレードします。たとえば、次の図に示すように、1 つのプライマリ管理ノード(ノード A)、1 つのセカンダリ管理ノード(ノード B)、および 4 つのポリシー サービス ノード(PSN)(ノード C、ノード D、ノード E、およびノード F)、1 つのプライマリ モニタリング ノード(ノード G)、および 1 つのセカンダリ モニタリング ノード(ノード I)を含む展開がセットアップされている場合、次のアップグレード手順に進むことができます。
(注) | アップグレードの前にノードを手動で登録解除しないでください。application upgrade prepare コマンドおよび proceed コマンドを使用して、新しいリリースにアップグレードします。アップグレード プロセスは自動的にノードを登録解除し、新しい展開に移行します。アップグレードの前に手動でノードの登録をキャンセルする場合は、アップグレード プロセスを開始する前に、プライマリ管理ノードのライセンス ファイルがあることを確認します。手元にこのファイルがない場合(たとえば、シスコ パートナー ベンダーによってライセンスがインストールされた場合)、Cisco Technical Assistance Center に連絡してください。 |
次の例は、正常なセカンダリ管理ノードのアップグレードの CLI トランスクリプトです。
ise74/admin# application upgrade proceed Initiating Application Upgrade... % Warning: Do not use Ctrl-C or close this terminal window until upgrade completes. -Checking VM for minimum hardware requirements STEP 1: Stopping ISE application... STEP 2: Verifying files in bundle... -Internal hash verification passed for bundle STEP 3: Validating data before upgrade... STEP 4: De-registering node from current deployment... STEP 5: Taking backup of the configuration data... STEP 6: Running ISE configuration database schema upgrade... - Running db sanity to check and fix if any index corruption - Auto Upgrading Schema for UPS Model - Upgrading Schema completed for UPS Model ISE database schema upgrade completed. % Warning: Sanity test found some indexes missing in CEPM schema. Please recreate missing indexes after upgrade using app configure ise cli STEP 7: Running ISE configuration data upgrade... - Data upgrade step 1/14, UPSUpgradeHandler(2.3.0.100)... Done in 48 seconds. - Data upgrade step 2/14, UPSUpgradeHandler(2.3.0.110)... Done in 2 seconds. - Data upgrade step 3/14, NetworkAccessUpgrade(2.3.0.145)... Done in 0 seconds. - Data upgrade step 4/14, NodeGroupUpgradeService(2.3.0.155)... Done in 0 seconds. - Data upgrade step 5/14, IRFUpgradeService(2.3.0.155)... Done in 0 seconds. - Data upgrade step 6/14, UPSUpgradeHandler(2.3.0.158)... Done in 0 seconds. - Data upgrade step 7/14, NetworkAccessUpgrade(2.3.0.178)... Done in 0 seconds. - Data upgrade step 8/14, NetworkAccessUpgrade(2.3.0.182)... Done in 0 seconds. - Data upgrade step 9/14, CertMgmtUpgradeService(2.3.0.194)... Done in 3 seconds. - Data upgrade step 10/14, UPSUpgradeHandler(2.3.0.201)... Done in 0 seconds. - Data upgrade step 11/14, NSFUpgradeService(2.3.0.233)... Done in 0 seconds. - Data upgrade step 12/14, ProfilerUpgradeService(2.3.0.233)... Done in 1 seconds. - Data upgrade step 13/14, GuestAccessUpgradeService(2.3.0.233)... Done in 9 seconds. STEP 8: Running ISE configuration data upgrade for node specific data... STEP 9: Making this node PRIMARY of the new deployment. When other nodes are upgraded it will be added to this deployment. STEP 10: Running ISE M&T database upgrade... ISE M&T Log Processor is not running ISE database M&T schema upgrade completed. Gathering Config schema(CEPM) stats ..... Gathering Operational schema(MNT) stats .... % NOTICE: Upgrading ADEOS. Appliance will be rebooted after upgrade completes successfully. warning: file /opt/xgrid/gc/pxgrid-controller-1.0.4.18-dist.tar.gz: remove failed: No such file or directory % This application Install or Upgrade requires reboot, rebooting now... Broadcast message from root@IS133 (pts/1) (Fri Jun 2 12:36:51 2017): Trying to stop processes gracefully. Reload might take approximately 3 mins Broadcast message from root@IS133 (pts/1) (Fri Jun 2 12:36:51 2017): Trying to stop processes gracefully. Reload might take approximately 3 mins Broadcast message from root@IS133 (pts/1) (Fri Jun 2 12:37:12 2017): The system is going down for reboot NOW Broadcast message from root@IS133 (pts/1) (Fri Jun 2 12:37:12 2017): The system is going down for reboot NOW
次の例は、正常な PSN ノードのアップグレードの CLI トランスクリプトです。
ise/admin# application upgrade proceed Initiating Application Upgrade... % Warning: Do not use Ctrl-C or close this terminal window until upgrade completes. -Checking VM for minimum hardware requirements STEP 1: Stopping ISE application... STEP 2: Verifying files in bundle... -Internal hash verification passed for bundle STEP 3: Validating data before upgrade... STEP 4: De-registering node from current deployment. STEP 5: Taking backup of the configuration data... STEP 6: Registering this node to primary of new deployment... STEP 7: Downloading configuration data from primary of new deployment... STEP 8: Importing configuration data... % Warning: Sanity test found some indexes missing in CEPM schema. Please recreate missing indexes after upgrade using app configure ise cli STEP 9: Running ISE configuration data upgrade for node specific data... STEP 10: Running ISE M&T database upgrade... ISE M&T Log Processor is disabled ISE database M&T schema upgrade completed. Gathering Config schema(CEPM) stats .... % NOTICE: Upgrading ADEOS. Appliance will be rebooted after upgrade completes successfully. warning: file /opt/xgrid/gc/pxgrid-controller-1.0.4.18-dist.tar.gz: remove failed: No such file or directory % This application Install or Upgrade requires reboot, rebooting now... Broadcast message from root@IS136 (pts/1) (Fri Jun 2 15:16:14 2017): Trying to stop processes gracefully. Reload might take approximately 3 mins Broadcast message from root@IS136 (pts/1) (Fri Jun 2 15:16:14 2017): Trying to stop processes gracefully. Reload might take approximately 3 mins Broadcast message from root@IS136 (pts/1) (Fri Jun 2 15:16:35 2017): The system is going down for reboot NOW Broadcast message from root@IS136 (pts/1) (Fri Jun 2 15:16:35 2017): The system is going down for reboot NOW
アップグレードが正常に行われたかどうかを確認するには、次のいずれかを実行します。
ade.log ファイルでアップグレード プロセスを確認します。ade.log ファイルを表示するには、Cisco ISE CLI から次のコマンドを入力します。 show logging system ade/ADE.log
すべてのサービスが実行していることを確認するために、show application status ise コマンドを入力します。
展開が期待どおりに機能すること、およびユーザが認証されネットワークのリソースにアクセスできることを確認するためのネットワーク テストを実行することを推奨します。
この項では、アップグレードの障害からの回復時に必要な作業について説明します。
アップグレード ソフトウェアは、いくつかの検証を実行します。アップグレードで障害が発生した場合は、画面に表示される指示に従い、回復してリリース 2.3 へのアップグレードを成功させます。
また、アップグレードで、セカンダリ管理ノードを最初にアップグレードするなど、ノードのアップグレード順序に従わないために障害が発生することがあります。このエラーが発生した場合、このガイドに記載されているアップグレード順序に従って展開をアップグレードできます。
まれに、イメージを再作成し、新規インストールを実行して、データを復元することが必要になる場合があります。アップグレードを開始する前に、Cisco ISE の設定およびモニタリング データのバックアップが存在することが重要です。構成データベースの障害発生時に自動的に変更のロールバックが試みられますが、構成データおよびモニタリング データをバック アップしておくことが重要です。
(注) | モニタリング データベースの問題により発生したアップグレードの障害は、自動的にロールバックされません。システムのイメージを手動で再作成し、Cisco ISE リリース 2.3 をインストールしてから、設定データおよびモニタリング データを復元する必要があります。 |
このセクションでは、既知のエラーの一部とそのエラーからの回復手順を説明します。
アップグレード中、構成データベース スキーマとデータ アップグレードの障害は自動的にロールバックされます。システムは、最後の既知の正常な状態に戻ります。この場合、次のメッセージがコンソールとログに表示されます。
% Warning: The node has been reverted back to its pre-upgrade state. error: %post(CSCOcpm-os-1.4.0-205.i386) scriptlet failed, exit status 1 % Application upgrade failed. Please check logs for more details or contact Cisco Technical Assistance Center for support.
アップグレードの障害を修復し、ノードを元の状態に戻す必要がある場合は、コンソールに次のメッセージが表示されます。詳細についてはログを確認してください。
% Warning: Do the following steps to revert node to its pre-upgrade state." error: %post(CSCOcpm-os-1.4.0-205.i386) scriptlet failed, exit status 1 % Application upgrade failed. Please check logs for more details or contact Cisco Technical Assistance Center for support.
実際のアップグレードの障害ではない検証エラーが発生した場合は、次のメッセージが表示されます。たとえば、セカンダリ PAN をアップグレードする前に PSN をアップグレードしようとした場合や、システムが指定された要件を満たしていない場合に、次のエラーが表示されることがあります。システムは、最後の既知の正常な状態に戻ります。このエラーが発生した場合は、このドキュメントで説明されているアップグレードを実行します。
STEP 1: Stopping ISE application... % Warning: Cannot upgrade this node until the standby PAP node is upgraded and running. If standbyPAP is already upgraded and reachable ensure that this node is in SYNC from current Primary UI. Starting application after rollback... % Warning: The node has been reverted back to its pre-upgrade state. error: %post(CSCOcpm-os-1.4.0-205.i386) scriptlet failed, exit status 1 % Application upgrade failed. Please check logs for more details or contact Cisco Technical Assistance Center for support.
ADE-OS またはアプリケーションのバイナリ アップグレードが失敗した場合は、リブート後に CLI から show application status ise コマンドを実行すると、次のメッセージが表示されます。構成と運用のバックアップを再イメージ化し、復元する必要があります。
% WARNING: An Identity Services Engine upgrade had failed. Please consult logs. You have to reimage and restore to previous version.
その他のタイプのすべての障害(アップグレードのキャンセル、コンソール セッションの切断、電源障害など)の場合、元のノードでイネーブルにしていたペルソナに応じて、設定と運用のバックアップ イメージを再作成し、復元する必要があります。
再イメージ化という用語は、Cisco ISE の新規インストールを示しています。モニタリング データベースのアップグレード(スキーマ + データ)エラーの場合は、構成と運用のバックアップを再イメージ化して復元する必要があります。再イメージ化する前に、失敗の原因を確認するために、backup-logs CLI コマンドを実行し、リモート リポジトリ内にサポート バンドルを格納することによって、サポート バンドルを生成します。ノード ペルソナに基づいて、旧バージョンまたは新バージョンに再イメージ化する必要があります。
セカンダリ管理ノード:旧バージョンに再イメージ化し、構成と運用バックアップを復元します。
モニタリング ノード:ノードが既存の展開から登録解除されている場合は、新バージョンに再イメージ化し、新しい展開に再登録して、モニタリング ペルソナを有効にします。
その他のすべてのノード:その他のノードにアップグレード障害が発生した場合は、通常、システムは最後の既知の正常な状態に戻ります。システムが旧バージョンにロールバックしない場合は、新バージョンに再イメージ化して、新しい展開に登録し、旧展開と同様のペルソナを有効にすることができます。
アップグレードに失敗した場合、アップグレードを再試行する前に、次の操作を実行してください。
(注) | Cisco ISE、リリース 1.1.x から 1.2 へのアップグレードは、32 ビットから 64 ビットへのアップグレードです。このプロセスでは、64 ビットへの ADE-OS およびアプリケーション バイナリのアップグレードを行い、この期間にノードが 2 回リブートされます。 SSH 経由でログインし、show application status ise コマンドを使用することで、アップグレードの進行状況を表示できます。次のメッセージが表示されます。「% NOTICE: Identity Services Engine upgrade is in progress...」 |
% Application install/upgrade failed with system removing the corrupted install
ロール バックするには、以前の ISO イメージを使用して Cisco ISE アプライアンスのイメージを再作成し、バックアップ ファイルからデータを復元します。アップグレードを再試行するには、毎回新しいアップグレード バンドルが必要です。
まれに、以前のバージョンの ISO イメージを使用して Cisco ISE アプライアンスのイメージを再作成し、バックアップ ファイルからデータを復元する必要がある場合があります。データを復元した後は、古い展開を登録して、古い展開で行ったようにペルソナを有効にすることができます。したがって、アップグレードのプロセスを開始する前に、Cisco ISE の構成およびモニタリング データをバックアップすることをお勧めします。
構成およびモニタリング データベースの問題により発生したアップグレードの障害は、自動的にロールバックされないことがあります。これが発生すると、データベースがロールバックされないことを示す通知を、アップグレードの失敗メッセージと共に受け取ります。このようなシナリオでは、手動でシステムのイメージを再作成し、Cisco ISE をインストールして、構成およびモニタリング データを復元(モニタリング ペルソナが有効な場合)する必要があります。
ロールバックまたは回復を行う前に、backup-logs コマンドを使用してサポート バンドルを生成し、リモート リポジトリにサポート バンドルを配置します。
可能な限り最小のダウンタイムで、最大の復元力とロールバックの機能を提供しながら、展開をアップグレードするには、次の順序でアップグレードを実行することをお勧めします。
セカンダリ管理ノード
この時点では、プライマリ管理ノードは以前のバージョンのままで、アップグレードに失敗した場合はロールバックに使用できます。
プライマリ モニタリング ノード
ポリシー サービス ノード
ポリシー サービス ノードのセットをアップグレードした後、アップグレードが成功したかどうかを確認し(アップグレード プロセスの確認を参照)、新しい展開が期待どおりに機能していることを確認するネットワーク テストを実行します。アップグレードが成功した場合は、ポリシー サービス ノードの次のセットをアップグレードできます。
セカンダリ モニタリング ノード
プライマリ管理ノード
(注) | プライマリ管理ノードをアップグレードした後、アップグレードの検証テストとネットワーク テストを再実行します。 |
アップグレード後、セカンダリ管理ノードはプライマリ管理ノードになり、元のプライマリ管理ノードはセカンダリ管理ノードになります。必要に応じて、[ノードの編集(Edit Node)] ウィンドウで [プライマリに昇格(Promote to Primary)] をクリックして、セカンダリ管理ノードを昇格してプライマリ管理ノードにします(古い展開と同様)。