アップグレードの準備
アップグレード プロセスを開始する前に、次のタスクを必ず実行してください。
(注) |
プライマリおよびセカンダリ PAN のマルチノード展開で、監視ダッシュボードおよびレポートが、データ レプリケーションの警告のため、アップグレード後に失敗することがあります。詳細については「CSCvd79546」を参照してください。回避策として、アップグレードを開始する前に、プライマリ PAN からセカンダリ PAN への手動での同期を実行します。 |
(注) |
現在、リリース 2.3 では、例外のため、リリース 2.3 パッチ 1 にアップグレードできません。詳細については「CSCvd79546」を参照してください。回避策として、アップグレードの前に、プライマリ PAN とセカンダリ PAN を同期します。 |
アップグレードの失敗を防ぐためのデータの検証
Cisco ISE には、アップグレード プロセスを開始する前に、データのアップグレードの問題を検出し修正するために実行できるアップグレード準備ツール(URT)が用意されています。
ほとんどのアップグレードの失敗は、データのアップグレードの問題が原因で発生します。URT は、可能な場合は、必ずアップグレード前にデータを検証し、問題を特定、報告または修正するように設計されています。
URT は、複数のノードにおけるハイ アベイラビリティと他の展開を実現するためのセカンダリ管理ノード、または単一ノード 展開のスタンドアロン ノードで実行できる個別のダウンロード可能なバンドルとして使用できます。このツールを実行する場合、ダウンタイムは必要ありません。
(注) |
複数ノード展開の場合、プライマリ ポリシー管理ノードでは URT を実行しないでください。 |
Cisco ISE ノードのコマンドライン インターフェイス(CLI)から URT を実行できます。URT は次のことを行います。
-
サポートされているバージョンの Cisco ISE で URT が実行されているかどうかをチェックします。サポートされているバージョンは、リリース 2.0、2.0.1、2.1、2.2、および 2.3 です。
-
URT がスタンドアロン Cisco ISE ノードまたはセカンダリ ポリシー管理ノード(セカンダリ PAN)で実行されているかどうかを確認します。
-
URT バンドルの使用開始日から 45 日未満であるかどうかをチェックします。このチェックは、最新の URT バンドルを使用していることを確認するために行われます。
-
すべての前提条件が満たされているかどうかをチェックします。
次の前提条件が URT によって確認されます。
-
バージョンの互換性
-
ペルソナのチェック
-
ディスク容量
(注)
ディスク要件のサイズで利用可能なディスク サイズを確認します。ディスク サイズを増やす必要がある場合は、ISE を再インストールし、設定のバックアップを復元します。
-
NTP サーバ
-
メモリ
-
システムと信頼できる証明書の検証
-
-
構成データベースを複製します。
-
最新のアップグレード ファイルをアップグレード バンドルにコピーします。
(注)
URT バンドルにパッチがない場合、出力はN/A
を返します。これは、ホット パッチのインストール時の正常な動作です。
-
複製されたデータベースでスキーマとデータのアップグレードを実行します。
-
-
(複製されたデータベースでアップグレードが成功した場合)アップグレードが完了するまでに要する予測時間を提示します。
-
(アップグレードが成功した場合)複製されたデータベースを削除します。
-
(複製されたデータベースでアップグレードが失敗した場合)必要なログを収集し、暗号化パスワードの入力を求めるプロンプトを表示し、ログ バンドルを生成してローカル ディスクに格納します。
-
アップグレード準備ツールのダウンロードと実行
アップグレード準備ツール(URT)は、アップグレードを実際に実行する前に設定データを検証して、アップグレードの失敗を引き起こす可能性のある問題を特定します。
始める前に
URT の実行中は、:
-
データをバックアップまたは復元する
-
ペルソナ変更の実行
手順
ステップ 1 | |
ステップ 2 |
リポジトリの作成および URT バンドルのコピー
リポジトリを作成して、URT バンドルをコピーします。パフォーマンスと信頼性を高めるために、FTP を使用することを推奨します。低速 WAN リンクを介したリポジトリを使用しないでください。ノードに近い位置にあるローカル リポジトリを使用することを推奨します。
始める前に
リポジトリとの帯域幅接続が良好であることを確認してください。
手順
ステップ 1 |
Cisco.com から URT バンドルをダウンロードします(ise-urtbundle-2.4.0.xxx-1.0.0.SPA.x86_64.tar.gz)。 |
ステップ 2 |
必要に応じて、時間節約のために、次のコマンドを使用して Cisco ISE ノードのローカル ディスクに URT バンドルをコピーします。
たとえば、アップグレード バンドルのコピーに SFTP を使用するには、次を実行できます。
aaa.bbb.ccc.ddd は SFTP サーバの IP アドレスまたはホスト名、ise-urtbundle-2.4.0.xxx-1.0.0.SPA.x86_64.tar.gz は URT バンドルの名前です。 ローカル ディスクに URT バンドルを置くと、時間を短縮できます。 |
アップグレード準備ツールの実行
アップグレード準備ツールは、アップグレードの失敗を引き起こす可能性のあるデータの問題を特定し、可能な限り問題を報告または修正します。URT を実行するには、次の手順を実行します。
始める前に
ローカル ディスクに URT バンドルを置くと、時間を短縮できます。
手順
application install コマンドを入力して、URT をインストールします。
例:
|
同じ名前の事前定義済み承認複合条件が存在する場合は、承認単純条件の名前を変更する
Cisco ISE にはいくつかの事前定義された承認複合条件が付属しています。古い展開内の(ユーザ定義された)承認単純条件が事前定義済み承認複合条件と同じ名前である場合、アップグレード プロセスは失敗します。アップグレードする前に、次の事前定義済み承認複合条件名のいずれかと名前が同じ承認単純条件は名前を変更する必要があります。
-
Compliance_Unknown_Devices
-
Non_Compliant_Devices
-
Compliant_Devices
-
Non_Cisco_Profiled_Phones
-
Switch_Local_Web_Authentication
-
Catalyst_Switch_Local_Web_Authentication
-
Wireless_Access
-
BYOD_is_Registered
-
EAP-MSCHAPv2
-
EAP-TLS
-
Guest_Flow
-
MAC_in_SAN
-
Network_Access_Authentication_Passed
VMware 仮想マシンのゲスト オペレーティング システムと設定の変更
仮想マシンの Cisco ISE ノードをアップグレードする場合は、Red Hat Enterprise Linux(RHEL)7 にゲスト オペレーティング システムを変更してあることを確認します。これを行うには、VM の電源をオフにし、RHEL 7 にゲスト オペレーティング システムを変更し、変更後に VM の電源をオンにする必要があります。RHEL 7 は E1000 および VMXNET3 ネットワーク アダプタのみをサポートします。アップグレードする前に、ネットワーク アダプタのタイプを変更する必要があります。
スポンサー グループ名から英語以外の文字を削除する
リリース 2.2 より前に、英語以外の文字を持つスポンサー グループを作成した場合、アップグレードの前に、スポンサー グループの名前を変更し、英語文字のみを使用するようにしてください。
Cisco ISE、リリース 2.2 以降のスポンサー グループ名では、英語以外の文字はサポートされません。
通信用に開く必要があるファイアウォール ポート
プライマリ管理ノードと他のノードとの間にファイアウォールが設置されている場合は、次の各ポートがアップグレード前に開いている必要があります。
-
TCP 1521:プライマリ管理ノードとモニタリング ノード間の通信用。
-
TCP 443:プライマリ管理ノードとその他すべてのセカンダリ ノード間の通信用。
-
TCP 12001:グローバル クラスタのレプリケーション用。
-
TCP 7800 および 7802:(ポリシー サービス ノードがノード グループの一部である場合に限り該当)PSN グループのクラスタリング用。
Cisco ISE が使用するすべてのポートのリストについては、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。
Cisco ISE が使用するポートの完全なリストについては、『Cisco ISE Ports Reference』を参照してください。
プライマリ管理ノードからの Cisco ISE 設定および運用データのバックアップ
コマンドライン インターフェイス(CLI)または GUI から Cisco ISE 設定および運用データのバックアップを取得します。CLI コマンドは次のとおりです。
backup backup-name repository repository-name {ise-config | ise-operational} encryption-key {hash | plain} encryption-keyname
(注) |
Cisco ISE が VMware で実行されている場合、ISE データをバックアップするのに、VMware スナップショットはサポートされていません。 VMware スナップショットは指定した時点で、VM のステータスを保存します。マルチノード Cisco ISE 展開環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。シスコは、データのアーカイブおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。 VMware スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。 |
また、Cisco ISE 管理者用ポータルから設定および運用データのバックアップを取得することができます。バックアップ ファイルを格納するリポジトリを作成したことを確認します。ローカル リポジトリを使用してバックアップしないでください。リモート モニタリング ノードのローカル リポジトリで、モニタリング データをバックアップすることはできません。次のリポジトリ タイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。これは、これらのリポジトリ タイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。
-
[管理(Administration)] > [メンテナンス(Maintenance)] > [バックアップと復元(Backup and Restore)] を選択します。
-
[すぐにバックアップ(Backup Now)] をクリックします。
-
バックアップを実行するために必要な値を入力します。
-
[OK] をクリックします。
-
バックアップが正常に完了したことを確認します。
Cisco ISE はタイムスタンプを持つバックアップ ファイル名を付け、指定されたリポジトリにファイルを保存します。タイムスタンプに加えて、Cisco ISE は設定バックアップには CFG タグ、操作バックアップには OPS タグを追加します。バックアップ ファイルが指定リポジトリにあることを確認します。
分散展開では、バックアップの実行中にノードのロールを変更したり、ノードの設定を行ったりすることはできません。バックアップの実行中にノードのロールを変更すると、すべてのプロセスがシャットダウンし、データに不一致が生じる場合があります。ノードのロールを変更する際は、バックアップが完了するまで待機してください。
(注) |
Cisco ISE では、ある ISE ノード(A)からバックアップを取得して、別の ISE ノード(B)に復元することができます。両方のノードは同じホスト名(IP アドレスは異なる)です。ただし、ノード B 上のバックアップを復元した後は、証明書とポータル グループ タグの問題が生じる可能性があるため、ノード B のホスト名を変更することはできません。 |
プライマリ管理ノードからのシステム ログのバックアップ
コマンドライン インターフェイス(CLI)を使用して、プライマリ管理ノードからシステム ログのバックアップを取得します。CLI コマンドは次のとおりです。
backup-logs backup-name repository repository-name encryption-key { hash | plain} encryption-key name
証明書の有効性の確認
アップグレード プロセスは、Cisco ISE の信頼できる証明書またはシステム証明書ストアの証明書の期限が切れていると、失敗します。アップグレードの前に、[信頼できる証明書(Trusted Certificates)] と [システム証明書(System Certificates)] ウィンドウ([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Managemen)])の [有効期限(Expiration Date)] の有効性を確認し、必要に応じて更新してください。
また、アップグレードの前に、[CA 証明書(CA Certificates)] ウィンドウ([管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書機関(Certificate Authority)] > [証明書機関の証明書(Certificate Authority Certificates)])の [有効期限(Expiration Date)] の有効性を確認し、必要に応じて更新してください。
証明書を削除する
期限切れの証明書を削除するには、次の手順を実行します。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [システム証明書(System Certificates)] の順に選択します。 |
ステップ 2 |
期限切れの証明書を選択します。 |
ステップ 3 |
[削除(Delete)] をクリックします。 |
ステップ 4 |
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] の順に選択します。 |
ステップ 5 |
期限切れの証明書を選択します。 |
ステップ 6 |
[削除(Delete)] をクリックします。 |
ステップ 7 |
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [認証局証明書(Certificate Authority Certificates)] の順に選択します。 |
ステップ 8 |
期限切れの証明書を選択します。 |
ステップ 9 |
[削除(Delete)] をクリックします。 |
証明書および秘密キーのエクスポート
次の項目をエクスポートすることを推奨します。
-
すべてのローカル証明書(展開内のすべてのノードから)およびその秘密キーを安全な場所にエクスポートします。証明書設定(どのサービスに証明書が使用されたか)を記録します。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [システム証明書(System Certificates)] の順に選択します。 |
ステップ 2 |
証明書を選択し、[エクスポート(Export)] をクリックします。 |
ステップ 3 |
[証明書および秘密キーをエクスポート(Export Certificates and Private Keys)] ラジオ ボタンを選択します。 |
ステップ 4 |
[秘密キーのパスワード(Private Key Password)] と [パスワードの確認(Confirm Password)] を入力します。 |
ステップ 5 |
[エクスポート(Export)] をクリックします。 |
-
プライマリ管理ノードの信頼できる証明書ストアからすべての証明書をエクスポートします。証明書設定(どのサービスに証明書が使用されたか)を記録します。
手順
ステップ 1 |
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [信頼できる証明書(Trusted Certificates)] の順に選択します。 |
ステップ 2 |
証明書を選択し、[エクスポート(Export)] をクリックします。 |
ステップ 3 |
[ファイルを保存(Save File)] をクリックして証明書をエクスポートします。 |
ステップ 4 |
[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [認証局(Certificate Authority)] > [認証局証明書(Certificate Authority Certificates)] の順に選択します。 |
ステップ 5 |
証明書を選択し、[エクスポート(Export)] をクリックします。 |
ステップ 6 |
[証明書および秘密キーをエクスポート(Export Certificates and Private Keys)] ラジオ ボタンを選択します。 |
ステップ 7 |
[秘密キーのパスワード(Private Key Password)] と [パスワードの確認(Confirm Password)] を入力します。 |
ステップ 8 |
[エクスポート(Export)] をクリックします。 |
ステップ 9 |
[ファイルを保存(Save File)] をクリックして証明書をエクスポートします。 |
アップグレード前の PAN 自動フェールオーバーとスケジュール バックアップの無効化
Cisco ISE のバックアップを実行した場合は、展開の変更を実行できません。そのため、アップグレードの妨げにならないようにするには自動設定を無効にする必要があります。Cisco ISE をアップグレードする前に、次の設定を無効にしていることを確認してください。
-
プライマリ管理ノードの自動フェールオーバー:プライマリ管理ノードを自動フェールオーバーに設定している場合は、Cisco ISE をアップグレードする前に、自動フェールオーバー オプションを必ず無効にします。
-
スケジュール バックアップ:アップグレード後にバックアップをスケジュールし直すように展開のアップグレードを計画します。バックアップ スケジュールを無効にし、アップグレード後に再作成することができます。
スケジュール頻度が一度のバックアップは、Cisco ISE アプリケーションが再起動するたびにトリガーされます。このように、一度だけ実行するように設定されたバックアップ スケジュールは、アップグレード前に設定を無効にしてください。
NTP サーバの設定と可用性の確認
アップグレード中、Cisco ISE ノードは再起動して、プライマリ管理ノードからセカンダリ管理ノードにデータを移行、複製します。これらの操作では、ネットワーク内の NTP サーバが正しく設定され、到達可能であることが重要です。NTP サーバが正しく設定されていない、または到達不能な場合、アップグレード プロセスは失敗します。
ネットワーク内の NTP サーバが、アップグレード中に到達可能で、応答性があり、同期していることを確認します。
プロファイラ設定の記録
プロファイラ サービスを使用する場合、管理者ポータルから、各ポリシー サーバ ノードのプロファイラ構成を必ず記録してください([管理(Administration)] > [システム(System)] > [展開(Deployment)] > <ノード> > [プロファイル設定(Profiling Configuration)])。設定をメモするか、スクリーンショットを取得できます。
Active Directory および内部管理者アカウントの資格情報の取得
外部アイデンティティ ソースとして Active Directory を使用する場合は、Active Directory のクレデンシャルと有効な内部管理者アカウント クレデンシャルを手元に用意してください。アップグレード後に、Active Directory 接続が失われることがあります。この場合、管理者ポータルにログインするために ISE 内部管理者アカウント、Cisco ISE と Active Directory を再接続するために Active Directory のクレデンシャルが必要です。
アップグレード前の MDM ベンダーのアクティベート
MDM 機能を使用する場合は、アップグレードの前に、MDM ベンダーのステータスがアクティブであることを確認します。
MDM サーバ名が承認ポリシーで使用され、対応する MDM サーバが無効の場合は、アップグレード プロセスは失敗します。回避策として、次のいずれかが可能です。
-
アップグレードの前に MDM サーバを有効にします。
-
承認ポリシーから MDM サーバ名属性を使用する条件を削除します。
リポジトリの作成およびアップグレード バンドルのコピー
リポジトリを作成して、バックアップを取得してアップグレード バンドルをコピーします。パフォーマンスと信頼性を高めるために、FTP を使用することを推奨します。低速 WAN リンクを介したリポジトリを使用しないでください。ノードに近い位置にあるローカル リポジトリを使用することを推奨します。
アップグレード バンドルは Cisco.com からダウンロードします。
リリース 2.4 にアップグレードするには、このアップグレード バンドルを使用します:ise-upgradebundle-2.x-to-2.4.0.xxx.SPA.x86_64.tar.gz
アップグレード用に、次のコマンドを使用して Cisco ISE ノードのローカル ディスクにアップグレード バンドルをコピーできます。
copy repository_url/path/ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.0.291.x86_64.tar.gz disk:/
copy repository_url/path/ise-upgradebundle-2.x-to-2.4.0.xxx.SPA.x86_64.tar.gz disk:/
たとえば、アップグレード バンドルのコピーに SFTP を使用するには、次を実行できます。
-
(ホスト キーが存在しない場合は追加します)crypto host_key add host mySftpserver
-
copy sftp://aaa.bbb.ccc.ddd/ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.0.291.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd は SFTP サーバの IP アドレスまたはホスト名、ise-upgradebundle-1.3.x-and-1.4.x-to-2.0.0.291.x86_64.tar.gz はアップグレード バンドルの名前です。
-
copy sftp://aaa.bbb.ccc.ddd/ise-upgradebundle-2.x-to-2.4.0.xxx.SPA.x86_64.tar.gz disk:/
aaa.bbb.ccc.ddd は SFTP サーバの IP アドレスまたはホスト名、ise-upgradebundle-2.x-to-2.4.0.xxx.SPA.x86_64.tar.gz はアップグレード バンドルの名前です。
ローカル ディスクにアップグレード バンドルを置くと、アップグレード時間を短縮できます。また、application upgrade prepare コマンドを使用してアップグレード バンドルをローカル ディスクにコピーして抽出することもできます。
(注) |
|
利用可能なディスク サイズの確認
仮想マシンに必要なディスク容量が割り当てられていることを確認します。詳細については、『Cisco ISE Installation Guide』を参照してください。ディスク サイズを増やす必要がある場合は、ISE を再インストールし、設定のバックアップを復元する必要があります。
ロード バランサ構成の確認
プライマリ管理ノード(PAN)とポリシー サービス ノード(PSN)間でロード バランサを使用している場合は、ロード バランサで設定されたセッション タイムアウトがアップグレード プロセスに影響しないことを確認してください。セッション タイムアウト値を低く設定すると、ロード バランサの背後にある PSN でアップグレード プロセスに影響する可能性があります。たとえば、PAN から PSN へのデータベース ダンプ中にセッションがタイムアウトすると、PSN でアップグレード プロセスが失敗する可能性があります。