次のガイドラインに従うと、アップグレードプロセス中に発生する可能性のある現在の展開の問題に対処できます。これにより、全体的なアップグレードのダウンタイムが削減され、効率性が向上します。

• アップグレードの開始前に、既存のバージョンで最新のパッチにアップグレードします。

• 実稼働ネットワークのアップグレード前に、ステージング環境でアップグレードをテストし、アップグレードの問題を特定して修正することをお勧めします。

  • データを交換するには、Cisco ISE 展開内のすべてのノードが同じパッチレベルにあることが必要です。

    （注）	展開内のすべてのノードが同じ Cisco ISE バージョンおよびパッチバージョンにない場合、「 Upgrade cannot begin 」という警告メッセージが表示されます。このメッセージは、アップグレードがブロック状態にあることを示しています。アップグレードプロセスを開始する前に、展開のすべてのノードのバージョン（該当する場合はパッチバージョンを含む）が同じであることを確認します。

  • 展開内の PSN の数と人員の可用性に基づいて、アップグレードする必要がある Cisco ISE の最終バージョンをインストールし、最新のパッチを適用して、対応可能な状態に保つことができます。

  • MnT ログを保持する場合は、MnT ノードに対して前述のタスクを実行し、MnT ノードとして新しい展開に参加します。ただし、操作ログを保持する必要がない場合は、MnT ノードを再イメージ化してこの手順をスキップできます。

  • 実稼働環境に影響のないマルチノード展開がある場合、Cisco ISE のインストールを並行して実行できます。ISE サーバーを並列にインストールすると、特に以前のリリースのバックアップと復元を使用している場合、時間が節約されます。

  • 新しい展開に PSN を追加して、PAN からの登録プロセス中に既存のポリシーをダウンロードすることができます。ISE の遅延と帯域幅の計算ツールを使用して、Cisco ISE の展開における遅延と帯域幅の要件を理解します。

  • 古いログをアーカイブし、それらを新しい展開に転送しないことをお勧めします。これは、後で MnT ロールを変更する場合に、MnT で復元された操作ログが異なるノードに同期されないためです。

  • 完全な分散型展開を使用する 2 つのデータセンター（DC）がある場合は、バックアップ DC をアップグレードし、プライマリ DC をアップグレードする前に使用例をテストします。

• アップグレード前にローカルリポジトリでアップグレードソフトウェアをダウンロードおよび保存し、プロセスを高速化します。

• アップグレードプロセスの開始前にアップグレード準備ツール（URT）を使用し、設定データのアップグレードの問題を検出して修正します。ほとんどのアップグレードの障害は、設定データのアップグレードの問題が原因で発生します。URT は、可能な場合は、必ずアップグレード前にデータを検証し、問題を特定、報告、または修正します。URT は、セカンダリポリシー管理ノードまたはスタンドアロンノードで実行できる個別のダウンロード可能なバンドルとして利用できます。このツールを実行するのにダウンタイムは発生しません。次のビデオでは、URT の使用方法について説明します。https://www.cisco.com/c/en/us/td/docs/security/ise/videos/urt/v1-0/cisco-urt.html

  警告	プライマリポリシー管理ノードでは URT を実行しないでください。URT ツールは、MnT 運用データのアップグレードのシミュレーションは行いません。

• GUI を使用して Cisco ISE をアップグレードする場合、ノードあたりのプロセスのタイムアウトは 4 時間です。アップグレード所要時間が 4 時間を超えると、アップグレードは失敗します。アップグレード準備ツール（URT）のアップグレードに 4 時間以上かかる場合は、このプロセスに CLI を使用することをお勧めします。

• 設定を変更する前に、ロードバランサのバックアップを作成します。アップグレードウィンドウ中にロードバランサから PSN を削除し、アップグレード後に再び追加できます。

• 自動 PAN フェールオーバーを無効にして（設定されている場合）、アップグレード中に PAN 間のハートビートを無効にします。

• 既存のポリシーとルールを確認し、古くて、冗長な、更新されていないポリシーおよびルールを削除します。

• 不要なモニターリングログとエンドポイントデータを削除します。

• 設定と動作のログのバックアップを作成し、ネットワークに接続されていない一時的なサーバーで復元することができます。アップグレードウィンドウ中はリモートロギングターゲットを使用できます。

  アップグレード後に次のオプションを使用して、MnT ノードに送信されるログの量を削減し、パフォーマンスを向上させることができます。

  • MnT コレクションフィルタ（[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [コレクションフィルタ（Collection Filters）]）を使用して、着信ログをフィルタリングし、AAA ログでエントリが重複しないようにします。

  • リモートロギングターゲット（[管理（Administration）] > [システム（System）] > [ロギング（Logging）] > [リモートロギングターゲット（Remote Logging Target）]）を作成し、個々のロギングカテゴリを特定のロギングターゲット（[システム（System）] > [ロギング（Logging）] > [ロギングカテゴリ（Logging categories）]）にルーティングできます。

  • [管理（Administration）] > [システム（System）] > [設定（Settings）] > [プロトコル（Protocols）] > [RADIUS] ウィンドウで [繰り返し発生する更新を無視（Ignore Repeated Updates）] オプションを有効にして、繰り返し発生するアカウンティングの更新を回避します。

• アップグレードの最新のアップグレードバンドルをダウンロードして使用します。バグ検索ツールで次のクエリを使用して、アップグレードを探し、オープンで修正済みの関連不具合をアップグレードします。http://cs.co/ise-upgrade-bugsearch

• ユーザー数を減らした新しい展開ですべての使用例をテストし、サービスの継続性を確保します。

Cisco ISE にはいくつかの事前定義された承認複合条件が付属しています。古い展開内の（ユーザー定義された）承認単純条件が事前定義済み承認複合条件と同じ名前である場合、アップグレードプロセスは失敗します。アップグレードする前に、次の事前定義済み承認複合条件名のいずれかと名前が同じ承認単純条件は名前を変更する必要があります。

• Compliance_Unknown_Devices

• Non_Compliant_Devices

• Compliant_Devices

• Non_Cisco_Profiled_Phones

• Switch_Local_Web_Authentication

• Catalyst_Switch_Local_Web_Authentication

• Wireless_Access

• BYOD_is_Registered

• EAP-MSCHAPv2

• EAP-TLS

• Guest_Flow

• MAC_in_SAN

• Network_Access_Authentication_Passed

仮想マシンの Cisco ISE ノードをアップグレードする場合は、ゲスト オペレーティング システムを Red Hat Enterprise Linux（RHEL）のサポートされるバージョンに変更してあることを確認します。これを行うには、VM の電源をオフにし、ゲスト オペレーティング システムを更新し、変更後に VM の電源をオンにする必要があります。

RHEL 7 は E1000 および VMXNET3 ネットワークアダプタのみをサポートします。アップグレードする前に、ネットワークアダプタのタイプを変更する必要があります。

リリース 2.2 より前に、非 ASCII 文字を持つスポンサーグループを作成した場合、アップグレードの前に、スポンサーグループの名前を変更し、ASCII 文字のみを使用するようにしてください。

Cisco ISE リリース 2.2 以降のスポンサーグループ名では、非 ASCII 文字はサポートされません。

プライマリ管理ノードと他のノードとの間にファイアウォールが設置されている場合は、次の各ポートがアップグレード前に開いている必要があります。

• TCP 1521：プライマリ管理ノードとモニターリングノード間の通信用。

• TCP 443：プライマリ管理ノードとその他すべてのセカンダリノード間の通信用。

• TCP 12001：グローバルクラスタのレプリケーション用。

• TCP 7800 および 7802：（ポリシーサービスノードがノードグループの一部である場合に限り該当）PSN グループのクラスタリング用。

Cisco ISE が使用するすべてのポートのリストについては、『Cisco Identity Services Engine Hardware Installation Guide』を参照してください。

Cisco ISE が使用するポートの完全なリストについては、「Cisco ISE Ports Reference」を参照してください。

コマンドライン インターフェイス（CLI）または GUI から Cisco ISE 設定および運用データのバックアップを取得します。CLI コマンドは次のとおりです。

backup backup-name repository repository-name {ise-config | ise-operational} encryption-key {hash | plain} encryption-keyname

（注）

Cisco ISE が VMware で実行されている場合、ISE データをバックアップするのに、VMware スナップショットはサポートされていません。 VMware スナップショットは指定した時点で、VM のステータスを保存します。マルチノード Cisco ISE 展開環境では、すべてのノードのデータは、現在のデータベース情報と継続的に同期されます。スナップショットを復元すると、データベースのレプリケーションと同期の問題を引き起こす可能性があります。シスコは、データのアーカイブおよび復元用に、Cisco ISE に含まれるバックアップ機能を使用することを推奨します。 VMware スナップショットを使用して ISE データをバックアップすると、Cisco ISE サービスが停止します。ISE ノードを起動するには、再起動が必要です。

また、Cisco ISE 管理者用ポータルから設定および運用データのバックアップを取得することができます。バックアップファイルを格納するリポジトリを作成したことを確認します。ローカルリポジトリを使用してバックアップしないでください。リモートモニターリングノードのローカルリポジトリで、モニターリングデータをバックアップすることはできません。次のリポジトリタイプはサポートされていません。CD-ROM、HTTP、HTTPS、または TFTP。これは、これらのリポジトリタイプが読み取り専用であるか、またはプロトコルでファイルのリストがサポートされないためです。

1. [管理（Administration）] > [メンテナンス（Maintenance）] > [バックアップと復元（Backup and Restore）] を選択します。

2. [すぐにバックアップ（Backup Now）] をクリックします。

3. バックアップを実行するために必要な値を入力します。

4. [OK] をクリックします。

5. バックアップが正常に完了したことを確認します。

   分散展開では、バックアップの実行中にノードのロールを変更したり、ノードの設定を行ったりすることはできません。バックアップの実行中にノードのロールを変更すると、すべてのプロセスがシャットダウンし、データに不一致が生じる場合があります。ノードのロールを変更する際は、バックアップが完了するまで待機してください。

Cisco ISE はタイムスタンプを持つバックアップファイル名を付け、指定されたリポジトリにファイルを保存します。タイムスタンプに加えて、Cisco ISE は設定バックアップには CFG タグ、操作バックアップには OPS タグを追加します。バックアップファイルが指定リポジトリにあることを確認します。

（注）	Cisco ISE では、ある ISE ノード（A）からバックアップを取得して、別の ISE ノード（B）に復元することができます。両方のノードは同じホスト名（IP アドレスは異なる）です。ただし、ノード B 上のバックアップを復元した後は、証明書とポータルグループタグの問題が生じる可能性があるため、ノード B のホスト名を変更することはできません。

コマンドライン インターフェイス（CLI）を使用して、プライマリ管理ノードからシステムログのバックアップを取得します。CLI コマンドは次のとおりです。

backup-logs backup-name repository repository-name encryption-key { hash | plain} encryption-key name

アップグレードプロセスは、Cisco ISE の信頼できる証明書またはシステム証明書ストアの証明書の期限が切れていると、失敗します。アップグレードの前に、[信頼できる証明書（Trusted Certificates）] と [システム証明書（System Certificates）] ウィンドウ（[管理（Administration）] > [システム（System）] > [証明書（Certificates）] > [証明書の管理（Certificate Managemen）]）の [有効期限（Expiration Date）] の有効性を確認し、必要に応じて更新してください。

また、アップグレードの前に、[CA 証明書（CA Certificates）] ウィンドウ（[管理（Administration）] > [システム（System）] > [証明書（Certificates）] > [証明書機関（Certificate Authority）] > [証明書機関の証明書（Certificate Authority Certificates）]）の [有効期限（Expiration Date）] の有効性を確認し、必要に応じて更新してください。

Cisco ISE のバックアップを実行した場合は、展開の変更を実行できません。そのため、アップグレードの妨げにならないようにするには自動設定を無効にする必要があります。Cisco ISE をアップグレードする前に、次の設定を無効にしていることを確認してください。

• プライマリ管理ノードの自動フェールオーバー：プライマリ管理ノードを自動フェールオーバーに設定している場合は、Cisco ISE をアップグレードする前に、自動フェールオーバーオプションを必ず無効にします。

• スケジュールバックアップ：アップグレード後にバックアップをスケジュールし直すように展開のアップグレードを計画します。バックアップスケジュールを無効にし、アップグレード後に再作成することができます。

  スケジュール頻度が一度のバックアップは、Cisco ISE アプリケーションが再起動するたびにトリガーされます。このように、一度だけ実行するように設定されたバックアップスケジュールは、アップグレード前に設定を無効にしてください。

アップグレード中、Cisco ISE ノードは再起動して、プライマリ管理ノードからセカンダリ管理ノードにデータを移行、複製します。これらの操作では、ネットワーク内の NTP サーバーが正しく設定され、到達可能であることが重要です。NTP サーバーが正しく設定されていない、または到達不能な場合、アップグレードプロセスは失敗します。

ネットワーク内の NTP サーバーが、アップグレード中に到達可能で、応答性があり、同期していることを確認します。

プロファイラサービスを使用する場合、管理者ポータルから、各ポリシーサービスノードのプロファイラ構成を必ず記録してください（[管理（Administration）] > [システム（System）] > [展開（Deployment）] > <ノード> > ）。ノードを選択して、[ノードの編集（Edit Node）] をクリックします。[ノードの編集（Edit Node）] ページで、[プロファイリング設定（Profiling Configuration）] タブに移動します。構成情報をメモするか、スクリーンショットを取得できます。

外部アイデンティティソースとして Active Directory を使用する場合は、Active Directory のクレデンシャルと有効な内部管理者アカウントクレデンシャルを手元に用意してください。アップグレード後に、Active Directory 接続が失われることがあります。この場合、管理者ポータルにログインするために ISE 内部管理者アカウント、Cisco ISE と Active Directory を再接続するために Active Directory のクレデンシャルが必要です。

MDM 機能を使用する場合は、アップグレードの前に、MDM ベンダーのステータスがアクティブであることを確認します。

MDM サーバー名が承認ポリシーで使用され、対応する MDM サーバーが無効の場合は、アップグレードプロセスは失敗します。回避策として、次のいずれかが可能です。

1. アップグレードの前に MDM サーバーを有効にします。

2. 承認ポリシーから MDM サーバー名属性を使用する条件を削除します。

リポジトリを作成して、バックアップを取得してアップグレードバンドルをコピーします。リポジトリの作成方法については、『Cisco ISE 管理者ガイド』の「メンテナンスとモニター」の章にある「リポジトリの作成」を参照してください。

パフォーマンスと信頼性を高めるために、FTP を使用することを推奨します。低速 WAN リンクを介したリポジトリを使用しないでください。ノードに近い位置にあるローカルリポジトリを使用することを推奨します。

リポジトリとのインターネット接続が良好であることを確認します。

（注）	リポジトリからノードにアップグレードバンドルをダウンロードする場合、ダウンロードが完了するまでに 35 分以上かかるとダウンロードがタイムアウトします。この問題は、インターネットの帯域幅が不十分なために発生します。

ローカルディスクにアップグレードバンドルを置くと、アップグレード時間を短縮できます。また、application upgrade prepare <upgrade bundle name> <repository name> コマンドを使用してアップグレードバンドルをローカルディスクにコピーして抽出することもできます。

（注）	リポジトリとの帯域幅接続が良好であることを確認してください。リポジトリからノードにアップグレードバンドル（ファイルサイズは約 9GB）をダウンロードする場合、ダウンロードが完了するまでに 35 分以上かかるとダウンロードがタイムアウトします。 ローカルディスクに設定ファイルが保存されている場合は、アップグレードの実行時に削除されます。したがって、Cisco ISE リポジトリを作成し、このリポジトリにコンフィギュレーション ファイルをコピーすることをお勧めします。

アップグレードバンドルは Cisco.com からダウンロードします。

リリース 2.6 にアップグレードするには、このアップグレードバンドルを使用します。ise-upgradebundle-2.x-to-2.6.0.xxx.SPA.x86_64.tar.gz

アップグレード用に、次のコマンドを使用して Cisco ISE ノードのローカルディスクにアップグレードバンドルをコピーできます。

copy repository_url/path/ise-upgradebundle-2.x-to-2.6.0.xxx.SPA.x86_64.tar.gz disk:/

たとえば、アップグレードバンドルのコピーに SFTP を使用するには、次を実行できます。

1. （ホストキーが存在しない場合は追加します）crypto host_key add host mySftpserver

2. copy sftp://aaa.bbb.ccc.ddd/ise-upgradebundle-2.x-to-2.6.0.xxx.SPA.x86_64.tar.gz disk:/

   aaa.bbb.ccc.ddd は SFTP サーバーの IP アドレスまたはホスト名、ise-upgradebundle-2.x-to-2.6.0.xxx.SPA.x86_64.tar.gz はアップグレードバンドルの名前です。

プライマリ管理ノード（PAN）とポリシーサービスノード（PSN）間でロードバランサを使用している場合は、ロードバランサで設定されたセッションタイムアウトがアップグレードプロセスに影響しないことを確認してください。セッションタイムアウト値を低く設定すると、ロードバランサの背後にある PSN でアップグレードプロセスに影響する可能性があります。たとえば、PAN から PSN へのデータベースダンプ中にセッションがタイムアウトすると、PSN でアップグレードプロセスが失敗する可能性があります。