Cisco ISE ソフトウェアパッチ

Cisco ISE ソフトウェアパッチは通常累積されます。Cisco ISE では、パッチのインストールおよびロールバックを CLI または GUI から実行できます。

展開内の Cisco ISE サーバにパッチをインストールする作業は、プライマリ PAN から行うことができます。プライマリ PAN からパッチをインストールするには、Cisco.com からクライアントブラウザを実行しているシステムにパッチをダウンロードします。

GUI からパッチをインストールする場合、パッチは最初にプライマリ PAN に自動的にインストールされます。その後、システムは、GUI にリストされている順序で、展開内の他のノードにパッチをインストールします。ノードが更新される順序を制御することはできません。また、GUI の [管理者(Administrator)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] ウィンドウから、手動でパッチバージョンをインストール、ロールバック、および表示することもできます。

CLI からパッチをインストールする場合は、ノードの更新順序を制御できます。ただし、最初にプライマリ PAN にパッチをインストールすることを推奨します。

展開全体をアップグレードする前にいくつかのノードでパッチを検証する場合、CLI を使用すると、選択したノードでパッチをインストールできます。パッチをインストールするには、次の CLI コマンドを使用します。
patch install <patch_bundle> <repository_that_stores_patch_file>

詳細については、『Cisco Identity Services Engine CLI Reference Guide』の「Cisco ISE CLI Commands in EXEC Mode」の章にある「install Patch」の項を参照してください。

必要なパッチバージョンを直接インストールすることができます。たとえば、Cisco ISE 2.x を使用していて、Cisco ISE 2.x パッチ 5 をインストールする場合、以前のパッチ(Cisco ISE 2.x パッチ 1 ~ 4 など)をインストールしなくても、Cisco ISE 2.x パッチ 5 を直接インストールできます。CLI でパッチバージョンを表示するには、次の CLI コマンドを使用します。
show version

ソフトウェア パッチ インストールのガイドライン

ISE ノードにパッチをインストールすると、インストールの完了後にノードが再起動されます。再びログインできる状態になるまで、数分かかることがあります。メンテナンスウィンドウ中にパッチをインストールするようにスケジュール設定し、一時的な機能停止を回避することができます。

インストールするパッチが、ネットワーク内に展開されている Cisco ISE のバージョンに適用されるものであることを確認してください。Cisco ISE はパッチファイルのバージョンの不一致とあらゆるエラーをレポートします。

Cisco ISE に現在インストールされているパッチよりも低いバージョンのパッチをインストールできません。同様に、あるバージョンのパッチの変更をロールバックしようとしたときに、それよりも高いバージョンのパッチがその時点で Cisco ISE にインストール済みの場合は、ロールバックはできません。たとえば、パッチ 3 が Cisco ISE サーバにインストール済みの場合に、パッチ 1 または 2 をインストールしたり、パッチ 1 または 2 にロールバックすることはできません。

分散展開の一部であるプライマリ PAN からパッチのインストールを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリノードとすべてのセカンダリノードにインストールされます。パッチのインストールがプライマリ PAN で成功すると、Cisco ISE はセカンダリノードでパッチのインストールを続行します。プライマリ PAN で失敗した場合は、インストールはセカンダリノードに進みません。ただし、何らかの理由でセカンダリノードのいずれかでインストールに失敗した場合は、処理が続行され、展開内の次のセカンダリノードでインストールが実行されます。

2 ノード展開の一部であるプライマリ PAN からパッチのインストールを実行するときは、Cisco によってそのパッチが展開内のプライマリノードとセカンダリノードにインストールされます。パッチのインストールがプライマリ PAN で成功すると、Cisco はセカンダリノードでパッチのインストールを続行します。プライマリ PAN で失敗した場合は、インストールはセカンダリノードに進みません。

ソフトウェアパッチのインストール


(注)  

Cisco ISE のパッチをインラインポスチャノードにインストールする作業を実行できるのは、CLI からに限られます。

始める前に

  • スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

  • [管理(Administration)] > [システム(System)] > [展開(Deployment)] > [PANのフェールオーバー(PAN Failover)] に移動し、[PANの自動フェールオーバーを有効にする(Enable PAN Auto Failover)] チェックボックスがオフになっていることを確認します。このタスクの期間中は、PAN の自動フェールオーバー設定を無効にする必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] > [インストール(Install)] を選択します。

ステップ 2

[参照(Browse)] をクリックし、Cisco.com からダウンロードしたパッチを選択します。

ステップ 3

[インストール(Install)] をクリックしてパッチをインストールします。

PAN でのパッチのインストールが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

(注)   

パッチインストールの進行中は、[パッチ管理(Patch Management)] ページ上の機能のうち、アクセスできるのは Show Node Status のみです。

ステップ 4

[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択して、[パッチのインストール(Patch Installation)] ページに戻ります。

ステップ 5

セカンダリノードにインストールしたパッチの横のオプションボタンをクリックし、[ノードステータスを表示(Show Node Status)] をクリックしてインストールが完了したことを確認します。

次のタスク

1 つ以上のセカンダリノードでパッチをインストールする必要がある場合は、ノードが動作中であることを確認し、プロセスを繰り返して残りのノードにパッチをインストールします。

ソフトウェアパッチのロールバック

複数のノードの展開の一部である PAN からパッチのロールバックを実行するときは、Cisco ISE によってそのパッチが展開内のプライマリノードとすべてのセカンダリノードにロールバックされます。

始める前に

  • スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。

手順

ステップ 1

[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択します。

ステップ 2

変更をロールバックするパッチバージョンのオプションボタンをクリックしてから、[ロールバック(Rollback)] をクリックします。

(注)   

パッチのロールバックの進行中は、[パッチ管理(Patch Management)] ページ上の機能のうち、アクセスできるのは Show Node Status のみです。

PAN からのパッチのロールバックが完了すると、Cisco ISE から自動的にログアウトされます。再びログインできるようになるまで数分間待つ必要があります。

ステップ 3

ログイン後に、ページの一番下にある [アラーム(Alarms)] リンクをクリックしてロールバック操作のステータスを表示します。

ステップ 4

[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] を選択します。

ステップ 5

パッチのロールバックの進行状況を表示するには、[パッチ管理(Patch Management)] ページでパッチを選択し、[ノードステータスを表示(Show Node Status)] をクリックします。

ステップ 6

パッチのオプションボタンをクリックし、セカンダリノード上で [ノードステータスを表示(Show Node Status)] をクリックして、そのパッチが展開内のすべてのノードからロールバックされたことを確認します。

そのパッチがロールバックされていないセカンダリノードがある場合は、そのノードが稼働中であることを確認してから、プロセスをもう一度実行して残りのノードから変更をロールバックしてください。Cisco ISE は、このバージョンのパッチがインストールされているノードからのみパッチをロールバックします。

ソフトウェア パッチ ロールバックのガイドライン

展開の Cisco ISE ノードからパッチをロールバックするには、最初に PAN から変更をロールバックします。これに成功すると、セカンダリノードからパッチがロールバックされます。PAN でロールバックプロセスが失敗した場合は、セカンダリノードからのパッチロールバックは行われません。ただし、いずれかのセカンダリノードでパッチのロールバックが失敗しても、展開内の次のセカンダリノードからのパッチのロールバックは継続されます。

Cisco ISE によるセカンダリノードからのパッチロールバックが進行中のときも、引き続き PAN GUI から他のタスクを実行できます。セカンダリノードは、ロールバック後に再起動されます。

パッチのインストールおよびロールバックの変更の表示

インストールされているパッチに関連するレポートを表示するには、次の手順を実行します。

始める前に

スーパー管理者またはシステム管理者の管理者ロールが割り当てられている必要があります。[管理(Administration)] > [システム(System)] > [メンテナンス(Maintenance)] > [パッチ管理(Patch Management)] ページで、パッチをインストールまたはロールバックできます。展開内の各ノードで特定のパッチのステータス([インストール済み(installed)]、[処理中(in-progress)]、[未インストール(not installed)])を確認できます。このためには、特定のパッチを選択し、[ノードステータスを表示(Show Node Status)] ボタンをクリックします。

手順

ステップ 1

[操作(Operations)] > [レポート(Reports)] > [監査(Audit)] > [操作監査(Operations Audit)] を選択します。デフォルトでは、過去 7 日間のレコードが表示されます。
ステップ 2

[フィルタ(Filter)] ドロップダウンをクリックして [クイックフィルタ(Quick Filter)] または [高度なフィルタ(Advanced Filter)] を選択し、必要なキーワード(例:patch install iniated)を使用して、インストール済みのパッチを示すレポートを生成します。