アップグレード後の設定と構成

Cisco ISE のアップグレード後に、次のタスクを実行します。

仮想マシンの設定の確認

VMware 仮想マシンのゲスト オペレーティング システムが Red Hat Enterprise Linux(RHEL)7 に設定され、ネットワークアダプタが E1000 または VMXNET3 に設定されていることを確認します。

ポートが開いていることの確認

バージョン 2.6 より前のリリースからアップグレードする場合は、『Cisco ISE release notes for 2.6』を参照してください。

https://www.cisco.com/c/en/us/td/docs/security/ise/2-6/release_notes/b_ise_26_RN.html

注意すべき重要な変更点の 1 つは、ISE メッセージキューで、すべての Cisco ISE ノード間でポート 8671 のオープンが要求されることです。

ブラウザのセットアップ

アップグレード後、Cisco ISE 管理者用ポータルにアクセスする前に、ブラウザのキャッシュをクリアしていることを確認し、ブラウザを閉じて、新しいブラウザセッションを開きます。また、リリースノートに記載されているサポート対象のブラウザを使用していることを確認します。 https://www.cisco.com/c/en/us/support/security/identity-services-engine/products-release-notes-list.html

Active Directory の再結合

外部アイデンティティソースとして使用している Active Directory との接続が失われた場合は、Active Directory とすべての Cisco ISE ノードを再度結合する必要があります。結合が完了した後に、外部アイデンティティソースのコールフローを実行して、確実に接続します。

  • アップグレード後に、Active Directory 管理者アカウントを使用して Cisco ISE ユーザインターフェイスにログインした場合、アップグレード時に Active Directory の結合が失われるため、ログインが失敗します。Cisco ISE にログインし、Active Directory と結合するには、内部管理者アカウントを使用する必要があります。

  • Cisco ISE への管理アクセスに対して証明書ベースの認証を有効にしていて、Active Directory をアイデンティティソースとして使用している場合、アップグレード後に ISE ログインページを起動できません。これは、アップグレード中に Active Directory との結合が失われるためです。Active Directory との結合を復元するには、Cisco ISE CLI に接続し、次のコマンドを使用してセーフモードで ISE アプリケーションを開始します。

    application start ise safe

    Cisco ISE がセーフモードで起動したら、次のタスクを実行します。

    • 内部管理者アカウントを使用して Cisco ISE ユーザインターフェイスにログインします。

      パスワードを忘れた場合または管理者アカウントがロックされている場合は、管理者パスワードをリセットする方法について、管理者ガイドの「Administrator Access to Cisco ISE」を参照してください。

    • Cisco ISE と Active Directory を結合します。

    Active Directory との結合の詳細については、次の項目を参照してください。

    Configure Active Directory as an External Identity Source

Active Directory で使用される証明書属性

Cisco ISE は、SAM と CN のいずれか、または両方の属性を使用してユーザを識別します。Cisco ISE リリース 2.2 パッチ 5 以降、および 2.3 パッチ 2 以降は、sAMAccountName 属性をデフォルトの属性として使用します。これ以前のリリースでは、SAM と CN の両方の属性がデフォルトで検索されていました。この動作はリリース 2.2 パッチ 5 以降と 2.3 パッチ 2 以降で、CSCvf21978 バグ修正の一部として変更されました。これらのリリースでは、sAMAccountName 属性のみがデフォルトの属性として使用されます。

実際の環境で必要に応じて、SAM と CN のいずれか、または両方を使用するように Cisco ISE を設定できます。SAM および CN が使用される場合、SAMAccountName 属性の値が一意でないと、Cisco ISE は CN 属性値も比較します。

Active Directory アイデンティティ検索の属性を設定するには、次の手順を実行します。

  • 1.[管理(Administration)] > [IDの管理(Identity Management)] > [外部IDソース(External Identity Sources)] > [Active Directory]を選択します。[Active Directory] ウィンドウで、[拡張ツール(Advanced Tools)] をクリックし、[高度な調整(Advanced Tuning)] を選択します。次の詳細を入力します。

    • [ISEノード(ISE Node)]:Active Directory に接続される ISE ノードを選択します。

    • [名前(Name)]:変更するレジストリキーを入力します。Active Directory 検索属性を変更するには、REGISTRY.Services\lsass\Parameters\Providers\ActiveDirectory\IdentityLookupField と入力します。

    • [値(Value)]:ユーザを識別するために ISE で使用する属性を入力します。

      • SAM:クエリで SAM のみを使用します(このオプションがデフォルトです)。

      • CN:クエリで CN のみを使用します。

      • SAMCN:クエリで CN と SAM を使用します。

    • [コメント(Comment)]:変更内容を記述します(たとえば「デフォルト動作を SAM および CN に変更」)。

  • 2. [値の更新(Update Value)] をクリックしてレジストリを更新します。

    ポップアップウィンドウが表示されます。メッセージを読み取り、変更を受け入れます。ISE の AD コネクタサービスが再起動します。

逆引き DNS ルックアップ

すべての DNS サーバに分散展開されているすべての Cisco ISE ノードに対して、逆引き DNS ルックアップが設定されていることを確認します。そうしないと、アップグレード後にデプロイメント配置関連の問題が発生する可能性があります。

証明書の復元

PAN での証明書の復元

分散展開をアップグレードすると、次の両方の条件が満たされた場合は、プライマリ管理ノードのルート CA 証明書は信頼できる証明書ストアに追加されません。

  • セカンダリ管理ノードは新しい展開でプライマリ管理ノードに昇格されている。

  • セッション サービスはセカンダリノードでディセーブルになっている。

証明書がストアにない場合は、認証エラーが発生し、次のエラーが表示される可能性があります:

  • Unknown CA in chain during a BYOD flow

  • OCSP unknown error during a BYOD flow

これらのメッセージは、失敗した認証の [ライブログ(Live Logs)] ページの [詳細(More Details)] リンクをクリックすると表示されます。

プライマリ管理ノードのルート CA 証明書を復元するには、新しい Cisco ISE ルート CA 証明書チェーンを生成します。[管理(Administration)] > [証明書(Certificates)] > [証明書署名要求(Certificate Signing Requests)] > [ISEルートCA証明書チェーンの交換(Replace ISE Root CA certificate chain)]を選択します。

証明書とキーをセカンダリ管理ノードで復元する

セカンダリ管理ノードを使用している場合は、プライマリ管理ノードから Cisco ISE CA 証明書およびキーのバックアップを取得し、セカンダリ管理ノードで復元します。これにより、プライマリ PAN に障害が発生し、セカンダリ管理ノードをプライマリ管理ノードに昇格する場合に、セカンダリ管理ノードが外部 PKI ルート CA または下位 CA として動作するようになります。

証明書とキーのバックアップおよび復元に関する詳細については、次の項目を参照してください。

Backup and Restore of Cisco ISE CA Certificates and Keys

ルート CA チェーンの再生成

ルート CA チェーンの再生成

次のイベントが発生した場合は、ルート CA チェーンを再生成する必要があります。

  • PAN または PSN のドメイン名またはホスト名の変更。

  • 新しい展開でのバックアップの復元。

  • アップグレード後に古いプライマリ PAN を新しいプライマリ PAN に昇格。

ルート CA チェーンを再生成するには、[管理(Administration)] > [システム(System)] > [証明書(Certificates)] > [証明書の管理(Certificate Management)] > [証明書署名要求(Certificate Signing Requests)] を選択します。[証明書署名要求(CSR)の生成(Generate Certificate Signing Requests(CSR))] をクリックします。[証明書の使用先(Certificate(s) will be used for)] ドロップダウンリストから [ISEルートCA(ISE Root CA)] を選択します。[ISEルートCA証明書チェーンの置き換え(Replace ISE Root CA Certificate chain)] をクリックします。

アップグレードプロセス後、次のイベントが発生する可能性もあります。

  1. ライブログにデータがない

  2. キューリンクエラー

  3. ヘルス ステータスが使用不可

  4. 一部のノードのシステム概要に利用できる日付がない

キューリンクエラーを解決し、情報を復元するには、MnT データベースをリセットし、ISE ルート CA 証明書チェーンを置き換える必要があります。

脅威中心型 NAC

脅威中心型 NAC(TC-NAC)サービスを有効にしている場合は、アップグレード後に、TC-NAC アダプタが機能しない可能性があります。ISE GUI の [脅威中心型 NAC(Threat-Centric NAC)] ページからアダプタを再起動する必要があります。アダプタを再起動するには、アダプタを選択して [再起動(Restart)] をクリックします。

SMNP 送信元ポリシーサービスノード設定

SNMP の設定で、手動で [元のポリシーサービスノード(Originating Policy Services Node)] の値を設定した場合、この設定はアップグレード中に失われます。SNMP 設定を再設定する必要があります。

詳細については、以下を参照してください。

Network Device Definition Settings」の「SNMP Settings」を参照してください。

プロファイラ フィード サービス

アップグレード後にプロファイラ フィード サービス更新して、最新 OUI がインストールされているようにします。

Cisco ISE 管理者用ポータルから:

手順


ステップ 1

[管理(Administration)] > [フィードサービス(FeedService)] > [プロファイラ(Profiler)] の順に選択します。プロファイラ フィード サービスが有効にされていることを確認します。

ステップ 2

[今すぐ更新(Update Now)] をクリックします。


クライアント プロビジョニング

クライアント プロビジョニング ポリシーで使用されているネイティブのサプリカントプロファイルをチェックして、ワイヤレス SSID が正しいことを確認します。iOS デバイスの場合、接続対象ネットワークが非表示の場合は、[iOSの設定(iOS Settings)] エリアで [ターゲットネットワーク非表示時にイネーブルにする(Enable if target network is hidden)] チェックボックスをオンにします。

ISE でのクライアント プロビジョニング リソースの更新:

オンライン更新

手順


ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results )] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択して、クライアント プロビジョニング リソースを設定します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[シスコサイトからのエージェントリソース(Agent Resources From Cisco Site)] を選択します。

ステップ 4

[リモートリソースのダウンロード(Download Remote Resources)] ウィンドウで、Cisco Temporal Agent リソースを選択します。

ステップ 5

[保存(Save)] をクリックして、ダウンロードしたリソースが [リソース(Resources)] ページに表示されていることを確認します。


オフライン更新

手順


ステップ 1

[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results )] > [クライアント プロビジョニング(Client Provisioning)] > [リソース(Resources)] を選択して、クライアント プロビジョニング リソースを設定します。

ステップ 2

[追加(Add)] をクリックします。

ステップ 3

[ローカルディスクからのエージェントリソース(Agent Resources from Local Disk)] を選択します。

ステップ 4

[カテゴリ(Category)] ドロップダウンから、[シスコが提供するパッケージ(Cisco Provided Packages)] を選択します。


暗号スイート

これらの廃止予定の暗号方式を Cisco ISE に対する認証に使用する古い IP フォンなどのレガシーデバイスがある場合、これらのデバイスは従来の暗号方式を使用するため、認証は失敗します。アップグレード後に Cisco ISE がレガシーデバイスを認証できるようにするには、次のように [許可されているプロトコル(Allowed Protocols)] の設定を更新してください。

手順


ステップ 1

管理者用ポータルから、[ポリシー(Policy)] > [ポリシー要素(Policy Elements)] > [結果(Results)] > [認証(Authentication)] > [許可されているプロトコル(Allowed Protocols)] を選択します。

ステップ 2

許可されているプロトコルサービスを編集し、[弱い暗号方式をEAPに許可する(Allow weak ciphers for EAP)] チェックボックスをオンにします。

ステップ 3

[送信(Submit)] をクリックします。


モニタリングおよびトラブルシューティング

  • 電子メール設定、お気に入りレポート、データ削除設定を再設定します。

  • 必要とする特定のアラームのしきい値またはフィルタを確認します。すべてのアラームは、アップグレード後にデフォルトでイネーブルになります。

  • 必要に応じてレポートをカスタマイズします。古い展開でレポートをカスタマイズした場合は、加えた変更が、アップグレードプロセスによって上書きされます。

MnT バックアップの復元

更新前に作成した MnT データの運用データバックアップを使用して、バックアップを復元します。

詳細については、以下を参照してください。

詳細については、『Cisco ISE Administrator Guide』の「Backup and Restore Operations 」を参照してください。

Trustsec NAD に対するポリシーの更新

次のコマンドを次の順序で実行して、システムの Cisco TrustSec 対応レイヤ 3 インターフェイスにポリシーをダウンロードします。

  • no cts role-based enforcement

  • cts role-based enforcement

サプリカント プロビジョニング ウィザードの更新

新しいリリースにアップグレードする場合、またはパッチを適用する場合、サプリカント プロビジョニング ウィザード(SPW)は更新されません。SPW を手動で更新し、新しい SPW を参照する新しいネイティブ サプリカント プロファイルと新しいクライアント プロビジョニング ポリシーを作成する必要があります。新しい SPW は ISE ダウンロードページで使用できます。