ISE-PIC ノードの管理
セカンダリードの追加または削除、ノード間のデータの同期、セカンダリノードのプライマリノードへの昇格などを行います。
Cisco ISE-PIC 展開のセットアップ
『Cisco Identity Services Engine Hardware Installation Guide』で説明されているように Cisco ISE-PIC をすべてのノードにインストールした後、ノードはスタンドアロン状態で稼働します。次に、1 つのノードをプライマリ管理ノード(PAN)として定義し、セカンダリノードを PAN に登録する必要があります。
すべての Cisco ISE-PIC システムおよび機能に関連する設定は、PAN でだけ実行する必要があります。PAN で行った設定の変更は、展開内のセカンダリ ノードに複製されます。セカンダリノードからは、セカンダリノードを PAN に昇格させるアクションのみを実行できます。
セカンダリノードを PAN に登録した後は、そのセカンダリノードの管理者ポータルにログインする場合にも、PAN のログインクレデンシャルを使用する必要があります。
プライマリからセカンダリ ISE-PIC ノードへのデータレプリケーション
1 つの Cisco ISE ノードをセカンダリ ノードとして登録すると、Cisco ISE-PIC はプライマリ ノードからセカンダリ ノードへのデータ レプリケーション チャネルをすぐに作成し、複製のプロセスを開始します。複製は、プライマリ ノードからセカンダリ ノードに Cisco ISE-PIC 設定データを共有するプロセスです。複製によって、展開を構成する 2 つの Cisco ISE-PIC ノードの設定データの整合性を確実に維持できます。
通常、最初に ISE-PIC ノードをセカンダリ ノードとして登録したときに、完全な複製が実行されます。完全な複製の実行後は差分複製が実行され、PAN での設定データに対する新しい変更(追加、変更、削除など)がセカンダリ ノードに反映されます。複製のプロセスでは、展開内の Cisco ISE-PIC ノードが同期されます。Cisco ISE-PIC 管理者ポータルの展開のページから [ノードステータス(Node Status)] 列で複製のステータスを表示できます。セカンダリノードとして Cisco ISE-PIC ノードを登録するか、または PAN との手動同期を実行すると、要求されたアクションが進行中であることを示すオレンジのアイコンがノードステータスに表示されます。これが完了すると、ノード ステータスは、セカンダリ ノードが PAN と同期されたことを示す緑に変わります。
Cisco ISE-PIC でのノードの変更による影響
Cisco ISE-PIC ISE で次のいずれかの変更を行うと、そのノードが再起動するため、遅延が発生します。
-
ノードの登録(スタンドアロンからセカンダリへ)
-
ノードの登録解除(セカンダリからスタンドアロンへ)
-
プライマリ ノードからスタンドアロンへの変更(他のノードが登録されていない場合は、プライマリからスタンドアロンに変更されます)
-
ノードの昇格(セカンダリからプライマリへ)
-
プライマリでのバックアップの復元(同期操作がトリガーされ、プライマリ ノードからセカンダリ ノードにデータが複製されます)
展開で 2 つのノードを設定する場合のガイドライン
2 つのノードを使用して Cisco ISE-PIC をセットアップする前に、次の内容をよく読んでください。
-
両方のノードに同じ Network Time Protocol(NTP)サーバを選択します。ノード間のタイムゾーンの問題を回避するには、各ノードのセットアップ中に同じ NTP サーバ名を指定する必要があります。この設定で、展開内にあるさまざまなノードからのレポートとログが常にタイムスタンプで同期されるようになります。
-
Cisco ISE-PIC のインストール時に Cisco ISE-PIC の管理者パスワードを設定します。以前の Cisco ISE-PIC 管理者のデフォルトのログインクレデンシャル(admin/cisco)は無効になっています。初期セットアップ中に作成したユーザ名とパスワードを使用するか、または後でパスワードを変更した場合はそのパスワードを使用します。
-
ドメイン ネーム システム(DNS)サーバを設定します。DNS サーバでの展開に含まれる両方の Cisco ISE-PIC ノードの IP アドレスと完全修飾ドメイン名(FQDN)を入力します。解決できない場合は、ノード登録が失敗します。
- DNS サーバからのハイアベイラビリティ展開の Cisco ISE-PIC ノードの両方に正引きと逆引きの DNS ルックアップを設定します。設定しなかった場合、Cisco ISE-PIC ノードの登録時および再起動時に、展開に関する問題が発生することがあります。両方のノードに逆引き DNS ルックアップが設定されていない場合は、パフォーマンスが低下する可能性があります。
-
(任意)PAN からセカンダリ Cisco ISE-PIC ノードを登録解除して、Cisco ISE-PIC をアンインストールします。
-
PAN と、セカンダリノードとして登録しようとしているスタンドアロンノードで、同じバージョンの Cisco ISE-PIC が実行されていることを確認します。
展開内のノードの表示
[展開ノード(Deployment Nodes)] ページで、展開を構成するISE-PIC ノード、プライマリ ノードおよびセカンダリ ノードを表示できます。
手順
ステップ 1 |
プライマリ Cisco ISE-PIC 管理者ポータルにログインします。 |
ステップ 2 |
を選択します。 展開を構成するすべての Cisco ISE ノードが表示されます。 |
セカンダリ Cisco ISE-PIC ノードの登録
セカンダリ ノードを登録した後、プライマリ ノードのデータベースにセカンダリ ノードの設定が追加され、セカンダリ ノードのアプリケーション サーバが再起動します。再起動が完了すると、PAN の [展開(Deployment)] ページから行ったすべての設定変更を表示できます。ただし、変更が反映され、[展開(Deployment)] ページに表示されるには 5 分間の遅延が生じます。
手順
ステップ 1 |
PAN にログインします。 |
ステップ 2 |
を選択します。 |
ステップ 3 |
[セカンダリノードの追加(Add Secondary Node )] セクションで、セカンダリ Cisco ISE ノードの DNS 解決可能なホスト名を入力します。 Cisco ISE-PIC ノードの登録時にホスト名を使用する場合、登録するスタンドアロンノードの完全修飾ドメイン名(FQDN)(たとえば、abc.xyz.com)は、PAN から DNS を使用して解決できる必要があります。解決できない場合は、ノード登録が失敗します。DNS サーバでセカンダリ ノードの IP アドレスおよび FQDN を事前に定義しておく必要があります。 |
ステップ 4 |
[ユーザ名(Username)] フィールドおよび [パスワード(Password)] フィールドに、スタンドアロン ノードの UI ベースの管理者クレデンシャルを入力します。 |
ステップ 5 |
[保存(Save)] をクリックします。 Cisco ISE-PIC はセカンダリノードに接続し、ホスト名、デフォルトゲートウェイなどの基本情報を取得して表示します。 |
セカンダリノードが展開に登録されるとノードが再起動しますが、[展開(Deployment)] ページからセカンダリノードの情報が表示されるまでに最大 5 分かかることがあります。
セカンダリノードが正常に登録されると、[展開(Deployment)] ページの[セカンダリノード(Secondary Node)] セクションにそのノードの詳細が表示されます。
セカンダリ ノードが正常に登録されると、PAN で、ノードの正常な登録を確認するアラームを受信します。セカンダリ ノードの PAN への登録が失敗した場合は、このアラームは生成されません。ノートが登録されると、そのノードのアプリケーション サーバが再起動します。登録およびデータベース同期が正常に完了した後、セカンダリ ノードのユーザ インターフェイスにログインするにはプライマリ管理ノードのクレデンシャルを入力します。
(注) |
展開の既存のプライマリ ノードに加えて、新しいノードの登録に成功した場合は、新しく登録されたノードに対応するアラームは表示されません。設定変更アラームは、新しく登録されたノードに対応する情報を反映します。新しいノードが正常に登録されたことを確認するためにこの情報を使用できます。 |
プライマリおよびセカンダリの Cisco ISE-PIC ノードの同期
Cisco ISE-PIC の設定に変更を加えることができるのは、プライマリ PAN からのみです。設定変更はすべてのセカンダリ ノードに複製されます。何らかの理由でこの複製が正しく実行されない場合は、プライマリ PAN に手動でセカンダリ PAN を同期できます。
始める前に
[同期ステータス(Sync Status)] が [同期していない(Out of Sync)] に設定されている場合や [複製ステータス(Replication Status)] が [失敗(Failed)] または [無効(Disabled)] の場合は、[同期を更新(Syncup)] ボタンをクリックして完全複製を強制的に実行する必要があります。
手順
ステップ 1 |
プライマリ PAN にログインします。 |
ステップ 2 |
を選択します。 |
ステップ 3 |
プライマリ PAN と同期させるノードの横にあるチェックボックスをオンにし、[同期を更新(Syncup)] をクリックして完全データベース複製を強制的に実行します。 |
セカンダリ PAN のプライマリへの手動昇格
プライマリ PAN が失敗した場合は、セカンダリ PAN を新しいプライマリ PAN に手動で昇格させる必要があります。
始める前に
プライマリ PAN に昇格するように設定された 2 番目の Cisco ISE-PIC ノードがあることを確認します。
手順
ステップ 1 |
セカンダリ PAN のユーザ インターフェイスにログインします。 |
ステップ 2 |
を選択します。 |
ステップ 3 |
[プライマリに昇格(Promote to Primary)] をクリックします。 |
ステップ 4 |
[保存(Save)] をクリックします。 |
次のタスク
元はプライマリ PAN であったノードが復帰した場合は、自動的にレベル下げされ、セカンダリ PAN になります。このノード(元のプライマリ PAN)で手動で同期を実行し、ノードを展開に戻す必要があります。
展開からのノードの削除
展開からノードを削除するには、ノードの登録を解除する必要があります。登録解除されたノードは、スタンドアロン Cisco ISE-PIC ノードになります。
ノードの登録が取り消されると、エンドポイント データは失われます。ノードがスタンドアロン ノードになった後で、そのノードでエンドポイント データを保持するには、プライマリ PAN からバックアップを取得し、そのノードでこのデータ バックアップを復元できます。
プライマリ PAN の [展開(Deployment)] ページからこれらの変更を表示できます。ただし、変更が反映され、[展開(Deployment)] ページに表示されるには 5 分間の遅延が生じます。
始める前に
展開からノードを削除するには、ノードの登録を解除する必要があります。PAN からセカンダリ ノードの登録を解除すると、登録解除されたノードのステータスがスタンドアロンに変わり、プライマリ ノードとセカンダリ ノード間の接続が失われます。複製の更新は、登録解除されたスタンドアロン ノードに送信されなくなります。
展開からセカンダリ ノードを削除する前に、必要に応じて後で復元できる Cisco ISE-PIC 設定のバックアップを実行します。
手順
ステップ 1 |
を選択します。 |
ステップ 2 |
セカンダリ ノードの詳細の隣にある [登録解除(Deregister)] をクリックします。 |
ステップ 3 |
[OK] をクリックします。 |
ステップ 4 |
プライマリ PAN のアラームの受信を確認し、セカンダリ ノードが正常に登録解除されたことを確認します。セカンダリ ノードのプライマリ PAN からの登録解除が失敗した場合は、このアラームは生成されません。 |
Cisco ISE-PIC ノードのホスト名または IP アドレスの変更
スタンドアロン Cisco ISE-PIC ノードのホスト名、IP アドレス、またはドメイン名を変更できます。ノードのホスト名として「localhost」を使用することはできません。
始める前に
Cisco ISE-PIC ノードが 2 ノード展開の一部である場合、展開から削除し、スタンドアロン ノードであることを確認する必要があります。
手順
ステップ 1 |
Cisco ISE CLI から hostname 、ip address 、、または ip domain-name の各コマンドを使用して Cisco ISE-PIC ノードのホスト名または IP アドレスを変更します。 |
||
ステップ 2 |
すべてのサービスを再起動するために、Cisco ISE CLI から application stop ise コマンドを使用して Cisco ISE-PIC アプリケーション設定をリセットします。 |
||
ステップ 3 |
Cisco ISE-PIC ノードは、2 ノード展開の一部である場合、プライマリ PAN に登録します。
セカンダリ ノードとして Cisco ISE-PIC ノードを登録した後、プライマリ PAN は IP アドレス、ホスト名、またはドメイン名への変更を展開内の他の Cisco ISE-PIC ノードに複製します。 |
Cisco ISE-PIC アプライアンス ハードウェアの交換
Cisco ISE-PIC アプライアンス ハードウェアは、ハードウェアに問題がある場合にのみ交換する必要があります。ソフトウェアに問題がある場合は、アプリケーションのイメージを再作成し、Cisco ISE-PIC ソフトウェアを再インストールできます。
手順
ステップ 1 |
新しいノードで Cisco ISE-PIC ソフトウェアを再インストールするか、またはイメージを再作成します。 |
ステップ 2 |
プライマリおよびセカンダリ PAN の UDI を使用してライセンスを取得し、プライマリ PAN にインストールします。 |
ステップ 3 |
置き換えられたプライマリ PAN でバックアップを復元します。 |
ステップ 4 |
新しいノードをセカンダリ サーバとしてプライマリ PAN に登録します。 |