キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ISE1.3へのUpgradeでの注意点

本DocumentではISEを1.2から1.3にUpgradeする際、はまりがちな点を紹介します。

[Upgradeに関しての一般的な注意点]
- Upgrade/Migrate/Installに関して1.3に限らず詳細は

 http://www.cisco.com/c/en/us/support/security/identity-services-engine/products-installation-guides-list.html

  にてdocument化されていますので適宜確認下さい。

- Upgradeは1.2.0/1.2.1の段階でできる限り最新のpatchを適用した上で実施下さい。
  http://www.cisco.com/c/en/us/td/docs/security/ise/1-3/release_notes/ise13_rn.html#pgfId-209746

- ISE1.3からは64bit architectureになります。VMで構築の場合Guest OSのLinuxは64-bit版を選択下さい。
  http://www.cisco.com/c/en/us/td/docs/security/ise/1-3/release_notes/ise13_rn.html#pgfId-384531


[上記では触れられていない点]

- Upgradeが以下messageで失敗することがあります。

ISE12-A/admin# application upgrade ise-upgradebundle-1.2.x-to-1.3.0.876.repackaged.x86_64.tar.gz REPO
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully

Getting bundle to local machine...
 md5: a7a4c7e1b5279972cfc39faf6091c402
 sha256: 7e4688a6b1bfd15be659b49dce63a55fc9141ec1def3be89442d736d4dd8e60a
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y] ? y
Unbundling Application Package...% Manifest file not found in the bundle
ISE12-A/admin#

 この場合、もちろん手元のupgradebundleのhash値が正しいものであるか確認する必要もありますが、まずはrepository側でファイルの転送が正しくできているか確認下さい(転送したファイルサイズがupgradebundleのファイルサイズと等しいことを確認)。
 上記の事例ではrepositoryのprotocolとしてFTPを使用しておりましたが、FTP serverが
 4GB overのファイル転送に対応していない場合
ファイル転送が完全にはできず、上記message
 が表示され、Upgradeに失敗します
 (確認した限りでは3CDaemonでは転送できず、FileZilla Serverでは転送できました)

 

- Upgrade時、Certificate StoreにExpireしたCA証明書が存在していると以下のmessage
  で失敗します。

ISE12-A/admin# application upgrade ise-upgradebundle-1.2.x-to-1.3.0.876.repackaged.x86_64.tar.gz REPO
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully

Getting bundle to local machine...
 md5: 76e17877c2fb70d1006a20780fbf5b98
 sha256: 461a0931c2f498399d96f195b1ab3d196fe7694f6e0cc2b4cb75928aced5f1c7
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y] ?y
Unbundling Application Package...
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
Trust certificate with friendly name 'JTAC000005.cisco.com#JTAC000005.cisco.com#00001.pem' is invalid: The certificate has expired.
% Error: One or more trust certificates are invalid (see above), please re-import valid CA Certificate(s) before continuing. Upgrade cannot continue.
Starting application after rollback...

% Error: The node has been reverted back to its pre-upgrade state.
ISE12-A/admin#
 
 この場合、当該証明書をISE GUIから削除してUpgradeを実施する必要があります。

- Upgrade時、ISEのServer certificateがExpireしていると以下messageでUpgradeに
  失敗します。

ISE12-A/admin# application upgrade ise-upgradebundle-1.2.x-to-1.3.0.876.repackaged.x86_64.tar.gz vnap
Save the current ADE-OS running configuration? (yes/no) [yes] ? yes
Generating configuration...
Saved the ADE-OS running configuration to startup successfully

Getting bundle to local machine...
 md5: 76e17877c2fb70d1006a20780fbf5b98
 sha256: 461a0931c2f498399d96f195b1ab3d196fe7694f6e0cc2b4cb75928aced5f1c7
% Please confirm above crypto hash matches what is posted on Cisco download site.
% Continue? Y/N [Y] ? y
Unbundling Application Package...
Initiating Application Upgrade...
% Warning: Do not use Ctrl-C or close this terminal window until upgrade completes.
-Checking VM for minimum hardware requirements
STEP 1: Stopping ISE application...
STEP 2: Verifying files in bundle...
-Internal hash verification passed for bundle
STEP 3: Validating data before upgrade...
System certificate with friendly name 'Default self-signed server certificate' is invalid: The certificate has expired.
% Error:  One or more system certificates are invalid (see above), please update with valid system certificate(s) before continuing. Upgrade cannot continue.
Starting application after rollback...

% Error: The node has been reverted back to its pre-upgrade state.
ISE12-A/admin#
 
 この場合、証明書を更新するもしくは新たな証明書をISE GUIからimportしておく必要があります。

Upgrade作業にはVMのresource等によっては数十分単位でかかる場合があり、証明書に関するエラーはapplication upgradeの最後の段階で発生するため、大きな出戻りとなります。

Production環境では証明書の失効はあまり無いかもしれませんが、検証環境ではよくあることが考えられますのでご注意下さい。

 

バージョン履歴
改訂番号
1/1
最終更新:
‎04-20-2015 08:51 PM
更新者: