ISE-Upgrade mit umfassender Upgrade-Methode

Download-Optionen

  • PDF     (1.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.6 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (1.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. Januar 2024
Dokument-ID:217509

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie eine vorhandene ISE-Bereitstellung von Version 2.7 auf 3.1 mithilfe der Methode für ein vollständiges Upgrade aktualisiert wird. 

    Voraussetzungen

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen: 

    • Identity Services Engine (ISE) 
    • Verstehen der Terminologie, die zur Beschreibung verschiedener Arten von ISE-Bereitstellungen verwendet wird 

      

    Verwendete Komponenten 

    Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen: 

    • ISE Version 2.7, Patch 4
    • ISE, Version 3.1

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Hinweis: Das Verfahren ähnelt oder ist mit anderen ISE-Versionen identisch. Mit diesen Schritten können Sie für 2.6 ein Upgrade auf 3.1 und die ISE-Softwareversionen durchführen, sofern nichts anderes angegeben ist.

    Hintergrundinformationen

    Außerdem wird erläutert, wie Sie mithilfe der Integritätsprüfungsfunktion potenzielle Bereitstellungsprobleme erkennen und beheben. Die bisherige Upgrade-Methode wird jetzt als Split Upgrade bezeichnet und ist als alternative Option verfügbar, wenn die vollständige Upgrade-Methode nicht bevorzugt wird.

    Unterstützte Pfade

    Ein vollständiges Upgrade auf ISE 3.1 wird unterstützt von

    • ISE 2.6 Patch 10 und höher
    • ISE 2.7 Patch 4 und höher
    • ISE 3.0 Patch 3 und höher

    Split-Upgrade auf ISE 3.1 wird von ISE 2.6 und höheren Versionen mit oder ohne Patch unterstützt.

    Vergleich des vollständigen Upgrades mit der Split-Upgrade-Methode

    Reihenfolge der Knotenaktualisierung mit Split-Upgrade-Methode in einer verteilten Bereitstellung

    Erfordert mindestens 5 Schritte für eine vollständig verteilte Bereitstellung, um ein Upgrade auf die neuere Version durchzuführen.

    Sequenzierung von Knoten in der Split-Upgrade-Methode

    Bei Berücksichtigung von ca. 240 Minuten pro Schritt würde der gesamte Upgrade-Prozess hier 240*5 Minuten = 20 Stunden dauern.

    Reihenfolge der Knotenaktualisierung mit vollständiger Aktualisierungsmethode in einer verteilten Bereitstellung

    Erfordert nur zwei Schritte für eine vollständig verteilte Bereitstellung, um ein Upgrade auf die neuere Version durchzuführen.

    Sequenzierung von Knoten bei vollständiger Aktualisierungsmethode

    Auch hier wird bei Berücksichtigung von ca. 240 Minuten pro Schritt der gesamte Upgrade-Prozess auf 240*2 Minuten = 8 Stunden reduziert.

    Vorteile eines vollständigen Upgrades im Vergleich zu einem Split-Upgrade

    • Die Methode "Vollständiges Upgrade" benötigt weniger Zeit für die Gesamtaktivität, da die Knoten parallel aktualisiert werden, während die Methode "Aufteilen" gut geplant werden muss, wobei das Wartungsfenster länger sein muss.
    • Die vollständige Upgrade-Methode ist in Bezug auf die Upgrade-Reihenfolge problemlos, da nur zwei Schritte erforderlich sind. Bei der Split-Upgrade-Methode müssen die Knoten entsprechend sequenziert werden, bevor der Upgrade-Prozess gestartet wird.
    • Bei der Methode "Vollständiges Upgrade" bleiben die Rollen und Personen wie vor dem Upgrade erhalten. Die Split-Upgrade-Methode schaltet die primäre und sekundäre Admin-Rolle in der aktualisierten Version um.
    • Die Fehlerpunkte wurden bei der Methode für ein vollständiges Upgrade reduziert, indem die API-Abhängigkeit durch bereitstellungsbezogene Änderungen während des Upgrade-Prozesses beseitigt wurde.
    • Die Methode "Vollständiges Upgrade" ermöglicht die Verfolgung des Upgrade-Status vom sekundären Admin-Knoten aus, wenn der primäre Admin-Knoten für ein Upgrade ausfällt. Dies ist bei der Split-Upgrade-Methode nicht möglich.
    • Die Patch-Installation nach dem Upgrade ist automatisiert und wird als Option in der Full Upgrade-Methode bereitgestellt.

    Vorsicht: Für ein vollständiges Upgrade ist eine vollständige Ausfallzeit erforderlich, da alle PSNs gleichzeitig für das Upgrade ausfallen. Stellen Sie sicher, dass die Aktivität während eines geplanten Wartungsfensters geplant wird.

    Vollständiger Upgrade-Fluss

    In diesem Dokument wird der Upgrade-Fluss einer Bereitstellung mit vier Knoten veranschaulicht. Der gesamte Prozess bleibt für Bereitstellungen mit zwei oder mehreren Knoten derselbe.

    Beispiel für eine Bereitstellung

    Benutzeroberfläche aktualisieren

    Navigieren Sie zu Administration > System > Upgrade, um die Aktivität wie im Bild dargestellt zu starten.

    Auswahl der Option für vollständiges Upgrade

    Hinweis: Nur die Split-Upgrade-Methode wird für ISE 2.6 Patch 9 und höher, ISE 2.7 Patch 3 und höher und ISE 3.0 Patch 2 und höher unterstützt. Standardmäßig wird das Fenster "Split Upgrade" für diese Versionen geöffnet. Auf den Split-Upgrade-Prozess kann hier verwiesen werden. Wählen Sie das Optionsfeld Vollständige Aktualisierung, und klicken Sie auf Aktualisierung starten.

    Willkommensseite

    Vollständige Upgrade-Willkommensseite

    Klicken Sie im Assistenten für die Willkommensseite auf Weiter, um fortzufahren.

    Checkliste

    Überprüfen Sie die Checkliste, und stellen Sie sicher, dass die Aufgaben abgeschlossen sind, bevor Sie fortfahren.

    Checkliste für Upgrades

    Aktivieren Sie das Kontrollkästchen Ich habe die Checkliste gelesen, und klicken Sie auf Weiter.

    Upgrade vorbereiten

    Vor der Aktualisierung wird eine Vorabprüfung für die vollständige Bereitstellung durchgeführt, und die Ergebnisse werden auf dieser Seite angezeigt. Neben den Überprüfungen wird in diesem Schritt das Upgrade-Paket auf alle Knoten heruntergeladen, das Offline-Daten-Upgrade (ODU) wird auf dem sekundären Admin-Knoten ausgeführt (dies entspricht der URT-Simulation (Upgrade Readiness Tool) der Split-Upgrade-Methode) und schließlich wird auch die geschätzte Zeit für die Aktivität angezeigt.

    Das Upgrade-Paket kann von der Cisco Software-Download-Seite heruntergeladen werden.

    Das Upgrade-Paket auf Cisco.com

    Um die Prüfung vor dem Upgrade durchzuführen, wählen Sie den Repository-Namen aus, unter dem das Upgrade-Paket platziert wird. Wählen Sie im Dropdown-Feld "Paket" den Namen der Upgrade-Paketdatei aus.

    Hinweis: Die Methode des vollständigen Upgrades führt auch die automatische Patch-Installation nach dem Upgrade ein. Die Patch-Datei wird zusammen mit dem Upgrade-Paket in demselben Repository abgelegt, und der Name der Patch-Datei kann aus dem Dropdown-Menü ausgewählt werden, wenn eine automatische Patch-Installation gewünscht wird.

    Upgrade vorbereiten

    Klicken Sie auf Vorbereitung starten, um die Vorprüfungen zu starten. Alle Vorabprüfungen mit Ausnahme der Prüfung für Paketdownload und Konfigurationsdaten-Upgrade laufen nach 4 Stunden Systemvalidierung automatisch ab. Das Konfigurationsdaten-Upgrade, bei dem es sich lediglich um die ODU handelt, läuft nach 12 Stunden ab.

    System-Vorabprüfung vor dem Upgrade

    Hinweis: Deaktivieren Sie die PAN-Failover-Einstellung vor dem Upgrade. Wird die Aktualisierung nicht manuell durchgeführt, wird sie automatisch deaktiviert, sobald die Aktualisierung ausgelöst wird.

    Hinweis: ISE 3.0 und die aufgeführten Geräte erfordern Smart Licensing. Traditionelle Lizenzierung wird nicht unterstützt. Falls Smart Licensing vor dem Upgrade nicht aktiviert oder registriert wurde, läuft die ISE standardmäßig nach dem Upgrade in der Testperiode für Smart Licensing. Referenzlink zur Lizenzmigration: Products - ISE Licensing Migration Guide - Cisco. Wenn Sie ein Upgrade der ISE von 2.x auf 3.x durchführen, bedeutet dies Änderungen der Lizenzstufe.

    Vorsicht: Alle Konfigurationsänderungen auf der ISE sind zu vermeiden, sobald das Konfigurationsdaten-Upgrade ausgelöst wird. Alle vorgenommenen Änderungen gehen nach dem Upgrade verloren.

    Wenn eine der Komponentenvorprüfungen fehlschlägt, werden sie in roter oder orangefarbener Farbe angezeigt, je nach ihrer Wichtigkeit. Die rot hervorgehobenen Mängel müssen beseitigt werden, bevor weitere Schritte unternommen werden können. Die orangefarbenen Warnhinweise können den Upgrade-Prozess nicht stoppen. Es empfiehlt sich jedoch, diese als Best Practice zu beheben und künftige Auswirkungen auf die Bereitstellungsfunktionen und -funktionen zu vermeiden.

    Wenn Sie die Fehler behoben haben, klicken Sie auf Start Staging, um fortzufahren.

    Upgrade-Staging

    Beim Upgrade-Staging wird die aktualisierte Datenbankdatei auf alle Knoten in der Bereitstellung kopiert, und die Konfigurationsdateien werden auf allen Knoten der Bereitstellung gesichert.

    Die Dump-Datei ist bereits als Teil der ODU auf dem sekundären Admin-Knoten vorhanden. In diesem Schritt erstellt der sekundäre Admin-Knoten daher nur Sicherungsdateien für die CA NSS DB, Smart Licensing und die DHCP/DNS-Konfiguration. Alle anderen Knoten erstellen diese Dateien, müssen jedoch zusätzlich die Dump-Datei vom sekundären Admin-Knoten kopieren.

    Upgrade-Staging

    Klicken Sie auf Weiter, wenn die Bereitstellung für alle Knoten abgeschlossen ist.

    Upgrade-Knoten

    Klicken Sie auf Start, um die Aktualisierung zu starten.

    Knoten aktualisieren

    Eine Popup-Meldung bestätigt, dass das Upgrade ausgelöst wird und alle Knoten in einer Warteschlange mit dem Upgrade-Status angezeigt werden. Da das Upgrade zuerst auf dem primären Admin-Knoten initiiert wird, meldet sich das System von diesem Knoten ab, und der Upgrade-Status kann jetzt über die grafische Benutzeroberfläche des sekundären Admin-Knotens überwacht werden. Navigieren Sie auf der Benutzeroberfläche des sekundären Admin-Knotens zu Administration > System > Upgrade, um den Status anzuzeigen.

    Fortschritt des Upgrades vom sekundären PAN

    Sobald der primäre Admin-Knoten aktualisiert und die Dienste aktiviert werden, meldet sich das System über die grafische Benutzeroberfläche des sekundären Admin-Knotens ab. Die Benutzer können nun über die Benutzeroberfläche des primären Admin-Knotens wieder auf die Statusüberwachung umschalten, während alle anderen Knoten der Bereitstellung gleichzeitig für die Aktualisierung deaktiviert werden.

    Fortschritt des Upgrades vom primären PAN

    Sobald alle Knoten erfolgreich aktualisiert wurden, ändert sich der Status in die grüne Farbe.

    Status des Upgrade-Abschlusses

    Wenn Knoten ausgefallen sind, wird ein Popup-Fenster mit Informationen zum ausgefallenen Knoten angezeigt. Klicken Sie im Popup-Fenster auf OK, um die Registrierung der ausgefallenen Knoten aus der Bereitstellung zu entfernen. Diese müssen einzeln aktualisiert/neu abgebildet und gegebenenfalls wieder in die Bereitstellung integriert werden.

    Klicken Sie auf Weiter, um die allgemeinen Berichte zur Aktualisierung anzuzeigen.

    Zusammenfassung

    Nachdem der Upgrade-Prozess abgeschlossen ist, können die Berichte zur Diagnose-Aktualisierung für die Bereitstellung auf dieser Seite angezeigt und heruntergeladen werden.

    Zusammenfassung des Upgrades

    Integritätsprüfungen

    Um den Bereitstellungsstatus nach dem Upgrade zu überprüfen, wird automatisch eine Integritätsprüfung durchgeführt, um den Status der Bereitstellung zu überprüfen. Dieser Bericht kann von der Seite "Zusammenfassung" des Upgrade-Flusses heruntergeladen werden. Wenn zu einem beliebigen Zeitpunkt eine On-Demand-Integritätsprüfung erforderlich ist, navigieren Sie zu Administration > System > Health Checks, und klicken Sie auf Health Checks starten.

    Integritätsprüfung nach Upgrade

    Aufgaben nach dem Upgrade

    Wenn sich ein Benutzer nach Abschluss des Upgrades bei der Benutzeroberfläche des primären Admin-Knotens anmeldet, wird eine Popup-Meldung zu Aufgaben angezeigt, die nach dem Upgrade ausgeführt werden müssen.

    Aufgaben nach dem Upgrade

    Klicken Sie in der Popup-Meldung auf den Hyperlink für Aufgaben nach der Aktualisierung, um die Aufgabendetails zu überprüfen und abzuschließen.

    Probleme und Abhilfemaßnahmen

    1. Wenn das Upgrade des primären Admin-Knotens fehlschlägt, stufen Sie den sekundären Admin zum primären Admin hoch, und wiederholen Sie dann den Vorgang.
    2. Wenn das Upgrade auf einem anderen Knoten mit Ausnahme des primären Administrators fehlschlägt, muss der Knoten von der Bereitstellung abgemeldet werden. Dieser Knoten muss einzeln aktualisiert werden, oder es muss ein direktes Image auf die aktualisierte Version erstellt werden, und er kann der Bereitstellung erneut hinzugefügt werden.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    4.0
    27-Jan-2024
    Fixed Machine Translation, Einführung und SEO-Optimierung.
    3.0
    17-Nov-2021
    Formatierungsänderungen.
    2.0
    30-Oct-2021
    Erstveröffentlichung
    1.0
    30-Oct-2021
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Viraj Nagarmunoli
      Security Architect Lead
    • Rini Santra
      Cisco TAC Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.