Вариант метода обновления резервного копирования и восстановления ISE.

Reply to Вариант метода обновления резервного копирования и восстановления ISE. on Mon, 02 Mar 2026 12:21:20 GMT

balaji.bandi — Mon, 02 Mar 2026 12:21:20 GMT

Тогда все должно быть в порядке; ключевым элементом является монитор. BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

Reply to Вариант метода обновления резервного копирования и восстановления ISE. on Mon, 02 Mar 2026 12:21:19 GMT

moshe.leyzerman — Mon, 02 Mar 2026 12:21:19 GMT

Здравствуйте,
@balaji.bandi
, Спасибо за ответ. Да, подключение каждого узла к AD отдельно включено в процесс. Также учитывается интеллектуальное лицензирование (необходимые лицензии были приобретены и проверены в Smart Account), а подключение к tools.cisco.com для функции CSSM настраивается до начала миграции. Были изучены многочисленные руководства по установке и обновлению.
![]

Reply to Вариант метода обновления резервного копирования и восстановления ISE. on Mon, 02 Mar 2026 12:21:18 GMT

balaji.bandi — Mon, 02 Mar 2026 12:21:18 GMT

Высокий уровень, похоже, в порядке. Проверьте метод обновления и восстановления: https://www.cisco.com/c/en/us/td/docs/security/ise/3-1/upgrade_guide/HTML/b_upgrade_method_3_1.html Сертификаты также необходимо экспортировать: https://opensourceisfun.substack.com/p/upgrade-cisco-ise-from-27-31 AD необходимо присоединиться заново, даже если вы выполнили восстановление (у меня это не сработало, когда я выполнил этот шаг) ISE 3.1 требует наличия лицензии Smart License, поэтому убедитесь, что у вас есть учетная запись Smart и она готова к использованию, то есть ISE также необходимо подключиться к серверу Cisco Smart License (доступны различные варианты, которые вы можете посмотреть). BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью в сообщество Cisco

Reply to Вариант метода обновления резервного копирования и восстановления ISE. on Mon, 02 Mar 2026 12:21:17 GMT

moshe.leyzerman — Mon, 02 Mar 2026 12:21:17 GMT

Привет
[, @Arne Bier]
, Спасибо за ответ и за то, что указали на неточность в моем посте. Да, это была опечатка: NODE_A242 (SAN/SMnT/PSN) — это узел, который сначала удаляется из 2.6, а затем его имя и адрес принимает на себя новая виртуальная машина 3.1. NODE_A241 версии 2.6 остается практически неизменным, просто отключенным от сети, и при необходимости может стать якорем процесса отката. Я отредактировал свой первоначальный пост, исправил его и добавил немного больше подробностей о процессе.

Reply to Вариант метода обновления резервного копирования и восстановления ISE. on Mon, 02 Mar 2026 12:21:16 GMT

Arne Bier — Mon, 02 Mar 2026 12:21:16 GMT

План мне кажется хорошим (мне нравятся все резервные копии, которые вы делаете в начале — это всегда хорошая идея на случай сбоя). Но одно меня смущает — возможно, это опечатка. Вы не можете переименовать A241 в имя, которое в настоящее время используется A242: 7. Запустите настройку на новой виртуальной машине 3.1 в местоположении A (назначенном для SAN/PMnT) и присвойте узлу имя NODE_
A242
и IP-адрес, идентичный адресу узла NODE_
A241
в развертывании 2.6 При любом обновлении всегда начинайте с вторичного PAN, а первичный PAN оставьте на последний момент (PPAN — это капитан корабля... последний, кто покидает тонущий корабль
![]
, поэтому шаг 5 должен быть «Отменить регистрацию A242»... и действовать дальше. Насколько я знаю, PPAN нельзя отменить регистрацию, потому что это ПЕРВИЧНЫЙ узел. Отменить регистрацию можно только вторичные узлы.

Reply to Вариант метода обновления резервного копирования и восстановления ISE. on Mon, 02 Mar 2026 12:21:15 GMT

moshe.leyzerman — Mon, 02 Mar 2026 12:21:15 GMT

Всем привет, первоначальный план был недавно реализован в реальной жизни. Вот обновленный план, который был протестирован и может быть надежно принят, если кому-то еще нужно обновить ISE 2.6 до текущей рекомендуемой версии (а обновление до 3.1 является необходимым промежуточным шагом при переходе с 2.x). A. Существующее развертывание: 2.6 (патч 12)
B. Целевое развертывание: 3.1 (патч 10)
C. 6 виртуальных машин построены на отдельном оборудовании ESXi с использованием OVA ISE для развертывания 3.
1 D. Обоснованием процесса обновления является сохранение имен узлов и IP-адресов всех узлов из существующего развертывания для соответствующих узлов, построенных на новом оборудовании для развертывания 3.1, чтобы можно было сохранить настройки NAD AAA, записи DNS,
правила брандмауэра и сертификаты узлов ISE. E. В то же время существующее развертывание остается практически неизменным (а не каждый узел переобразовывается в 3.1) для ускоренного отката, если это потребуется.
F. Переход от традиционного к интеллектуальному лицензированию (лицензии были приобретены и зарегистрированы в интеллектуальной учетной записи). Это небольшое изменение процесса «Резервное копирование и восстановление», описанного в Руководстве по обновлению: виртуальные машины 3.1 предварительно создаются на отдельном оборудовании, а не переобразуются существующие узлы 2.6 (как указано в руководстве). Преимущества:

Развертывание 2.6 сохраняется и может быть использовано для отката.
Подходит для ситуации, когда ресурсы виртуальной машины 2.6 не подходят для ISE 3.1 или базовая версия гипервизора несовместима с ней. Процесс:
Экспорт сертификатов Admin/EAP (и их закрытых ключей) со всех узлов существующего развертывания 2.6.
Экспорт сертификатов из хранилища доверенных сертификатов всех узлов существующего развертывания 2.6.
Экспорт сертификата Cisco ISE CA (необязательно; если это не удается по какой-либо причине, это не должно стать препятствием, так как цепочка ISE CA восстанавливается ближе к концу процесса).
Повысьте NODE_A241 до роли PMnT, сделав NODE_A242 SMnT.
Сделайте резервную копию настроек конфигурации Cisco ISE и операционных журналов существующей версии 2.6.
Отмените регистрацию узла NODE_A242 из версии 2.6.
Отключите vNIC этого узла от сети.
Запустите установку на новой виртуальной машине 3.1 в местоположении A (назначенном для SAN/PMnT) и присвойте узлу имя NODE_A242 и IP-адрес, идентичный адресу узла NODE_A242 в развертывании 2.
1. Восстановите конфигурацию ISE из резервной копии, созданной в шаге 5.
  NB: НЕ восстанавливайте настройки ade-os (флажок на веб-странице восстановления), так как это приведет к присвоению настроек виртуальной машины бывшего NODE_A241 новому NODE_A242!
Сделайте узел NODE_A242 PAN для нового развертывания.
Важно, чтобы продвижение NODE_A242 к роли PAN выполнялось ПОСЛЕ восстановления конфигурации! Обратный порядок может стоить вам начала с нуля, переустановки NODE_A242 из OVA!
Назначьте основную личность MnT и личность PSN узлу NODE_A242
Назначьте личность PSN этому узлу
Присоедините этот узел к Active Directory
Для узлов NODE_B241, NODE_B242, NODE_C241, NODE_C242 повторите шаги 6-8, зарегистрируйте эти узлы в новом развертывании 3.1, а затем выполните шаги 13-14 для каждого узла
Отключите узел NODE_A241 от сети (этот узел не затрагивается, поскольку он готов стать источником потенциального процесса отката в своих ролях PAN/MnT/PSN)
Запустите настройку на новой виртуальной машине 3.1 в местоположении AU и присвойте узлу имя NODE_A241 и IP-адрес, идентичный адресу NODE_A241 в развертывании 2.6
. 18. Зарегистрируйте NODE_A241 (3.1) в новом развертывании и присвойте ему роли/персонажи SAN и SMnT, а также персонаж
PSN. 19. Переведите узел NODE_A241 (3.1) из роли SAN в PAN
. 20. Перегенерируйте корневой сертификат CA
PAN. 21. Включите и проверьте интеллектуальное лицензирование в развертывании 3.1.