A atualização do Cisco Identity Services Engine (ISE) é um processo sensível. Pequenos problemas de compatibilidade ou corrupção de dados podem causar falhas e exigir longos processos de recuperação. Para minimizar esses riscos, a Cisco disponibiliza o Upgrade Readiness Tool (URT) — uma ferramenta essencial que valida e corrige inconsistências antes da execução do upgrade.
Neste artigo, mostramos como o URT funciona, como instalá-lo e o que observar durante sua execução.
Entendendo o papel do Cisco ISE Upgrade Readiness Tool
Grande parte das falhas em upgrades do Cisco ISE ocorre por problemas de dados ou corrupção de banco de dados. O URT foi criado justamente para detectar e corrigir esses problemas antes da atualização. Ele realiza uma análise completa, identifica erros e, quando possível, aplica correções automáticas.
Além disso, o URT gera um relatório detalhado com os resultados da validação, incluindo eventuais falhas. Caso o processo não seja concluído com sucesso, o administrador pode enviar o arquivo gerado ao Cisco TAC (Technical Assistance Center) para análise e suporte.
Outro ponto importante é que não há tempo de inatividade ao executar o URT. Em ambientes com alta disponibilidade, o URT deve ser executado no Secondary Administration Node (PAN), e nunca no Primary PAN.
Pré-requisitos e verificações automáticas do URT
Antes de iniciar o upgrade, o URT executa uma série de verificações críticas no sistema. Essas checagens garantem que todos os componentes e configurações estejam adequados à nova versão do ISE. Entre os pré-requisitos avaliados estão:
-
Compatibilidade de versão do software;
-
Configuração de persona e papéis do nó (Admin, Policy Service, Monitor, etc.);
-
Espaço em disco disponível;
-
Sincronização de tempo (NTP);
-
Memória e recursos de sistema;
-
Certificados de sistema e de confiança.
Essas verificações ajudam a identificar erros comuns, como certificados expirados ou repositórios inconsistentes, que poderiam interromper o processo de upgrade. Por exemplo, um certificado inválido ou expirado pode fazer o URT falhar imediatamente, gerando um log que orienta o administrador na correção do problema.
Portanto, é essencial executar o URT com antecedência, garantindo tempo para resolver eventuais falhas antes de agendar a atualização definitiva.
Instalação e execução do URT no Cisco ISE
O pacote do URT pode ser baixado diretamente da página de downloads da Cisco, para a versão específica para qual você está atualizando. Após o download, o arquivo (por exemplo, ise-urtbundle-3.4.0.608-1.0.0.SPA.x86_64.tar.gz) deve ser copiado para o Secondary PAN.
Primeiro, o arquivo é carregado em um servidor SFTP, depois transferido para o ISE por meio do comando:
copy repository SFTP_ISE file ise-urtbundle-3.4.0.608-1.0.0.SPA.x86_64.tar.gz local
Em seguida, é possível confirmar se o arquivo está disponível no repositório local com o comando:
show repository localCom o pacote no sistema, o próximo passo é instalar a ferramenta usando:
application install ise-urtbundle-3.4.0.608-1.0.0.SPA.x86_64.tar.gz local
Getting bundle to local machine...
Unbundling Application Package...
Verifying Application Signature...
Initiating Application Install...
###########################################
# Installing Upgrade Readiness Tool (URT) #
###########################################
Virtual Machines (VMs) with specs equivalent to Cisco SNS 3595 are not supported from Cisco ISE Release 3.3 .For assistance in choosing supported Cisco SNS appliances or VMs, see the Cisco ISE Installation Guide.
Checking ISE version compatibility
- Successful
Checking ISE persona
- Successful
Along with Administration, other services (MNT,PROFILER,SESSION) are enabled on this node. Installing and running URT might consume additional resources.
Do you want to proceed with installing and running URT now (y/n):y
Checking if URT is recent(<45 days old)
- Note: URT is 459 days old and its version is 1.0.0. There might be a recent URT bundle on CCO, please verify on CCO
Do you want to proceed with this version which is 459 days old (y/n):y
Proceeding with this version of URT itself
Installing URT bundle
- Successful
########################################
# Running Upgrade Readiness Tool (URT) #
########################################
This tool will perform following tasks:
1. Clone config database
2. Copy upgrade files
3. Data upgrade on cloned database
4. Time estimate for upgrade
Clone config database
=====================
[####################--------------------] 50% Exporting data from ISE database executing the acl_config
SQL*Plus: Release 19.0.0.0.0 - Production on Sun Nov 2 10:48:59 2025
Version 19.18.0.0.0
Copyright (c) 1982, 2022, Oracle. All rights reserved.
Connected to:
Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0
PL/SQL procedure successfully completed.
Disconnected from Oracle Database 19c Enterprise Edition Release 19.0.0.0.0 - Production
Version 19.18.0.0.0
Not executed the acl_config
GET_HOST_NAME is working fine
[########################################] 100% Successful/opt/urt/start_urt.sh: line 278: log: command not found
/opt/urt/start_urt.sh: line 302: log: command not found
Copy upgrade files
==================
- N/A
Data upgrade on cloned database
===============================
Modifying upgrade scripts to run on cloned database
- Successful
Running schema upgrade on cloned database
- Running db sanity to check and fix if any index corruption
- Auto Upgrading Schema for UPS Model
- Upgrading Schema completed for UPS Model
- Successful
Running sanity after schema upgrade on cloned database
- Successful
Running data upgrade on cloned database
- Data upgrade step 1/24, SecuritySettingsRegistration(3.3.0.464)... Done in 0 seconds.
- Data upgrade step 2/24, LicensingUpgradeHandler(3.4.0.121)... Done in 0 seconds.
- Data upgrade step 3/24, ErsAuthenticationConfigUpgradeService(3.4.0.140)... Done in 10 seconds.
- Data upgrade step 4/24, PIProfilerRegistrationService(3.4.0.153)... Done in 0 seconds.
- Data upgrade step 5/24, NetworkAccessUpgrade(3.4.0.185)... Done in 0 seconds.
- Data upgrade step 6/24, OpenApiRegistration(3.4.0.192)... Done in 0 seconds.
- Data upgrade step 7/24, PolicySetCreationService(3.4.0.197)... Done in 0 seconds.
- Data upgrade step 8/24, SessionCurrentDateTimeRegistration(3.4.0.285)... Done in 0 seconds.
- Data upgrade step 9/24, CreateHiddenConnector(3.4.0.286)... Done in 1 seconds.
- Data upgrade step 10/24, TransportGatewayToDirectHttpsUpgrade(3.4.0.290)... Done in 0 seconds.
- Data upgrade step 11/24, IdentityLockServiceRegistration(3.4.0.337)... Done in 0 seconds.
- Data upgrade step 12/24, OcspServiceUpgradeRegistration(3.4.0.349)... Done in 0 seconds.
- Data upgrade step 13/24, NetworkAccessUpgrade(3.4.0.354)... Done in 0 seconds.
- Data upgrade step 14/24, RestIDStoreRemoveUserNameSuffixEmpty(3.4.0.405)... Done in 0 seconds.
- Data upgrade step 15/24, UPSUpgradeHandler(3.4.0.488)... Done in 6 seconds.
- Data upgrade step 16/24, MiscLicenseHandler(3.4.0.494)... Done in 0 seconds.
- Data upgrade step 17/24, PostureByPassCertificateSettings(3.4.0.512)... Done in 0 seconds.
- Data upgrade step 18/24, NSFUpgradeService(3.4.0.608)... Done in 0 seconds.
- Data upgrade step 19/24, ProfilerUpgradeService(3.4.0.608)... Done in 0 seconds.
- Data upgrade step 20/24, GuestAccessUpgradeService(3.4.0.608)... Done in 17 seconds.
- Data upgrade step 21/24, UPSUpgradeHandler(3.4.0.608)... Done in 2 seconds.
- Data upgrade step 22/24, ProvisioningRegistrationNew(3.4.0.608)... .Done in 86 seconds.
- Data upgrade step 23/24, NodeExporterPasswordHandler(3.4.0.608)... .Done in 97 seconds.
- Data upgrade step 24/24, LogAnalyticsEnableService(3.4.0.608)... Done in 13 seconds.
- Successful
Running data upgrade for node specific data on cloned database
- Successful
Time estimate for upgrade
=========================
(Estimates are calculated based on size of config and mnt data only. Network latency between PAN and other nodes is not considered in calculating estimates)
Estimated time for each node (in mins):
MNT data is 39 GB, purging this data can reduce upgrade time
ise_node1(PRIMARY PAP,MNT,PDP,PXG):275
MNT data is 39 GB, purging this data can reduce upgrade time
ise_node2(SECONDARY PAP,MNT,PDP,PXG):273
MNT data is 39 GB, purging this data can reduce upgrade time
Each PSN(1 if in parallel):75
Final cleanup before exiting...
Application successfully installed
Durante a instalação, o URT executa automaticamente várias etapas, como:
-
Checagens de pré-requisitos;
-
Clonagem do banco de dados de configuração;
-
Cópia de arquivos necessários ao upgrade;
-
Execução do processo de atualização de dados no banco clonado;
-
Estimativa do tempo total para o upgrade.
Essas etapas simulam a atualização real de forma segura.
No exemplo acima, todas as etapas de upgrade foram concluídas com sucesso, e o URT apresentou uma estimativa de tempo para a atualização de cada nó (275 e 273 minutos, respectivamente), com base no tamanho do banco de dados e volume de informações de monitoramento.
Ao final, a ferramenta gera uma saída consolidada, listando cada verificação executada e seu resultado. Caso todas as mensagens apareçam como “Successful”, o sistema está pronto para receber o upgrade sem interrupções inesperadas.
Conclusão: por que o URT é indispensável
O Cisco ISE Upgrade Readiness Tool reduz drasticamente o risco de falhas durante a atualização, fornecendo uma análise preventiva e automatizada do ambiente. Ele antecipa erros que, em condições normais, só seriam detectados após o início do upgrade — momento em que a recuperação é mais complexa e demorada.
Além disso, o URT permite planejar o processo com base em dados reais, como tempo estimado e recursos consumidos.
Após concluir todos os testes com sucesso, o administrador pode remover a ferramenta com o comando:
application remove urtEm caso de falha, o arquivo de log gerado é suficiente para que o Cisco TAC auxilie na solução do problema.
Em resumo, executar o URT antes de qualquer atualização do Cisco ISE é uma prática recomendada e segura, especialmente em ambientes críticos, onde a disponibilidade do serviço de autenticação é fundamental.
Ao adotar essa etapa preparatória, as organizações garantem transições mais rápidas, confiáveis e previsíveis, reforçando a integridade do ambiente de identidade e acesso.
About The Author
