概要
このドキュメントでは、UCS CentralへのUCSM登録に関する一般的な問題の一部をトラブルシューティングする方法について説明します
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Unified Computing System(UCS)
- UCS Central
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
- Cisco Unified Computing System Manager(UCSM)
- ファブリックインターコネクト(FI)
- ESXi VMで実行されるUCS Central
トラブルシューティング方法
トラブルシューティングは、サードパーティ証明書ではなく、UCSMおよび中央の自己署名証明書に重点を置いて行います
- 基本的なトラブルシューティング
- UCSMが中央の登録状態のままになる
- アップグレード後にUCSMの中央ステータスが「stuck in progress」になる
- 中央でのUCSMの可視性の喪失
- 確認するログ
- トラブルシューティング コマンド
基本的なトラブルシューティング
次の基本チェックが完了していることを確認してください。
- 共有秘密の不一致。
- UCS Centralデバイスに到達できません。
- UCS Central GUIDが、既に登録されているUCS CentralのGUIDと異なります。
- UCSMとUCS Centralの間で時刻が同期していません。
- UCSMの期限切れ証明書。
- デフォルトのキーリング証明書がありません。サードパーティCAはHTTPSに使用できますが、UCSM登録はデフォルトのキーリング証明書を使用するため、削除しないでください。
- UCSMがUCSCからハンドシェイク要求を受信していることを確認します。
Central# connect local-mgmt
Central(local-mgmt)# test ucsm-connectivity <ucsm_ip>
UCSMからのパケットキャプチャがセントラルプロバイダーに正常に登録されました
UCSMからセントラルを登録解除しないでください。すべてのグローバルサービスプロファイルを登録解除すると、UCSドメインに対してローカルになります。ローカルサービスプロファイルを再びグローバルにすることができます。ただし、これは非常に複雑なプロセスであり、サービスに影響します。
UCSMがCentralで登録状態をスタックする
UCS ManagerがUCS Centralに登録され、UCS Managerが3.1.1にアップグレードされている場合、UCS Managerは登録状態になり、そこにスタックします。
中央DMEログで見られるカールエラーが多すぎます
9603: [WARN][0x27699940][Apr 5 18:00:54.714][write:net] write of 3752 bytes using curl failed, code=7, error: 'Couldn't connect to server', ep: https://10.106.74.195:443/xmlInternal/managed-endpoint
9604: [WARN][0x27699940][Apr 5 18:00:54.714][write:net] non-critical curl write error.
UCSM DMEから
[INFO][0x682ffb90][Nov 1 16:05:24.886][sam_sec:check_cert_val] X509_verify_cert_error_string - ok
[INFO][0x682ffb90][Nov 1 16:05:24.886][sam_sec:X509VerifyCert] ErrorMsg:ok ErrorNo:0
[INFO][0x682ffb90][Nov 1 16:05:24.886][app_sam_dme:processKey] something wrong with KR-default certificate, status - 18
この問題は、証明書にSHA1ではなく古いMDSハッシュを使用するUCSMが原因である可能性があります
[WARN][0x674ffb90][Nov 22 19:11:49.227][net:write] write of 546 bytes using curl failed, code=60, error: 'Peer certificate cannot be authenticated with given CA certificates(SSL certificate problem: self signed certificate)', ep: https://10.106.74.234:443/xmlInternal/service-reg
[INFO][0x674ffb90][Nov 22 19:11:49.227][net:certFailure] certificate is bad for connection to ' https://10.136.58.4:443/xmlInternal/service-reg';
UCS ManagerがUCS Centralに正常に登録され、証明書エラーが修正されるため、次の回避策を実行します
デフォルトのキーリングは、UCS Central CLIの[Device Profile]セクションで再生成できます。
connect policy-mgr
scope org
scope device-profile
scope security
scope keyring default
set regenerate yes
commit-buffer
回避策が解決しない場合は、Cisco TACにケースを提出して、さらに検証してください
UCS ManagerがUCS Centralの最初のバージョンが2.1.3以下である場合。次に、3.1.1へのアップグレード中に、上記の登録の問題が引き続き発生します。
UCS 2.1.3以前のリリースでは、このTACの関与が必要であるため、UCSMは証明書を分割しません。TACは、証明書への適切なソフトリンクを作成するために、証明書を再ハッシュする必要があります。
アップグレード後にUCSMの中央ステータスが「stuck in progress」になる
この問題は、セントラルとUCSの間でデータベースが同期しなくなることが原因です
これらのエラーは、リソースマネージャログで確認されます
[WARN][0xbbce9940][Aug 11 10:23:18.194][storeMo:mit_init] SQL error [SQLParamData failure: Error while executing the query (non-fatal);
ERROR: duplicate key value violates unique constraint "InstanceId2DN_dn_key"] stmt [INSERT INTO "InstanceId2DN"("instanceId","dn","className","parent") VALUES (?,?,?,?)]
[INFO][0xbbce9940][Aug 11 10:23:18.194][report:exception_handl] FATAL[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/sql/MitDbImpl.cc(1167):storeMo: Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][report:exception_handl] ERROR[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/proc/Doer.cc(795):exceptionCB: exception encountered during processing: "Failed to connect to database. Transaction aborted." [150] Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][failedCb:tx] TX FAILED
これはデータベース同期の問題です。詳細を確認するために、Cisco TACでケースを提起してください
UCSMの中央機能による可視性の喪失
登録ステータスの確認
「lost-visibility」と表示された場合、1つ以上の必要なポートでUCS Centralに到達できません。UCS CentralがフラッシュGUI(Flex)を使用している場合は、次のポートをCentralに開く必要があります。443、80、843。HTML GUIで必要なのはポート443だけです。
確認するログ
UCSM
/var/sysmgr/sam_logs/pa_setup.log
svc_sam_dme.log files on FI
Central
Svc_dme_reg.log
トラブルシューティング コマンド
Central# connect policy-mgr
Central# scope org
Central# scope device-profile
Central# scope security
Central# Show keyring detail
UCSM# scope system
UCSM# scope security
UCSM# show keyring detail
connect local-mgmt
telnet <Central IP> <port>
^ (Shift+6) ] with no spaces to exit
FSM status
scope system
scope control-ep policy
show fsm status
Central# connect service-reg
Central(service-reg)# show fault
Central(service-reg)# show clients detail
Registered Clients:
ID: 1008
Registered Client IP: 10.106.74.194
Registered Client IPV6: ::
Registered Client Connection Protocol: Ipv4
Registered Client Name: DCN-INDIA-FI-A
Registered Client GUID: e832cfc2-548b-11e4-b8f2-002a6a6f6dc1
Registered Client Version: 2.2(6g)
Registered Client Type: Managed Endpoint
Registered Client Capability: Policy Client Module
Registered Client Last Poll Timestamp: 2016-12-08T12:33:36.417
Registered Client Operational State: Registered
Registered Client Suspend State: Off
Registered Client License State: License Graceperiod
Registered Client grace period used: 33
Registered Client Network Connection State: Connected
既知の障害
関連情報
UCS CentralへのCisco UCSMドメインの登録
http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/sw/gui/config/guide/2-2/b_UCSM_GUI_Configuration_Guide_2_2/registering_cisco_ucs_domains_with_cisco_ucs_central.html