CentralでのUCSM登録の問題のトラブルシューティング

概要

このドキュメントでは、UCS CentralへのUCSM登録に関する一般的な問題の一部をトラブルシューティングする方法について説明します

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco Unified Computing System（UCS）
• UCS Central

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• Cisco Unified Computing System Manager(UCSM)
• ファブリックインターコネクト(FI)
• ESXi VMで実行されるUCS Central

トラブルシューティング方法

トラブルシューティングは、サードパーティ証明書ではなく、UCSMおよび中央の自己署名証明書に重点を置いて行います

• 基本的なトラブルシューティング
• UCSMが中央の登録状態のままになる
• アップグレード後にUCSMの中央ステータスが「stuck in progress」になる
• 中央でのUCSMの可視性の喪失
• 確認するログ
• トラブルシューティング コマンド

基本的なトラブルシューティング

次の基本チェックが完了していることを確認してください。

• 共有秘密の不一致。
• UCS Centralデバイスに到達できません。
• UCS Central GUIDが、既に登録されているUCS CentralのGUIDと異なります。
• UCSMとUCS Centralの間で時刻が同期していません。
• UCSMの期限切れ証明書。
• デフォルトのキーリング証明書がありません。サードパーティCAはHTTPSに使用できますが、UCSM登録はデフォルトのキーリング証明書を使用するため、削除しないでください。
• UCSMがUCSCからハンドシェイク要求を受信していることを確認します。

Central# connect local-mgmt
Central(local-mgmt)# test ucsm-connectivity <ucsm_ip>

UCSMからのパケットキャプチャがセントラルプロバイダーに正常に登録されました

 UCSMからセントラルを登録解除しないでください。すべてのグローバルサービスプロファイルを登録解除すると、UCSドメインに対してローカルになります。ローカルサービスプロファイルを再びグローバルにすることができます。ただし、これは非常に複雑なプロセスであり、サービスに影響します。

UCSMがCentralで登録状態をスタックする

UCS ManagerがUCS Centralに登録され、UCS Managerが3.1.1にアップグレードされている場合、UCS Managerは登録状態になり、そこにスタックします。

中央DMEログで見られるカールエラーが多すぎます

  9603: [WARN][0x27699940][Apr  5 18:00:54.714][write:net]  write of 3752 bytes using curl failed, code=7, error: 'Couldn't connect to server', ep:  https://10.106.74.195:443/xmlInternal/managed-endpoint
9604: [WARN][0x27699940][Apr  5 18:00:54.714][write:net]  non-critical curl write error.

UCSM DMEから

[INFO][0x682ffb90][Nov  1 16:05:24.886][sam_sec:check_cert_val] X509_verify_cert_error_string - ok
[INFO][0x682ffb90][Nov  1 16:05:24.886][sam_sec:X509VerifyCert] ErrorMsg:ok ErrorNo:0
[INFO][0x682ffb90][Nov  1 16:05:24.886][app_sam_dme:processKey] something wrong with KR-default certificate, status - 18

この問題は、証明書にSHA1ではなく古いMDSハッシュを使用するUCSMが原因である可能性があります

[WARN][0x674ffb90][Nov 22 19:11:49.227][net:write] write of 546 bytes using curl failed, code=60, error: 'Peer certificate cannot be authenticated with given CA certificates(SSL certificate problem: self signed certificate)', ep:  https://10.106.74.234:443/xmlInternal/service-reg
[INFO][0x674ffb90][Nov 22 19:11:49.227][net:certFailure] certificate is bad for connection to ' https://10.136.58.4:443/xmlInternal/service-reg';

UCS ManagerがUCS Centralに正常に登録され、証明書エラーが修正されるため、次の回避策を実行します

デフォルトのキーリングは、UCS Central CLIの[Device Profile]セクションで再生成できます。

connect policy-mgr
 scope org
 scope device-profile
 scope security
 scope keyring default
 set regenerate yes
 commit-buffer

回避策が解決しない場合は、Cisco TACにケースを提出して、さらに検証してください

UCS ManagerがUCS Centralの最初のバージョンが2.1.3以下である場合。次に、3.1.1へのアップグレード中に、上記の登録の問題が引き続き発生します。

UCS 2.1.3以前のリリースでは、このTACの関与が必要であるため、UCSMは証明書を分割しません。TACは、証明書への適切なソフトリンクを作成するために、証明書を再ハッシュする必要があります。

アップグレード後にUCSMの中央ステータスが「stuck in progress」になる

この問題は、セントラルとUCSの間でデータベースが同期しなくなることが原因です

これらのエラーは、リソースマネージャログで確認されます

[WARN][0xbbce9940][Aug 11 10:23:18.194][storeMo:mit_init] SQL error [SQLParamData failure: Error while executing the query (non-fatal);
ERROR:  duplicate key value violates unique constraint "InstanceId2DN_dn_key"] stmt [INSERT INTO "InstanceId2DN"("instanceId","dn","className","parent") VALUES (?,?,?,?)]
[INFO][0xbbce9940][Aug 11 10:23:18.194][report:exception_handl] FATAL[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/sql/MitDbImpl.cc(1167):storeMo: Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][report:exception_handl] ERROR[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/proc/Doer.cc(795):exceptionCB: exception encountered during processing: "Failed to connect to database. Transaction aborted." [150] Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][failedCb:tx] TX FAILED

これはデータベース同期の問題です。詳細を確認するために、Cisco TACでケースを提起してください

UCSMの中央機能による可視性の喪失

登録ステータスの確認

「lost-visibility」と表示された場合、1つ以上の必要なポートでUCS Centralに到達できません。UCS CentralがフラッシュGUI(Flex)を使用している場合は、次のポートをCentralに開く必要があります。443、80、843。HTML GUIで必要なのはポート443だけです。

確認するログ

UCSM

/var/sysmgr/sam_logs/pa_setup.log
svc_sam_dme.log files on FI

Central

Svc_dme_reg.log

トラブルシューティング コマンド

Central# connect policy-mgr
Central# scope org
Central# scope device-profile
Central# scope security
Central# Show keyring detail

UCSM# scope system 
UCSM# scope security 
UCSM# show keyring detail 
connect local-mgmt
telnet <Central IP> <port>
^ (Shift+6) ] with no spaces to exit

  FSM status
       scope system
       scope control-ep policy
       show fsm status

Central# connect service-reg 
Central(service-reg)# show fault
Central(service-reg)# show clients detail  
Registered Clients:
    ID: 1008
    Registered Client IP: 10.106.74.194
    Registered Client IPV6: ::
    Registered Client Connection Protocol: Ipv4
    Registered Client Name: DCN-INDIA-FI-A
    Registered Client GUID: e832cfc2-548b-11e4-b8f2-002a6a6f6dc1
    Registered Client Version: 2.2(6g)
    Registered Client Type: Managed Endpoint
    Registered Client Capability: Policy Client Module
    Registered Client Last Poll Timestamp: 2016-12-08T12:33:36.417
    Registered Client Operational State: Registered
    Registered Client Suspend State: Off
    Registered Client License State: License Graceperiod
    Registered Client grace period used: 33
    Registered Client Network Connection State: Connected

既知の障害

• Cisco Bug ID CSCuy07652 ECMR6からDelmar-mr2へのDwngarde-upgradeにより、ドメインが「登録」されます。
  
  
• Cisco Bug ID CSCuv07227 UCSMの再登録が失敗し、fwアップグレードが実行される。
  
  
• Cisco Bug ID CSCuu91088 Centralでインベントリを更新できません。
  
  
• Cisco Bug ID CSCut72698 report-full-inventory-failed on classic ucs in low bandwidth environment.

関連情報

UCS CentralへのCisco UCSMドメインの登録

http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/sw/gui/config/guide/2-2/b_UCSM_GUI_Configuration_Guide_2_2/registering_cisco_ucs_domains_with_cisco_ucs_central.html