Troubleshooting de Problemas de Registro UCSM com Central

Introduction

Este documento descreve como solucionar alguns dos problemas comuns com o registro do UCSM no UCS Central

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

• Cisco Unified Computing System (UCS)
• UCS Central

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

• Cisco Unified Computing System Manager (UCSM)
• Interconexão de estrutura (FI)
• UCS central em execução no ESXi VM

Métodos de solução de problemas

A solução de problemas está focada em certificado autoassinado no UCSM e em certificados centrais e não de terceiros

• Troubleshooting Básico
• UCSM não conseguiu registrar o estado com a central
• Status central do UCSM bloqueado após a atualização
• Visibilidade perdida do UCSM com central
• Registros a verificar
• Comandos para Troubleshooting

Troubleshooting Básico

Certifique-se de que estes controlos básicos estão concluídos:

• Incompatibilidade de segredo compartilhado.
• O dispositivo UCS Central não está acessível.
• O UCS Central GUID é diferente do GUID do UCS Central já registrado.
• O tempo não está sincronizado entre o UCSM e o UCS Central.
• Certificado expirado no UCSM.
• O certificado padrão do teclado não está presente. Embora CAs de terceiros possam ser usadas para HTTPS. O registro do UCSM usa o certificado de chave padrão e, portanto, não deve ser excluído.
• Verifique se o UCSM está recebendo a solicitação de handshake do UCSC.

Central# connect local-mgmt
Central(local-mgmt)# test ucsm-connectivity <ucsm_ip>

Captura de pacote do UCSM registrando-se com êxito com o provedor central

 NÃO cancele o registro da central do UCSM. Quando você cancela o registro, todos os perfis de serviço globais se tornarão locais para o domínio do UCS. É possível tornar um perfil de serviço local global novamente. No entanto, é um processo muito complexo e tem impacto no serviço.

Estado de registro do UCSM travado com central

Se o UCS Manager estiver registrado em um UCS Central e o UCS Manager estiver sendo atualizado para 3.1.1, o UCS Manager passará para o estado de registro e ficará preso lá.

Muitos erros de curva observados nos registros DME centrais

  9603: [WARN][0x27699940][Apr  5 18:00:54.714][write:net]  write of 3752 bytes using curl failed, code=7, error: 'Couldn't connect to server', ep:  https://10.106.74.195:443/xmlInternal/managed-endpoint
9604: [WARN][0x27699940][Apr  5 18:00:54.714][write:net]  non-critical curl write error.

do UCSM DME

[INFO][0x682ffb90][Nov  1 16:05:24.886][sam_sec:check_cert_val] X509_verify_cert_error_string - ok
[INFO][0x682ffb90][Nov  1 16:05:24.886][sam_sec:X509VerifyCert] ErrorMsg:ok ErrorNo:0
[INFO][0x682ffb90][Nov  1 16:05:24.886][app_sam_dme:processKey] something wrong with KR-default certificate, status - 18

O problema pode ser devido ao UCSM usar hash MDS antigo em vez de SHA1 para os certificados

[WARN][0x674ffb90][Nov 22 19:11:49.227][net:write] write of 546 bytes using curl failed, code=60, error: 'Peer certificate cannot be authenticated with given CA certificates(SSL certificate problem: self signed certificate)', ep:  https://10.106.74.234:443/xmlInternal/service-reg
[INFO][0x674ffb90][Nov 22 19:11:49.227][net:certFailure] certificate is bad for connection to ' https://10.136.58.4:443/xmlInternal/service-reg';

Execute essas soluções alternativas, pois isso faz com que o UCS Manager registre-se com êxito no UCS Central e corrija o erro de certificado

O chaveiro padrão pode ser regenerado a partir da CLI Central do UCS na seção de perfil do dispositivo.

connect policy-mgr
 scope org
 scope device-profile
 scope security
 scope keyring default
 set regenerate yes
 commit-buffer

Se a solução alternativa não resolver, abra um caso no Cisco TAC para validar mais

Se, a qualquer momento, o UCS Manager tiver sido registrado no UCS Central inicialmente em uma versão 2.1.3 ou inferior. Depois, durante a atualização para 3.1.1, o problema de registro mencionado acima ainda é visto.

Para esse envolvimento do TAC é necessário, pois o UCS 2.1.3 e versões anteriores, o UCSM não divide o certificado. O TAC precisa rehash do certificado para criar os softlinks corretos para o certificado.

Status central do UCSM bloqueado após a atualização

O problema é que o banco de dados não está sincronizado entre central e UCS

Estes erros foram observados nos registros do gerenciador de recursos

[WARN][0xbbce9940][Aug 11 10:23:18.194][storeMo:mit_init] SQL error [SQLParamData failure: Error while executing the query (non-fatal);
ERROR:  duplicate key value violates unique constraint "InstanceId2DN_dn_key"] stmt [INSERT INTO "InstanceId2DN"("instanceId","dn","className","parent") VALUES (?,?,?,?)]
[INFO][0xbbce9940][Aug 11 10:23:18.194][report:exception_handl] FATAL[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/sql/MitDbImpl.cc(1167):storeMo: Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][report:exception_handl] ERROR[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/proc/Doer.cc(795):exceptionCB: exception encountered during processing: "Failed to connect to database. Transaction aborted." [150] Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][failedCb:tx] TX FAILED

Este é um problema de sincronização de banco de dados. Por favor, abra um caso no Cisco TAC para validar mais

UCSM perdeu visibilidade com a central

Verifique o status do registro

Se ele mostrar "visibilidade perdida", o UCS Central não pode ser alcançado em uma ou mais portas necessárias. Se o UCS Central estiver usando a GUI flash (Flex), as seguintes portas precisam estar abertas para a Central: 443, 80, 843. A GUI em HTML requer apenas a porta 443.

Logs a serem verificados

UCSM

/var/sysmgr/sam_logs/pa_setup.log
svc_sam_dme.log files on FI

Central

Svc_dme_reg.log

Comandos para Troubleshooting

Central# connect policy-mgr
Central# scope org
Central# scope device-profile
Central# scope security
Central# Show keyring detail

UCSM# scope system 
UCSM# scope security 
UCSM# show keyring detail 
connect local-mgmt
telnet <Central IP> <port>
^ (Shift+6) ] with no spaces to exit

  FSM status
       scope system
       scope control-ep policy
       show fsm status

Central# connect service-reg 
Central(service-reg)# show fault
Central(service-reg)# show clients detail  
Registered Clients:
    ID: 1008
    Registered Client IP: 10.106.74.194
    Registered Client IPV6: ::
    Registered Client Connection Protocol: Ipv4
    Registered Client Name: DCN-INDIA-FI-A
    Registered Client GUID: e832cfc2-548b-11e4-b8f2-002a6a6f6dc1
    Registered Client Version: 2.2(6g)
    Registered Client Type: Managed Endpoint
    Registered Client Capability: Policy Client Module
    Registered Client Last Poll Timestamp: 2016-12-08T12:33:36.417
    Registered Client Operational State: Registered
    Registered Client Suspend State: Off
    Registered Client License State: License Graceperiod
    Registered Client grace period used: 33
    Registered Client Network Connection State: Connected

Defeitos conhecidos

• A ID de bug Cisco CSCuy07652 dwngarde-upgrade do ECMR 6 para Delmar-mr2 torna o domínio "registrando".
  
  
• O bug da Cisco ID CSCuv07227 UCSM reregistra com falha ao fazer a atualização do fw.
  
  
• A Cisco Bug ID CSCuu91088 Central não consegue atualizar o inventário.
  
  
• O bug da Cisco ID CSCut72698 relata falha no inventário completo do ucs clássico em ambiente de largura de banda baixa.

Informações Relacionadas

Registrando o domínio do Cisco UCSM com o UCS central

http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/sw/gui/config/guide/2-2/b_UCSM_GUI_Configuration_Guide_2_2/registering_cisco_ucs_domains_with_cisco_ucs_central.html