Fehlerbehebung "Remote FMC wurde nicht erfolgreich aktualisiert"

Einleitung

In diesem Dokument wird die Fehlerbehebung für "Remote FMC Is Not Updated Successfully" beschrieben. Schließen Sie die Aktualisierung auf dem Remote-FMC ab, bevor Sie diesen Peer aktualisieren."

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Firepower Management Center (FMC)
• Grundkenntnisse der FMC CLI.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

Hintergrundinformationen

Fehlermeldung 

Der Fehler "Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer" wird auf der FMC-GUI angezeigt, wenn Sie versuchen, die Geräte zu aktualisieren, die vom FMC-Hochverfügbarkeitspaar verwaltet werden. Durch diesen Fehler kann das Upgrade der verwalteten Geräte nicht gestartet werden. So sieht die Fehlermeldung in der Benutzeroberfläche aus:

Der Fehler kann auch über die CLI des FMC mit dem Befehl cat /var/log/httpd/httpd_error_log im Expertenmodus überprüft werden.1 | grep -i 'Remote FMC'.

> expert
root@FMC:~$ cat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'

[Mon Jan 30 07:20:10.062741 2022] [cgi:error] [pid 5906] [client 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  
[Mon Jan 30 07:22:43.370986 2022] [cgi:error] [pid 15376] [clien 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  

Fehlerursachen

Dieser Fehler tritt auf, wenn in der Version des Software-Patches, der VDB-Version (Vulnerability Database), der SRU-Version (Intrusion Rules) oder der Geolocation Database (GeoDB) eine Diskrepanz zwischen den beiden FMCs in HA besteht. Die Diskrepanz tritt auf, wenn eines dieser aufgeführten Versionsaktualisierungen hängen bleibt oder nicht installiert werden kann. Sie können diese Diskrepanz nicht erkennen, wenn Sie die Versionen über die FMC-Benutzeroberfläche im Abschnitt Hilfe > Info überprüfen. Es wird jedoch empfohlen, diese Seite auf beiden FMCs zu überprüfen.

Hinweis: Die Bereitstellung auf den verwalteten Geräten kann auf diese Weise erfolgreich sein, aber die Software-Upgrades beginnen mit diesem Fehler nicht.

Identifizieren des Problems

Überprüfen der FMC-Versionen in HA über die GUI

Gehen Sie von der FMC-GUI zu Hilfe > Info, um zu bestätigen, dass die Versionen von Software Patch, VDB, SRU und GeoDB auf beiden FMC in HA identisch sind. Diese Bilder zeigen ein Beispiel für eine Versionsübereinstimmung von zwei FMCs in HA von der GUI:

.              

Überprüfen des Installationsstatus von VDB-, SRU- und GeoDB-Versionen auf FMCs in HA über CLI

Im Expertenmodus der FMC-CLI müssen Sie überprüfen, ob die VDB-, SRU- und GeoDB-Updates vollständig und ohne Fehler auf beiden FMCs in HA installiert wurden.

Anmerkung: In diesen Abschnitten wird erläutert, wie Sie die Datei status.log jedes Bildversionsordners überprüfen. Diese Image-Versionsordner müssen mit dem Ordner auf dem Peer-FMC übereinstimmen. Wenn z. B. der VDB-Versionsordner, der auf dem FMC installiert ist, "vdb-4.5.0-338" lautet, dann müssen Sie unter demselben Ordner nach beiden FMCs suchen. Verwenden Sie hier den Befehl cat /var/log/sf/vdb-4.5.0-338/status.log auf beiden FMCs, um den Update-Status von VDB zu überprüfen. Dasselbe gilt für SRU- und GeoDB-Updates.

VDB-Installationsstatus überprüfen

Verwenden Sie im Expertenmodus der FMC-CLI den Befehl cat /var/log/sf/<vdb-image-folder>/status.log, um zu überprüfen, ob das VDB-Update erfolgreich war. Hier ein Beispiel für eine erfolgreiche VDB-Installation:

root@FMC:~$ cat /var/log/sf/vdb-4.5.0-338/status.log
state:running
ui:The install has begun
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 8%] Running script pre/011_check_versions.pl...
ui:[12%] Running script pre/020_check_space.sh...
ui:[15%] Running script pre/500_stop_rna.pl...
ui:[19%] Running script pre/999_finish.sh...
ui:[23%] Running script installer/000_start.sh...
ui:[27%] Running script installer/100_install_files.pl...
ui:[31%] Running script installer/200_install_fingerprints.sh...
ui:[35%] Running script installer/300_install_vdb.sh...
ui:[38%] Running script installer/400_install_rdps.pl...
ui:[42%] Running script installer/420_delete_obsolete_ids.pl...
ui:[46%] Running script installer/450_resave_detectors.pl...
ui:[50%] Running script installer/525_export_compliance_policies.pl...
ui:[54%] Running script installer/600_fix_dbcheck.sh...
ui:[58%] Running script installer/605_install_dbcheck_upgrade_script.sh...
ui:[62%] Running script installer/610_install_missing_upgrade_script.sh...
ui:[65%] Running script installer/615_purge_vdb_149_log.sh...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

SRU-Installationsstatus überprüfen

Verwenden Sie im Expertenmodus der FMC-CLI den Befehl cat /var/log/sf/<sru-image-folder>/status.log, um zu überprüfen, ob das SRU-Update erfolgreich war. Das folgende Beispiel zeigt eine erfolgreiche SRU-Installation:

root@FMC:~$ cat /var/log/sf/sru-2021-05-03-001-vrt/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 5%] Running script pre/010_check_versions.sh...
ui:[11%] Running script pre/020_check_space.sh...
ui:[16%] Running script pre/999_finish.sh...
ui:[21%] Running script installer/000_start.sh...
ui:[26%] Running script installer/050_sru_log_start.pl...
ui:[32%] Running script installer/100_install_files.pl...
ui:[37%] Running script installer/510_install_policy.pl...
ui:[42%] Running script installer/520_install_rules.pl...
ui:[47%] Running script installer/521_rule_docs.sh...
ui:[53%] Running script installer/530_install_module_rules.pl...
ui:[58%] Running script installer/540_install_decoder_rules.pl...
ui:[63%] Running script installer/602_log_package.pl...
ui:[68%] Running script installer/900_update_version.sh...
ui:[74%] Running script installer/999_finish.sh...
ui:[79%] Running script post/000_start.sh...
ui:[84%] Running script post/500_copy_contents.sh...
ui:[89%] Running script post/900_iru_log_finish.pl...
ui:[95%] Running script post/999_finish.sh...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Installationsstatus von GeoDB überprüfen

Verwenden Sie im Expertenmodus der FMC-CLI den Befehl cat /var/log/sf/<geodb-image-folder>/status.log, um zu überprüfen, ob das GeoDB-Update erfolgreich war. Hier ein Beispiel für eine erfolgreiche GeoDB-Installation:

root@FMC:~$ cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Wenn die Installation fehlschlug oder aus irgendeinem Grund hängen geblieben ist, können Sie sehen, welcher Schritt fehlschlug oder aus diesem status.log hängen geblieben ist. Das folgende Beispiel zeigt einen Fehler bei einer GeoDB-Installation auf dem FMC:

root@FMC:~$ cat /var/log/sf/geodb-2022-07-17-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[67%] Fatal error: Error running script installer/601_fix_country.pl

Überprüfen des Installationsstatus der Softwareversion und des Patches auf FMCs in HA über die CLI 

Verwenden Sie im Expertenmodus der FMC-CLI den Befehl cat /etc/sf/patch_history, um zu überprüfen, ob für beide FMC dieselbe Version und dasselbe Patch installiert sind. Führen Sie diesen Befehl aus, um etwaige Diskrepanzen auf beiden FMCs zu identifizieren. Das folgende Beispiel zeigt eine fehlerhafte Patch-Übereinstimmung in der CLI: 

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81
Hotfix_DE-8__413769962     <<<<<<<<<<<  Here the FMC seems to have a Hotfix installation image that is not present from the other FMC

-------------------------------------------------------------------

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81        

Um zu überprüfen, ob die Installation des Hotfix im FMC erfolgreich war, müssen Sie die Datei status.log für diesen Image-Ordner überprüfen:

root@FMC:~$ cat /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2/status.log

ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

In diesem Beispiel wird überprüft, ob das Patch-Image im FMC in HA nicht vorhanden war, während das Patch auf dem anderen Image erfolgreich installiert wurde. 

Fehlerbehebung

Um den Fehler zu beheben, müssen Sie die Updates manuell über die CLI des FMC installieren, in der das Problem erkannt wird. 

Disclaimer: Root access to the FMC devices is required in order to execute the commands under this section. Please use caution when running commands from the root of the FMC. 

VDB-, SRU- und GeoDB-Update-Problem

Nachdem Sie die Probleme mit dem VDB-, SRU- oder GeoDB-Update identifiziert haben, führen Sie eine manuelle Zwangsinstallation über den CLI-Befehl install_update.pl /var/sf/updates/<image-file> —force durch. Hier ist ein Beispiel der manuellen Kraftinstallation für ein GeoDB-Update:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/sf/updates/Cisco_Firepower_GEODB_FMC_Update-2022-08-02-100.sh.REL.tar --force

Anmerkung: Verwenden Sie den absoluten Pfad der Image-Datei mit dem Befehl install_update.pl, wie im Beispiel gezeigt. Löschen Sie keine tar.gz-Dateien, bevor Sie die Installation von CLI erzwingen.

Hotfix-Installationsproblem

Für die Hotfix-/Patch-Installation müssen Sie die Patch-Datei herunterladen und auf dem FMC installieren, auf dem die Patch-Datei weder über die GUI noch über die CLI vorhanden war.

Von der FMC-GUI: 

Gehen Sie zu System > Updates > Product Updates, und laden Sie die zu installierende Patch-Version hoch. Klicken Sie dann auf die Option Install (Installieren), und wählen Sie das Gerät aus, auf dem Sie den Patch installieren müssen, und fahren Sie mit der Installation fort. 

  

Von FMC CLI:

Um die Software/den Patch von der FMC-CLI zu installieren, laden Sie die Hotfix-Upgrade-Datei in den Pfad /var/log/sf/ auf der FMC-CLI hoch, und führen Sie den Befehl install_update.pl /var/log/sf/<image-file> aus. Mit diesem Befehl werden die Upgrade-Protokolle auf demselben Bildschirm ausgeführt, um den Fortschritt zu überwachen. Nachfolgend finden Sie ein Beispiel für die Patch-Installation über die CLI:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2 

Wenn die SSH-Sitzung eine kurze Zeitüberschreitung aufweist, verwenden Sie den Befehl install_update.pl—detach /var/log/sf/<image-file>, um die Installation im Hintergrund auszuführen. Dadurch kann das Upgrade auch nach dem Schließen der SSH-Sitzung ausgeführt werden.

Überprüfung

VDB-, SRU- oder GeoDB-Update

Nach Abschluss der manuellen Zwangsinstallation können Sie den Installationsstatus über die CLI mit dem Befehl cat /var/log/sf/<image-version-folder>/status.log für VDB-, SRU- und GeoDB-Updates überprüfen. Hier ein Beispiel der status.log Ausgabe einer erfolgreichen GeoDB Installation:

root@FMC:/Volume/home/admin# cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Hotfix- oder Patch-Update

Führen Sie nach der manuellen Installation des Updates den Befehl cat /var/log/sf/<patch-image-folder>/status.log von CLI aus, um den Status dieser Installation zu überprüfen. Hier ist ein Beispiel für die status.log-Ausgabe einer erfolgreichen Installation:

root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Anmerkung: Wenn der Fehler auch nach Durchführung der in diesem Dokument beschriebenen Schritte auftritt, erstellen Sie eine Serviceanfrage beim Cisco TAC.