Resolución de problemas "FMC remoto no se ha actualizado correctamente"

Introducción

Este documento describe cómo resolver problemas "FMC remoto no se actualiza correctamente. Complete la actualización en FMC remoto antes de actualizar este par."

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Centro de administración Firepower (FMC)
• Conocimiento básico de la CLI de FMC.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Mensaje de error 

El error "Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer" aparece en la GUI de FMC cuando intenta actualizar los dispositivos administrados por el par de alta disponibilidad (HA) de FMC. Este error no permite que se inicie la actualización de los dispositivos administrados. Así es como se ve la alerta de error desde la GUI:

El error también se puede verificar desde la CLI del FMC con el comando de modo experto cat /var/log/httpd/httpd_error_log.1 | grep -i 'CSP remoto'.

> expert
root@FMC:~$ cat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'

[Mon Jan 30 07:20:10.062741 2022] [cgi:error] [pid 5906] [client 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  
[Mon Jan 30 07:22:43.370986 2022] [cgi:error] [pid 15376] [clien 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  

Causas de error

Se sabe que este error se produce cuando hay una discordancia entre la versión de revisión de software, la versión de la base de datos de vulnerabilidades (VDB), la versión de las reglas de intrusión (SRU) o la versión de la base de datos de geolocalización (GeoDB) de los dos CSP de HA. La discordancia ocurre cuando alguna de estas actualizaciones de la versión listada se bloquea o no se puede instalar. No puede ver esta discordancia cuando verifica las versiones de la interfaz de usuario de FMC en la sección Ayuda > Acerca de, pero se recomienda verificar esta página en ambos FMC para verificar.

Nota: Las implementaciones en los dispositivos administrados pueden realizarse correctamente con esto, pero las actualizaciones de software no pueden comenzar con este error.

Identificar el problema

Compruebe las versiones de los CSP en HA desde la interfaz gráfica de usuario

Desde la GUI de FMC, vaya a Help > About para confirmar que las versiones de Software Patch, VDB, SRU y GeoDB en ambos FMC en HA son todas iguales. Estas imágenes muestran un ejemplo de una coincidencia de versión de dos FMC en HA de la GUI:

.              

Verificar el estado de instalación de las versiones de VDB, SRU y GeoDB en FMC en HA desde CLI

Desde el modo experto en FMC CLI, debe verificar si las actualizaciones de VDB, SRU y GeoDB se instalaron completamente sin ningún error en ambos FMC en HA.

Nota: En estas secciones, se explica cómo comprobar el status.log de cada carpeta de versión de imagen. Estas carpetas de versión de imagen deben coincidir con la carpeta del FMC del mismo nivel. Por ejemplo, si la carpeta de la versión de VDB que está instalada en FMC es "vdb-4.5.0-338", tendrá que comprobar en la misma carpeta ambos FMC. Aquí, utilice el comando cat /var/log/sf/vdb-4.5.0-338/status.log en ambos FMC para verificar el estado de actualización de VDB. Lo mismo se aplica a las actualizaciones de SRU y GeoDB.

Comprobar el estado de instalación de VDB

Desde el modo experto en la CLI de FMC, utilice este comando cat /var/log/sf/<vdb-image-folder>/status.log para verificar si la actualización de VDB se ha realizado correctamente. A continuación se muestra un ejemplo de una instalación exitosa de VDB:

root@FMC:~$ cat /var/log/sf/vdb-4.5.0-338/status.log
state:running
ui:The install has begun
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 8%] Running script pre/011_check_versions.pl...
ui:[12%] Running script pre/020_check_space.sh...
ui:[15%] Running script pre/500_stop_rna.pl...
ui:[19%] Running script pre/999_finish.sh...
ui:[23%] Running script installer/000_start.sh...
ui:[27%] Running script installer/100_install_files.pl...
ui:[31%] Running script installer/200_install_fingerprints.sh...
ui:[35%] Running script installer/300_install_vdb.sh...
ui:[38%] Running script installer/400_install_rdps.pl...
ui:[42%] Running script installer/420_delete_obsolete_ids.pl...
ui:[46%] Running script installer/450_resave_detectors.pl...
ui:[50%] Running script installer/525_export_compliance_policies.pl...
ui:[54%] Running script installer/600_fix_dbcheck.sh...
ui:[58%] Running script installer/605_install_dbcheck_upgrade_script.sh...
ui:[62%] Running script installer/610_install_missing_upgrade_script.sh...
ui:[65%] Running script installer/615_purge_vdb_149_log.sh...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Comprobar el estado de instalación de SRU

Desde el modo experto en la CLI de FMC, utilice el comando cat /var/log/sf/<sru-image-folder>/status.log para verificar si la actualización de SRU se ha realizado correctamente. A continuación se muestra un ejemplo de una instalación de SRU exitosa:

root@FMC:~$ cat /var/log/sf/sru-2021-05-03-001-vrt/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 5%] Running script pre/010_check_versions.sh...
ui:[11%] Running script pre/020_check_space.sh...
ui:[16%] Running script pre/999_finish.sh...
ui:[21%] Running script installer/000_start.sh...
ui:[26%] Running script installer/050_sru_log_start.pl...
ui:[32%] Running script installer/100_install_files.pl...
ui:[37%] Running script installer/510_install_policy.pl...
ui:[42%] Running script installer/520_install_rules.pl...
ui:[47%] Running script installer/521_rule_docs.sh...
ui:[53%] Running script installer/530_install_module_rules.pl...
ui:[58%] Running script installer/540_install_decoder_rules.pl...
ui:[63%] Running script installer/602_log_package.pl...
ui:[68%] Running script installer/900_update_version.sh...
ui:[74%] Running script installer/999_finish.sh...
ui:[79%] Running script post/000_start.sh...
ui:[84%] Running script post/500_copy_contents.sh...
ui:[89%] Running script post/900_iru_log_finish.pl...
ui:[95%] Running script post/999_finish.sh...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Comprobar estado de instalación de GeoDB

Desde el modo experto en FMC CLI, utilice el comando cat /var/log/sf/<geodb-image-folder>/status.log para verificar si la actualización de GeoDB se ha realizado correctamente. Aquí hay un ejemplo de una instalación exitosa de GeoDB:

root@FMC:~$ cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Si la instalación ha fallado o está atascada por cualquier motivo, puede ver qué paso ha fallado o está atascado desde este status.log. A continuación se muestra un ejemplo de error de instalación de GeoDB en el FMC:

root@FMC:~$ cat /var/log/sf/geodb-2022-07-17-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[67%] Fatal error: Error running script installer/601_fix_country.pl

Verifique el estado de instalación de la versión de software y el parche en los FMC en HA desde CLI 

Desde el modo experto en FMC CLI, utilice el comando cat /etc/sf/patch_history para verificar si ambos FMC tienen la misma versión y el mismo parche instalado. Ejecute este comando para identificar cualquier discordancia en ambos FMC. Aquí hay un ejemplo de una discordancia de parches de la CLI: 

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81
Hotfix_DE-8__413769962     <<<<<<<<<<<  Here the FMC seems to have a Hotfix installation image that is not present from the other FMC

-------------------------------------------------------------------

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81        

Para comprobar si la instalación de la revisión en FMC se ha realizado correctamente, debe comprobar el status.log de esta carpeta de imágenes:

root@FMC:~$ cat /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2/status.log

ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Este ejemplo verifica que la imagen del parche no estaba presente en el FMC en HA, mientras que el otro tenía el parche instalado correctamente. 

Troubleshoot

Para resolver el error, debe realizar una instalación forzada manual de las actualizaciones desde la CLI de la FMC donde se identifica el problema. 

Disclaimer: Root access to the FMC devices is required in order to execute the commands under this section. Please use caution when running commands from the root of the FMC. 

Problema de actualización de VDB, SRU y GeoDB

Después de identificar los problemas de actualización de VDB, SRU o GeoDB, realice una instalación forzada manual desde el comando CLI install_update.pl /var/sf/updates/<image-file> —force. A continuación se muestra un ejemplo de la instalación forzada manual para una actualización de GeoDB:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/sf/updates/Cisco_Firepower_GEODB_FMC_Update-2022-08-02-100.sh.REL.tar --force

Nota: Utilice la ruta de acceso absoluta del archivo de imagen con el comando install_update.pl como se muestra en el ejemplo. No desconecte ningún archivo tar.gz antes de forzar la instalación desde CLI.

Problema de instalación de Hotfix

Para la instalación de la revisión/parche, debe descargar el archivo de parche e instalarlo en el FMC donde el archivo de parche no estaba presente ni a través de la GUI ni de la CLI.

Desde la GUI de FMC: 

Vaya a System > Updates > Product Updates y cargue la versión de revisión que se instalará. A continuación, haga clic en la opción Install y elija el dispositivo en el que necesita instalar el parche y continúe con la instalación. 

  

Desde CLI de FMC:

Para instalar el software/parche desde la CLI de FMC, cargue el archivo de actualización de la revisión en la ruta /var/log/sf/ en la CLI de FMC y ejecute el comando install_update.pl /var/log/sf/<image-file>. Este comando ejecuta los registros de actualización en la misma pantalla para permitirnos monitorear el progreso. A continuación se muestra un ejemplo de la instalación de la revisión desde la CLI:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2 

Si hay un tiempo de espera corto en la sesión SSH, utilice el comando install_update.pl—detach /var/log/sf/<image-file> para ejecutar la instalación en segundo plano. Esto permite que la actualización se ejecute incluso después de que se cierre la sesión SSH.

Verificación

Actualización de VDB, SRU o GeoDB

Una vez completada la instalación manual, puede verificar el estado de la instalación desde la CLI con el comando cat /var/log/sf/<image-version-folder>/status.log para la actualización de VDB, SRU y GeoDB. Aquí hay un ejemplo de la salida de status.log de una instalación exitosa de GeoDB:

root@FMC:/Volume/home/admin# cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Actualización de revisión o parche

Después de la instalación manual de la actualización, ejecute el comando cat /var/log/sf/<patch-image-folder>/status.log desde CLI para verificar el estado de esta instalación. A continuación se muestra un ejemplo del resultado de status.log de una instalación correcta:

root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Nota: Si el error persiste después de intentar los pasos proporcionados en este documento, abra una solicitud de servicio con el TAC de Cisco.