Introduction
Ce document décrit comment résoudre certains problèmes courants liés à l'enregistrement UCSM auprès d'UCS Central
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco Unified Computing System (UCS)
- UCS Central
Components Used
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
- Cisco Unified Computing System Manager (UCSM)
- Interconnexion de fabric (FI)
- Centrale UCS sur VM ESXi
Méthodes de dépannage
Le dépannage se concentre sur le certificat auto-signé sur UCSM et les certificats centraux et non tiers
- Dépannage de base
- UCSM bloqué à l'état d'enregistrement avec central
- État central UCSM bloqué après la mise à niveau
- Visibilité perdue UCSM avec centralisation
- Journaux à vérifier
- Dépannage des commandes
Dépannage de base
Assurez-vous que ces vérifications de base sont effectuées :
- Non-correspondance de secret partagé.
- Le périphérique UCS Central n'est pas accessible.
- Le GUID UCS Central est différent du GUID UCS Central déjà enregistré.
- Le temps n'est pas synchronisé entre UCSM et UCS Central.
- Certificat expiré sur UCSM.
- Le certificat de la sonnerie par défaut n'est pas présent. Bien que des CA tierces puissent être utilisées pour HTTPS. L'enregistrement UCSM utilise le certificat de clé par défaut et ne doit donc pas être supprimé.
- Assurez-vous que UCSM reçoit la demande d'échange de la part de l'UCSC.
Central# connect local-mgmt
Central(local-mgmt)# test ucsm-connectivity <ucsm_ip>
La capture de paquets à partir d'UCSM s'enregistre avec succès auprès du fournisseur central
NE PAS annuler l'enregistrement du central à partir d'UCSM. Lorsque vous annulez l'enregistrement de tous les profils de service globaux, ils deviennent locaux dans le domaine UCS. Il est possible de rendre un profil de service local global à nouveau. Cependant, il s'agit d'un processus très complexe qui a un impact sur le service.
État de l'enregistrement de l'encombrement UCSM avec Central
Si UCS Manager est enregistré dans UCS Central et que UCS Manager est mis à niveau vers la version 3.1.1, alors UCS Manager passe à l'état d'enregistrement et reste bloqué là.
Trop d'erreurs d'exécution observées dans les journaux DME centraux
9603: [WARN][0x27699940][Apr 5 18:00:54.714][write:net] write of 3752 bytes using curl failed, code=7, error: 'Couldn't connect to server', ep: https://10.106.74.195:443/xmlInternal/managed-endpoint
9604: [WARN][0x27699940][Apr 5 18:00:54.714][write:net] non-critical curl write error.
À partir du DME UCSM
[INFO][0x682ffb90][Nov 1 16:05:24.886][sam_sec:check_cert_val] X509_verify_cert_error_string - ok
[INFO][0x682ffb90][Nov 1 16:05:24.886][sam_sec:X509VerifyCert] ErrorMsg:ok ErrorNo:0
[INFO][0x682ffb90][Nov 1 16:05:24.886][app_sam_dme:processKey] something wrong with KR-default certificate, status - 18
Le problème peut être dû à l'utilisation d'un ancien hachage MDS au lieu de SHA1 pour les certificats
[WARN][0x674ffb90][Nov 22 19:11:49.227][net:write] write of 546 bytes using curl failed, code=60, error: 'Peer certificate cannot be authenticated with given CA certificates(SSL certificate problem: self signed certificate)', ep: https://10.106.74.234:443/xmlInternal/service-reg
[INFO][0x674ffb90][Nov 22 19:11:49.227][net:certFailure] certificate is bad for connection to ' https://10.136.58.4:443/xmlInternal/service-reg';
Effectuez ces contournements car UCS Manager s'enregistre correctement sur UCS Central et corrige l'erreur de certificat
La sonnerie par défaut peut être régénérée à partir de l'interface de ligne de commande d'UCS Central sous la section du profil de périphérique.
connect policy-mgr
scope org
scope device-profile
scope security
scope keyring default
set regenerate yes
commit-buffer
Si la solution de contournement ne se résout pas, veuillez contacter le centre d'assistance technique de Cisco pour demander une validation supplémentaire.
Si, à un moment donné, UCS Manager a été enregistré dans UCS Central initialement à une version 2.1.3 ou ultérieure. Ensuite, lors de la mise à niveau vers la version 3.1.1, le problème d'enregistrement mentionné ci-dessus est toujours présent.
Pour cette implication du TAC requise avec UCS 2.1.3 et les versions antérieures, UCSM ne scinde pas le certificat. Le centre d'assistance technique doit hacher le certificat de manière à créer les liens logiciels appropriés vers le certificat.
État central UCSM bloqué après la mise à niveau
Le problème est dû au fait que la base de données n'est pas synchronisée entre le serveur central et UCS
Ces erreurs ont été observées dans les journaux du gestionnaire de ressources
[WARN][0xbbce9940][Aug 11 10:23:18.194][storeMo:mit_init] SQL error [SQLParamData failure: Error while executing the query (non-fatal);
ERROR: duplicate key value violates unique constraint "InstanceId2DN_dn_key"] stmt [INSERT INTO "InstanceId2DN"("instanceId","dn","className","parent") VALUES (?,?,?,?)]
[INFO][0xbbce9940][Aug 11 10:23:18.194][report:exception_handl] FATAL[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/sql/MitDbImpl.cc(1167):storeMo: Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][report:exception_handl] ERROR[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/proc/Doer.cc(795):exceptionCB: exception encountered during processing: "Failed to connect to database. Transaction aborted." [150] Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][failedCb:tx] TX FAILED
Il s'agit d'un problème de synchronisation de la base de données. Soumettez un dossier au TAC Cisco pour une validation plus approfondie.
Visibilité perdue UCSM avec Central
Vérifier l'état de l'enregistrement
S'il indique que UCS Central ne peut pas être atteint sur un ou plusieurs ports requis. Si UCS Central utilise l'interface utilisateur graphique Flash (Flex), les ports suivants doivent être ouverts à Central : 443, 80, 843. L'interface utilisateur graphique HTML requiert uniquement le port 443.
Journaux à vérifier
UCSM
/var/sysmgr/sam_logs/pa_setup.log
svc_sam_dme.log files on FI
Centrale
Svc_dme_reg.log
Dépannage des commandes
Central# connect policy-mgr
Central# scope org
Central# scope device-profile
Central# scope security
Central# Show keyring detail
UCSM# scope system
UCSM# scope security
UCSM# show keyring detail
connect local-mgmt
telnet <Central IP> <port>
^ (Shift+6) ] with no spaces to exit
FSM status
scope system
scope control-ep policy
show fsm status
Central# connect service-reg
Central(service-reg)# show fault
Central(service-reg)# show clients detail
Registered Clients:
ID: 1008
Registered Client IP: 10.106.74.194
Registered Client IPV6: ::
Registered Client Connection Protocol: Ipv4
Registered Client Name: DCN-INDIA-FI-A
Registered Client GUID: e832cfc2-548b-11e4-b8f2-002a6a6f6dc1
Registered Client Version: 2.2(6g)
Registered Client Type: Managed Endpoint
Registered Client Capability: Policy Client Module
Registered Client Last Poll Timestamp: 2016-12-08T12:33:36.417
Registered Client Operational State: Registered
Registered Client Suspend State: Off
Registered Client License State: License Graceperiod
Registered Client grace period used: 33
Registered Client Network Connection State: Connected
Défauts connus
- L'ID de bogue Cisco CSCuy07652 dwngarde-upgrade de ECMR6 à Delmar-mr2 rend le domaine « enregistrement ».
- Échec de l'enregistrement de nouveau ID de bogue Cisco CSCuv07227 UCSM lors de la mise à niveau de fw.
- L'ID de bogue Cisco CSCuu91088 Central n'a pas pu actualiser l'inventaire.
- Échec du rapport d'inventaire complet de l'ID de bogue Cisco CSCut72698 sur les ucs classiques dans un environnement à faible bande passante.
Informations connexes
Enregistrement du domaine Cisco UCSM avec UCS central
http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/sw/gui/config/guide/2-2/b_UCSM_GUI_Configuration_Guide_2_2/registering_cisco_ucs_domains_with_cisco_ucs_central.html