概要
このドキュメントでは、Cisco Emergency Responder(CER)がバックアップに失敗し、そのステータスにエラーメッセージが表示される問題をトラブルシューティングする方法について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- Cisco Emergency Responder
- セキュリティ証明書の基本的な知識
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアのバージョンに基づいています。
- Cisco Emergency Responder(CER)11.5.4.60000-5
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
クラスタモードで配備されたCERは、バックアップに失敗し、エラーメッセージ「Unable to contact server.MasterまたはLocal Agent could be down」というエラーメッセージが表示されます。
例:
CERバックアップエラーメッセージ
該当するバージョンは11.x以降です。
(「トラブルシューティング」)
ログ収集
この問題が発生した場合は、ログを収集してできるだけ多くの情報を収集し、問題の原因を特定して、問題を解決するための正しいアクションプランを決定します。
ログを収集する前に、詳細なトレースとデバッグをアクティブにして、次の手順を実行してください。
- CER Administration Webページにログインします。
- System > Server Settingsの順に移動します。CERパブリッシャはデフォルトで選択されており、CERサブスクライバログも必要な場合は変更できます。
- 「Debug Package List」セクションと「Trace Package List」セクションでSelect Allをクリックします。
- Update Settingsをクリックします。
CERデバッグおよびトレースの有効化
この時点で、問題を再現してください。
問題が複製されたら、Cisco ER Serviceability Webページから複製の試行に適用できるDRSログの収集に進み、次の手順を実行します。
- NavigationからCisco ER Serviceabilityを選択します。
- System Logs > Platform Logs > DRSの順に移動します。
CERによるDRSログの収集
ログ分析
ログを分析すると、サーバがピアとの接続を確立しようとしている場所が表示され始め、ログにエラーの原因を示すエラーメッセージが表示されます。
CERパブリッシャDRF MAログから、次の操作を実行します。
2023-06-21 07:58:58,148 DEBUG [Thread-16] - drfNetServerClient: drfQueryTruststore: Number of entries in IPSec trustStore : 1
2023-06-21 07:58:58,148 DEBUG [Thread-16] - drfNetServerClient:drfQueryTruststore - 20時間ごとにトラストストアをクエリする
2023-06-21 07:58:58,168 ERROR [NetServerWorker] - drfNetServerWorker.drfNetServerWorker:クライアントへの入出力ストリームを作成できません致命的なアラートを受信しました:無効な証明書
2023-06-21 08:04:46,274 DEBUG [NetServerWorker] - drfNetServer.run: /IP:Portからクライアントソケット要求を受信しました
2023-06-21 08:04:46,274 DEBUG [NetServerWorker] – クライアント要求がクラスタ内のノードからのものかどうかを検証しています
2023-06-21 08:04:46,278 DEBUG [NetServerWorker] – 検証済みクライアント。IP = 10.10.20.25ホスト名= device.test.org。要求はクラスタ内のノードからのものです
2023-06-21 08:04:46,278 DEBUG [NetServerWorker] - drfNetServerWorker.drfNetServerWorker:作成するソケットオブジェクトInputstream
2023-06-21 08:04:46,313 ERROR [NetServerWorker] - drfNetServerWorker.drfNetServerWorker:クライアントへの入出力ストリームを作成できません。致命的なアラートを受信しました:無効な証明書
CERパブリッシャのDRFローカルログから:
2023-06-21 07:58:47,453 DEBUG [main] - drfNetServerClient:Reconnect, Unable to connect to host: [X], message: Connection refused (Connection refused), cause: null
証明書が正しくないため、接続が拒否されていることが、この時点まで確認できます。
バックアップ/リストア用にノード間で信頼できる接続を確立するために使用される証明書はIPSecです。この時点で、問題の原因が、期限切れのIPSec証明書か、サーバの1つに誤った証明書が存在することに関連していることはすでに判別できます。
是正アクション
- すべてのCERサブスクライバノードのIPSec-trust証明書のシリアル番号(SN)を確認します。これは、CERパブリッシャのIPSec.premのSNと一致している必要があります(シナリオ1)。
- CERパブリッシャノードでIPSec.pem証明書の有効性を確認します。日付が有効であるか、IPSec証明書が再生成される必要があります(シナリオ2)。
シナリオ 1
CERが公開したサブスクライバとCERサブスクライバの間でIPSec証明書のSNが一致しません。次の手順を実行します。
- シリアル番号がCERパブリッシャのシリアル番号と一致しないCERサブスクライバのIPSec-trust証明書を削除します。
- CERパブリッシャから「IPSec.pem」をダウンロードします(パス:Cisco Unified OS Administration > Security > Certificate Management > Find CER ipsec.pem証明書
- 信頼証明書として必要なCERサブスクライバのファイル「IPSec.pem」をパスCisco Unified OS Administration > Security > Certificate Management > Upload the certificate as IPSec-trustにアップロードします。 CER ipsec.trust証明書のアップロード
- すべてのCERノードでDRF LocalサービスとDRF Masterサービスを再起動します。
シナリオ 2
IPSecは期限切れのため、再生成する必要があります。次の手順を実行します。
- クラスタ内の各サーバで、Cisco Unified OS Administration > Security > Certificate Managementの順に移動します。パブリッシャから開始し、各サブスクライバを開始します。
- CERパブリッシャから開始して、Findをクリックし、サーバ内のすべての証明書を表示します。
- 証明書「IPSec.pem」をクリックします。
- これにより、証明書情報が表示され、Regenerateをクリックします。 CER ipsec.pemの再生成
- 証明書がCERパブリッシャで再生成され、Successメッセージが表示されたら、CERサブスクライバノードでステップ1 ~ 4を繰り返します。
- すべてのノードで証明書が再生成されたら、次のサービスを再起動します。
- CERパブリッシャのみのCisco DRF Master:
- CER Serviceability > Tools > Control Center Services > Cisco DRF Masterに移動します CER Cisco DRFマスターの再起動
- Cisco DRF Masterサービスがアクティブになったら、最初にCERパブリッシャのCisco DRF Localを再起動します。 CER Cisco DRFのローカル再起動
- CERパブリッシャノードでCisco DRF Localサービスがアクティブになったら、すべてのCERサブスクライバノードでこのサービスを再起動します。
- すべてのノードでサービスを再起動した後、システムの手動バックアップを実行します。
- Disaster Recovery System > Backup > Manual Backupの順に移動します。
- バックアップデバイス名を選択します。
- バックアップの機能を選択します。
- クリックしてバックアップを開始します。
関連情報
CERのログの収集方法
CUCM証明書の再生成