通过Central排除UCSM注册问题

下载选项

  • ePub     (388.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (221.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 12 月 21 日
文档 ID:200901

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何对向UCS中心注册的UCSM的一些常见问题进行故障排除

先决条件

要求

Cisco 建议您了解以下主题:

  • 思科统一计算系统(UCS)
  • UCS中心

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 思科统一计算系统管理器(UCSM)
  • 交换矩阵互联(FI)
  • 在ESXi VM上运行的UCS中心

故障排除方法

故障排除主要针对UCSM上的自签名证书以及中心证书,而非第三方证书

  • 基本故障排除
  • UCSM卡住注册状态到中心
  • 升级后UCSM中心状态停滞
  • UCSM与中心的可视性丢失
  • 要检查的日志
  • 故障排除命令

基本故障排除

请确保完成以下基本检查:

  • 共享密钥不匹配。
  • 无法访问UCS中心设备。
  • UCS中心GUID与已注册的UCS中心GUID不同。
  • UCSM和UCS中心之间的时间不同步。
  • UCSM上的证书已过期。
  • 默认密钥环证书不存在。虽然第三方CA可用于HTTPS。UCSM注册使用默认密钥环证书,因此不应删除。
  • 确保UCSM正在接收来自UCSC的握手请求。
Central# connect local-mgmt
Central(local-mgmt)# test ucsm-connectivity <ucsm_ip>

从UCSM成功向中央提供商注册的数据包捕获

 请勿从UCSM注销中心。注销所有全局服务配置文件后,将成为UCS域的本地。可以再次将本地服务配置文件设置为全局。但是,这是一个非常复杂的过程,对服务有影响。

UCSM滞留注册状态到Central

如果UCS Manager已注册到UCS Central,且UCS Manager正在升级到3.1.1,则UCS Manager将进入注册状态并停滞在该状态。

在中央DME日志中观察到的卷曲错误太多

  9603: [WARN][0x27699940][Apr  5 18:00:54.714][write:net]  write of 3752 bytes using curl failed, code=7, error: 'Couldn't connect to server', ep:  https://10.106.74.195:443/xmlInternal/managed-endpoint
9604: [WARN][0x27699940][Apr  5 18:00:54.714][write:net]  non-critical curl write error.

从UCSM DME

[INFO][0x682ffb90][Nov  1 16:05:24.886][sam_sec:check_cert_val] X509_verify_cert_error_string - ok
[INFO][0x682ffb90][Nov  1 16:05:24.886][sam_sec:X509VerifyCert] ErrorMsg:ok ErrorNo:0
[INFO][0x682ffb90][Nov  1 16:05:24.886][app_sam_dme:processKey] something wrong with KR-default certificate, status - 18

问题可能是由于UCSM使用旧MDS哈希而不是证书的SHA1

[WARN][0x674ffb90][Nov 22 19:11:49.227][net:write] write of 546 bytes using curl failed, code=60, error: 'Peer certificate cannot be authenticated with given CA certificates(SSL certificate problem: self signed certificate)', ep:  https://10.106.74.234:443/xmlInternal/service-reg
[INFO][0x674ffb90][Nov 22 19:11:49.227][net:certFailure] certificate is bad for connection to ' https://10.136.58.4:443/xmlInternal/service-reg';

执行这些解决方法,因为它会导致UCS Manager成功注册到UCS中心并修复证书错误

默认密钥环可从UCS Central CLI的设备配置文件部分下重新生成。

connect policy-mgr
 scope org
 scope device-profile
 scope security
 scope keyring default
 set regenerate yes
 commit-buffer

如果解决方法无法解决,请向思科TAC提出问题以进一步验证

如果UCS Manager在任何时候以2.1.3或更低版本初始注册到UCS中心。然后,在升级到3.1.1期间,仍然会发现上述注册问题。


由于UCS 2.1.3及更早版本需要参与此TAC,因此UCSM不拆分证书。TAC需要重新缓存证书,以便创建到证书的正确软链接。

升级后UCSM中心状态停滞

问题是由于数据库在中心和UCS之间不同步

在资源管理器日志中观察到的这些错误

[WARN][0xbbce9940][Aug 11 10:23:18.194][storeMo:mit_init] SQL error [SQLParamData failure: Error while executing the query (non-fatal);
ERROR:  duplicate key value violates unique constraint "InstanceId2DN_dn_key"] stmt [INSERT INTO "InstanceId2DN"("instanceId","dn","className","parent") VALUES (?,?,?,?)]
[INFO][0xbbce9940][Aug 11 10:23:18.194][report:exception_handl] FATAL[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/sql/MitDbImpl.cc(1167):storeMo: Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][report:exception_handl] ERROR[3|150] /ramfs/buildsa/150407-104741-rev219791-FCSa/resMgr/sam/src/lib/framework/core/proc/Doer.cc(795):exceptionCB: exception encountered during processing: "Failed to connect to database. Transaction aborted." [150] Failed to connect to database. Transaction aborted.
[INFO][0xbbce9940][Aug 11 10:23:18.201][failedCb:tx] TX FAILED

这是数据库同步问题,请向Cisco TAC提出问题以进一步验证

UCSM与中心失去可视性

检查注册状态

如果显示“丢失可视性”,则无法在一个或多个必需端口上访问UCS中心。如果UCS中心使用闪存GUI(Flex),则需要向中心开放以下端口:443、80、843。HTML GUI仅需要端口443。

要检查的日志

UCSM

/var/sysmgr/sam_logs/pa_setup.log
svc_sam_dme.log files on FI

中心

Svc_dme_reg.log

故障排除命令

Central# connect policy-mgr
Central# scope org
Central# scope device-profile
Central# scope security
Central# Show keyring detail
UCSM# scope system 
UCSM# scope security 
UCSM# show keyring detail 
connect local-mgmt
telnet <Central IP> <port>
^ (Shift+6) ] with no spaces to exit
  FSM status
       scope system
       scope control-ep policy
       show fsm status
Central# connect service-reg 
Central(service-reg)# show fault
Central(service-reg)# show clients detail  
Registered Clients:
    ID: 1008
    Registered Client IP: 10.106.74.194
    Registered Client IPV6: ::
    Registered Client Connection Protocol: Ipv4
    Registered Client Name: DCN-INDIA-FI-A
    Registered Client GUID: e832cfc2-548b-11e4-b8f2-002a6a6f6dc1
    Registered Client Version: 2.2(6g)
    Registered Client Type: Managed Endpoint
    Registered Client Capability: Policy Client Module
    Registered Client Last Poll Timestamp: 2016-12-08T12:33:36.417
    Registered Client Operational State: Registered
    Registered Client Suspend State: Off
    Registered Client License State: License Graceperiod
    Registered Client grace period used: 33
    Registered Client Network Connection State: Connected

已知缺陷

相关信息

向UCS中心注册Cisco UCSM域

http://www.cisco.com/c/en/us/td/docs/unified_computing/ucs/sw/gui/config/guide/2-2/b_UCSM_GUI_Configuration_Guide_2_2/registering_cisco_ucs_domains_with_cisco_ucs_central.html
TAC Authored

由思科工程师提供

  • Sivakumar Sukumar
    Cisco TAC Engineer

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品