升級影片通訊伺服器(VCS)/Expressway X14.x

簡介

本文檔介紹Expressway升級過程，旨在指導您回答最常見的問題。

需求

有關升級到X14.2的重要說明：

1. Expressway X14.2僅支援智慧許可。思科錯誤ID CSCwe09378可能導致在X14.2.5中修復的智慧許可伺服器（直接/代理模式）之間的SSL協商失敗。
2. Expressway X14.2上限為到終端的2500個加密信令會話，並包括與思科漏洞ID CSCwc69661相關的流量伺服器行為的更改，這些更改可能導致MRA故障-在升級到X14.2之前，請閱讀版本說明和管理指南。有關詳細資訊，請參閱本文檔的升級前操作部分中的註釋4。
3. 如果您在Expressway上配置了自定義MTU大小，升級後該大小將更改為預設值1500，這會導致連線和介質出現問題。此問題在思科漏洞ID CSCwc74590下跟蹤。升級後，您必須將MTU大小更改回升級前配置的上一個MTU大小。

背景資訊

本文檔中的資訊適用於Expressway和影片通訊伺服器(VCS)。文檔引用了Expressway，但是它可以與VCS互換。

注意：雖然本文檔旨在幫助進行升級，但它並不取代Expressway版本說明。在繼續升級之前，請始終參閱目標版本的發行版本註釋。

所有部署的重要資訊

1. 獨立系統和集群系統的發行版本註釋中均提供了升級步驟。
2. 您可以從X8.11.4及更高版本直接升級到X14.x。不需要中間版本。從X8.11.4之前的任何版本進行升級時，都需要進行到X8.11.4的中間升級。
3. 將Expressway升級到X12.5.4或更高版本不需要發行金鑰。但Cisco VCS系統需要此功能。
4. 如果是叢集，請先在叢集的「主要」伺服器上啟動升級。升級「主要」節點後，一次升級一個「從屬」節點。這避免了配置資料丟失的風險，並保持了服務連續性。
   

   註：在System > Clustering選單上查詢「Primary」。「Configuration primary」編號指向同一頁面中對等體清單中的「Primary peer」。

1. 同時升級Expressway E和Expressway C「主要」。或者先升級Expressway E集群（「主要」然後升級「從屬」），然後升級Expressway C集群（「主要」然後升級「從屬」）。在升級窗口結束時，所有伺服器（Expressway-C和Expressway-E）都處於同一版本。
2. 如果使用思科Meeting Server (CMS) WebRTC Proxy over Expressway功能和Expressway E作為TURN伺服器，請運行CMS版本2.8.4或2.9.3及更高版本，以便WebRTC在升級後繼續運行。由於與思科漏洞ID CSCvv01243相關的TURN服務不相容性，CMS的早期版本不起作用。
3. 如果為移動和遠端訪問(MRA)啟用了推送通知，則在升級Expressway之前，請至少運行Cisco Unified Communications Manager (CUCM)/即時消息和線上狀態(IMP)版本11.5.1.18900-97或12.5.1.13900-152或14.0.1.10000-20或更高版本。

注意：從CUCM >高級功能>思科雲自註冊檢查推式通知是否已啟用，並檢視是否已選中（啟用）啟用推式通知。

升級前操作

1. 為使MRA功能在升級後繼續，請將簽署Expessway-C證書的根證書和中間證書作為「tomcat-trust」和「callmanager-trust」上傳到CUCM發佈伺服器。

上傳證書後，在所有相關CUCM節點上重新啟動「Cisco Tomcat」服務、「Cisco callmanager」服務和「Cisco TFTP」服務（Cisco HAProxy服務隨Tomcat服務重新啟動自動重新啟動）。

由於對Cisco Bug ID CSCvz20720（僅限註冊使用者）進行了更改，因此需要執行此操作。如果您使用非安全電話配置檔案，並且在Expressway-C上增加的CUCM集群停用了「TLS驗證模式」，則需要執行此操作。

有關實現這一目標所需確切步驟的詳細資訊，請參閱文檔將Expressway核心的根證書和中間證書上傳到CUCM。 

注意：從命令列重新啟動「Cisco Tomcat」服務的唯一方法是使用utils service restart Cisco Tomcat命令。

2. 從X14.2開始，即使Unified Communications伺服器（CUCM、IM&P、CUC和CMS）上的TLS驗證設定為關閉，這些伺服器的CA證書（根證書和任何中間CA）也必須增加到Expressway-C信任庫中。如果升級至X14.2或更新版本，否則可能會造成MRA登入問題。

此外，Expressway-C連線的統一通訊伺服器FQDN需要位於這些伺服器證書的SAN清單中。

此更改是Expressway安全增強功能的一部分，在Cisco Bug ID CSCwc69661中進行了跟蹤。有關詳細資訊，請參閱X14.2發行版本註釋。

請參閱文檔對CSCwc69661引入的MRA服務的Expressway流量伺服器證書驗證進行故障排除。

3. 從X14.2開始，智慧許可是唯一可用的Expressway許可模式，基於傳統PAK（選項金鑰）的許可模式已刪除。

通常，如果僅用於MRA的Expressway，則不需要許可證，並且此更改不會影響您的系統。但是，如果使用B2B呼叫或註冊終端到Expressway（或任何需要許可證的其他功能），請確保Expressway-C和Expressway-C可以直接或透過代理訪問雲上的思科智慧軟體管理器，或者連線到思科智慧軟體管理器內部部署。

升級到X14.2後，預設啟用智慧許可，但請確保與CSSM（雲或內部部署）的連線成功。

4.從X14.2開始，Expressway限制為2500個加密會話限制（此處的2500個會話是所有MRA會話+呼叫+到Expressway的終端註冊的總和）。一個客戶端的單個MRA會話可能會佔用兩個或多個加密會話。雙註冊終端（H.323和SIP）也是如此。這些終端都將佔用兩個加密會話。

通常，這不會影響僅用於MRA的小型Expressway，但會影響用於MRA的中型或大型Expressway。

在X14.2之前，大型的Expressway通常可以處理多達3500個MRA會話，但使用X14.2時，其數量限制為2500。

這意味著Expressway的容量可能會減半。例如，對於2500名Jabber使用者（使用電話和IM&P服務），升級到X14.2後，Expressway將其視為5000個加密訊號會話，超過2500標籤的會話被拒絕，這會影響MRA呼叫和註冊。

此限制無法在X14.2中移除。

有關此問題的詳細資訊，請參閱X14.2發行版本註釋。

5. 如果存在Expressway集群，請確保沒有集群警報(從狀態>警報)。

注意：如果存在關於「集群TLS允許-集群TLS驗證模式允許無效證書」的警報編號「40049」，請忽略此警報並繼續升級，但任何其他集群警報都需要在升級前進行處理。

6.如果存在Expressway集群，請透過SSH連線到需要升級的Expressway伺服器，使用「root」使用者並運行命令：
cd / && ./sbin/verify-syskey

注意：此命令不得提供任何輸出。如果由於此命令而收到「錯誤」，請打開TAC案例以修復錯誤，然後再繼續升級。

7. 最後，在升級前進行備份(從維護>備份和恢復)。在每台伺服器上執行此操作。

升級方向

1. 從Expressway軟體下載下載升級檔案（名稱以「.tar.gz」結尾）(例如，下載用於X14.0.6的「s42700x14_0_6.tar.gz」)。
2. 將升級檔案(例如「s42700x14_0_6.tar.gz」)上傳到Expressway(從維護>升級，然後點選瀏覽在PC上查詢升級檔案，最後點選升級)。

註：按一下Upgrade時，升級檔案將上傳到Expressway。上傳完成後，請按繼續繼續升級。伺服器會安裝該軟體，並要求Reboot切換到新軟體。

升級後操作

在Expressway升級後，從主Expressway-C伺服器刷新統一通訊節點：

- 導航到配置>統一通訊> Unified CM伺服器。  選擇所有CUCM集群並選擇刷新。

- 導航到配置>統一通訊> IM和線上狀態服務節點。選取所有IM&P叢集，然後選取重新整理。

- 導航到配置>統一通訊> Unity Connection伺服器。選擇所有CUC集群並選擇刷新。

常見問題

授權

1. 我需要發行金鑰才能升級嗎？

將Expressway升級到版本X12.5.4或更高版本不需要發行金鑰（發行金鑰仍用於Cisco VCS系統）。

2. 我需要遷移許可證嗎？

升級前在Expressway上安裝的許可證將自動遷移到新版本。

3. 我需要升級哪些許可證？

如果計畫在同一台伺服器上從X8.11.4或更高版本升級到更高版本，則無需其他許可證，當前許可證將自動遷移到新版本（VCS系統仍需要發行金鑰）。

從X12.5.4版本開始，不需要這些許可證：

LIC-SW-EXP-K9發行金鑰（從X12.5.4開始），預設情況下，在Expressway系統升級時提供。VCS系統仍需要此功能。)

LIC-EXP-TURN TURN中繼許可證（預設提供）

LIC-EXP-GW互通網關（預設提供）

LIC-EXP-AN高級網路（預設提供）

從X12.6版本開始，不需要這些許可證：

LIC-EXP系列Expressway系列(現在您可透過狀態>概述中的服務設定嚮導從UI進行更改)

LIC-EXP-E遍歷伺服器許可證(現在您可透過狀態>概述中的服務設定嚮導從UI更改此設定)

4. 我需要啟用智慧許可嗎？

從X14.2開始，智慧許可是必需的。任何低於X14.2的版本仍可使用選項金鑰授權模式。

升級到X14.2後，預設啟用智慧許可，但您必須確保與CSSM（雲或內部部署）的連線成功。

相容性

1. 我可以直接升級到X14.x嗎？

直接從X8.11.4及更高版本升級到X14.x（或X12.x） Expressway版本。任何低於X8.11.4的版本都需要兩階段升級。如需進一步資訊，請參閱版本說明。

2. 哪些Cisco Unified Communications Manager和IM&Presence版本與Expressway相容？

如果使用基於MRA的Jabber的推送通知，則最低版本為11.5.1.18900-97、12.5.1.13900-152或14.0.1.10000-20。

在CUCM管理頁面Advanced features > Cisco Cloud Onboarding下檢查是否啟用了推送通知。驗證是否已選中（啟用）Enable push notifications。

3. 哪個CMS版本與Expressway 12.X和14.X相容？

如果在Expressway上使用CMS WebRTC代理，請運行CMS版本2.8.4或2.9.3或更高版本。
由於與思科漏洞ID CSCvv01243相關的TURN服務不相容性，因此早期版本不起作用

升級後

1. 升級後是否需要執行任何其他任務？

必須從Expressway-C主對等體刷新統一通訊節點：

- 導航到配置>統一通訊> Unified CM伺服器。  選擇所有CUCM集群並選擇刷新（可選）。

- 導航到配置>統一通訊> IM和線上狀態服務節點。選擇所有IM&P集群並選擇Refresh。

- 導航到配置>統一通訊> Unity Connection伺服器。選擇所有CUC集群並選擇刷新（可選）。

2. 如何驗證升級是否成功？

可以檢查以下幾點：

- 檢查集群是否穩定(透過System > Clustering)，並確認沒有任何集群警報Status > Alarms。

- 確保Expressway-C和Expressway-E上「SIP狀態」的「統一通訊遍歷」型別區域顯示為「活動」。將自動建立的CE(tcp/tls/OAuth)區域(透過Configuration > Zones)顯示為「可解析地址」而不是「活動」是正常的。 

- 透過MRA登入、測試呼叫等執行即時測試。

3. 成功升級後，我在虛擬Expressway伺服器上看到有關「不支援的硬體」或「不合適的硬體警告」的新警報？

Expressway版本X14.x現在驗證虛擬機器(VM) CPU時鐘速度，並確保其與Expressway虛擬化指南中提及的相同大小的虛擬機器所需的時鐘速度匹配。確切的警報顯示為：「Unsuitable hardware warning - Your current hardware does not approved VM configuration requirements for this version of Expressway」。

如果此警報出現，請驗證VM資源是否與Expressway虛擬化指南中提到的資源匹配。如果伺服器大小低於指南中提及的大小，請重建伺服器以滿足所選大小的最低要求，然後恢復備份。

行動遠端存取(MRA)

1. 升級是否需要更改Cisco Unified Communications Manager (CUCM)上的配置？

如果使用MRA，由於安全增強型思科漏洞ID CSCvz20720，簽署Expressway-C證書的證書頒發機構的根證書和中間證書必須以「tomcat-trust」和「callmanager-trust」形式上傳到CUCM發佈伺服器中（發佈伺服器將這些證書複製到使用者處）。即使您使用的是非安全電話配置檔案，並且在Expressway-C上增加的CUCM集群停用了「TLS驗證模式」，也需要執行此操作。重新啟動每台伺服器上的「Cisco Tomcat」、「Cisco CallManager」和「Cisco TFTP」服務，以使更改生效。

「Cisco Tomcat」服務只能透過命令「utils service restart Cisco Tomcat」從命令列重新啟動。

有關實現這一目標所需確切步驟的詳細資訊，請參閱文檔將Expressway核心的根證書和中間證書上傳到CUCM。

2. 是否需要更改Expressway C證書以進行升級？

如果Expressway-C證書仍然有效，則無需更改。但是，已簽署Expressway-C證書的證書頒發機構的根證書和中間證書必須作為「tomcat-trust」和「callmanager-trust」上傳到CUCM發佈伺服器。有關詳細資訊，請參閱升級前操作部分中的點1。

升級前

1. 升級前必須檢查什麼？

集群式Expressway系統必須透過狀態>警報確認不存在集群警報。

此外，請透過根使用者從命令列運行cd / && ./sbin/verify-syskey命令。此命令不得提供任何輸出。如果是，請建立TAC案例以調查並糾正此問題。

升級程式

1. 集群系統中的升級順序是什麼？

從集群中的「配置主要」對等體啟動升級。選中選單System > Clustering下的。「Configuration primary」編號顯示它在對等體中的哪個編號。
主要對等體升級完成後，繼續從屬對等體（一次一個）。

2. 是否可以同時升級Expressway C和Expressway E？

是；但建議先升級Expressway E伺服器，然後升級Expressway C伺服器，以便先在E伺服器上正確設定遍歷區域。如果有叢集，請用「主要」伺服器啟動升級。完成「主要」上的升級後，請升級「從屬」對等體。

3. 在哪裡可以下載Expressway升級映像？

在連結中查詢所有Expressway升級映像。下載副檔名為「tar.gz」的檔案，以取得升級版本：

https://software.cisco.com/download/home/286255326/type/280886992/

4. 如何開始升級？

導航到維護>升級>瀏覽，選擇升級檔案並按一下「升級」。首先，傳輸檔案。然後，按一下Continue按鈕開始實際的升級過程。

5. 升級過程需要多長時間？

升級程式的大部分時間，最長需要10分鐘，因為升級檔案已傳輸至系統，且已選取「繼續」。
不過，強烈建議您將維護時段安排在4到48小時之間，以便適應升級後的測試。

6. 執行升級需要什麼訪問許可權？

升級是透過Web介面執行的。但是，如果升級後出現任何問題，則可能需要控制檯訪問。
在升級之前最好檢查VMware或CIMC控制檯訪問是否可用。

備份與還原

1. 升級前是否需要備份？

建議在升級Expressway之前進行備份。如果是叢集，請從所有伺服器進行備份。
從Maintenance > Backup and Restore為每個伺服器執行此操作。

2. 升級前是否可以拍攝Expressway的快照？

Expressway不支援VMware快照。

3. 是否可以回滾/恢復到升級前以前的系統？

Expressway在升級後保留兩組分割槽。一個是升級版本，另一個是舊版本。 
使用命令selectsw <1 or 2> from root user shell在這些分割槽之間切換。
使用selectsww命令驗證當前的活動分割槽。
例如，如果在運行selectsw命令後收到「1」，則活動版本為「1」，非活動版本為「2」。要切換到非活動分割槽，請執行命令「selectsw 2」。需要重新開機才能從新選取的分割區系統開機。

實體裝置伺服器

1. 我是否可以在物理裝置伺服器上升級到此版本？

對於所有物理裝置伺服器(CE500、CE1000、CE1100、CE1200)，請參閱發行版本註釋「支援的平台」部分中的「表2」以驗證目標版本的升級。

2. 我有一台CE1100，能否將其升級到X14.0.x和X14.2.x？

對於物理裝置伺服器CE1100，您可以升級到X14.0.x和X14.2.x以降低漏洞，並且可以忽略「不支援的硬體」警報。X14.0.6發行版本註釋中提到了相關資訊。對於擁有有效服務合約的客戶，思科已將漏洞/安全支援終止日期從2021年11月14日(根據原始生命週期終止公告)延長至2023年11月30日（與最後支援日期一致）。

虛擬伺服器和ESXi

1. 此Expressway版本支援哪個ESXi版本？

在安裝指南(系統要求> ESXi要求下)中查詢Expressway目標版本的ESXi支援資訊。