Fehlerbehebung bei FTD-Cluster-Datenknoten, der dem Cluster nach einem Software-Upgrade nicht beitreten kann

Download-Optionen

  • PDF     (256.7 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
Aktualisiert:14. Mai 2026
Dokument-ID:225911

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Problem

Nach dem Software-Upgrade kann der FTD-Cluster-Datenknoten (Secure Firewall Threat Defense) dem Cluster nicht beitreten. Diese Symptome wurden beobachtet:


1. Die Ausgabe des Anzeigeclusterverlaufs zeigt die Fehlermeldung "Konfigurationsreplikation fehlgeschlagen" beim Übergang der Einheit vom DATA_NODE_CONFIG in den DISABLED-Status an: 

> show cluster history


09:52:55 UTC May 8 2026
DISABLED              ELECTION              Enabled from CLI

09:52:55 UTC May 8 2026
ELECTION              ONCALL                Event: Cluster unit unit-1-1 state
                                            is CONTROL_NODE

09:52:55 UTC May 8 2026
ONCALL                DATA_NODE_COLD        Received cluster control message

09:52:55 UTC May 8 2026
DATA_NODE_COLD        DATA_NODE_APP_SYNC    Client progression done

09:54:39 UTC May 8 2026
DATA_NODE_APP_SYNC    DATA_NODE_CONFIG      Data node application configuration sync done

09:54:53 UTC May 8 2026
DATA_NODE_CONFIG      DISABLED              Configuration replication failed


2. Die Dateien /mnt/disk0/cluster_trace.log* enthalten Meldungen zum Fehler der Konfigurationsreplikation des Schlüsselbefehls und zum Übergang des Clusters in den Status DISABLED:

May 08 09:54:50.538 [INFO]start to monitor Port-channel47
May 08 09:54:50.538 [DBUG]Send CCP message to all: CCP_MSG_HWIDB_STATE
May 08 09:54:50.568 [INFO]start to monitor Ethernet1/5
May 08 09:54:50.568 [DBUG]Send CCP message to all: CCP_MSG_HWIDB_STATE
May 08 09:54:50.738 [CRIT]Config syncing failure: context single_vf, line 1027, CLI " key >".
May 08 09:54:50.748 [DBUG]Send event (PROGRESSION_FAILURE, n/a, n/a, 94350991600520) to FSM. Current state DATA_NODE_CONFIG
May 08 09:54:50.748 [INFO]cluster_fsm_disable: The clustering re-enable timer is stopped.
May 08 09:54:50.748 [DBUG]Send CCP message to all: CCP_MSG_QUIT from unit-2-1 for reason CLUSTER_QUIT_REASON_RETIREMENT
May 08 09:54:50.748 [DBUG]Send event (CONTROL_NODE_GONE, n/a, n/a, 94350991600224) to FSM. Current state DISABLED


3. Die Dateien /ngfw/var/log/ASAconsole.log* enthalten auch Meldungen, die sich auf den Konfigurationsreplikationsfehler des Schlüsselbefehls und den Übergang des Clusters in den Status DISABLED beziehen:

2026-05-08 09:49:51 Detected Cluster Control Node.
2026-05-08 09:50:01 Beginning configuration replication from Control Node.

2026-05-08 09:50:02 livecore enabled
2026-05-08 09:50:02 ........................
2026-05-08 09:50:02  key 
2026-05-08 09:50:02      ^
2026-05-08 09:50:02 ERROR: % Input should be less than 64 characters at '^' marker.
2026-05-08 09:50:02 *** Output from config line 1027, " key ..."
2026-05-08 09:50:02
2026-05-08 09:50:02 Failed configuration replication from Control Node.
2026-05-08 09:50:02 Cluster disable is performing cleanup..done.
2026-05-08 09:50:04 Unit unit-2-1 is quitting due to system failure for 3 time(s) (last failure is Internal clustering error). Rejoin will be attempted after 20 minutes.

Umwelt

  • FirePOWER 4145 mit FTD für Cluster-Bereitstellungen mit mehreren Instanzen Cluster, die auf Firepower 4100/9300 in Bereitstellungen mit mehreren Instanzen oder im nativen Modus ausgeführt werden, sind ebenfalls betroffen.

  • Der FTD-Cluster wird vom FMC verwaltet.

  • FTD-Softwareversion wird von 7.6.2 auf 7.6.4 aktualisiert. Andere Versionen der Quell- oder Zielsoftware können ebenfalls betroffen sein.

Auflösung

Zunächst wurde der Clusterschlüssel als Zeichenfolge mit 64 Zeichen Länge konfiguriert. Gemäß dem Abschnitt "Logische Geräte" im Konfigurationsleitfaden Secure FXOS für Firepower 4100/9300 CLI oder Chassis Manager (FCM) ist der Cluster-Schlüssel eine ASCII-Zeichenfolge mit 1 bis 63 Zeichen. Aus diesem Grund wurde der Clusterschlüssel mithilfe der Einstellungen der FCM-Benutzeroberfläche für logische Geräte auf weniger als 64 Zeichen reduziert.

Ursache

Obwohl die Beschränkung der maximalen Länge für den Clusterschlüssel dokumentiert ist, wird sie auf FXOS-Softwareebene (FXOS CLI oder FCM) nicht erzwungen. Benutzer können Clusterschlüssel mit einer höheren Anzahl von Zeichen konfigurieren. Trotz der maximalen Anzahl von Zeichen können die Einheiten dem Cluster in Version 7.6.2 beitreten. Nach dem Upgrade erzwingt die Software jedoch die Validierung der Schlüssellänge, was dazu führt, dass der Cluster nicht beigetreten wird. Diese Verhaltensänderung ist nicht dokumentiert. Diese Symptome werden intern reproduziert und unter der Cisco Bug-ID CSCwn53819 verfolgt.

Darüber hinaus wurden im Rahmen der Reproduktionsarbeiten die Cisco Bug-ID CSCwu3563 und die Cisco Bug-ID CSCwu3553 übermittelt, um die fehlende Cluster-Schlüssellängenvalidierung bei FCM bzw. FXOS CLI nachzuverfolgen.

Verwandte Inhalte

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-May-2026
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Ilkin Gasimov
    Cisco TAC-Techniker
  • Mikis Zafeiroudis
    Cisco TAC-Techniker

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.