Risolvere i problemi relativi all'aggiornamento non riuscito di CCP remota

Opzioni per il download

  • PDF     (526.7 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (307.8 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (209.0 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:25 agosto 2022
ID documento:218091

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    In questo documento viene descritto come risolvere i problemi relativi al mancato aggiornamento di CCP remota. Completare l'aggiornamento nel FMC remoto prima di aggiornare il peer."

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Firepower Management Center (FMC)
    • Conoscenze base della CLI di FMC.

    Componenti usati

    Il documento può essere consultato per tutte le versioni software o hardware.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Messaggio di errore 

    L'errore "Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer" viene visualizzato nell'interfaccia utente di FMC quando si tenta di aggiornare i dispositivi gestiti dalla coppia FMC High Availability (HA). Questo errore non consente l'avvio dell'aggiornamento dei dispositivi gestiti. Di seguito viene riportato l'aspetto dell'avviso di errore dalla GUI:

    Error on FMC

    L'errore può essere verificato anche dalla CLI del FMC con il comando in modalità Expert cat /var/log/httpd/httpd_error_log.1 | grep -i "CCP remoto".

    > expert
    root@FMC:~$ cat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'

    [Mon Jan 30 07:20:10.062741 2022] [cgi:error] [pid 5906] [client 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  
    [Mon Jan 30 07:22:43.370986 2022] [cgi:error] [pid 15376] [clien 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  

    Cause di errore

    Questo errore si verifica in caso di mancata corrispondenza tra la versione della patch del software, la versione del database di vulnerabilità (VDB), la versione delle regole di intrusione (SRU) o la versione del database di geolocalizzazione (GeoDB) tra i due FMC in HA. La mancata corrispondenza si verifica quando uno di questi aggiornamenti di versione elencati è bloccato o non può essere installato. Questa mancata corrispondenza non è visibile quando si controllano le versioni dall'interfaccia utente di FMC nella sezione Guida > Informazioni su, ma è consigliabile controllare questa pagina in entrambi i FMC per verificare.

    Nota: le distribuzioni nei dispositivi gestiti possono essere completate correttamente, ma gli aggiornamenti software non possono iniziare con questo errore.

    Identificazione del problema

    Controllare le versioni su FMC in HA dalla GUI

    Dalla GUI del FMC, selezionare Help > About per confermare che le versioni di Software Patch, VDB, SRU e GeoDB su entrambi i FMC in HA sono le stesse. Le immagini mostrano un esempio di una corrispondenza di versione tra due FMC in HA dalla GUI:

    FMC Version 1.              FMC Version 2

    Verifica dello stato di installazione delle versioni VDB, SRU e GeoDB sui FMC in HA dalla CLI

    Dalla modalità Expert nella CLI di FMC, è necessario verificare se gli aggiornamenti VDB, SRU e GeoDB sono stati installati completamente senza errori su entrambi i FMC in HA.

    Nota: In queste sezioni viene spiegato come controllare il file status.log di ciascuna cartella delle versioni dell'immagine. Queste cartelle della versione dell'immagine devono corrispondere alla cartella nel CCP del peer. Ad esempio, se la cartella della versione VDB installata in FMC è "vdb-4.5.0-338", è necessario controllare entrambi i FMC nella stessa cartella. Utilizzare il comando cat /var/log/sf/vdb-4.5.0-338/status.log su entrambi i FMC per verificare lo stato di aggiornamento di VDB. Lo stesso vale per gli aggiornamenti SRU e GeoDB.

    Verifica stato installazione VDB

    Dalla modalità Expert nella CLI di FMC, utilizzare questo comando cat /var/log/sf/<vdb-image-folder>/status.log per verificare se l'aggiornamento VDB è stato eseguito correttamente. Di seguito è riportato un esempio di installazione riuscita di VDB:

    root@FMC:~$ cat /var/log/sf/vdb-4.5.0-338/status.log
    state:running
    ui:The install has begun
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 4%] Running script pre/010_check_versions.sh...
    ui:[ 8%] Running script pre/011_check_versions.pl...
    ui:[12%] Running script pre/020_check_space.sh...
    ui:[15%] Running script pre/500_stop_rna.pl...
    ui:[19%] Running script pre/999_finish.sh...
    ui:[23%] Running script installer/000_start.sh...
    ui:[27%] Running script installer/100_install_files.pl...
    ui:[31%] Running script installer/200_install_fingerprints.sh...
    ui:[35%] Running script installer/300_install_vdb.sh...
    ui:[38%] Running script installer/400_install_rdps.pl...
    ui:[42%] Running script installer/420_delete_obsolete_ids.pl...
    ui:[46%] Running script installer/450_resave_detectors.pl...
    ui:[50%] Running script installer/525_export_compliance_policies.pl...
    ui:[54%] Running script installer/600_fix_dbcheck.sh...
    ui:[58%] Running script installer/605_install_dbcheck_upgrade_script.sh...
    ui:[62%] Running script installer/610_install_missing_upgrade_script.sh...
    ui:[65%] Running script installer/615_purge_vdb_149_log.sh...
    ui:[69%] Running script installer/900_update_version.sh...
    ui:[73%] Running script installer/901_update_db_version.pl...
    ui:[77%] Running script installer/950_reapply_to_sensor.pl...
    ui:[81%] Running script installer/975_export_data.pl...
    ui:[85%] Running script installer/999_finish.sh...
    ui:[88%] Running script post/000_start.sh...
    ui:[92%] Running script post/500_start_rna.pl...
    ui:[96%] Running script post/999_finish.sh...
    ui:[100%] The install completed successfully.
    ui:The install has completed.
    state:finished

    Verifica stato installazione SRU

    Dalla modalità Expert nella CLI di FMC, utilizzare il comando cat /var/log/sf/<sru-image-folder>/status.log per verificare se l'aggiornamento della SRU è riuscito. Di seguito è riportato un esempio di installazione SRU completata:

    root@FMC:~$ cat /var/log/sf/sru-2021-05-03-001-vrt/status.log
    state:running
    ui:The force install has begun.
    ui:[ 0%] Running script pre/000_start.sh...
    ui:[ 5%] Running script pre/010_check_versions.sh...
    ui:[11%] Running script pre/020_check_space.sh...
    ui:[16%] Running script pre/999_finish.sh...
    ui:[21%] Running script installer/000_start.sh...
    ui:[26%] Running script installer/050_sru_log_start.pl...
    ui:[32%] Running script installer/100_install_files.pl...
    ui:[37%] Running script installer/510_install_policy.pl...
    ui:[42%] Running script installer/520_install_rules.pl...
    ui:[47%] Running script installer/521_rule_docs.sh...
    ui:[53%] Running script installer/530_install_module_rules.pl...
    ui:[58%] Running script installer/540_install_decoder_rules.pl...
    ui:[63%] Running script installer/602_log_package.pl...
    ui:[68%] Running script installer/900_update_version.sh...
    ui:[74%] Running script installer/999_finish.sh...
    ui:[79%] Running script post/000_start.sh...
    ui:[84%] Running script post/500_copy_contents.sh...
    ui:[89%] Running script post/900_iru_log_finish.pl...
    ui:[95%] Running script post/999_finish.sh...
    ui:[100%] The force install completed successfully.
    ui:The force install has completed.
    state:finished

    Verifica stato installazione GeoDB

    Dalla modalità Expert nella CLI di FMC, utilizzare il comando cat /var/log/sf/<geodb-image-folder>/status.log per verificare se l'aggiornamento di GeoDB è riuscito. Di seguito è riportato un esempio di installazione riuscita di GeoDB:

    root@FMC:~$ cat /var/log/sf/geodb-2022-08-02-100/status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script installer/200_prechecks.pl...
    ui:[33%] Running script installer/500_install_country_map.pl...
    ui:[67%] Running script installer/601_fix_country.pl...
    ui:[100%] The install completed successfully.
    ui:The install has completed.
    state:finished

    Se l'installazione non è riuscita o è bloccata per qualsiasi motivo, è possibile visualizzare il passaggio in cui si è verificato l'errore o che è bloccato da status.log. Di seguito è riportato un esempio di installazione non riuscita di GeoDB nel FMC:

    root@FMC:~$ cat /var/log/sf/geodb-2022-07-17-100/status.log
    state:running
    ui:The install has begun.
    ui:[ 0%] Running script installer/200_prechecks.pl...
    ui:[33%] Running script installer/500_install_country_map.pl...
    ui:[67%] Running script installer/601_fix_country.pl...
    ui:[67%] Fatal error: Error running script installer/601_fix_country.pl

    Verifica dello stato di installazione della versione del software e della patch su FMC in HA dalla CLI 

    Dalla modalità Expert nella CLI di FMC, utilizzare il comando cat /etc/sf/patch_history per verificare se in entrambi i FMC è installata la stessa versione e la stessa patch. Eseguire questo comando per identificare eventuali mancate corrispondenze in entrambi i CCP. Ecco un esempio di mancata corrispondenza delle patch dalla CLI: 

    root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
    6.6.0-90
6.6.4-59
6.6.5-81
Hotfix_DE-8__413769962     <<<<<<<<<<<  Here the FMC seems to have a Hotfix installation image that is not present from the other FMC

    -------------------------------------------------------------------

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
    6.6.0-90
6.6.4-59
6.6.5-81

    Per verificare ulteriormente se l'installazione dell'hotfix nel FMC è riuscita, è necessario controllare il file status.log per questa cartella di immagini:

    root@FMC:~$ cat /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2/status.log

    ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

    In questo esempio viene verificato che l'immagine della patch non sia presente in uno dei CCP di HA, mentre nell'altro la patch è stata installata correttamente. 

    Risoluzione dei problemi

    Per risolvere l'errore, è necessario eseguire manualmente un'installazione forzata degli aggiornamenti dalla CLI del FMC in cui viene identificato il problema. 

    Disclaimer: Root access to the FMC devices is required in order to execute the commands under this section. Please use caution when running commands from the root of the FMC. 

    Problema di aggiornamento di VDB, SRU e GeoDB

    Dopo aver identificato i problemi di aggiornamento di VDB, SRU o GeoDB, eseguire manualmente un'installazione forzata dal comando CLI install_update.pl /var/sf/updates/<file-immagine> —force. Di seguito è riportato un esempio di installazione forzata manuale per un aggiornamento GeoDB:

    > expert
    root@FMC:~$ sudo su
    <Enter the root password>
    root@FMC:# install_update.pl /var/sf/updates/Cisco_Firepower_GEODB_FMC_Update-2022-08-02-100.sh.REL.tar --force

    Nota: Utilizzare il percorso assoluto del file immagine con il comando install_update.pl, come mostrato nell'esempio. Non disinstallare alcun file tar.gz prima di forzare l'installazione dalla CLI.

    Problema di installazione aggiornamenti rapidi

    Per l'installazione dell'aggiornamento rapido/della patch, è necessario scaricare il file della patch e installarlo nel FMC in cui il file della patch non era presente tramite GUI o CLI.

    Dalla GUI del FMC: 

    Selezionare Sistema > Aggiornamenti > Aggiornamenti prodotto e caricare la versione della patch da installare. Quindi fare clic sull'opzione Install (Installa) e scegliere il dispositivo su cui installare la patch e procedere con l'installazione. 

    FMC Update Page

      

    Dalla CLI di FMC:

    Per installare il software/la patch dalla CLI di FMC, caricare il file di aggiornamento dell'hotfix sul percorso /var/log/sf/ della CLI di FMC ed eseguire il comando install_update.pl /var/log/sf/<file-immagine>. Questo comando esegue i log di aggiornamento nella stessa schermata per consentire il monitoraggio dello stato di avanzamento. Ecco un esempio dell'installazione della patch dalla CLI:

    > expert
    root@FMC:~$ sudo su
    <Enter the root password>
    root@FMC:# install_update.pl /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2

    Se si verifica un breve timeout nella sessione SSH, usare il comando install_update.pl—detach /var/log/sf/<image-file> per eseguire l'installazione in background. In questo modo, è possibile eseguire l'aggiornamento anche dopo la chiusura della sessione SSH.

    Verifica

    Aggiornamento VDB, SRU o GeoDB

    Al termine dell'installazione manuale, è possibile verificare lo stato dell'installazione dalla CLI con il comando cat /var/log/sf/<image-version-folder>/status.log per l'aggiornamento di VDB, SRU e GeoDB. Di seguito è riportato un esempio dell'output status.log di un'installazione GeoDB riuscita:

    root@FMC:/Volume/home/admin# cat /var/log/sf/geodb-2022-08-02-100/status.log
    state:running
    ui:The force install has begun.
    ui:[ 0%] Running script installer/200_prechecks.pl...
    ui:[33%] Running script installer/500_install_country_map.pl...
    ui:[67%] Running script installer/601_fix_country.pl...
    ui:[100%] The force install completed successfully.
    ui:The force install has completed.
    state:finished

    Aggiornamento hotfix o patch

    Dopo l'installazione manuale dell'aggiornamento, eseguire il comando cat /var/log/sf/<patch-image-folder>/status.log dalla CLI per verificare lo stato dell'installazione. Di seguito è riportato un esempio dell'output status.log di un'installazione completata:

    root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
    ui:[98%] Upgrade complete
    ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
    ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
    ui:[100%] The system will now restart services.
    ui:System will now restart services.
    ui:[100%] Installation completed successfully.
    ui:Upgrade has completed.
    state:finished

    Nota: Se l'errore persiste anche dopo aver tentato di eseguire la procedura descritta in questo documento, aprire una richiesta di servizio con Cisco TAC.

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    26-Aug-2022
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Shakthi Gunashekaran
      Tecnico di consulenza Cisco

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci