Risolvere i problemi relativi all'aggiornamento non riuscito di CCP remota

Introduzione

In questo documento viene descritto come risolvere i problemi relativi al mancato aggiornamento di CCP remota. Completare l'aggiornamento nel FMC remoto prima di aggiornare il peer."

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Firepower Management Center (FMC)
• Conoscenze base della CLI di FMC.

Componenti usati

Il documento può essere consultato per tutte le versioni software o hardware.

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Premesse

Messaggio di errore 

L'errore  "Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer" viene visualizzato nell'interfaccia utente grafica di FMC quando si tenta di aggiornare i dispositivi gestiti dalla coppia FMC High Availability (HA). Questo errore non consente l'avvio dell'aggiornamento dei dispositivi gestiti. Di seguito viene riportato l'aspetto dell'avviso di errore dalla GUI:

L'errore può essere verificato anche dalla CLI del FMC con il comando in modalità Expert cat /var/log/httpd/httpd_error_log.1 | grep -i "CCP remoto".

> expert
root@FMC:~$ cat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'

[Mon Jan 30 07:20:10.062741 2022] [cgi:error] [pid 5906] [client 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  
[Mon Jan 30 07:22:43.370986 2022] [cgi:error] [pid 15376] [clien 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  

Cause di errore

Questo errore si verifica in caso di mancata corrispondenza tra la versione della patch del software, la versione del database di vulnerabilità (VDB), la versione delle regole di intrusione (SRU) o la versione del database di geolocalizzazione (GeoDB) tra i due FMC in HA. La mancata corrispondenza si verifica quando uno di questi aggiornamenti di versione elencati è bloccato o non può essere installato. Questa mancata corrispondenza non è visibile quando si controllano le versioni dall'interfaccia utente di FMC nella sezione Guida > Informazioni su, ma è consigliabile controllare questa pagina in entrambi i FMC per verificare.

Nota: le distribuzioni nei dispositivi gestiti possono essere completate correttamente con questo errore, ma gli aggiornamenti software non possono iniziare con questo errore.

Identificazione del problema

Controllare le versioni su FMC in HA dalla GUI

Dalla GUI del FMC, selezionare Help > About per confermare che le versioni di Software Patch, VDB, SRU e GeoDB su entrambi i FMC in HA sono le stesse. Le immagini mostrano un esempio di una corrispondenza di versione tra due FMC in HA dalla GUI:

.              

Verifica dello stato di installazione delle versioni VDB, SRU e GeoDB sui FMC in HA dalla CLI

Dalla modalità Expert nella CLI di FMC, è necessario verificare se gli aggiornamenti VDB, SRU e GeoDB sono stati installati completamente senza errori su entrambi i FMC in HA.

Nota: In queste sezioni viene spiegato come controllare il file status.log di ciascuna cartella delle versioni dell'immagine. Queste cartelle della versione dell'immagine devono corrispondere alla cartella nel CCP del peer. Ad esempio, se la cartella della versione VDB installata in FMC è "vdb-4.5.0-338", è necessario controllare entrambi i FMC nella stessa cartella. Utilizzare il comando cat /var/log/sf/vdb-4.5.0-338/status.log su entrambi i FMC per verificare lo stato di aggiornamento di VDB. Lo stesso vale per gli aggiornamenti SRU e GeoDB.

Verifica stato installazione VDB

Dalla modalità Expert nella CLI di FMC, utilizzare questo comando cat /var/log/sf/<vdb-image-folder>/status.log per verificare se l'aggiornamento VDB è stato eseguito correttamente. Di seguito è riportato un esempio di installazione riuscita di VDB:

root@FMC:~$ cat /var/log/sf/vdb-4.5.0-338/status.log
state:running
ui:The install has begun
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 8%] Running script pre/011_check_versions.pl...
ui:[12%] Running script pre/020_check_space.sh...
ui:[15%] Running script pre/500_stop_rna.pl...
ui:[19%] Running script pre/999_finish.sh...
ui:[23%] Running script installer/000_start.sh...
ui:[27%] Running script installer/100_install_files.pl...
ui:[31%] Running script installer/200_install_fingerprints.sh...
ui:[35%] Running script installer/300_install_vdb.sh...
ui:[38%] Running script installer/400_install_rdps.pl...
ui:[42%] Running script installer/420_delete_obsolete_ids.pl...
ui:[46%] Running script installer/450_resave_detectors.pl...
ui:[50%] Running script installer/525_export_compliance_policies.pl...
ui:[54%] Running script installer/600_fix_dbcheck.sh...
ui:[58%] Running script installer/605_install_dbcheck_upgrade_script.sh...
ui:[62%] Running script installer/610_install_missing_upgrade_script.sh...
ui:[65%] Running script installer/615_purge_vdb_149_log.sh...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Verifica stato installazione SRU

Dalla modalità Expert nella CLI di FMC, utilizzare il comando cat /var/log/sf/<sru-image-folder>/status.log per verificare se l'aggiornamento della SRU è riuscito. Di seguito è riportato un esempio di installazione SRU completata:

root@FMC:~$ cat /var/log/sf/sru-2021-05-03-001-vrt/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 5%] Running script pre/010_check_versions.sh...
ui:[11%] Running script pre/020_check_space.sh...
ui:[16%] Running script pre/999_finish.sh...
ui:[21%] Running script installer/000_start.sh...
ui:[26%] Running script installer/050_sru_log_start.pl...
ui:[32%] Running script installer/100_install_files.pl...
ui:[37%] Running script installer/510_install_policy.pl...
ui:[42%] Running script installer/520_install_rules.pl...
ui:[47%] Running script installer/521_rule_docs.sh...
ui:[53%] Running script installer/530_install_module_rules.pl...
ui:[58%] Running script installer/540_install_decoder_rules.pl...
ui:[63%] Running script installer/602_log_package.pl...
ui:[68%] Running script installer/900_update_version.sh...
ui:[74%] Running script installer/999_finish.sh...
ui:[79%] Running script post/000_start.sh...
ui:[84%] Running script post/500_copy_contents.sh...
ui:[89%] Running script post/900_iru_log_finish.pl...
ui:[95%] Running script post/999_finish.sh...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Verifica stato installazione GeoDB

Dalla modalità Expert nella CLI di FMC, utilizzare il comando cat /var/log/sf/<geodb-image-folder>/status.log per verificare se l'aggiornamento di GeoDB è riuscito. Di seguito è riportato un esempio di installazione riuscita di GeoDB:

root@FMC:~$ cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Se l'installazione non è riuscita o è bloccata per qualsiasi motivo, è possibile visualizzare il passaggio in cui si è verificato l'errore o che è bloccato da status.log. Di seguito è riportato un esempio di installazione non riuscita di GeoDB nel FMC:

root@FMC:~$ cat /var/log/sf/geodb-2022-07-17-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[67%] Fatal error: Error running script installer/601_fix_country.pl

Verifica dello stato di installazione della versione del software e della patch su FMC in HA dalla CLI 

Dalla modalità Expert nella CLI di FMC, utilizzare il comando cat /etc/sf/patch_history per verificare se in entrambi i FMC è installata la stessa versione e la stessa patch. Eseguire questo comando per identificare eventuali mancate corrispondenze in entrambi i CCP. Ecco un esempio di mancata corrispondenza delle patch dalla CLI: 

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81
Hotfix_DE-8__413769962     <<<<<<<<<<<  Here the FMC seems to have a Hotfix installation image that is not present from the other FMC

-------------------------------------------------------------------

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81        

Per verificare ulteriormente se l'installazione dell'hotfix nel FMC è riuscita, è necessario controllare il file status.log per questa cartella di immagini:

root@FMC:~$ cat /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2/status.log

ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

In questo esempio viene verificato che l'immagine della patch non sia presente in uno dei CCP di HA, mentre nell'altro la patch è stata installata correttamente. 

Risoluzione dei problemi

Per risolvere l'errore, è necessario eseguire manualmente un'installazione forzata degli aggiornamenti dalla CLI del FMC in cui viene identificato il problema. 

Disclaimer: Root access to the FMC devices is required in order to execute the commands under this section. Please use caution when running commands from the root of the FMC. 

Problema di aggiornamento di VDB, SRU e GeoDB

Dopo aver identificato i problemi di aggiornamento di VDB, SRU o GeoDB, eseguire manualmente un'installazione forzata dal comando CLI install_update.pl /var/sf/updates/<file-immagine> —force. Di seguito è riportato un esempio di installazione forzata manuale per un aggiornamento GeoDB:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/sf/updates/Cisco_Firepower_GEODB_FMC_Update-2022-08-02-100.sh.REL.tar --force

Nota: Utilizzare il percorso assoluto del file immagine con il comando install_update.pl, come mostrato nell'esempio. Non disinstallare alcun file tar.gz prima di forzare l'installazione dalla CLI.

Problema di installazione degli aggiornamenti rapidi

Per l'installazione dell'aggiornamento rapido/della patch, è necessario scaricare il file della patch e installarlo nel FMC in cui il file della patch non era presente tramite GUI o CLI.

Dalla GUI del FMC: 

Selezionare Sistema > Aggiornamenti > Aggiornamenti prodotto e caricare la versione della patch da installare. Quindi fare clic sull'opzione Install (Installa) e scegliere il dispositivo su cui installare la patch e procedere con l'installazione. 

Dalla CLI di FMC:

Per installare il software/la patch dalla CLI di FMC, caricare il file di aggiornamento dell'hotfix sul percorso /var/log/sf/ della CLI di FMC ed eseguire il comando install_update.pl /var/log/sf/<file-immagine>. Questo comando esegue i log di aggiornamento nella stessa schermata per consentire il monitoraggio dello stato di avanzamento. Ecco un esempio dell'installazione della patch dalla CLI:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2 

Se si verifica un breve timeout nella sessione SSH, usare il comando install_update.pl—detach /var/log/sf/<image-file> per eseguire l'installazione in background. In questo modo, è possibile eseguire l'aggiornamento anche dopo la chiusura della sessione SSH.

Verifica

Aggiornamento VDB, SRU o GeoDB

Al termine dell'installazione manuale, è possibile verificare lo stato dell'installazione dalla CLI con il comando cat /var/log/sf/<image-version-folder>/status.log per l'aggiornamento di VDB, SRU e GeoDB. Di seguito è riportato un esempio dell'output status.log di un'installazione GeoDB riuscita:

root@FMC:/Volume/home/admin# cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Aggiornamento hotfix o patch

Dopo l'installazione manuale dell'aggiornamento, eseguire il comando cat /var/log/sf/<patch-image-folder>/status.log dalla CLI per verificare lo stato dell'installazione. Di seguito è riportato un esempio dell'output status.log di un'installazione completata:

root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Nota: Se l'errore persiste anche dopo aver tentato di eseguire la procedura descritta in questo documento, aprire una richiesta di servizio con Cisco TAC.