「リモートFMCが正常に更新されない」のトラブルシューティング

はじめに

このドキュメントでは、「Remote FMC Is Not Updated Successfully.このピアを更新する前に、リモートFMCで更新を完了してください。

前提条件

要　件

次の項目に関する知識があることが推奨されます。

• Firepower Management Center（FMC）
• FMC CLIの基本的な知識。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

バックグラウンド情報

エラー メッセージ 

エラー「Remote FMC is not updated successfully.Complete the update on remote FMC before updating this peer」というメッセージが表示される場合があります。このメッセージは、FMCのハイアベイラビリティ(HA)ペアによって管理されるデバイスをアップグレードしようとするとFMCのGUIに表示されます。このエラーでは、管理対象デバイスのアップグレードを開始できません。GUIからのエラーアラートの表示を次に示します。

このエラーは、FMCのCLIでエキスパートモードコマンドcat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'を使用して確認することもできます。

> expert
root@FMC:~$ cat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'

[Mon Jan 30 07:20:10.062741 2022] [cgi:error] [pid 5906] [client 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  
[Mon Jan 30 07:22:43.370986 2022] [cgi:error] [pid 15376] [clien 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  

エラーの原因

このエラーは、HA内の2つのFMC間で、ソフトウェアパッチバージョン、脆弱性データベース(VDB)バージョン、侵入ルール(SRU)バージョン、または位置情報データベース(GeoDB)バージョンが一致していない場合に発生することが知られています。この不一致は、リストされているバージョンアップデートのいずれかがスタックするか、インストールに失敗した場合に発生します。FMCのUIのセクションHelp > Aboutでバージョンを確認しても、この不一致は見られませんが、確認のために両方のFMCでこのページを確認することを推奨します。

注：管理対象デバイスへの導入は成功する可能性がありますが、このエラーが発生するとソフトウェアのアップグレードを開始できません。

問題の特定

GUIからHAのFMCのバージョンを確認する

FMCのGUIで、Help > Aboutの順に選択し、HA内の両方のFMC上のSoftware Patch、VDB、SRU、およびGeoDBのバージョンがすべて同じであることを確認します。次の図は、GUIからHAの2つのFMCのバージョンの一致の例を示しています。

.              

CLIからHAのFMCのVDB、SRU、GeoDBバージョンのインストールステータスを確認する

FMC CLIのエキスパートモードで、HAの両方のFMCでVDB、SRU、およびGeoDBの更新が障害なしで完全にインストールされたかどうかを確認する必要があります。

注：以降のセクションでは、各イメージバージョンフォルダのstatus.logを確認する方法について説明します。これらのイメージバージョンフォルダは、ピアFMC上のフォルダと一致している必要があります。たとえば、FMCにインストールされているVDBバージョンのフォルダが「vdb-4.5.0-338」の場合、両方のFMCについて同じフォルダで確認する必要があります。ここでは、両方のFMCでコマンドcat /var/log/sf/vdb-4.5.0-338/status.logを使用して、VDBの更新ステータスを確認します。SRUおよびGeoDBの更新についても同じことが適用されます。

VDBインストールステータスの確認

FMC CLIのエキスパートモードから、cat /var/log/sf/<vdb-image-folder>/status.log コマンドを使用して、VDBのアップデートが正常に行われたことを確認します。VDBを正常にインストールした例を次に示します。

root@FMC:~$ cat /var/log/sf/vdb-4.5.0-338/status.log
state:running
ui:The install has begun
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 8%] Running script pre/011_check_versions.pl...
ui:[12%] Running script pre/020_check_space.sh...
ui:[15%] Running script pre/500_stop_rna.pl...
ui:[19%] Running script pre/999_finish.sh...
ui:[23%] Running script installer/000_start.sh...
ui:[27%] Running script installer/100_install_files.pl...
ui:[31%] Running script installer/200_install_fingerprints.sh...
ui:[35%] Running script installer/300_install_vdb.sh...
ui:[38%] Running script installer/400_install_rdps.pl...
ui:[42%] Running script installer/420_delete_obsolete_ids.pl...
ui:[46%] Running script installer/450_resave_detectors.pl...
ui:[50%] Running script installer/525_export_compliance_policies.pl...
ui:[54%] Running script installer/600_fix_dbcheck.sh...
ui:[58%] Running script installer/605_install_dbcheck_upgrade_script.sh...
ui:[62%] Running script installer/610_install_missing_upgrade_script.sh...
ui:[65%] Running script installer/615_purge_vdb_149_log.sh...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

SRUインストールステータスの確認

FMC CLIのエキスパートモードから、cat /var/log/sf/<sru-image-folder>/status.log コマンドを使用して、SRUのアップデートが正常に行われたことを確認します。SRUを正常にインストールした例を次に示します。

root@FMC:~$ cat /var/log/sf/sru-2021-05-03-001-vrt/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 5%] Running script pre/010_check_versions.sh...
ui:[11%] Running script pre/020_check_space.sh...
ui:[16%] Running script pre/999_finish.sh...
ui:[21%] Running script installer/000_start.sh...
ui:[26%] Running script installer/050_sru_log_start.pl...
ui:[32%] Running script installer/100_install_files.pl...
ui:[37%] Running script installer/510_install_policy.pl...
ui:[42%] Running script installer/520_install_rules.pl...
ui:[47%] Running script installer/521_rule_docs.sh...
ui:[53%] Running script installer/530_install_module_rules.pl...
ui:[58%] Running script installer/540_install_decoder_rules.pl...
ui:[63%] Running script installer/602_log_package.pl...
ui:[68%] Running script installer/900_update_version.sh...
ui:[74%] Running script installer/999_finish.sh...
ui:[79%] Running script post/000_start.sh...
ui:[84%] Running script post/500_copy_contents.sh...
ui:[89%] Running script post/900_iru_log_finish.pl...
ui:[95%] Running script post/999_finish.sh...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

GeoDBのインストール状態の確認

FMC CLIのエキスパートモードから、cat /var/log/sf/<geodb-image-folder>/status.log コマンドを使用して、GeoDBの更新が正常に終了したかどうかを確認します。GeoDBを正常にインストールした例を次に示します。

root@FMC:~$ cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

インストールが失敗したか、何らかの理由で停止した場合は、このstatus.logから、この失敗または停止したステップを確認できます。FMCでGeoDBのインストールが失敗した例を次に示します。

root@FMC:~$ cat /var/log/sf/geodb-2022-07-17-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[67%] Fatal error: Error running script installer/601_fix_country.pl

CLIからHAのFMCのソフトウェアバージョンおよびパッチのインストールステータスを確認する 

FMC CLIのエキスパートモードから、コマンドcat /etc/sf/patch_historyを使用して、両方のFMCに同じバージョンとパッチがインストールされていることを確認します。このコマンドを実行して、両方のFMCの不一致を確認します。CLIからのパッチの不一致の例を次に示します。 

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81
Hotfix_DE-8__413769962     <<<<<<<<<<<  Here the FMC seems to have a Hotfix installation image that is not present from the other FMC

-------------------------------------------------------------------

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81        

FMCでのホットフィックスのインストールが正常に完了したかどうかをさらに確認するには、次のイメージフォルダのstatus.logを確認する必要があります。

root@FMC:~$ cat /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2/status.log

ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

この例では、パッチイメージがHAのFMCの一方に存在せず、もう一方のFMCにはパッチが正常にインストールされていることを確認します。 

トラブルシュート

このエラーを解決するには、問題が特定されたFMCのCLIから、アップデートを手動で強制インストールする必要があります。 

Disclaimer: Root access to the FMC devices is required in order to execute the commands under this section. Please use caution when running commands from the root of the FMC. 

VDB、SRUおよびGeoDBの更新の問題

VDB、SRU、またはGeoDBの更新の問題を特定したら、CLIコマンドinstall_update.pl /var/sf/updates/<image-file> —forceを使用して手動で強制インストールを実行します。GeoDB更新の手動インストールの例を次に示します。

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/sf/updates/Cisco_Firepower_GEODB_FMC_Update-2022-08-02-100.sh.REL.tar --force

注：例に示すように、install_update.plコマンドでイメージファイルの絶対パスを使用します。CLIからの強制インストールの前に、tar.gzファイルを解凍しないでください。

ホットフィックスインストールの問題

ホットフィックスまたはパッチのインストールでは、パッチファイルをダウンロードし、GUIまたはCLIのどちらでもパッチファイルが存在しないFMCにインストールする必要があります。

設定できます 

System > Updates > Product Updatesの順に選択し、インストールするパッチバージョンをアップロードします。次にInstallオプションをクリックし、パッチのインストール先のデバイスを選択してインストールを続行します。 

FMCのCLIから：

FMC CLIからソフトウェア/パッチをインストールするには、ホットフィックスアップグレードファイルをFMC CLIのパス/var/log/sf/ にアップロードし、コマンドinstall_update.pl /var/log/sf/<image-file>を実行します。このコマンドを実行すると、同じ画面でアップグレードログが実行され、進行状況を監視できます。CLIからのパッチインストールの例を次に示します。

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2 

SSHセッションに短いタイムアウトがある場合は、コマンドinstall_update.pl—detach /var/log/sf/<image-file>を使用して、インストールをバックグラウンドで実行します。これにより、SSHセッションが閉じられた後でもアップグレードを実行できます。

確認

VDB、SRUまたはGeoDBの更新

手動による強制インストールが完了したら、VDB、SRU、およびGeoDBの更新について、CLIからcat /var/log/sf/<image-version-folder>/status.log コマンドを使用してインストールのステータスを確認できます。次に、GeoDBのインストールが成功した場合のstatus.logの出力例を示します。

root@FMC:/Volume/home/admin# cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

ホットフィックスまたはパッチアップデート

アップデートを手動でインストールした後、CLIからcat /var/log/sf/<patch-image-folder>/status.log コマンドを実行して、このインストールのステータスを確認します。インストールが成功した場合のstatus.logの出力例を次に示します。

root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

注：このドキュメントで説明されている手順を実行してもエラーが解決しない場合は、Cisco TACでサービスリクエストをオープンしてください。