Firepower Threat Defense(FTD)ポリシー導入のトラブルシューティング
内容
概要
このドキュメントでは、FTDでのポリシー導入プロセスの概要と、基本的なトラブルシューティング手法について説明します。
背景説明
さらにトラブルシューティングを行うために、 Cisco Firepower Threat Defense (FTD)、従来のステートフルファイアウォール機能 Adaptive Security Appliances (ASA)および Next-Gen ファイアウォール機能(Powered by Snort)が1つの製品に統合されました。
この変更により、 Policy Deployment Infrastructure FTDでは、ASAコード(LINAとも呼ばれる)と Snort 一つの包みにまとめて
前提条件
次の製品に関する知識があることが推奨されます。
Firepower Management Center (FMC)Firepower Threat Defense (FTD)
使用するコンポーネント
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
ポリシー導入の概要
Cisco FTDは、 Policy Deployments に登録されているデバイスの設定を管理およびプッシュする Firepower Management Center (FMC)自体。
導入環境内には、「フェーズ」に分かれた一連のステップがあります。
FMCの各フェーズの概要を次に示します。
| フェーズ 0 | 導入の初期化 |
| フェーズ 1 | Database Objectコレクション |
| フェーズ 2 | ポリシーとオブジェクトの収集 |
| フェーズ 3 | NGFWコマンドライン設定の生成 |
| フェーズ 4 | デバイス導入パッケージの生成 |
| フェーズ 5 | 展開パッケージの送受信 |
| フェーズ 6 | 保留中の展開、展開アクション、および展開成功メッセージ |
プロセスの各フェーズと障害の発生場所に関する知識は、次のような障害のトラブルシューティングに役立ちます。 Firepower システム面
状況によっては、以前の設定による競合や、 Advanced Flex Configuration キーワードがないため、デバイスレポートで対処できない障害が発生する可能性があります。
概要例
ステップ1: Deploymentを選択します。
ステップ2:デバイスの導入がコミットされると、FMCはそのデバイスに関連するすべての設定の収集を開始します。
ステップ3:設定が収集されると、FMCはパッケージを作成し、SFTunnelという通信メカニズムを介してセンサーに送信します。
ステップ4:FMCはセンサーに対して、個々の応答をリッスンしながら、指定されたポリシーで展開プロセスを開始するように通知します。
ステップ5:管理対象デバイスがアーカイブを解凍し、個々の設定とパッケージの適用を開始します。
A.導入の前半は、 Snort 設定 Snort 設定は、その有効性を確認するためにローカルでテストされます。
有効であることが確認されると、新しい設定は実稼働ディレクトリに移動され、 Snort.検証が失敗すると、このステップでポリシーの導入が失敗します。
B.展開パッケージのロードの後半は、ngfwManagerプロセスによってLINAプロセスに直接適用されるLINA設定用です。
障害が発生すると、変更がロールバックされ、ポリシーの展開が失敗します。
ステップ6:両方とも Snort LINAパッケージが成功すると、管理対象デバイスから信号が送られます Snort 新しい設定をロードし、現在のすべての設定を保存するために、再起動またはリロードします。
ステップ7:すべてのメッセージが成功すると、センサーは成功メッセージを送信し、Management Centerによって確認されるまで待機します。
ステップ8:受信されると、FMCはタスクを成功としてマークし、ポリシーバンドルの終了を許可します。
トラブルシューティング
次の間に発生した問題 Policy Deployment 以下が原因である可能性がありますが、これらに限定されません。
- 誤設定
- FMCとFTD間の通信
- データベースとシステムの状態
- ソフトウェア不具合および警告
- その他の特殊な状況
これらの問題の中には、簡単に修正できるものもあれば、シスコの支援が必要なものもあります Technical Assistance Center (TAC).
このセクションの目的は、問題を切り分けたり、根本原因を特定したりする手法を提供することです。
FMCグラフィカルユーザインターフェイス(GUI)
シスコでは、FMCアプライアンスで導入の失敗が発生した場合の各トラブルシューティングセッションを開始することを推奨しています。
障害通知ウィンドウでは、6.2.3以降のすべてのバージョンに対して、他の障害の可能性に役立つ追加ツールがあります。
導入トランスクリプトの利用
ステップ1: Deployments FMC Web UIにリストされます。
ステップ2: Deployments タブが選択されている場合は、 Show History.
ステップ3: Deployment History ボックスで、FMCから以前のすべての展開を確認できます。より多くのデータを表示する配置を選択します。
ステップ4:導入要素を選択したら、 Deployment Details 選択すると、 Transaction.これらのエントリは、次の列に分類されます。 Device Number, Device Name, Status,と Transcript.
ステップ5:問題のデバイスを選択し、トランスクリプトオプションをクリックして、個々の導入トランスクリプトを表示し、障害や管理対象デバイスに配置されている設定について通知します。
ステップ6:このトランスクリプトは、特定の障害状態を指定し、次のステップで非常に重要な番号を示すことができます。 Transaction ID.
ステップ7: Firepower Deployment,ページ Transaction ID は、ポリシー導入の各セクションを追跡するために使用できます。これにより、デバイスのコマンドラインで、修復と分析のためにこのデータのより詳細なバージョンを取得できます。
FMCログによるトラブルシューティング
Cisco TACにログの分析を依頼することは適切ですが、ログを検索することで、最初の問題の切り分けと迅速な解決に役立つ場合があります。FMCには、ポリシー導入プロセスの詳細を示す複数のログファイルがあります。
最も一般的に参照される2つのログは次のとおりです policy_deployment.log と usmsharedsvcs.log.
このドキュメントで説明したすべてのファイルは、次のような複数のLinuxコマンドで表示できます。 more、 less と vi.ただし、以下を確認することが非常に重要です。 read アクションが実行されます。すべてのファイルを表示するには、ルートアクセスが必要です。
/var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log
このログには、FMCでのポリシー導入タスクの開始と各フェーズの完了が明確に記録されます。これにより、導入が失敗したフェーズと失敗コードを判別できます。
「 transactionID ログのJSON部分に含まれる値を使用して、特定のデプロイ試行に関連するログエントリを検索できます。
22-Nov-2019 01:28:52.844,[INFO],(DefenseCenterServiceImpl.java:1372)
com.cisco.nm.vms.api.dc.DefenseCenterServiceImpl, ajp-nio-127.0.0.1-9009-exec-4
** REST Request [ CSM ]
** ID : e1c84364-0966-42eb-9356-d2914be2b4a3
** URL: Broadcast message.send.deployment
{
"body" : {
"property" : "deployment:deployment_initiated_for_the_device",
"argumentList" : [ {
"key" : "PHASE",
"value" : "Phase-0"
} ]
},
"user" : "68d03c42-d9bd-11dc-89f2-b7961d42c462",
"type" : "deployment",
"status" : "running",
"progress" : 5,
"silent" : true,
"restart" : true,
"transactionId" : 12884916552,
"devices" : [ "93a2089a-fa82-11e9-8219-e1abeec81dc9" ]
}
/var/log/sf/policy_deployment.log
このログファイルは6.4以降の6.xリリース全体に存在していましたが、そのカバレッジが拡張されました。
ここでは、FMCで実行される展開パッケージの構築に必要な詳細な手順について説明します。したがって、フェーズ1 ~ 4の障害の分析に最適です。
各フェーズの開始は、「INFO start.. ":
Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO starting populateGlobalSnapshot - sqlite = /var/cisco/umpd/8589938337/DC_policy_deployment.db, transaction = 8589938337, time = 1563470402, running as (memory = 56.35 MB) (Framework 3950<196 <- CSMTasks 223<10 <- SF::ActionQueue 2457) Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO deployment threading: disabled (Framework 198 <- CSMTasks 223<10 <- SF::ActionQueue 2457) Jul 18 17:20:03 firepower ActionQueueScrape.pl[17287]: INFO -> calling SF::UMPD::Plugins::Correlation::Manager::getPluginDependencies (Plugin 298<90 <- Framework 3579<3566<216 <- CSMTasks 223) ...
管理対象デバイスのトラブルシューティング
追加のフェーズとセクションは、デバイスパッケージ、ハイアベイラビリティ設定、および各管理対象デバイスの前のフェーズの結果に依存します。
導入の問題が管理対象デバイスの障害に切り分けられた場合は、デバイスに次の2つのログを記録して、デバイスに対してさらにトラブルシューティングを実行できます。policy_deployment.logとngfwManager.logを使用します。
/ngfw/var/log/ngfwManager.log
このログファイルには、次の作業に関する詳細な手順が記載されています。 Config Communication Manager と Config Dispatcher FMCと通信するには、導入パッケージと連携し、SnortおよびLINA設定の検証と適用を調整します。
次に、主要なフェーズの開始を表すngfwManager.logの例をいくつか示します。
FTD receives FMC's request for running configuration: May 30 16:37:10 ccm[4293] Thread-10: INFO com.cisco.ccm.ConfigCommunicationManager- Passing CD-Message-Request to Config Dispatcher... May 30 16:37:10 ccm[4293] Thread-10: DEBUG com.cisco.ccm.ConfigCommunicationManager- <?xml version="1.0" encoding="UTF-8"?><cdMessagesList><timeStamp>1559234230012</timeStamp><cdMessage><name>LinaShowCommand</name><messageId>-753133537443151390</messageId><contentType>XML</contentType><msgContent><![CDATA[<?xml version="1.0" encoding="UTF-8"?><message><name>LinaShowCommand</name>... FTD receives FMC's request to download the deployment package: May 30 16:37:18 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Downloading database (transaction 8589938211, version 1559234236) May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- handle record: 8589938211, status = PENDING May 30 16:37:18 ccm[4293] Thread-9: DEBUG com.cisco.ccm.DownloadManager- begin downloading database FTD begins the deployment of policy changes: May 30 16:37:21 ccm[4293] Thread-9: INFO com.cisco.ccm.ConfigCommunicationManager- Starting deployment May 30 16:37:21 ccm[4293] Thread-11: INFO com.cisco.ccm.ConfigCommunicationManager- Sending message: DEPLOYMENT_STATUS_CCM to Manager FTD begins LINA deployment: May 30 16:37:42 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Trying to send Start-Config-Sequencerequest to lina FTD begins finalizing the deployment: May 30 16:38:48 ccm[4293] Thread-19: DEBUG com.cisco.ngfw.configdispatcher.communicators.LinaCommunicatorImpl- Clustering Message sent out of ConfigDispatcher: Name:Cluster-App-Conf-Finalize-Request
/ngfw/var/log/sf/policy_deployment.log
このログには、 Snort.ログの内容はほとんど高度なものであり、TACによる分析が必要ですが、いくつかの主要なエントリを使用してプロセスをトレースすることは可能です。
Config Dispatcher begins extracting the packaged policies for validation: Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::exportDeviceSnapshotToSandbox (Plugin 230 <- Framework 611 <- Transaction 1085) Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO found NGFWPolicy => (NGFWPolicy::Util 32 <- NGFWPolicy::Device 43 <- Plugin 235) ... Jul 18 17:20:57 firepower policy_apply.pl[25122]: INFO export FTD platform settings... (PlatformSettings::FTD::Device 29 <- Plugin 235<339 <- PlatformSettings::Device 13) Config validation begins: Jul 18 17:21:37 firepower policy_apply.pl[25122]: INFO starting validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files (memory = 229.99 MB) (Framework 3950<687 <- Transaction 1101 <- main 194) Validation has completed successfully: Jul 18 17:21:49 firepower policy_apply.pl[25122]: INFO validateExportedFiles - sqlite = /var/cisco/deploy/sandbox/policy_deployment.db, sandbox = /var/cisco/deploy/sandbox/exported-files took 12 (memory = 238.50 MB, change = 8.51 MB) (Framework 3976<724 <- Transaction 1101 <- main 194) Config Dispatcher begins moving the validated configuration to the Snort directories in production: Jul 18 17:21:54 firepower policy_apply.pl[26571]: INFO -> calling SF::UMPD::Plugins::NGFWPolicy::Device::publishExportedFiles (Plugin 230 <- Framework 822 <- Transaction 1662) Snort processes will reload to apply the new configurations: Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO Reconfiguring DE a3bcd340-992f-11e9-a1f1-ac829f31a4f9... (Snort::SnortNotifications 292<154 <- Snort::Device 343 <- Plugin 235) Jul 18 17:22:02 firepower policy_apply.pl[26571]: INFO sending SnortReload to a3bcd340-992f-11e9-a1f1-ac829f31a4f9 (Snort::SnortNotifications 298<154 <- Snort::Device 343 <- Plugin 235) Snort reload has completed successfully: Jul 18 17:22:14 firepower policy_apply.pl[26571]: INFO notifyProcesses - sandbox = /var/cisco/deploy/sandbox/exported-files took 16 (memory = 169.52 MB, change = 16.95 MB) (Framework 3976<964 <- Transaction 1680 <- main 200) After LINA config apply finishes, Snort deployment is finalized: Jul 18 17:23:32 firepower policy_apply.pl[26913]: INFO starting finalizeDeviceDeployment - sandbox = /var/cisco/deploy/sandbox (memory = 101.14 MB) (Framework 3950<980 <- Transaction 1740 <- main 206)
例
ステップ1:導入が失敗する
ステップ2: Deploy Transcript と Transaction ID.
ステップ3: Management Center Linuxユーティリティを使用します less fmcに表示されるファイルを読み取るには、次の手順を実行します。
例:"sudo less /var/opt/CSCOpx/MDC/log/operation/usmsharedsvcs.log" (sudo passwordはsshのユーザパスワードです)
ステップ4:次の段階に進んだら、 less展開transactionIDに関連するログを検索するには、スラッシュを使用してメッセージIDを入力します。
例:"/60129547881" (While in less、nを使用して次の結果に移動)
実行メッセージの例:
失敗メッセージの例:
5)適切な障害を、「一般的な障害メッセージ」の添付テーブルと比較します。
つまり、failed_to_retrieve_running_configurationは、2つのデバイス間の通信が失敗したときに発生します。
一般的なエラーメッセージ
次に、一般的な障害メッセージを示します。これらのメッセージは、 Management Center Task バックエンドに表示されるエラーコードも同様です。
これらのメッセージを分析し、考えられる解決策の一般的な理由と比較することができます。
これらの情報が表示されない場合、または問題が解決しない場合は、TACにお問い合わせください。
----------------------------------------------------------------------------------------
| エラー コード |
エラー メッセージ |
原因 |
|
|
展開エラー – デバイスはドメインを{SRCDOMAIN}から{DESTINATIONDOMAIN}に変更しました。Try again later.] という |
このエラーは通常、デバイスが別のドメインから移動または取得されたときに発生します。ドメイン間の情報が発生しない状態で再配置を行うと、通常はこの問題が解決します。 |
|
|
このデバイスの別の展開が進行中のため、展開に失敗しました。Try again later.] という |
これは通常、展開中のデバイスで展開がトリガーされたときに報告されます。一部のバージョンでは、障害通知なしでこれを防ぐことができます。ただし、このフェーズはトラブルシューティングの支援のために残っています。 |
|
|
クラスタのメンバである個々のデバイスに展開を実行することはできません。クラスタの展開を後で再試行します。 |
このメッセージは、Firepower eXtensible Operative System(FXOS)シャーシマネージャを使用するデバイスのFTDに適用されます。クラスタがFXOSで構築されているが、FMCでは構築されていない場合、このメッセージが表示されます。展開を試みる前に、Management Centerアプライアンスでクラスターを作成してください。 |
|
|
1つ以上のデバイスのポリシーが{TIMESTAMP}以降に変更されました。配置を再試行します。 |
このエラーは、ユーザトリガーの導入後、CSM要素とドメインスナップショットが作成される前に、導入ジョブ内のデバイスに対してポリシー/オブジェクトが変更された場合に表示されます。 再配置を行うと、この問題が解決されます。 これは、多くのユーザが導入時に同じFMCを使用してオブジェクトを編集および保存する場合に発生します。 |
|
|
ポリシー{Policy Name}は{Timestamp}以降に変更されました。配置を再試行します。 |
このエラーは、導入ジョブで該当するデバイスに対してポリシー/オブジェクトが変更された場合、ユーザトリガーが導入された後、CSMおよびドメインスナップショットが作成される前に表示されます。 再配置を行うと、この問題が解決されます。 |
|
|
ポリシーとオブジェクトの収集に失敗したため、展開に失敗しました。繰り返し試行しても問題が解決しない場合は、Cisco TACに連絡してください。 |
最新のポリシーインポートが提供された場合は、1時間程度待ってから別の展開を試みます。 |
|
|
ポリシーとオブジェクトを収集するためのタイムアウトのため、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
ドメインスナップショットのデフォルトのタイムアウトは5分です。システムの負荷が高い場合、またはハイパーバイザが誤動作している場合は、コールで異常な遅延が発生する可能性があります。 これは、Management Centerまたはデバイスに適切な量のメモリリソースが提供されていない場合にも発生する可能性があります。 これがロードなしで発生する場合、または後で処理が進まない場合は、TACに連絡してください。 |
|
|
ポリシーおよびオブジェクトコレクションの展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
TACに連絡してください。高度なトラブルシューティングが必要です。 |
|
|
デバイスから実行構成情報を取得できなかったため、展開に失敗しました。配置を再試行します。 |
このメッセージは、エンドセンサーとFMC間の接続が期待どおりに機能しない場合に発生する可能性があります。ユニット間のトンネルの健全性を確認し、2つのデバイス間の接続を監視します。 |
|
|
デバイスが以前の展開または再起動を実行している可能性があるため、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
このメッセージは、FTDで以前の展開が進行中に、FMCが展開を試行すると表示されます。通常は、FTDで以前の導入が未完了で、FTDがリブートするか、FTDのngfwManagerプロセスが再起動したときに発生します。プロセスが正式にタイムアウトするまで20分後に再試行すると、この問題は解決します。 遅延の後または遅延が許容されない場合は、TACにお問い合わせください。 |
|
|
デバイスの接続の問題が原因で展開に失敗したか、デバイスが応答しません。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
FMCは、コンフィギュレーション生成用に実行コンフィギュレーションを取得するために、特定のLINA「show」コマンドを発行します。 これは、エンドセンサーで接続の問題またはngfwManagerプロセスの問題が発生したときに発生する可能性があります。 ユニット間の接続の問題が発生していない場合は、TACにお問い合わせください。 |
|
|
デバイスとの通信エラーのため、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
通常は、デバイス間のネットワーク遅延が大きいため、ポリシーのタイムアウトが発生します。デバイス間のネットワーク遅延を確認し、ユーザガイドに記載されているバージョンの最小値と一致することを確認します。 |
|
|
クラスター構成の同期が進行中のため、展開に失敗しました。 配置を再試行します。 |
これは、FTDクラスタの設定にのみ適用されます。アプリケーションの同期(構成の同期)が進行中にFTDクラスタで導入が試行されると、FTDによって同じことが拒否されます。この問題は、設定同期後の再試行で解決できます。 現在のクラスタステータスは、管理対象デバイスのCLISHで次のコマンドを使用して追跡できます。 > show cluster info |
| asa_configuration_generation_errors |
展開でデバイス構成を生成できませんでした。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
前述のUSMSログを確認すると、どの設定がエラーの原因になっているのかを確認できます。これらは通常、Cisco Bug Toolを使用してログを参照できるバグか、Cisco TACに連絡してさらにトラブルシューティングを行うバグです。 |
|
|
デバイスのインターフェイスが古いため、展開に失敗しました。インターフェイスページの設定を保存して、再試行します。 |
これは、導入中または導入直前にインターフェイスとデバイスの関連付けが解除された場合に、4100または9300のモデルで発生します。 展開を開始する前に、インターフェイスが完全に関連付けられているか、関連付けられていないことを確認します。 |
|
|
展開でデバイスの構成を生成できませんでした。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
このエラーは、デバイスのデバイス設定を生成できなかったことを示します。TACに連絡してください。 |
|
|
構成の生成中にタイムアウトが発生したため、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
これは、通常の範囲を超えてデバイス間に遅延が存在する場合に発生する可能性があります。遅延が正規化された後も、この問題が発生する場合は、TACに連絡してください。 |
|
|
デバイスの通信に失敗したため、展開に失敗しました。ネットワーク接続を確認し、展開を再試行してください。 |
このメッセージは、デバイス間の通信の問題に対するフォールバックです。あいまいな性質のため、不明な接続エラーが発生したことを示すフォールバックとして書き込まれます。 |
|
|
ポリシーの展開に失敗しました。配置を再試行します。 |
別の方法でこの問題を解決できます。 これは、データベースの一時的なロックが原因でFMCが導入を開始できない場合に発生する可能性があります。 |
|
|
タイムアウトのため、デバイスへの展開に失敗しました。配置を再試行します。 |
これはFTDの導入に関連しています。FTD上のプロセスは、ディスパッチの導入が完了するまで30分待機します。そうでない場合、タイムアウトします。 これが発生した場合は、デバイス間の接続を確認し、接続が予想どおりであるかどうかを確認して、TACに問い合わせてください。 |
|
|
デバイスへの構成のダウンロードのタイムアウトが原因で、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
これはFTDの導入に関連しています。FTDは、接続の問題により、展開中にすべてのデバイス設定ファイルをダウンロードできません。 ネットワーク接続を確認してから、再試行してください。 これが確認されている場合は、TACに連絡してください。 |
|
|
構成エラーのため、配置に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
デバイスに対してFMCによって生成された設定のエラーは、適用後にこのエラーになります。 この問題をUSMSログで分析して、発生している問題を確認し、ロールバックする必要があります。 この問題を修復した後、Cisco Bug Search Toolでログが既知の不具合と一致しない場合、通常はTACによる介入とバグの作成が必要になります。 |
|
|
デバイスとの通信タイムアウトのため、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
このタイムアウトは、FMCが45分またはそれ以降にデバイスから応答がない場合に発生します。 これは通信エラーです。 通信を確認し、確認できたらTACに連絡します。 |
|
|
プライマリユニットが変更されたため、クラスターへの展開に失敗しました。配置を再試行します。 |
FTDクラスタセットアップ導入では、デバイスでの導入の進行中(通知後)にプライマリノードが切り替わると、このエラーが表示されます。 プライマリノードが安定したら、再試行します。 現在のクラスタメンバーのステータスは、管理対象デバイスのCLISHで次のコマンドを使用して追跡できます。 > show cluster info |
|
|
プライマリユニットの識別エラーのため、クラスターへの展開に失敗しました。配置を再試行します。 |
FMCは、展開中に現在のプライマリノードを特定できませんでした。 これは通常、次の2つの可能性が考えられます。接続の問題または現在のプライマリがFMCのクラスタに追加されていない。 接続が再確立された後、または現在のプライマリがFMCクラスタに追加されて再試行が行われた後に、この問題は解決するはずです。 現在のクラスタステータスは、管理対象デバイスのCLISHで次のコマンドを使用して追跡できます。 > show cluster info |
|
|
クラスター構成の同期が進行中のため、展開に失敗しました。 配置を再試行します。 |
これは、デバイスがApp Syncにある場合に発生する可能性があります。App Syncが完了したら、もう一度展開を再試行してください。 |
|
|
以前の同時展開と競合するため、展開に失敗しました。別の試行後も問題が解決しない場合は、Cisco TACにお問い合わせください。 |
これは、一方の側で導入が同時に行われ、他方では行われない場合に発生します。 これらは通常、デバイス間の通信の問題が原因で発生します。 タイムアウトが発生した後も展開できない場合は、TACに連絡してください。 |
TACに問い合わせる
前述の情報ではポリシーの導入を続行できない場合、または問題が既存の文書化された動作と関連がないと考えられる場合は、次のリンクにある手順を使用してトラブルシューティングファイルを生成し、TACに連絡して分析とバグ作成を依頼してください。
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
23-Sep-2022 |
初版リリース |
1.0 |
17-Feb-2020 |
初版 |
フィードバック