Probleemoplossing "VCC op afstand is niet bijgewerkt"

Inleiding

In dit document wordt beschreven hoe u problemen kunt oplossen bij "Remote FMC is niet bijgewerkt. Voltooi de update op het externe VCC voordat u deze peer bijwerkt."

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Firepower Management Center (FMC)
• Basiskennis van het VCC CLI.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Fout 

De fout "Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer" geeft op de FMC GUI weer wanneer u probeert de apparaten te upgraden die worden beheerd door het FMC High Availability (HA)-paar. Deze fout staat niet toe dat de upgrade van de beheerde apparaten start. Hier is hoe de foutmelding eruit ziet vanuit de GUI:

De fout kan ook worden geverifieerd via de CLI van het VCC met de "expert mode"-opdracht cat /var/log/httpd/httpd_error_log.1 | grep -i "Remote FMC".

> expert
root@FMC:~$ cat /var/log/httpd/httpd_error_log.1 | grep -i 'Remote FMC'

[Mon Jan 30 07:20:10.062741 2022] [cgi:error] [pid 5906] [client 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  
[Mon Jan 30 07:22:43.370986 2022] [cgi:error] [pid 15376] [clien 192.168.1.10:45267] AH01215: (Remote FMC is not updated successfully. Complete the update on remote FMC before updating this peer.) in /usr/local/sf/htdocs/admin/update.cgi:331 at /usr/local/sf/lib/perl/5.10.1/SF.pm line 120.: /usr/local/sf/htdocs/admin/update.cgi, referer:  

Oorzaken van fouten

Van deze fout is bekend dat deze optreedt wanneer er een mismatch is in de softwarepatchversie, Vulnerability Database (VDB) versie, Inbraakregels (SRU) versie of Geolocation Database (GeoDB) versie tussen de twee FMC's in HA. De mismatch treedt op wanneer een van deze vermelde versie-updates vaststaat of niet kan worden geïnstalleerd. Deze discrepantie is niet te zien wanneer u de versies van de FMC UI onder sectie Help > About controleert, maar het wordt aanbevolen om deze pagina op zowel de FMC's te controleren.

Opmerking: de implementaties van de beheerde apparaten kunnen hiermee succesvol zijn, maar de software-upgrades beginnen niet met deze fout.

Identificeer het probleem

Bekijk de versies op FMC's in HA van GUI

Ga vanuit de FMC GUI naar Help > About om de versies van Software Patch, VDB, SRU en GeoDB op zowel FMC in HA te bevestigen. Deze beelden tonen een voorbeeld van een versieovereenkomst van twee FMCs in HA van GUI:

.              

Controleer de installatiestatus van VDB, SRU, GeoDB versies op FMC's in HA van CLI

Van expert mode op FMC CLI, moet u controleren of de VDB, SRU en GeoDB updates volledig zijn geïnstalleerd zonder fouten op beide FMC's in HA.

Opmerking: In deze secties wordt uitgelegd hoe u de status.log van elke map met afbeeldingsversies kunt controleren. Deze mappen voor beeldversie moeten overeenkomen met de map op het peer-FMC. Als bijvoorbeeld de map VDB-versie die op FMC is geïnstalleerd "vdb-4.5.0-338" is, dan moet u onder dezelfde map voor beide FMC's controleren. Gebruik hier de opdracht cat /var/log/sf/vdb-4.5.0-338/status.log op beide VCC om de updatestatus van VDB te controleren. Hetzelfde geldt ook voor SRU en GeoDB updates.

VDB-installatiestatus controleren

Gebruik vanuit de expertmodus op FMC CLI deze opdracht cat /var/log/sf/<vdb-image-folder>/status.log om te controleren of de VDB-update succesvol is uitgevoerd. Hier is een voorbeeld van een succesvolle VDB-installatie:

root@FMC:~$ cat /var/log/sf/vdb-4.5.0-338/status.log
state:running
ui:The install has begun
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 4%] Running script pre/010_check_versions.sh...
ui:[ 8%] Running script pre/011_check_versions.pl...
ui:[12%] Running script pre/020_check_space.sh...
ui:[15%] Running script pre/500_stop_rna.pl...
ui:[19%] Running script pre/999_finish.sh...
ui:[23%] Running script installer/000_start.sh...
ui:[27%] Running script installer/100_install_files.pl...
ui:[31%] Running script installer/200_install_fingerprints.sh...
ui:[35%] Running script installer/300_install_vdb.sh...
ui:[38%] Running script installer/400_install_rdps.pl...
ui:[42%] Running script installer/420_delete_obsolete_ids.pl...
ui:[46%] Running script installer/450_resave_detectors.pl...
ui:[50%] Running script installer/525_export_compliance_policies.pl...
ui:[54%] Running script installer/600_fix_dbcheck.sh...
ui:[58%] Running script installer/605_install_dbcheck_upgrade_script.sh...
ui:[62%] Running script installer/610_install_missing_upgrade_script.sh...
ui:[65%] Running script installer/615_purge_vdb_149_log.sh...
ui:[69%] Running script installer/900_update_version.sh...
ui:[73%] Running script installer/901_update_db_version.pl...
ui:[77%] Running script installer/950_reapply_to_sensor.pl...
ui:[81%] Running script installer/975_export_data.pl...
ui:[85%] Running script installer/999_finish.sh...
ui:[88%] Running script post/000_start.sh...
ui:[92%] Running script post/500_start_rna.pl...
ui:[96%] Running script post/999_finish.sh...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Controleer de SRU-installatiestatus

Gebruik vanuit de expertmodus op FMC CLI de opdracht cat /var/log/sf/<sru-image-folder>/status.log om te controleren of de SRU-update succesvol is uitgevoerd. Hier is een voorbeeld van een succesvolle SRU-installatie:

root@FMC:~$ cat /var/log/sf/sru-2021-05-03-001-vrt/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script pre/000_start.sh...
ui:[ 5%] Running script pre/010_check_versions.sh...
ui:[11%] Running script pre/020_check_space.sh...
ui:[16%] Running script pre/999_finish.sh...
ui:[21%] Running script installer/000_start.sh...
ui:[26%] Running script installer/050_sru_log_start.pl...
ui:[32%] Running script installer/100_install_files.pl...
ui:[37%] Running script installer/510_install_policy.pl...
ui:[42%] Running script installer/520_install_rules.pl...
ui:[47%] Running script installer/521_rule_docs.sh...
ui:[53%] Running script installer/530_install_module_rules.pl...
ui:[58%] Running script installer/540_install_decoder_rules.pl...
ui:[63%] Running script installer/602_log_package.pl...
ui:[68%] Running script installer/900_update_version.sh...
ui:[74%] Running script installer/999_finish.sh...
ui:[79%] Running script post/000_start.sh...
ui:[84%] Running script post/500_copy_contents.sh...
ui:[89%] Running script post/900_iru_log_finish.pl...
ui:[95%] Running script post/999_finish.sh...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

GeoDB-installatiestatus controleren

Gebruik vanuit de expertmodus op FMC CLI de opdracht cat /var/log/sf/<geodb-image-folder>/status.log om te controleren of de GeoDB-update succesvol is verlopen. Hier is een voorbeeld van een succesvolle GeoDB installatie:

root@FMC:~$ cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The install completed successfully.
ui:The install has completed.
state:finished

Als de installatie om welke reden dan ook is mislukt of vastzit, kunt u zien welke stap dit is mislukt of is vastgezet op deze status.log. Hier is een voorbeeld van een GeoDB-installatiefout op het FMC:

root@FMC:~$ cat /var/log/sf/geodb-2022-07-17-100/status.log
state:running
ui:The install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[67%] Fatal error: Error running script installer/601_fix_country.pl

Controleer de installatiestatus van de softwareversie en de patch op FMC's in HA vanaf CLI 

Gebruik vanuit de expert-modus op FMC CLI de opdrachtcat /etc/sf/patch_history om te verifiëren of beide FMC dezelfde versie en patch hebben geïnstalleerd. Voer deze opdracht uit om eventuele mismatch op beide VCC's te identificeren. Hier is een voorbeeld van een patch mismatch van de CLI: 

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81
Hotfix_DE-8__413769962     <<<<<<<<<<<  Here the FMC seems to have a Hotfix installation image that is not present from the other FMC

-------------------------------------------------------------------

root@FMC:~$ cat /etc/sf/patch_history
6.2.3-83
6.6.0-90
6.6.4-59
6.6.5-81        

Om verder te controleren of de installatie van de hotfix in het VCC succesvol was, moet u de status.log voor deze map controleren:

root@FMC:~$ cat /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2/status.log

ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Dit voorbeeld verifieert dat het patchbeeld niet aanwezig was in het FMC in HA, terwijl de andere met succes de patch had geïnstalleerd. 

Problemen oplossen

Om de fout te verhelpen, moet u een handmatige kracht uitvoeren om de updates van de CLI van het VCC te installeren waar het probleem wordt geïdentificeerd. 

Disclaimer: Root access to the FMC devices is required in order to execute the commands under this section. Please use caution when running commands from the root of the FMC. 

Update probleem VDB, SRU en GeoDB

Nadat u de VDB-, SRU- of GeoDB-updateproblemen hebt geïdentificeerd, voert u een handmatige installatie uit vanuit de CLI-opdracht install_update.pl /var/sf/updates/<image-file> —force. Hier is een voorbeeld van de handmatig te installeren kracht voor een GeoDB update:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/sf/updates/Cisco_Firepower_GEODB_FMC_Update-2022-08-02-100.sh.REL.tar --force

Opmerking: Gebruik het absolute pad van het beeldbestand met de opdracht install_update.pl zoals in het voorbeeld. Maak geen tar.gz-bestanden los voordat u de installatie van de CLI forceert.

Probleem met hotfix-installatie

Voor de hotfix/patch-installatie moet u het patch-bestand downloaden en installeren op het FMC waar het patch-bestand niet aanwezig was, noch via GUI, noch via CLI.

Van FMC GUI: 

Ga naar Systeem > Updates > Product-updates en upload de te installeren patchversie. Klik vervolgens op de optie Installeren en kies het apparaat waarop u de patch moet installeren en ga verder met de installatie. 

  

Van FMC CLI:

Om de software/patch te installeren vanaf de FMC CLI, uploadt u het hotfix-upgradebestand naar het pad /var/log/sf/ op de FMC CLI en voert u de opdracht install_update.pl /var/log/sf/<image-file> uit. Deze opdracht voert de upgrade logt op hetzelfde scherm in zodat we de voortgang kunnen volgen. Hier is een voorbeeld van de patchinstallatie van de CLI:

> expert
root@FMC:~$ sudo su
<Enter the root password>
root@FMC:# install_update.pl /var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2 

Als er een korte onderbreking op de SSH zitting is, gebruik het bevel install_update.pl—losmaken /var/log/sf/<image-file> om de installatie op de achtergrond uit te voeren. Hierdoor kan de upgrade zelfs worden uitgevoerd nadat de SSH-sessie is gesloten.

Verifiëren

Update van VDB, SRU of GeoDB

Nadat de handmatige krachtinstallatie is voltooid, kunt u de status van de installatie van de CLI met cat /var/log/sf/<image-version-folder>/status.log opdracht voor VDB, SRU en GeoDB update verifiëren. Hier is een voorbeeld van de status.log output van een succesvolle GeoDB installatie:

root@FMC:/Volume/home/admin# cat /var/log/sf/geodb-2022-08-02-100/status.log
state:running
ui:The force install has begun.
ui:[ 0%] Running script installer/200_prechecks.pl...
ui:[33%] Running script installer/500_install_country_map.pl...
ui:[67%] Running script installer/601_fix_country.pl...
ui:[100%] The force install completed successfully.
ui:The force install has completed.
state:finished

Hotfix- of patchupdate

Na de handmatige installatie van de update voert u de opdracht cat /var/log/sf/<patch-image-folder>/status.log van CLI uit om de status van deze installatie te controleren. Hier is een voorbeeld van de status.log uitvoer van een succesvolle installatie:

root@FMC:/var/log/sf/Cisco_Firepower_Mgmt_Center_Hotfix_DE-6.6.5.2# tail -f status.log
ui:[98%] Upgrade complete
ui:[99%] Running script 999_finish/999_z_must_remain_last_finalize_boot.sh...
ui:[99%] Running script 999_finish/999_zz_install_bundle.sh...
ui:[100%] The system will now restart services.
ui:System will now restart services.
ui:[100%] Installation completed successfully.
ui:Upgrade has completed.
state:finished

Opmerking: Als de fout nog steeds aanwezig is nadat u de stappen hebt geprobeerd die in dit document zijn voorzien, opent u een serviceaanvraag met Cisco TAC.