此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
本文档介绍如何对Jabber在内部或公司网络上发生故障时的登录进行故障排除。
Jabber登录包括两个阶段:Cisco Unified Communications Manager服务器(CUCM)登录和IM and Presence服务器(IM&P)登录。
清除PC上的缓存并收集干净的Jabber问题报告(PRT)。
步骤1:注销并退出Jabber应用。
第二步:删除位于的所有日志
%AppData%\Local\Cisco\Unified Communications\Jabber\
%AppData%\Roaming\Cisco\Unified Communications\Jabber\
第三步:重新启动Jabber并重新创建问题。
第四步:收集问题报告。(从Jabber帮助菜单,选择报告问题选项以启动问题报告工具。说明可在那里找到)
链接至以下资源:
IMPStackCap::Log in::OnLog inError
ServiceDiscoveryHandlerResult
@CupSoapCli: log in cup succeeds - shows when the SOAP log in was successful.
[CTriTPConnectionClient::OnConnectSuccess] - @XmppSDK: - shows when the XMPP log in was successful.
LERR - shows the Log in Errors when the Jabber fails to log in to the IM&P Server.
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法自动查找您的服务。点击Advanced settings以手动设置 | 当DNS服务器中未配置SRV记录中的_cisco-uds或_cuplog时,会出现此错误 | csf::dns::mapFromWindowsDNSResult |
示例日志代码段
017-03-19 17:55:00,422 WARN [0x000050ac] [src\dnsutils\win32\win32DnsUtils.cpp(52)] [csf.dns] [csf::dns::mapFromWindowsDNSResult] - *-----* DNS query _cisco-uds._tcp.applab has failed: DNS name does not exist. (9003).
2017-03-19 17:55:00,438 WARN [0x000050ac] [src\dnsutils\win32\win32DnsUtils.cpp(52)] [csf.dns] [csf::dns::mapFromWindowsDNSResult] - *-----* DNS query _cuplogin._tcp.applab has failed: DNS name does not exist. (9003).
解决步骤
步骤1:启动命令提示符(在Windows客户端上),然后输入nslookup。
第二步:将查询类型设置为SRV
set type = SRV
第三步:插入需要检查的SRV记录
_cisco-uds._tcp.example.com
第四步:这会返回指向CUCM服务器的DNS A记录。
这是_cisco-uds SRV记录成功的示例。
如果未返回任何记录,请与您的DNS管理员联系以配置SRV记录
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法自动查找您的服务。点击Advanced settings以手动设置 | 当Jabber无法检索UDS或TFTP服务器以收集其登录信息和配置设置时,会出现此错误。 | HTTP响应代码503,用于向https://cucm.domain:8443/cucm-uds/发#29的请求 HTTP响应代码503,用于向https://cucm.domain:6972/发#29的请求 |
解决步骤
步骤1:验证配置为TFTP服务器的CUCM节点是否已启动并正在运行。
第二步: 在所有CUCM节点上重新启动这些服务。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
您的用户名或密码不正确 | 当输入的凭证错误或用户在CUCM/LDAP中锁定时,会出现此错误 | "FAILED_UCM90_AUTHENTICATION" |
示例日志代码段
2017-01-09 08:59:10,652 INFO [0x00001740] [vices\impl\DiscoveryHandlerImpl.cpp(460)] [service-discovery] [CSFUnified::DiscoveryHandlerImpl::evaluateServiceDiscoveryResult] - ServiceDiscoveryHandlerResult return code FAILED_UCM90_AUTHENTICATION
解决步骤
步骤1:确保在CUCM中将用户配置为enduser。导航到CUCM管理>终端用户页面。
第二步:验证凭证是否正确以及用户是否处于活动状态。登录到CUCM自助服务门户。
此映像指的是LDAP由于用户不是有效用户或提供的密码不正确而无法对用户进行身份验证的场景。
第三步:如果对所有用户都出现此问题,请验证CUCM Administration > System > LDAP上的LDAP同步和LDAP身份验证设置是否正确。
提示:从LDAP服务器的角度,确保帐户未锁定、密码未过期以及所有用户均与CUCM服务器同步。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | Jabber无法解析/访问它在服务发现期间收到的CUCM FQDN/主机名 | "FAILED_UCM90_CONNECTION" |
示例日志代码段
2017-08-28 12:04:00,282 INFO [0x00004290] [vices\impl\DiscoveryHandlerImpl.cpp(452)] [service-discovery] [CSFUnified::DiscoveryHandlerImpl::evaluateServiceDiscoveryResult] - ServiceDiscoveryHandlerResult return code FAILED_UCM90_CONNECTION
解决步骤
步骤1:测试您能否在PC https://<CUCM IP/FQDN> :8443/cucm-uds/version的浏览器中打开此URL
不成功
成功
第二步:如果响应不成功,请验证DNS已正确配置以对其进行解析,并且验证是否没有任何网络元素(如防火墙/ASA)阻止端口8443。
第三步:必须为群集中的所有CUCM服务器测试此URL。有关服务器的列表,请导航到CUCM Administration > System > Server。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | 当Jabber中输入的用户ID与CUCM中配置的用户ID不匹配时,会出现此错误 | "FAILED_USER_LOOKUP" |
示例日志代码段
2016-08-18 13:14:49,943 INFO [0x000036e4] [vices\impl\DiscoveryHandlerImpl.cpp(367)] [service-discovery] [DiscoveryHandlerImpl::evaluateServiceDiscoveryResult] - ServiceDiscoveryHandlerResult return code FAILED_USER_LOOKUP
解决步骤
步骤1:验证您能在PC https://CUCM:8443/cucm-uds/clusterUser?username=<userid>上的浏览器中打开此URL
第二步:验证Jabber中输入的用户ID是否与CUCM最终用户页面上的用户ID匹配。
提示:Jabber默认启用UPN发现,因此从LDAP UPN字段预填充用户ID。检查UPN是否与CUCM中配置的相同,如果需要禁用UPN发现,请在安装过程中设置UPN_DISCOVERY_ENABLED=false
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
您的用户名或密码不正确 | 此错误是由用户身份验证失败导致的 | "LERR_CUP_AUTH" |
示例日志代码段
2017-01-14 15:55:09,615 INFO [0x00000dc0] [ts\adapters\imp\components\Login.cpp(99)] [imp.service] [IMPStackCap::Login::OnLoginError] - ****************************************************************
2017-01-14 15:55:09,615 INFO [0x00000dc0] [s\adapters\imp\components\Login.cpp(100)] [imp.service] [IMPStackCap::Login::OnLoginError] - OnLoginError: (data=0) LERR_CUP_AUTH <12>:
201-01-14 15:55:09,615 INFO [0x00000dc0] [s\adapters\imp\components\Login.cpp(101)] [imp.service] [IMPStackCap::Login::OnLoginError] - ****************************************************************
解决步骤
步骤1:确认已将用户分配给在线状态节点,并且该用户没有重复项(IM and presence Administration > Diagnostics > System troubleshooter)。
第二步:验证高可用性(HA)状态为正常且未发生故障转移。
如果您尝试在异常HA状态期间分配用户,则不会将用户分配到任何IMP节点,登录失败。
首先恢复HA状态并重新分配用户。
第三步:验证凭证是否有效。
第四步:检查服务器的TOMCAT CPU使用率是否过高
第五步:将这些服务日志设置为DEBUG,然后重新创建登录问题并收集日志
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
凭据无效 | 当用户处于非活动状态或不在数据库中时,会发生此错误。 | LERR_CUP_AUTH <10> |
示例日志代码段
[IMPServices] [CSFUnified::IMPStackCap::Log in::OnLog inError] - ****************************************************************
[IMPServices] [CSFUnified::IMPStackCap::Log in::OnLog inError] - OnLog inError: LERR_CUP_AUTH <10>:
[IMPServices] [CSFUnified::IMPStackCap::Log in::OnLog inError] - ****************************************************************
[http-bio-443-exec-15] handlers.Log inHandlerAbstract - preLog in:PRELOGIN reasoncode=FAILURE. User either not CUP licensed or not found in database.
提示:对于此错误,还建议从CUCM和IM&P服务器检索Cisco Tomcat日志。
从Cisco Tomcat日志
2019-10-27 18:33:40,373 DEBUG [http-bio-443-exec-5] impl.LDAPHostnameVerifier - check : inside check with X509 cert
2019-10-27 18:33:40,373 DEBUG [http-bio-443-exec-5] impl.Certificates - getCNs :
2019-10-27 18:33:40,373 DEBUG [http-bio-443-exec-5] impl.LDAPHostnameVerifier - check : cns = [ldap.ciscolab.com]
2019-10-27 18:33:40,373 DEBUG [http-bio-443-exec-5] impl.Certificates - getDNSSubjectAlts :
2019-10-27 18:33:40,374 DEBUG [http-bio-443-exec-5] impl.LDAPHostnameVerifier - check : subjectAlts = [ldap.ciscolab.com, ldap2.ciscolab.com]
2019-10-27 18:33:40,374 ERROR [http-bio-443-exec-5] impl.AuthenticationLDAP - verifyHostName:Exception.javax.net.ssl.SSLPeerUnverifiedException: hostname of the server 'ldapdc.ciscolab.com' does not match the hostname in the server's certificate.
2019-10-27 18:33:40,374 DEBUG [http-bio-443-exec-5] impl.AuthenticationLDAP - value of hostnameverifiedfalse
2019-10-27 18:33:40,374 INFO [http-bio-443-exec-5] impl.AuthenticationLDAP - verifyHostName: Closing LDAP socket
解决步骤
如果Cisco Tomcat日志未显示任何证书错误,此处会遇到两种情况,需要验证此错误。
步骤1:验证用户是否与IM&P服务器关联
第二步:如果用户与IM&P服务器关联,请从主节点群集退回用户
如果Cisco Tomcat日志显示先前显示的代码片断中的错误,请执行以下步骤:
步骤1:确认Cisco Jabber是否配置为使用安全LDAP
第二步:如果使用的是安全LDAP,请确认与证书相关的信息,如完全限定域名(FQDN)、主机名和公用名(CN)。
第三步:验证如何配置CUCM和IM&P(如果使用IP地址或FQDN),并将其与证书中包含的信息进行比较
第四步:如果服务器配置了IP地址,而LDAP证书配置了FQDN,则需要在所有CUCM和IM&P节点上执行下一个命令
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | 此错误是由于IMDB或TCP与IMP的连接出现问题 | "LERR_CUP_UNREACHABLE"、"LERR_CUP_TIMEOUT" |
示例日志代码段
2017-11-08 16:03:20,051 DEBUG [0x00003a0c] [s\adapters\imp\components\Login.cpp(127)] [IMPServices] [CSFUnified::IMPStackCap::Login::OnLoginError] - ************************************************
2017-11-08 16:03:20,051 INFO [0x00003a0c] [s\adapters\imp\components\Login.cpp(128)] [IMPServices] [CSFUnified::IMPStackCap::Login::OnLoginError] - OnLoginError: LERR_CUP_UNREACHABLE
2017-11-08 16:03:20,051 DEBUG [0x00003a0c] [s\adapters\imp\components\Login.cpp(129)] [IMPServices] [CSFUnified::IMPStackCap::Login::OnLoginError] - *************************************************
解决步骤
步骤1:验证可以从客户端PC解析IMP FQDN/主机名。
第二步:验证您可以在浏览器https://<IMP SERVER FQDN/IP>:8443/EPASSoap/service/v105中打开此URL
成功
不成功
第三步:验证防火墙/VPN不会阻止与IMP服务器的连接(端口8443,5222)
第四步:验证此服务是否在IMP服务器中运行:Cisco Client Profile Agent
第五步:将这些服务日志设置为DEBUG,重新创建登录问题,然后收集日志(如果前面的步骤无法解决问题)。
提示:如果问题仅针对一个用户仍然存在,则取消分配并重新分配该用户以在CUCM中显示。如果是系统范围的问题,请收集日志并检查服务的状态
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | 通常,此错误是由IMDB问题引起的 | "LERR_CUP_INTERNAL_ERROR" |
示例日志代码段
2017-11-08 16:03:20,051 DEBUG [0x00003a0c] [s\adapters\imp\components\Login.cpp(127)] [IMPServices] [CSFUnified::IMPStackCap::Login::OnLoginError] - ************************************************
2017-11-08 16:03:20,051 INFO [0x00003a0c] [s\adapters\imp\components\Login.cpp(128)] [IMPServices] [CSFUnified::IMPStackCap::Login::OnLoginError] - OnLoginError: LERR_CUP_INTERNAL_ERROR
2017-11-08 16:03:20,051 DEBUG [0x00003a0c] [s\adapters\imp\components\Login.cpp(129)] [IMPServices] [CSFUnified::IMPStackCap::Login::OnLoginError] - *************************************************
解决步骤
步骤1:执行强制检查
第二步:验证这些服务是否在IM&P服务器中运行
第三步:检查此现场通知是否适用
现场通知:FN - 64267 - Cisco Unified Communications Manager IM & Presence导致Cisco Jabber登录失败 — 建议软件升级
第四步:将这些服务日志设置为DEBUG,重新创建登录问题,然后收集日志(如果前面的步骤无法解决问题)。
第五步:重新启动群集以恢复情况。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | 通常在Jabber无法通过MRA连接且无法与IM&P建立TLS会话时出现 | LERR_JABBER_AUTH <14>:服务器身份验证错误,例如资源绑定、TLS、创建会话或SASL错误 |
示例日志代码段
2019-05-03 15:19:32,225 DEBUG [0x0000000109732f80] [s/adapters/imp/components/Log in.cpp(128)] [IMPServices] [OnLog inError] - ****************************************************************
2019-05-03 15:19:32,225 INFO [0x0000000109732f80] [s/adapters/imp/components/Log in.cpp(129)] [IMPServices] [OnLog inError] - OnLog inError: LERR_JABBER_AUTH <14>: Authentication error with server, resource bind, TLS, create session or SASL error
2019-05-03 15:19:32,225 DEBUG [0x0000000109732f80] [s/adapters/imp/components/Log in.cpp(130)] [IMPServices] [OnLog inError] - ****************************************************************
解决步骤
步骤1:验证在IM&P服务器和Expressway之间已打开端口5222。
第二步:验证这些服务是否在IM&P服务器中运行,并重新启动一次。
第三步:从CUCM在线状态冗余组禁用高可用性。
第四步:在所有IM&P节点上重新启动Cisco XCP路由器服务,首先使用IM&P发布服务器,然后在订阅服务器中重新启动。
第五步:从CUCM在线状态冗余组重新启用高可用性。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | 当Jabber无法在IMP服务器中创建会话并绑定自身时通常可见 | LERR_JABBER_AUTH <17>:服务器身份验证错误,例如资源绑定、TLS、创建会话或SASL错误" |
示例日志代码段
2017-10-27 10:56:47,396 DEBUG [0x00007fff8b3d7340] [s/adapters/imp/components/Login.cpp(127)] [IMPServices] [OnLoginError] - ****************************************************************
2017-10-27 10:56:47,396 INFO [0x00007fff8b3d7340] [s/adapters/imp/components/Login.cpp(128)] [IMPServices] [OnLoginError] - OnLoginError: LERR_JABBER_AUTH <17>: Authentication error with server, for example, resource bind, TLS, create session or SASL error
2017-10-27 10:56:47,396 DEBUG [0x00007fff8b3d7340] [s/adapters/imp/components/Login.cpp(129)] [IMPServices] [OnLoginError] - ****************************************************************
解决步骤
步骤1:验证cup-xmpp证书是否有效。
第二步:检验端口5222是否打开。
第三步:将这些服务日志设置为DEBUG,然后重新创建登录问题,并在步骤4之前收集日志。
如果确定为“服务器重新启动”的根本原因是唯一已知的修复方法。
第四步:重新启动服务器以解决问题。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法与服务器通信 | 当由于防火墙等网络问题导致IMP无法解决或无法到达时可见 | "LERR_JABBER_UNREACHABLE " |
示例日志代码段
2014-12-15 12:07:31,600 INFO [0x00001670] [ts\adapters\imp\components\Login.cpp(96)] [imp.service] [IMPStackCap::Login::OnLoginError] - ****************************************************************
2014-12-15 12:07:31,600 INFO [0x00001670] [ts\adapters\imp\components\Login.cpp(97)] [imp.service] [IMPStackCap::Login::OnLoginError] - OnLoginError: (data=0) LERR_JABBER_UNREACHABLE <16>:
2014-12-15 12:07:31,600 INFO [0x00001670] [ts\adapters\imp\components\Login.cpp(98)] [imp.service] [IMPStackCap::Login::OnLoginError] - ****************************************************************
解决步骤
步骤1:检查IMP FQDN/主机名是否可解析。
第二步:验证防火墙/VPN不会阻止与IM&P服务器(端口8443,5222)的连接。
第三步:验证这些服务是否在IM&P服务器中运行,并重新启动一次。
第四步:执行强制检查。
第五步:将这些服务日志设置为DEBUG,重新创建登录问题,然后收集日志(如果前面的步骤无法解决问题)。
第六步:如果所有用户都遇到相同的错误,可以执行服务器重启以快速恢复。
屏幕错误 | 原因 | 要签入Jabber日志的内容 |
无法登录您的帐户。请与管理员联系。 | 通常在Jabber使用SSO登录(内部或通过Expressway(移动远程访问[MRA])时看到 | "Log inErrortoErrorCode: 27已映射到: UnknownLog inError " |
示例日志代码段
2020-03-12 19:55:01,283 DEBUG [0x000000010b71d800][apters/imp/components/Log inUtils.cpp(96)][IMPServices][Log inErrortoErrorCode] - Log inErrortoErrorCode: 27 mapped to: UnknownLog inError
2020-03-12 19:55:01,283 DEBUG [0x000000010b71d800][isteners/Log inEventListenerImpl.cpp(148)][IMPServices][OnLog inError] - errCode: UnknownLog inError
2020-03-12 19:55:01,283 INFO [0x000000016b61f000][ers/imp/lifecycle/Log inExecutor.cpp(314)][IMPServices][signOn] - logged in using User ID: 35309769, failed
2020-03-12 19:55:01,478 INFO [0x000000010b71d800][pp/tahiti/ui/log in/YLCLog inBaseVC.m(500)][UI.Action.System] [-[YLCLog inBaseVC getPresenceErrorMessgaWithCode:]] - Jabber log in failed and show errorcode:200 string: Cannot Sign in your account. Contact your administrator.
解决步骤
步骤1:验证用户是否已分配到IM&P。
第二步:验证节点和Jabber之间正确交换了证书。
第三步:验证所有节点上的OAuth签名和加密密钥是否配置正确。请参阅“验证”部分下的此文档。
第四步:执行强制检查。
第五步:将这些服务日志设置为DEBUG,重新创建登录问题,然后收集日志(如果前面的步骤无法解决问题)。
步骤1:确认已将用户分配到在线状态节点(导航到IM and Presence Administration > System > Topology),且用户没有重复项(导航到IM and Presence Administration > Diagnostics > System troubleshooter)
第二步:如果启用了高可用性,请导航到CUCM Administration > Server > Presence Redundancy Group,并检查它们是否处于Normal 状态。这是正常状态的图像。有关高可用性的详细信息,请访问。
异常状态
注:Jabber使用这些服务登录:Cisco Tomcat、Cisco Tomcat Security、Cisco Client Profile Agent、Cisco XCP Connection Manager、Cisco XCP Router和Cisco XCP Authentication。
正常状态
第三步:检查高可用性复制状态。
a.utils复制运行时间状态
如果在数据库复制时遇到问题,请导航至此链接。
b.从typesysreplication在select count(*)中运行pe sql tlog
或 utils imdb_replication status(10.5.2 SU2a及更高版本)
三个Datastore需要显示PASSED,并且需要在所有IM&P节点上运行该命令,因为有时在一个节点上,所有Datastore的复制可以显示Passed,但在另一个节点上,它可以显示Failed。
如果IMDB(内存数据库)复制不正确,可能意味着部分或所有用户无法登录,或者其在线状态无法正确显示。
解决IMDB复制问题的步骤如下:
步骤1:为受影响的IM&P子集群禁用高可用性(HA)。
第二步:停止所有节点上的Cisco Presence引擎
utils service stop Cisco Presence Engine
第三步: 验证所有Datastore服务是否正在运行:Cisco Log in Datastore、Cisco Route Datastore、Cisco Presence Datastore、Cisco SIP Registration Datastore。
utils service list
第四步:在每个节点上逐个重新启动Cisco Config Agent。
utils service restart Cisco Config Agent
第五步:启动Cisco Presence引擎。
utils service start Cisco Presence Engine
第六步:为子集群启用HA。
第1步选择Navigation > Unified serviceability > Trace > Configuration。
第2步从Server下拉列表中,选择运行要配置跟踪的服务的服务器(即IMP节点),然后点击Go。
第3步从Service Group下拉列表框中,选择要配置跟踪的服务的服务组;然后点击Go。
第4步从Service下拉列表框中,选择要为其配置trace的服务;然后点击Go。
第5步选中Apply to All Nodes复选框,并将跟踪级别选择为“DEBUG”
第6步要保存跟踪参数配置,请点击Save按钮
有关如何设置跟踪级别的详细信息,请参阅Cisco Unified Serviceability Administration Guide。
有用的视频:
RTMT | 管理员CLI |
---|---|
思科客户端配置文件代理 | file get activelog tomcat/logs/epassoap/log4j/* |
思科登录Datastore | file get activelog epas/trace/imdb/sdi/ttlog in/ |
Cisco Tomcat安全日志 | file get activelog tomcat/logs/security/log4j/* |
Cisco XCP身份验证服务 | file get activelog epas/trace/xcp/log/auth* |
思科XCP连接管理器 | file get activelog epas/trace/xcp/log/client-cm-1*.log |
思科XCP路由器 | file get activelog epas/trace/xcp/log/rtr-jsm-1 |
事件查看器 — 应用日志 | file get activelog syslog/CiscoSyslog* |
事件查看器 — 系统日志 | file get activelog syslog/messages* |
版本 | 发布日期 | 备注 |
---|---|---|
3.0 |
24-Apr-2023 |
重新认证 |
2.0 |
18-Mar-2022 |
对添加的片段和注释进行故障排除。 |
1.0 |
15-Sep-2021 |
初始版本 |