Video Communication Server(VCS)/Expressway X14.x升級 — 指南&;常見問題
目錄
簡介
本文檔介紹Expressway升級過程,旨在指導您並回答最常見的問題。
背景資訊
本檔案中的資訊適用於Expressway和視訊通訊伺服器(VCS)。本文檔引用Expressway,但可以與VCS進行互換。
所有部署的重要資訊
- 有關獨立系統和群集系統的發行說明,請參閱以下升級步驟。
- 可以直接從X8.11.4及更高版本升級到X14.x,不需要中間版本。從X8.11.4之前的任意版本升級都需要到X8.11.4的中間升級。
- 將Expressway升級到X12.5.4或更高版本不需要版本金鑰。不過,Cisco VCS系統需要此功能。
- 如果是群集,請先在群集中的「主」伺服器上啟動升級。升級「主要」後,您可以一次升級「從屬」節點。這避免了配置資料丟失的風險,並保持了服務連續性。
- 您可以同時升級Expressway-E和Expressway-C「主要」。或者,您可以先升級Expressway-E集群(「主要」然後是「從屬」),然後升級Expressway-C集群(「主要」然後是「從屬」),但是請確保在升級視窗結束時,所有伺服器(Expressway-C和Expressway-E)都處於同一版本。
- 如果您使用Cisco Meeting Server(CMS)WebRTC Proxy over Expressway功能和Expressway-E作為TURN伺服器,必須確保運行CMS版本2.9.3或3.0及更高版本,以便WebRTC在升級後繼續運行。由於與思科錯誤ID CSCvv01243相關的TURN服務不相容性,CMS的先前版本無法正常工作。
- 如果您已為移動和遠端訪問(MRA)啟用推送通知,則必須確保在Expressway升級前至少運行Cisco Unified Communications Manager(CUCM)/即時消息和線上狀態(IMP)版本11.5.1.18900-97或12.5.1.13900-152或14.0.1.10000-20或更高版本。
升級前操作
1.為了使MRA功能在升級後繼續運行,您需要將簽署Expessway-C證書的根證書和中間證書以「tomcat-trust」和「callmanager-trust」的形式上傳到CUCM發佈器。
上傳證書後,在所有相關CUCM節點上重新啟動「Cisco Tomcat」服務、「Cisco callmanager」服務和「Cisco TFTP」服務(Cisco HAProxy服務隨Tomcat服務重新啟動自動重新啟動)。
由於在Cisco錯誤ID CSCvz20720中進行了更改,因此需要。即使您使用非安全電話配置檔案,並且對於在Expressway-C上新增的CUCM集群禁用了「TLS驗證模式」,也需要這樣做。
有關實現此目標所需確切步驟的詳細資訊,請參閱將Expressway-Core的根證書和中間證書上傳到CUCM文檔。
2.從X14.2開始,即使在Unified Communications伺服器(CUCM、IM&P、CUC和CMS)上將TLS verify設定為Off,也必須將這些伺服器的CA證書(根證書和任何中間CA)新增到Expressway-C信任儲存中。否則可能會導致升級到X14.2或更高版本後出現MRA登入問題。
此外,Expressway-C連線的統一通訊伺服器的FQDN需要位於這些伺服器的證書中的SAN清單中。
此更改是Expressway安全增強功能的一部分,在Cisco錯誤ID CSCwc69661中跟蹤。有關此主題的詳細資訊,請參閱X14.2發行說明。
此外,您還可以參閱相關檔案 對CSCwc69661引入的MRA服務的Expressway流量伺服器證書驗證進行故障排除
3.從X14.2開始,智慧許可是唯一可用於Expressway的許可證模式,基於傳統PAK(選項金鑰)的許可證模式已被刪除。
通常,如果只使用Expressway進行MRA,則不需要許可證,並且此更改不會影響您的系統。但是,如果您使用B2B呼叫或將終端註冊到Expressway(或需要許可證的任何其他功能),則必須確保Expressway-C和Expressway-C可以直接或通過代理訪問雲上的思科智慧軟體管理器,或者連線到思科智慧軟體管理器本地。
升級到X14.2後,預設啟用智慧許可,但您必須確保成功連線到CSSM(雲或內部部署)。
有關此主題的詳細資訊,請參閱X14.2發行說明。
4.從X14.2開始,Expressway限製為2500加密會話限制(這裡的2500會話是所有MRA會話+呼叫+終端註冊到Expressway的總和),一個客戶端的單個MRA會話可能佔用兩個或多個加密會話,與兩個註冊終端(H.323和SIP)相同,這些終端每個都將佔用2個加密會話。
通常,這不會影響僅用於MRA的小型Expressway,但會影響用於MRA的中型或大型Expressway。
在X14.2之前,大型Expressway通常可以處理多達3500個MRA會話,但對於X14.2,則限製為2500個。
這意味著Expressway的容量可以減半。例如,如果您有2500名Jabber使用者(提供電話和IM&P服務),在升級到X14.2後,Expressway會將其視為5000個加密訊號會話,超過2500個標籤的會話將被拒絕,這會影響MRA呼叫和註冊。
在X14.2中無法刪除此限制。
有關此主題的詳細資訊,請參閱X14.2發行說明。
5.如果您有Expressway集群,請確保沒有集群警報(「從狀態」>「警報」)。
6.如果您有Expressway集群,請通過SSH連線到要升級的Expressway服務器,並使用「root」使用者運行命令:
cd / && ./sbin/verify-syskey
7.最後,在升級之前進行備份(從維護>備份和還原)。在每台伺服器上執行此操作。
升級說明
- 從Expressway軟體下載升級檔案(名稱以「.tar.gz」結尾)(例如下載「s42700x14_0_6.tar.gz」for X14.0.6)。
- 將升級檔案(例如「s42700x14_0_6.tar.gz」)上傳到Expressway(從維護>升級,然後單擊Browse在PC上查詢升級檔案,最後按一下Upgrade)
升級後操作
Expressway升級後,您必須從主Expressway-C伺服器刷新統一通訊節點:
— 導航到配置>統一通訊> Unified CM伺服器。 選擇所有CUCM群集並選擇刷新。
— 導航到配置>統一通訊> IM和狀態服務節點。選擇所有IM&P群集並選擇刷新。
— 導航到配置>統一通訊> Unity Connection伺服器。選擇所有CUC群集並選擇刷新。
常見問題
授權
1.我是否需要發行金鑰才能升級?
答:將Expressway升級到版本X12.5.4或更高版本不需要發行金鑰(發行金鑰仍用於Cisco VCS系統)。
2.我是否需要遷移許可證?
A.升級前在Expressway上安裝的許可證將自動遷移到新版本。
3.我需要升級哪些許可證?
答:如果您計畫在同一台伺服器上從X8.11.4或更高版本升級到更高版本,則無需其他許可證,您的當前許可證將自動遷移到新版本(VCS系統仍需要發行金鑰)。
從X12.5.4版本開始,不需要這些許可證:
LIC-SW-EXP-K9版本金鑰(自X12.5.4起,預設情況下在Expressway系統升級時提供)。VCS系統仍需要此功能。)
LIC-EXP-TURN TURN中繼許可證(預設提供)
LIC-EXP-GW互通網關(預設提供)
LIC-EXP-AN高級網路(預設提供)
從X12.6版本開始,這些許可證不再需要:
LIC-EXP-SERIES Expressway系列(現在可通過狀態>概述中的「服務設定嚮導」從UI中更改此設定)
LIC-EXP-E遍歷伺服器許可證(現在您可以通過「狀態」(Status)>「概述」(Overview)中的「服務設定嚮導」(Service setup Wizard)從UI中更改此項目)
4.我是否需要啟用智慧許可?
A.自X14.2起,智慧許可是強制性的。任何低於X14.2的版本仍可使用選項金鑰許可證型號。
升級到X14.2後,預設啟用智慧許可,但您必須確保成功連線到CSSM(雲或內部部署)。
相容性
1.我能直接升級到X14.x嗎?
A.可以直接從X8.11.4及更高版本升級到X14.x(或X12.x)Expressway版本。任何低於X8.11.4的版本都需要兩階段的升級。有關詳細資訊,請參見發行說明。
2.哪些Cisco Unified Communications Manager和IM&Presence版本與Expressway相容?
A.如果使用MRA版Jabber的推送通知,則最低版本為11.5.1.18900-97、12.5.1.13900-152或14.0.1.10000-20。
您可以檢查是否在CUCM管理頁面Advanced features > Cisco Cloud Onboarding下啟用推送通知。驗證Enable push notifications是否已選中(啟用)。
3.哪個CMS版本與Expressway 12.X和14.X相容?
A.如果使用Expressway上的CMS WebRTC代理,請確保運行CMS版本2.9.3、3.0或更高版本。
由於與Cisco錯誤ID CSCvv01243相關的TURN服務不相容性,因此先前版本無法工作
升級後
1.升級後是否需要執行任何其他任務?
A.必須從Expressway-C主對等點刷新統一通訊節點:
— 導航到配置>統一通訊> Unified CM伺服器。 選擇所有CUCM群集並選擇刷新。
— 導航到配置>統一通訊> IM和狀態服務節點。選擇所有IM&P群集並選擇刷新。
— 導航到配置>統一通訊> Unity Connection伺服器。選擇所有CUC群集並選擇刷新。
2.如何驗證升級是否成功?
有幾件事可以檢查:
— 檢查群集是否穩定(從System > Clustering中),並確認沒有群集警報Status > Alarms。
— 確保在Expressway-C和Expressway-E上,對於「SIP狀態」,型別為「統一通訊遍歷」的區域顯示為「活動」。常見的情況是,自動建立的CE(tcp/tls/OAuth)區域(從Configuration > Zones)顯示為「可解析地址」而不是「活動」。
— 通過MRA登入、測試呼叫等執行即時測試。
3.成功升級後,我在Virtual Expressway伺服器上看到有關「不支援的硬體」或「不合適的硬體警告」的新警報?
答: Expressway版本X14.x現在驗證虛擬機器(VM)CPU時鐘速度,並確保其與Expressway虛擬化指南中提到的相同大小的VM所需的時鐘速度相匹配。確切的警報顯示為:「Unsuitable hardware warning - Your current hardware does not sated VM configuration requirements for this version of Expressway.」。
如果您看到此警報,請驗證VM資源是否與Expressway虛擬化指南中提到的資源匹配。如果伺服器的大小低於指南中提到的值,則需要重建伺服器以滿足所選大小的最低要求,然後恢復備份。
X14.0.7的重要說明
如果您部署了中型(可從Status > System > Information中看到),並且您的VM的時鐘速度高於3.19GHz,而且VCS/Expressway版本正好是X14.0.7,則可以忽略警報。由於思科錯誤ID CSCwc09399,此警報錯誤觸發。
行動遠端存取(MRA)
1.升級是否需要在Cisco Unified Communications Manager(CUCM)上更改配置?
答:如果使用MRA,由於安全增強思科錯誤ID CSCvz20720,簽署Expressway-C證書的證書頒發機構的根證書和中間證書必須以「tomcat-trust」和「callmanager-trust」的形式上傳到CUCM發佈伺服器(它將它們複製到訂閱伺服器)。即使您使用非安全電話配置檔案,並且對於在Expressway-C上新增的CUCM集群禁用了「TLS驗證模式」,也需要這樣做。在每個伺服器上重新啟動「Cisco Tomcat」、「Cisco CallManager」和「Cisco TFTP」服務,使更改生效。
「Cisco Tomcat」服務只能通過命令「utils service restart Cisco Tomcat」從命令列重新啟動。
有關實現此目標所需確切步驟的詳細資訊,請參閱將Expressway-Core的根證書和中間證書上傳到CUCM文檔。
2.是否需要更改Expressway-C證書以進行升級?
A.如果Expressway-C證書仍然有效,則無需更改。但是,簽署Expressway-C證書的證書頒發機構的根證書和中間證書必須以「tomcat-trust」和「callmanager-trust」的形式上傳到CUCM發佈伺服器。如需詳細資訊,請參閱Pre-upgrade actions一節中的point 1。
升級前
1.升級前必須檢查哪些內容?
A.如果您有集群式Expressway系統,請確認沒有來自狀態>警報的集群警報。
注意:帶有「Cluster TLS permissive - Cluster TLS verification mode permit invalid certificates(群集TLS驗證模式允許無效證書)」消息的警報「40049」不影響升級過程。升級前必須解決所有其他問題。
另外,通過根使用者從命令列運行cd / && ./sbin/verify-syskey命令。此命令不得提供任何輸出。如果出現這種情況,我們建議您建立TAC案例來調查和糾正該問題。
升級過程
1.集群系統中的升級順序是什麼?
A.從群集中的「配置主」對等體啟動升級。您可以在System > Clustering選單下看到它位於哪個位置。「主配置」編號顯示它屬於對等體中的哪一個。
主要對等點的升級完成後,您可以繼續使用從屬對等點(一次一個)。
2.是否可以同時升級Expressway-C和Expressway-E?
答:是,您可以執行此操作,但建議先升級Expressway-E伺服器,然後升級Expressway-C伺服器,以便首先在E伺服器上正確設定遍歷區域。如果您有群集,請確保使用「主」伺服器開始升級。完成「主要」的升級後,您可以升級「從屬」對等體。
3.在哪裡可以下載Expressway升級映像?
答:您可以在此連結中找到所有Expressway升級映像。為要升級到的版本下載副檔名為「tar.gz」的檔案:
https://software.cisco.com/download/home/286255326/type/280886992/
4.如何開始升級?
A.導航至Maintenance > Upgrade > Browse,選擇升級檔案,然後點選「Upgrade」。首先傳輸檔案。然後,您將獲得「Continue」按鈕以開始實際的升級過程。
5.升級過程需要多長時間?
A.大多數情況下,升級過程需要10分鐘才能完成,此時升級檔案已傳輸到系統,您選擇了「繼續」。
但是,強烈建議為升級後測試安排一個4到48小時的維護視窗。
6.執行升級需要什麼訪問許可權?
答:升級通過Web介面執行,但是如果升級後遇到任何問題,可能需要控制檯訪問。
在升級之前最好檢查VMware或CIMC控制檯訪問是否可用。
備份和恢復
1.升級前是否需要備份?
A.建議在升級Expressway之前進行備份。在群集的情況下,從所有伺服器獲取備份。
您可以在每台伺服器上從維護>備份和還原執行該操作。
2.升級前是否可以拍攝Expressway的快照?
A. Expressway不支援VMware快照。
3.是否可以回滾/恢復到升級前使用的上一個系統?
A. Expressway在升級後保留兩組分割槽。一個使用升級版本,另一個使用早期版本。
可以從根使用者shell使用命令「selectsw <1或2>」在這些分割槽之間切換。
您可以使用「selectsw」指令驗證目前的作用中分割槽。
例如,如果在執行「selectsw」命令後取得「1」,則作用中版本為「1」,非作用中版本為「2」。要切換到非活動分割槽,請執行命令「selectsw 2」。需要重新引導才能從新選擇的分割槽系統啟動。
物理裝置伺服器
1.我是否可以在物理裝置伺服器上升級到此版本?
A.對於所有物理裝置服務器(CE500、CE1000、CE1100、CE1200),請參考您的目標版本發行說明中「支援的平台」一節中的「表2」以驗證您是否能夠升級到目標版本。
2.我有一台CE1100,能否將其升級到X14.0.x和X14.2.x?
答:對於物理裝置伺服器CE1100,您可以升級到X14.0.x和X14.2.x以緩解漏洞,並且可以忽略「不受支援的硬體」警報。X14.0.6的發行說明中提到了這一點。對於擁有有效服務合約的客戶,思科已將漏洞/安全支援終止日期從2021年11月14日(根據最初的「壽命終止」公告)延長至2023年11月30日(與最後支援日期一致)。請注意,這僅適用於漏洞修復,不適用於新功能。
虛擬伺服器和ESXi
1.此Expressway版本支援哪個ESXi版本?
答:您可以在目標版本的Expressway的安裝指南(在系統要求> ESXi要求下)中找到ESXi支援資訊。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
9.0 |
18-Oct-2022 |
已確定潛在PII。 |
8.0 |
10-Aug-2022 |
X14.2更新 |
7.0 |
03-Aug-2022 |
已新增與https相關的資訊 |
6.0 |
07-Jul-2022 |
在https://bst.cloudapps.cisco.com/bugsearch/bug/CSCwc09399關係中新增了資訊 |
5.0 |
21-Mar-2022 |
升級所需許可證的新許可常見問題 |
4.0 |
19-Mar-2022 |
授權常見問題解答其他問題和參考,用於在CUCM上更新Expressway變更的證書信任庫的新文檔 |
3.0 |
17-Mar-2022 |
已更正常見問題中的編號 |
2.0 |
17-Mar-2022 |
VCS仍需要版本金鑰。 |
1.0 |
15-Mar-2022 |
初始版本 |
意見