Isilon: Gatewayens anslutningsstatus visar Frånkopplad, internt fel 401 Obehöriga svarskoder

Summary: Gatewayens anslutningsstatus visar Frånkopplad och internt fel 401 Obehöriga svarskoder visas (kan korrigeras av användaren).

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Anslutningsstatusen för klustrets gateway, som fungerade och var ansluten tidigare, visar Frånkopplad.

401 Unauthorized svar ses från den säkra anslutningsgatewayen som INTE är relaterad till ogiltigt användarnamn och lösenord.

På Isilon-kluster som använder säker anslutningsgateway, isi esrs view visar att gatewayens anslutningsstatus är frånkopplad. Konfigurationen fungerade tidigare korrekt.

Försök att inaktivera och aktivera igen isi_esrs_d och isi_rsapi_d Hjälp inte till att återställa anslutningen.

Försöker ändra konfigurationen med hjälp av en username och försöker avaktivera Säker anslutningsgateway (--enabled=false) i hopp om att återskapa konfigurationsfelet.

Ett liknande fel visas också vid utfärdandet av isi esrs modify --enabled==false befallning:

Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "*   Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n*  subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n*  start date: Dec  4 12:20:29 2019 GMT\n*  expire date: Dec  4 12:20:29 2039 GMT\n*  issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}


Om 401-meddelandet innehåller textsträngen Invalid username and passwordgäller denna artikel INTE. 

Cause

Problemet beror på en felaktig enhetsnyckel för Secure Connect Gateway-tjänsterna som ursprungligen utfärdades till Isilon.

Lägg märke till att Isilon utfärdar en HTTP DELETE befallning: 
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx

Enhetsnyckeln används för att autentisera kommunikationen mellan Isilon och den säkra anslutningsgatewayen: 
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=

Om gatewayen har installerats om, eller om enhetsnyckeln har förlorats av någon annan anledning, misslyckas REST-API-autentiseringar med nyckeln med en 401 Unauthorized fel.

Om det inte går att fastställa tillståndet för den säkra anslutningsgatewayen kan ibland Dells support anlitas för att undersöka saken. Enhetsnycklar går förlorade om en gateway installeras om, men kan också gå förlorade om gatewayen återställs till en gammal ögonblicksbild (innan nyckeln skapades eller uppdaterades). Dessutom, om en säker anslutningsgateway får slut på diskutrymme och en ny enhet läggs till under den tiden, kan databasen med enhetsnycklar på säker anslutningsgateway inte utökas.

Resolution

Den enklaste och mest sannolika lösningen är att köra följande kommandon för att avaktivera konfigurationen och följa upp det med en ny registrering, för att generera en ny enhetsnyckel för Isilon. Informationen --force -flaggan instruerar Isilon att avaktivera Secure Connect Gateway-tjänsterna utan att först försöka kontakta gatewayen för att avregistrera sig.

isi esrs modify --enabled=false --force
isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS


Om dessa kommandon inte fungerar kan du anlita Dells support för att manuellt rensa nyckeln och återställa kommunikationen mellan den säkra anslutningsgatewayen och Isilon-klustret. Öppna en tjänstebegäran med en offert på den här artikeln.

En erfaren administratör måste utföra följande kommandon för att inaktivera relevanta tjänster i klustret, för att manuellt avaktivera Säker anslutningsgateway och rensa den befintliga autentiseringsnyckeln på klustersidan.
 

Viktigt! Var försiktig och fortsätt inte om kommandona verkar vara för komplicerade för att du ska kunna utföra dem! Kontakta Dells support om du vill ha hjälp.
  1. Avaktivera relevanta tjänster, om de körs. Dessa tjänster representerar daemoner som kör tjänsten Säker anslutningsgateway och REST-API-tjänsten för säker anslutningsgatewayanslutning. Inaktivering av dessa tjänster påverkar inte klientåtkomsten till klustret.
isi services -a isi_esrs_d disable
isi services -a isi_rsapi_d disable
  1. Tvinga fram en manuell inaktivering av Säker anslutningsgateway.
isi_gconfig -t esrs esrs.enabled=false
  1. Rensa nyckeln som används för kommunikation.
isi_gconfig -t esrs esrs.esrs_api_key=""

NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
  1. Aktivera ENDAST rsapi tjänst.
isi services -a isi_rsapi_d enable
  1. Använd de vanliga kommandona för att aktivera konfigurationen Säker anslutningsgateway.
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
  1. Om kommandot överskrider tidsgränsen i väntan på ett REST-svar anger du följande kommando:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
  1. Om kommandot fortfarande visar fel startar du en ny insamling på Isilon och kontaktar Dells support.

Dessa steg används för att återskapa och återupprätta kommunikationen mellan Isilon och den säkra anslutningsgatewayen.

Additional Information

Obs! Säker borttagning av tjänster är EOL. Se artikeln SRS (Secure Remote Services) i slutet av servicelivslängden för nödvändiga uppdateringar.

 

Obs! Sammanfattningsvis ansluter den säkra anslutningsgatewayen på Isilon med hjälp av REST till den säkra anslutningsgatewayen. En enda primär nod ansvarar för kommunikationen till gatewayen. Noden meddelar landnings-IP-adressen som den säkra anslutningsgatewayen ska använda för att nå klustret.

Om den primära noden misslyckas väljer klustret en ny primär och landnings-IP-adressen uppdateras till den säkra anslutningsgatewayen med hjälp av REST-protokollet . Både tjänsterna "isi_esrs_d" och "isi_rsapi_d" ska köras på alla noder i klustret. Den primära väljs baserat på de noder som har konfigurerats i gatewayåtkomstpoolerna.

Den primära identifieras genom att granska loggarna eller utfärda kommandot nedan: 
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";'
5

I exemplet ovan är den primära noden nod 5. Vid kontroll av IP-adressen från gatewayåtkomstpoolen för den här noden ska du hitta detta som den IP-adress som används för ELM*-klusterlicensen på Säker anslutningsgateway. Dells supportpersonal ser också den här IP-adressen i de ServiceLink Secure Connect Gateway-system som används för att ringa in till kluster.

Affected Products

PowerScale OneFS

Products

Isilon, PowerScale OneFS
Article Properties
Article Number: 000180903
Article Type: Solution
Last Modified: 26 Nov 2025
Version:  7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.