Isilon:Gateway Connectivity Status 显示 Disconnected, Internal Error 401 Unauthorized response codes
Summary: Gateway Connectivity Status显示 Disconnected,并且看到内部错误 401 Unauthorized 响应代码(用户可纠正)。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
以前正常工作并已连接的群集网关连接状态显示已断开连接。401 Unauthorized 可从安全连接网关看到与无效用户名和密码无关的响应。
在使用安全连接网关的 Isilon 群集上, isi esrs view 显示网关连接状态为已断开连接。配置以前正常工作。
尝试禁用和重新启用 isi_esrs_d 和 isi_rsapi_d 不要帮助恢复连接。
尝试使用 username 并尝试禁用安全连接网关 (--enabled=false),希望重新创建配置失败。
发出 isi esrs modify --enabled==false 命令执行此操作:
Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "* Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n* subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* start date: Dec 4 12:20:29 2019 GMT\n* expire date: Dec 4 12:20:29 2039 GMT\n* issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}
如果 401 消息包含文本字符串 Invalid username and password,则本文不适用。
Cause
此问题是由于最初颁发给 Isilon 的安全连接网关服务 设备密钥 不匹配所致。
在上面的响应中,请注意,Isilon 发出
设备密钥用于验证 Isilon 与安全连接网关之间的此通信:
如果网关已重新安装,或者由于其他原因丢失了设备密钥,则使用该密钥的 REST-API 身份验证将失败,并显示
有时,如果无法确定安全连接网关的状态, 可以联系戴尔支持 进行调查。如果重新安装网关,设备密钥会丢失,但如果网关回滚到旧快照(在创建或更新密钥之前),设备密钥也可能丢失。此外,如果安全连接网关的磁盘空间不足,并且在此期间添加了新设备,则无法扩展安全连接网关上的设备密钥数据库。
在上面的响应中,请注意,Isilon 发出
HTTP DELETE 命令执行此操作:
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx
设备密钥用于验证 Isilon 与安全连接网关之间的此通信:
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=
如果网关已重新安装,或者由于其他原因丢失了设备密钥,则使用该密钥的 REST-API 身份验证将失败,并显示
401 Unauthorized 错误。
有时,如果无法确定安全连接网关的状态, 可以联系戴尔支持 进行调查。如果重新安装网关,设备密钥会丢失,但如果网关回滚到旧快照(在创建或更新密钥之前),设备密钥也可能丢失。此外,如果安全连接网关的磁盘空间不足,并且在此期间添加了新设备,则无法扩展安全连接网关上的设备密钥数据库。
Resolution
最简单的方法和最有可能的解决方案是运行以下命令来禁用配置,然后进行新的注册,以便为 Isilon 生成新的设备密钥。而 --force 标记指示 Isilon 禁用安全连接网关服务,而无需先尝试联系网关取消注册。
isi esrs modify --enabled=false --force isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS
如果这些命令不起作用, 戴尔支持 人员可以参与以手动清除密钥并重置安全连接网关与 Isilon 群集之间的通信。打开引用本文的服务请求。
经验丰富的管理员必须执行以下命令以禁用群集上的相关服务、手动禁用安全连接网关,以及清除群集端的现有身份验证密钥。
注意:谨慎操作,如果命令看起来太复杂而无法执行,请勿继续!请联系 戴尔支持 以获得帮助。
- 如果相关服务正在运行,请将其禁用。这些服务代表运行安全连接网关服务和 REST-API 服务以实现安全连接网关连接的守护程序。禁用这些服务不会影响客户端对群集的访问。
isi services -a isi_esrs_d disable isi services -a isi_rsapi_d disable
- 手动强制禁用安全连接网关。
isi_gconfig -t esrs esrs.enabled=false
- 清除用于通信的密钥。
isi_gconfig -t esrs esrs.esrs_api_key=""
NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
- 仅启用
rsapi服务管理所有 jukebox 操作。
isi services -a isi_rsapi_d enable
- 使用正常命令启用安全连接网关配置。
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- 如果命令在等待 REST 响应时超时,请输入以下命令:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- 如果命令仍显示错误,请在 Isilon 上启动新的收集,并 联系戴尔支持。
这些步骤用于重新创建和重新建立 Isilon 与安全连接网关之间的通信。
Additional Information
提醒:安全删除服务已停售。有关必要的更新,请参阅 文章 Secure Remote Services (SRS) 服务终止 。
提醒:总之,Isilon 上的安全连接网关使用 REST 连接到安全连接网关。单个主节点负责与网关的通信。该节点建议安全连接网关用于访问群集的登录 IP 地址。
如果主节点发生故障,群集会选择新的主节点,并且登录 IP 将使用 REST 协议更新到安全连接网关。“isi_esrs_d”和“isi_rsapi_d”服务都应在群集中的所有节点上运行。主节点根据配置到网关访问池中的节点进行选择。
通过查看日志或发出以下命令,可以找到主节点:
在上面的示例中,主节点是节点 5。检查此节点网关访问池中的 IP 地址后,发现这是安全连接网关上用于 ELM* 群集许可证的 IP 地址。戴尔支持人员还会在用于拨入群集的 ServiceLink 安全连接网关系统中看到此 IP 地址。
如果主节点发生故障,群集会选择新的主节点,并且登录 IP 将使用 REST 协议更新到安全连接网关。“isi_esrs_d”和“isi_rsapi_d”服务都应在群集中的所有节点上运行。主节点根据配置到网关访问池中的节点进行选择。
通过查看日志或发出以下命令,可以找到主节点:
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";' 5
在上面的示例中,主节点是节点 5。检查此节点网关访问池中的 IP 地址后,发现这是安全连接网关上用于 ELM* 群集许可证的 IP 地址。戴尔支持人员还会在用于拨入群集的 ServiceLink 安全连接网关系统中看到此 IP 地址。
Affected Products
PowerScale OneFSProducts
Isilon, PowerScale OneFSArticle Properties
Article Number: 000180903
Article Type: Solution
Last Modified: 26 Nov 2025
Version: 7
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.