PowerFlex: Die SVM-BS-Konvertierung schlägt fehl, wenn die MDM-Authentifizierung aktiviert ist SDS_AUTHENTICATION_FAILED

• Die SVM-BS-Konvertierung wird abgeschlossen, aber der SDS-Service kann die Verbindung zum Cluster nicht wiederherstellen.
• In der Ausgabe des Abfrage-SDS-Befehls wird die SVM aufgelistet, aber ihr Status lautet Disconnected.
• MDM-Ereignisprotokolle zeigen SDS_RECONNECTED unmittelbar gefolgt von einer SDS_AUTHENTICATION_FAILED mit einem Fehler an: "Fehler beim Laden des Authentifizierungsschlüsselpaars":

  2025-10-10 16:20:36.649 SDS_RECONNECTED INFO SDS: Sds-esxi249.chronex.lab (ID 39c9b4dc00000003) reconnected
  2025-10-10 16:20:36.651 SDS_AUTHENTICATION_FAILED ERROR SDS: Sds-esxi249.chronex.lab (ID 39c9b4dc00000003) failed authentication (Failed loading the authentication key-pair)

• Die MDM-Authentifizierung wurde explizit aktiviert (nicht die Standardkonfiguration): 

  scli --query_all | grep -i "MDM connection"
  MDM connection authentication: Enabled

• MDM-Systemuhren zeigen möglicherweise eine falsche Zeit an (z. B. 1970-01-01), was auf eine fehlende NTP-Konfiguration hinweist.
• Chronyc-Nachverfolgungsberichtesind offline oder zeigen keine gültige NTP-Quelle an.

Auswirkungen

• Die BS-Konvertierung kann nicht abgeschlossen werden, während die MDM-Authentifizierung aktiviert ist.
• Konvertierte SDS-Nodes bleiben offline und können dem Cluster nicht wieder beitreten.
• Storage-Pools können aufgrund fehlender SDS-Kapazität heruntergestuft werden.

Wichtig: Die MDM-Authentifizierung ist in PowerFlex standardmäßig deaktiviert. Dieses Problem betrifft nur Umgebungen, in denen die Authentifizierung explizit aktiviert wurde, um die Sicherheit zu erhöhen.

Wenn die MDM-Authentifizierung aktiviert ist, benötigt der SDS-Service gültige Zertifikate für die Kommunikation mit dem MDM. Während der BS-Konvertierung wird der SDS-Service neu installiert und verliert seine Zertifikatanmeldeinformationen. Wenn der SDS versucht, die Verbindung wiederherzustellen, blockiert die MDM-Authentifizierungsschicht die Registrierung, da der SDS keine gültigen Zertifikate vorlegen kann.

Wenn NTP auf den MDM-Cluster-Nodes nicht ordnungsgemäß konfiguriert ist, ist die Systemuhr möglicherweise falsch (zeigt häufig 1970-01-01 an). Zertifikate, die mit ungültigen Zeitstempeln erzeugt wurden, werden vom MDM abgelehnt, was zu Fehlerereignissen bei der Zertifikatausstellung führt. Dies verhindert die erfolgreiche Zertifikaterstellung, auch wenn die Authentifizierung erneut aktiviert wurde.

Der Betriebssystemkonvertierungsprozess verarbeitet den MDM-Authentifizierungsworkflow nicht automatisch, sodass eine manuelle Intervention erforderlich ist, um die Authentifizierung zu deaktivieren, die erneute Verbindung zuzulassen und Zertifikate neu zu generieren.

1. Überprüfen Sie vor Beginn der BS-Konvertierung, ob NTP auf allen PowerFlex-MDM-Nodes konfiguriert ist:

chronyc tracking

Beispiel:

svm-esxi246:~ # chronyc tracking
Reference ID    : 0AEA7154 (CGee-10-234-113-84.Chronex.lab)
Stratum         : 4
Ref time (UTC)  : Wed Oct 29 14:45:52 2025
System time     : 0.000019126 seconds slow of NTP time
Last offset     : -0.000027579 seconds
RMS offset      : 0.000036048 seconds
Frequency       : 10.327 ppm slow
Residual freq   : -0.062 ppm
Skew            : 0.298 ppm
Root delay      : 0.033223286 seconds
Root dispersion : 0.037000805 seconds
Update interval : 129.4 seconds
Leap status     : Normal

Wenn NTP nicht konfiguriert ist, konfigurieren Sie einen NTP-Server und validieren Sie Folgendes:

chronyc add server 10.10.10.1 prefer
systemctl restart chronyd
chronyc tracking

2. Überprüfen Sie den MDM-Authentifizierungsstatus:

scli --query_all | grep -i "MDM connection"

Beispiel:

scli --query_all | grep -i "MDM connection"
MDM connection authentication: Enabled

3. Wenn die MDM-Authentifizierung aktiviert ist, deaktivieren Sie vorübergehend die MDM-Authentifizierung, bevor Sie mit der BS-Konvertierung fortfahren:

scli --set_component_authentication_properties --dont_use_authentication

Beispiel:

scli --query_all | grep -i "MDM connection" 
MDM connection authentication: Disabled

4. Führen Sie die BS-Konvertierung mit PFMP durch.

5. Überprüfen Sie, ob die SDSs nach der Konvertierung online sind. Erwartet: SDSs zeigen den Status "Verbunden" an:

scli --query_all_sds

6. Aktivieren Sie die MDM-Authentifizierung nach einer erfolgreichen erneuten Verbindung der SDSs erneut, falls erforderlich:

scli --set_component_authentication_properties --use_authentication

7. Überprüfen Sie, ob die SDSs mit aktivierter Authentifizierung online bleiben. Erwartet: SDSs zeigen den Status "Verbunden" an: 

scli --query_all_sds

8. So erzeugen Sie die Zertifikate für einen oder alle SDSs neu:

For a Single SDS:
scli --generate_certificate --sds_id 39c9b4dc00000003--i_am_sure

For All SDS's:
for sds_id in $(scli --query_all_sds | grep "SDS ID:" | awk '{print $3}'); do scli --generate_certificate --sds_id $sds_id --i_am_sure; done
Successfully generated a new certificate
Successfully generated a new certificate
Successfully generated a new certificate
Successfully generated a new certificate

Betroffene Versionen

PFMP 4.6.1