Isilon:Gateway Connectivity Status 显示 Disconnected, Internal Error 401 Unauthorized response codes
摘要: Gateway Connectivity Status显示 Disconnected,并且看到内部错误 401 Unauthorized 响应代码(用户可纠正)。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
以前正常工作并已连接的群集网关连接状态显示已断开连接。401 Unauthorized 可从安全连接网关看到与无效用户名和密码无关的响应。
在使用安全连接网关的 Isilon 群集上, isi esrs view 显示网关连接状态为已断开连接。配置以前正常工作。
尝试禁用和重新启用 isi_esrs_d 和 isi_rsapi_d 不要帮助恢复连接。
尝试使用 username 并尝试禁用安全连接网关 (--enabled=false),希望重新创建配置失败。
发出 isi esrs modify --enabled==false 命令执行此操作:
Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "* Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n* subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* start date: Dec 4 12:20:29 2019 GMT\n* expire date: Dec 4 12:20:29 2039 GMT\n* issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n* SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}
如果 401 消息包含文本字符串 Invalid username and password,则本文不适用。
原因
此问题是由于最初颁发给 Isilon 的安全连接网关服务 设备密钥 不匹配所致。
在上面的响应中,请注意,Isilon 发出
设备密钥用于验证 Isilon 与安全连接网关之间的此通信:
如果网关已重新安装,或者由于其他原因丢失了设备密钥,则使用该密钥的 REST-API 身份验证将失败,并显示
有时,如果无法确定安全连接网关的状态, 可以联系戴尔支持 进行调查。如果重新安装网关,设备密钥会丢失,但如果网关回滚到旧快照(在创建或更新密钥之前),设备密钥也可能丢失。此外,如果安全连接网关的磁盘空间不足,并且在此期间添加了新设备,则无法扩展安全连接网关上的设备密钥数据库。
在上面的响应中,请注意,Isilon 发出
HTTP DELETE 命令执行此操作:
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx
设备密钥用于验证 Isilon 与安全连接网关之间的此通信:
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=
如果网关已重新安装,或者由于其他原因丢失了设备密钥,则使用该密钥的 REST-API 身份验证将失败,并显示
401 Unauthorized 错误。
有时,如果无法确定安全连接网关的状态, 可以联系戴尔支持 进行调查。如果重新安装网关,设备密钥会丢失,但如果网关回滚到旧快照(在创建或更新密钥之前),设备密钥也可能丢失。此外,如果安全连接网关的磁盘空间不足,并且在此期间添加了新设备,则无法扩展安全连接网关上的设备密钥数据库。
解决方案
最简单的方法和最有可能的解决方案是运行以下命令来禁用配置,然后进行新的注册,以便为 Isilon 生成新的设备密钥。而 --force 标记指示 Isilon 禁用安全连接网关服务,而无需先尝试联系网关取消注册。
isi esrs modify --enabled=false --force isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS
如果这些命令不起作用, 戴尔支持 人员可以参与以手动清除密钥并重置安全连接网关与 Isilon 群集之间的通信。打开引用本文的服务请求。
经验丰富的管理员必须执行以下命令以禁用群集上的相关服务、手动禁用安全连接网关,以及清除群集端的现有身份验证密钥。
注意:谨慎操作,如果命令看起来太复杂而无法执行,请勿继续!请联系 戴尔支持 以获得帮助。
- 如果相关服务正在运行,请将其禁用。这些服务代表运行安全连接网关服务和 REST-API 服务以实现安全连接网关连接的守护程序。禁用这些服务不会影响客户端对群集的访问。
isi services -a isi_esrs_d disable isi services -a isi_rsapi_d disable
- 手动强制禁用安全连接网关。
isi_gconfig -t esrs esrs.enabled=false
- 清除用于通信的密钥。
isi_gconfig -t esrs esrs.esrs_api_key=""
NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
- 仅启用
rsapi服务管理所有 jukebox 操作。
isi services -a isi_rsapi_d enable
- 使用正常命令启用安全连接网关配置。
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- 如果命令在等待 REST 响应时超时,请输入以下命令:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
- 如果命令仍显示错误,请在 Isilon 上启动新的收集,并 联系戴尔支持。
这些步骤用于重新创建和重新建立 Isilon 与安全连接网关之间的通信。
其他信息
提醒:安全删除服务已停售。有关必要的更新,请参阅 文章 Secure Remote Services (SRS) 服务终止 。
提醒:总之,Isilon 上的安全连接网关使用 REST 连接到安全连接网关。单个主节点负责与网关的通信。该节点建议安全连接网关用于访问群集的登录 IP 地址。
如果主节点发生故障,群集会选择新的主节点,并且登录 IP 将使用 REST 协议更新到安全连接网关。“isi_esrs_d”和“isi_rsapi_d”服务都应在群集中的所有节点上运行。主节点根据配置到网关访问池中的节点进行选择。
通过查看日志或发出以下命令,可以找到主节点:
在上面的示例中,主节点是节点 5。检查此节点网关访问池中的 IP 地址后,发现这是安全连接网关上用于 ELM* 群集许可证的 IP 地址。戴尔支持人员还会在用于拨入群集的 ServiceLink 安全连接网关系统中看到此 IP 地址。
如果主节点发生故障,群集会选择新的主节点,并且登录 IP 将使用 REST 协议更新到安全连接网关。“isi_esrs_d”和“isi_rsapi_d”服务都应在群集中的所有节点上运行。主节点根据配置到网关访问池中的节点进行选择。
通过查看日志或发出以下命令,可以找到主节点:
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";' 5
在上面的示例中,主节点是节点 5。检查此节点网关访问池中的 IP 地址后,发现这是安全连接网关上用于 ELM* 群集许可证的 IP 地址。戴尔支持人员还会在用于拨入群集的 ServiceLink 安全连接网关系统中看到此 IP 地址。
受影响的产品
PowerScale OneFS产品
Isilon, PowerScale OneFS文章属性
文章编号: 000180903
文章类型: Solution
上次修改时间: 26 11月 2025
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。