Isilon: Yhdyskäytävän yhteystila näyttää katkenneen, sisäinen virhe 401 Luvattomat vastauskoodit

摘要: Yhdyskäytävän yhteyden tila näyttää Yhteys katkaistu ja Sisäinen virhe 401 Luvattomia vastauskoodeja näkyy (käyttäjän korjattavissa).

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

Klusterin yhdyskäytävän yhteystila, joka toimi ja muodosti yhteyden aiemmin, näyttää Yhteys katkaistu.

401 Unauthorized Vastaukset näkyvät Varmistetun yhteyden välityspalvelimesta, joka EI liity virheelliseen käyttäjänimeen ja salasanaan.

Isilon-klustereissa, joissa käytetään Secure Connect Gatewayta: isi esrs view osoittaa, että yhdyskäytävän yhteystila on katkaistu. Määritys toimi aiemmin oikein.

Yrittää poistaa käytöstä ja ottaa uudelleen käyttöön isi_esrs_d ja isi_rsapi_d Älä auta palauttamaan yhteyksiä.

Yrittää muokata määrityksiä username ja yrittää poistaa Varmistetun yhteyden välityspalvelimen käytöstä (--enabled=false) siinä toivossa, että määritysvirhe voidaan luoda uudelleen.

Samanlainen virhe näkyy myös annettaessa isi esrs modify --enabled==false komento:

Internal error:
ESRSBadCodeError: ESRS Delete Device failed. Error response code from gateway: 401, Unauthorized. Response dictionary was: {{'http_response_code': 401, 'curl_trace': "*   Trying 1.2.3.4:9443...\n* TCP_NODELAY set\n* Name '1.2.3.4' family 2 resolved to '1.2.3.4' family 2\n* Local port: 0\n* Connected to 1.2.3.4 (1.2.3.4) port 9443 (#0)\n* ALPN, offering http/1.1\n* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH\n* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384\n* ALPN, server accepted to use http/1.1\n* Server certificate:\n*  subject: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n*  start date: Dec  4 12:20:29 2019 GMT\n*  expire date: Dec  4 12:20:29 2039 GMT\n*  issuer: C=US; ST=MA; L=SO; O=EMC; OU=ESRS; CN=myname\n*  SSL certificate verify result: unable to get local issuer certificate (20), continuing anyway.\n> DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx HTTP/1.1\r\nHost: 1.2.3.4:9443\r\nUser-Agent: PycURL/7.43.0 libcurl/7.66.0 OpenSSL/1.0.2r-fips zlib/1.2.11\r\nAccept: */*\r\nAuthorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=,domain=Device\r\nDate: Wed, 04 Nov 2020 19:15:47 GMT\r\n\r\n* Mark bundle as not supporting multiuse\n< HTTP/1.1 401 Unauthorized\r\n< Date: Wed, 04 Nov 2020 19:15:48 GMT\r\n< Server: Apache PivotalWebServer\r\n< Strict-Transport-Security: max-age=31536000; includeSubDomains;\r\n< Content-Security-Policy: frame-ancestors 'self'\r\n< Transfer-Encoding: chunked\r\n< \r\n* Connection #0 to host 1.2.3.4 left intact\n"}}


Jos 401-viesti sisältää tekstimerkkijonon Invalid username and password, tätä artiklaa EI sovelleta. 

原因

Ongelma johtuu Isilonille alun perin annetun Secure Connect Gateway -palveluiden laiteavaimen ristiriidasta.

Huomaa yllä olevasta vastauksesta, että Isilon antaa HTTP DELETE komento: 
DELETE /esrs/v1/devices/ISILON-GW/ELMISLxxxxxxxx

Laiteavainta käytetään tämän Isilonin ja Secure Connect Gatewayn välisen tietoliikenteen todentamiseen: 
Authorization: ISILON-GW:ELMISLxxxxxxxx:keykeykeyGYskKOwNZQg7SGOgC8=

Jos yhdyskäytävä on asennettu uudelleen tai se on kadottanut laiteavaimen jostain muusta syystä, avainta käyttävät REST-API-todennukset epäonnistuvat ja 401 Unauthorized virhe.

Jos suojatun yhteyden yhdyskäytävän tilaa ei pystytä määrittämään, Dell-tuki voidaan joskus pyytää tutkimaan asiaa. Laiteavaimet menetetään, jos yhdyskäytävä asennetaan uudelleen, mutta ne voivat kadota myös, jos yhdyskäytävä palautetaan vanhaan tilannevedokseen (ennen avaimen luomista tai päivittämistä). Lisäksi jos suojatun yhteyden yhdyskäytävän levytila loppuu ja uusi laite lisätään tänä aikana, Varmistetun yhteyden välityspalvelimen laiteavainten tietokantaa ei voi laajentaa.

解决方案

Yksinkertaisin ja toimivin ratkaisu on poistaa määritys käytöstä seuraavilla komennoilla ja suorittaa tämän jälkeen uusi rekisteröinti, jotta Isilonille luodaan uusi laiteavain. pikanäppäimellä --force flag kehottaa Isilonia poistamaan Varmistetun yhteyden välityspalvelinpalvelut käytöstä yrittämättä ensin ottaa yhteyttä yhdyskäytävään rekisteröinnin poistamista varten.

isi esrs modify --enabled=false --force
isi esrs modify --enabled=true --username=DellSupportEmail --password=MYPASS


Jos nämä komennot eivät toimi, Dell-tuki voi tyhjentää avaimen manuaalisesti ja nollata suojatun yhteyden yhdyskäytävän ja Isilon-klusterin välisen tiedonsiirron. Avaa palvelupyyntö ja lainaa tätä artikkelia.

Kokeneen järjestelmänvalvojan on suoritettava seuraavat komennot poistaakseen klusterin asiaankuuluvat palvelut käytöstä, poistaakseen Varmistetun yhteyden yhdyskäytävän manuaalisesti käytöstä ja tyhjentääkseen nykyisen todennusavaimen klusterin puolelta.
 

Huomio: Toimi harkiten äläkä jatka, jos komennot tuntuvat liian monimutkaisilta! Ota yhteys Dell-tukeen .
  1. Poista tarvittavat palvelut käytöstä, jos ne ovat käynnissä. Nämä palvelut edustavat demoneja, jotka suorittavat Secure Connect Gateway -palvelua ja REST-API-palvelua Secure Connect Gateway -yhteyttä varten. Näiden palvelujen poistaminen käytöstä ei vaikuta asiakkaan pääsyyn klusteriin.
isi services -a isi_esrs_d disable
isi services -a isi_rsapi_d disable
  1. Pakota Varmistetun yhteyden välityspalvelin manuaalisesti pois käytöstä.
isi_gconfig -t esrs esrs.enabled=false
  1. Poista tiedonsiirrossa käytettävä avain.
isi_gconfig -t esrs esrs.esrs_api_key=""

NOTE: if secondary Gateway is configured, clear the API key for secondary Gateway using command below:
isi_gconfig -t esrs esrs.secondary_esrs_api_key=""
  1. Ota käyttöön VAIN rsapi palvelu.
isi services -a isi_rsapi_d enable
  1. Ota Varmistetun yhteyden välityspalvelimen määritys käyttöön tavallisilla komennoilla.
isi esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
  1. Jos komento aikakatkaistaan odottaen REST-vastausta , anna seuraava komento:
isi --timeout=600 esrs modify --enabled=true --username=DELL-Support-Account --password=MYPASS
  1. Jos komento näyttää edelleen virheitä, aloita uusi keräys Isilonissa ja ota yhteys Dellin tukeen.

Näiden ohjeiden avulla Isilonin ja Secure Connect Gatewayn välinen tietoliikenne luodaan ja muodostetaan uudelleen.

其他信息

Huomautus: Secure Remove Services -palvelut ovat käyttöiän päättymistä. Katso tarvittavat päivitykset artikkelista Secure Remote Services (SRS) on käyttöiän päättyminen .

 

Huomautus: Yhteenvetona voidaan todeta, että Isilonin Varmistetun yhteyden välityspalvelin muodostaa REST-toiminnolla yhteyden varmistetun yhteyden yhdyskäytävään. Yksi ensisijainen solmu vastaa tietoliikenteestä yhdyskäytävään. Solmu neuvoo Secure Connect Gatewayn laskevaa IP-osoitetta klusteriin yhteyden muodostamiseksi.

Jos ensisijainen solmu epäonnistuu, klusteri valitsee uuden ensisijaisen ja laskeva IP-osoite päivitetään varmistetun yhteyden yhdyskäytäväksi REST-protokollan avulla. Sekä isi_esrs_d- että isi_rsapi_d-palvelujen on oltava käynnissä kaikissa klusterin solmuissa. Ensisijainen valitaan niiden solmujen perusteella, jotka on määritetty yhdyskäytävän käyttöoikeusvarantoihin.

Ensisijainen tunnistetaan tarkastelemalla lokeja tai antamalla alla oleva komento: 
sqlite3 /ifs/.ifsvar/modules/tardis/namespaces/esrs.registered.state.sqlite 'select value from kv_table where key == "esrs_registered_lnn";'
5

Edellä olevassa esimerkissä ensisijainen solmu on solmu 5. Kun olet tutkinut tämän solmun IP-osoitetta Gateway Access Poolista, huomaa se olevan IP-osoite, jota käytetään Secure Connect Gatewayn ELM*-klusterilisenssissä. Dellin tukihenkilöstö näkee IP-osoitteen myös ServiceLink Secure Connect Gateway -järjestelmissä, joita käytetään klustereihin soittamiseen.

受影响的产品

PowerScale OneFS

产品

Isilon, PowerScale OneFS
文章属性
文章编号: 000180903
文章类型: Solution
上次修改时间: 26 11月 2025
版本:  7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。