отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

CUCM проблемы с бекапом

   Доброго времени суток, коллеги
  Есть кластер CUCM (System version: 8.0.2.10000-24) состоящий из одного Publisher и трех subscriber.
В последнее время появились проблемы:
  1) Не идут бекапы, даже backup device list пустой, хотя у меня сконфигурированы 3 устройства для бекапа. Пишет Local Agent is not responding. This may be due to Master or Local Agent being down. После того как рестартуешь Local и Master DRF список устройств для бекапа появляется, но задание бекапа все ровно не проходит, в backup history пишет TAR file not creafted.

  2) В Cisco Unified Serviceability невозможно управлять сервисами других серверов, при попытке перехода на другой сервер пишет Connection to the Server cannot be established(Unable to access Remote Note)
   В форумах прочитал что это вызвано из-за просроченного сертификата tomcat, и то что его нужно регенерить и рестартовать сервис tomcat. у нас как раз на проблемных серверах просрочен этот сертификат. В связи с этим вопрос, безопасен ли этот процесс регенерации сертификата и перезапуск службы?  и в какой последовательности это лучше сделать, сначало на subscriber потом на publisher или наоборот.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения
Cisco Employee

Здравствуйте!

Здравствуйте!

1. Нужно смотреть логи  DRF Master/Local при попытке снятия бэк апа, предварительно их нужно сконфигурировать на уровень DEBUG на странице Serviceability. Пробовали ли Вы перезаводить устройства для бэкапа?

2. Процесс регенерации Tomcat сертификатов в целом достаточно безопасен, он влияет только на веб сервисы. Лучше делать в рабочий перерыв, так как можете на время потерять доступность GUI.

Regards,

Kirill

10 ОТВЕТ.
Cisco Employee

Здравствуйте!

Здравствуйте!

1. Нужно смотреть логи  DRF Master/Local при попытке снятия бэк апа, предварительно их нужно сконфигурировать на уровень DEBUG на странице Serviceability. Пробовали ли Вы перезаводить устройства для бэкапа?

2. Процесс регенерации Tomcat сертификатов в целом достаточно безопасен, он влияет только на веб сервисы. Лучше делать в рабочий перерыв, так как можете на время потерять доступность GUI.

Regards,

Kirill

New Member

  Большое спасибо за ответ.

  Большое спасибо за ответ.

  После рестарта DRF Master/Local удалось пересоздать устройства бэкапа.  Но при этом, все ровно, бекап проходит только на половину - проблемные сервера не получается забэкапить(скрин прилагаю). Похоже что у нас все проблемы сводятся к просроченным сертификатам tomcat.pem, ipsec.pem, CallManager.pem, CAPF.pem, TVS.pem, CallManager-trust, CAPF-trust  на  Publisher и на одном subscriber. 

  Подскажите пож-та, насколько безопасно регенерация данных сертификатов? Был бы очень признателен, если бы детально описали процесс регенерации. Заранее спасибо. 

Cisco Employee

А у Вас версия обычная или

А у Вас версия обычная или Unrestricted?

Используетели Вы secure профили? SRTP? CallManager сертификат влияет именно на это.

CAPF - это регистрация телефонов и подпись tftp серверов.Здесь нужно быть аккуратным и подробно изучить документацию:

http://www.cisco.com/c/en/us/support/docs/unified-communications/unified-communications-manager-callmanager/200199-CUCM-Certificate-Regeneration-Renewal-Pr.html

Regards,

Kirill

New Member

У нас обычная версия. Secure

У нас обычная версия. Secure профили, SRTP не используем. А точно ли CAPF используется для регистрация телефонов и подпись tftp серверов?

CallManager.pem

  • Encrypted/authenticated phones do not register.
  • TFTP not trusted (phones do not accept signed configuration files and/or ITL files).
  • Phone services might be affected.
  • Secure Session Initiation Protocol (SIP) trunks or media resources (Conference bridges, Media Termination Point (MTP), Xcoders, and so on) will not register or work.
  • The AXL request fails.

CAPF.pem

  • Phones do not authenticate for Phone VPN, 802.1x, or Phone Proxy. 
  • Cannot issue LSC certificates for the phones.
  • Encrypted configuration files do not work.

Cisco Employee

Да, оперепутал с ITL файлом.

Да, оперепутал с ITL файлом.

Думаю, что в данном случае CAPF можно безболезненно перевыпускать.

Regards,

Kirill

New Member

Для регенерации остальных

Для регенерации остальных трех сертификатов нашел вот такую последовательность шагов:

The most important thing to keep in mind is that never regenerate both the CallManager.pem and TVS.pem certificates at the same time. So you can follow the below order:

1) Regenerate the CallManager.pem certificate on the publisher Call Manager followed by restart of CallManager, TVS and TFTP service

2) Regenerate the TVS.pem certificate followed by restart of TVS and TFTP service on the publisher Call Manager

3) Regenerate the CallManager.pem certificate on the subscriber Call Manager followed by restart of CallManager, TVS and TFTP service

4) Regenerate the TVS.pem certificate followed by restart of TVS and TFTP service on the subscriber Call Manager

5) Regenerate the CAPF.pem certificate on the publisher CM server followed by regenerating it on the subscriber CM and then restart CAPF service only on publisher CM

6) Regenerate the tomcat certificate on publisher Call Manager followed by regenerating it on the subscriber server as well

7) Restart the Cisco Tomcat on publisher Call Manager followed by subscriber Call Manager

https://supportforums.cisco.com/discussion/13075486/regeneration-expired-all-certicates-communications-manager

Как думаете подойдет ли данная инструкция для моего случая?

Cisco Employee

В целом, все верно, проблем с

В целом, все верно, проблем с такой последовательностью возникнуть не должно.

Regards,

Kirill

New Member

Ок, спасибо. После работ

Ок, спасибо. После работ отпишусь. 

New Member

Провел работы, в целом все

Провел работы, в целом все нормально, только одно но..почему то CUCM после регенерации сертификатов не резетнул телефоны для загрузки обновленного ITL файла. Поэтому после работ телефоны не подключались к TFTP серверам и не подкачивали новые рингтоны и фоновые рисунки, пришлось удалять вручную ITL файлы на телефонах.

Вам спасибо большое за ответы.

New Member

Регенерировал tomcat.pem,

Регенерировал tomcat.pem, ipsec.pem и рестартанул соответствующее сервисы - все заработало!!!  Еще раз спасибо за ответ.

Теперь у меня остался вопрос только по просроченным сертификатам CallManager.pem, CAPF.pem, TVS.pem.  На что они влияют и как безопасно и регенерировать? 

144
Просмотры
0
Полезный материал
10
Ответы