Troubleshooting: OnCommand Core
Die OnCommand Installationen kommen nun in ein „gewisses“ Alter und nun läuft das SSL-Zertifikat ab. Somit kann keine Kommunikation mehr zwischen den Host Packages der VCenter und dem OnCommand Core stattfinden. Leider ist aus der Fehlermeldung auf die Schnelle nicht zu sehen, dass es sich um ein abgelaufenes Zertifikat handelt.
Im OnCommand erscheint nur diese Fehlermeldung:
Es kann an 3 Stellen festgestellt werden, dass es das Zertifikat betrifft
1.Im vCenter-Server OnCommandHostSvc.log
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 Old dfmSoapClient thrown exception : Das Kommunikationsobjekt „System.ServiceModel.Channels.ServiceChannel“ kann nicht für die Kommunikation verwendet werden, da es abgebrochen wurde.
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 NewClient create SecureClientUsingCertificates client
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 ApiDispatcher Client exit
12.27.2013 11:08:02:173 : ProcessID= 1844 ThreadID= 6 HostServiceDiscoverInterceptor::Invoke enter
12.27.2013 11:08:02:188 : ProcessID= 1844 ThreadID= 6 CheckHostServiceCertificate: Certificate [E=support@NetApp.com, CN=oncommand.teamix.lokal, OU=Storage Management, O=NetApp, L=San Jose, S=California, C=US] received. Errors [RemoteCertificateChainErrors]
12.27.2013 11:08:02:188 : ProcessID= 1844 ThreadID= 6 CheckHostServiceCertificate: Certificate validation failed. Denied
12.27.2013 11:08:02:188 : ProcessID= 1844 ThreadID= 6 invoke has CommunicationException, details: Es konnte keine Vertrauensstellung für den sicheren SSL/TLS-Kanal mit Autorität oncommand.teamix.lokal:8488 eingerichtet werden.
oder 2. auf der CLI des OnCommand Core Servers:
HTTPS failed. Soll heissen, da stimmt eine HTTPS Communication nicht. HTTPS sprechen die Instanzen untereinander.
Oder 3. das Zertikat selbst überprüfen:
Validity not after 19. Dezember 2013:
Das Zertifikat ist nach dem 19.12.2013 nicht mehr gültig.
Zielführend ist es sicherlich mal schnell die MMC, auf dem der OnCommand Core läuft, zu starten und den Zertifikate Manager einzubinden und nachsehen.
Hier werden alle Zertificate angezeigt, die der OnCommand kennt und benutzen kann.
Problemlösung:
Da ein Zertifikat aus Designgründen einer CA nicht verlängert werden kann, bleibt es bei einer einzigen Lösungsmöglichkeit.
Es muss ein neues neues passendes Zertifikat erstellt werden.
Das Zertifikat wurde erstellt und nun mit einem RELOAD des SSL Dienstes dem OnCommand Core Dienst bereitgestellt.
Außerdem sollte auf den Host-Services in der „NETAPP-Powershell“ des jeweiligen VCenter´s folgendes ausführt werden:
Der Host muss wieder autorisiert werden, damit die Kommunikation wieder stattfinden kann.
NETAPP Host Package Service nun bei allen VCentern neu starten.
Das nächste Bild zeigt, das erst ein VCerver neu gestartet wurde und dessen Kommunikation wieder in Ordnung ist.
Bitte nun nach und nach alle VCenter Server neu starten.
Obacht: –> in der MMC ist das neue Zertifikat erst nach einem –> Aktualisieren <– klicken zu sehen 🙂
Wir hatten uns auch gewundert, das wir ein neues Zertifikat erzeugten und das Datum änderte sich ( Bayrisch: um´s verrecken ) nicht.
Ich hoffe dieser Artikel kann dem ein oder anderen Admin in seiner Arbeit helfen.
Happy Storage
Matthias
Matthias Kellerer
Matthias Kellerer ist seit Oktober 2013 für die Firma Proact Deutschland tätig. Sein Fokus liegt hauptsächlich auf NetApp Hard- und Software, die angrenzenden Themen Virtualisierung und Netzwerk sind für Ihn dabei auch kein Neuland.
