Probleme in Zusammenhang mit dem Zugriffsstatus

Mithilfe der folgenden Informationen können Sie die Ursache eines problematischen Zugriffsstatus (d. h. eines anderen Zugriffsstatus als OK) ermitteln und den Zugriff auf eine verwaltete Ressource konfigurieren, um den Zugriffsstatus zu korrigieren.

Probleme in Zusammenhang mit dem Zugriffsstatus für verwaltete Ressourcen beheben

In der Spalte "Access" in der Tabellenansicht der Webschnittstelle der IBM® Flex System Manager-Verwaltungssoftware werden die Zugriffsstatus der verwalteten Ressourcen angezeigt. Der Zugriffsstatus für eine Ressource ist eine Kurzbeschreibung der Verbindung zwischen der Verwaltungssoftware und den verwalteten Ressourcen (Endpunkte wie Gehäuse oder im Gehäuse installierte Komponenten). Im Folgenden werden die Zugriffsstatus beschrieben, die auf Probleme hinweisen, sowie die Maßnahmen, mit denen der Zugriff auf verwaltete Ressourcen konfiguriert werden kann.

Unknown

Der Zugriffsstatus Unknown (Unbekannt) gibt an, dass die Verwaltungssoftware den Zugriffsstatus einer verwalteten Ressourcen nicht feststellen kann (wenn die Verwaltungssoftware beispielsweise keine Verbindung zum Endpunkt hergestellt hat).

Wählen Sie in der Tabellenansicht das Kästchen für die unbekannte Ressource aus.
Klicken Sie auf Actions > Security > Verify Connection.
Bleibt das Problem weiterhin bestehen, wenden Sie sich an Ihren IBM Ansprechpartner.

Offline

Der Zugriffsstatus Offline gibt an, dass keiner der RSAPs (Remote Service Access Points) der Verwaltungssoftware für die verwaltete Ressource reagiert, d. h., die Verwaltungssoftware hat keine Verbindung.

Anmerkung: Möglicherweise können Sie die verwaltete Ressource vom Verwaltungsknoten mit Ping überprüfen (wenn Sie Telnet oder Secure Shell verwenden), aber die Verwaltungssoftware erfordert eine Antwort über die Protokolle, die für die Verwaltung der Ressource verwendet werden.

Dieser Fehler kann verschiedene Ursachen haben. Daher müssen Sie jede der folgenden Bedingungen, die den Fehler verursachen können, überprüfen und gegebenenfalls beheben:

Es besteht keine physische Verbindung.
Die Firewallkonfiguration des Netzwerks verhindert eine Verbindung.
Die verwaltete Ressource ist ausgeschaltet und muss eingeschaltet werden.
Die verwaltete Ressource muss erneut gestartet werden.

Stellen Sie wieder eine Verbindung her, nachdem das Problem erkannt und behoben wurde, indem Sie entweder die nächste der regelmäßigen Betriebsstatusabfragen abwarten (der Standardwert beträgt 15 Minuten) oder die folgenden Schritte ausführen:

Aktivieren Sie in der Tabellenansicht das Kästchen für die Offlineressource.
Klicken Sie auf Actions > Security > Verify Connection.
Bleibt das Problem weiterhin bestehen, wenden Sie sich an Ihren IBM Ansprechpartner.

Not trusted

Der Status Not trusted gibt an, dass zwar eine Verbindung zwischen Verwaltungssoftware und verwalteter Ressource besteht, das von einem oder mehreren RSAPs übergebene Zertifikat jedoch als nicht vertrauenswürdig eingestuft wird.

Die folgende Liste enthält die Beschreibung von Szenarios, in denen dieser Zugriffsstatus häufig auftritt, sowie der Schritte, mit denen ein vertrauenswürdiger Zugriff hergestellt werden kann:

Sie haben das einzige Chassis Management Module (CMM) im Gehäuse gegen ein neues Modul oder das CA-Zertifikat für ein Chassis Management Module (CMM) ausgetauscht. Von dem neuen CMM wird zwar ein neues CA-Zertifikat generiert, da dieses jedoch nicht im Zertifikats-Truststore der Verwaltungssoftware enthalten ist, werden alle Hardwarekomponenten im Gehäuse als nicht vertrauenswürdig eingestuft.
Gehen Sie wie folgt vor, um das neue Zertifikat dem Truststore hinzuzufügen und einen Zugriff auf das neue CMM einzurichten:
1. Aktivieren Sie in der Tabellenansicht das Kästchen für das als nicht vertrauenswürdig eingestufte CMM.
2. Klicken Sie auf Actions > Security > View Certificates.
3. Aktivieren Sie das Kästchen des neuen, nicht vertrauenswürdigen Zertifikats und klicken Sie anschließend auf Accept. Das Gehäuse wird jetzt im Gegensatz zu den Rechenknoten und den Netzwerkeinheiten im Gehäuse als vertrauenswürdig eingestuft.
4. Aktivieren Sie in der ursprünglichen Tabellenansicht das Kästchen für das Gehäuse. Klicken Sie anschließend auf Actions > Security > Revoke Access.
5. Widerrufen Sie den Zugriff auf das neue CMM und fordern Sie anschließend Zugriff auf dieses CMM an, damit alle im Gehäuse enthaltenen verwalteten Endpunkte als vertrauenswürdig eingestuft werden:
  1. Aktivieren Sie das Kästchen für das CMM und klicken Sie anschließend auf Actions > Security > Revoke Access.
  2. Stellen Sie sicher, dass das Kästchen für das CMM aktiviert ist, und klicken Sie anschließend auf Actions > Security > Request Access.
  Anmerkung: Das Gehäuse wird innerhalb kürzester Zeit als vertrauenswürdig eingestuft, bei den Gehäusekomponenten kann dieser Wechsel einige Minuten dauern.
Das CMM wurde auf die werkseitigen Voreinstellungen zurückgesetzt. Das Zertifikat wird erneut generiert und Sie müssen anschließend - je nachdem, ob die Zertifikatsrichtlinie für die Verwaltungssoftware auf "Explicit" oder "Implicit" gesetzt ist - wie im Folgenden beschrieben vorgehen.
Wenn die Zertifikatsrichtlinie der Verwaltungssoftware auf "Explicit" festgelegt ist, müssen Sie das Zertifikat einer Zertifizierungsstelle aus dem CMM manuell kopieren und im Verwaltungssoftware-Truststore speichern. Gehen Sie wie folgt vor, um das Zertifikat zum Truststore hinzuzufügen und eine Verbindung zum CMM einzurichten:
1. Fügen Sie das Zertifikat manuell dem Truststore hinzu. Weitere Informationen finden Sie im Abschnitt Explizite Zertifikatsrichtlinie.
2. Aktivieren Sie in der Tabellenansicht das Kästchen für das zurückgesetzte CMM.
3. Klicken Sie auf Actions > Security > View Certificates.
4. Aktivieren Sie das Kästchen für das neue, nicht vertrauenswürdige CMM-Zertifikat und klicken Sie anschließend auf Accept. Das Gehäuse wird jetzt als vertrauenswürdig eingestuft (die Rechenknoten und die Netzwerkeinheiten im Gehäuse werden noch immer als nicht vertrauenswürdig eingestuft).
5. Widerrufen Sie den Zugriff auf das neue CMM und fordern Sie anschließend Zugriff auf dieses CMM an, damit alle im Gehäuse enthaltenen verwalteten Endpunkte als vertrauenswürdig eingestuft werden:
  1. Aktivieren Sie das Kästchen für das CMM und klicken Sie anschließend auf Actions > Security > Revoke Access.
  2. Stellen Sie sicher, dass das Kästchen für das CMM aktiviert ist, und klicken Sie anschließend auf Actions > Security > Request Access.
  Anmerkung: Das Gehäuse wird innerhalb kürzester Zeit als vertrauenswürdig eingestuft, bei den Gehäusekomponenten kann dieser Wechsel einige Minuten dauern.
Wenn die Zertifikatsrichtlinie der Verwaltungssoftware auf "Implicit" festgelegt ist, gehen Sie wie folgt vor:
1. Aktivieren Sie in der Tabellenansicht das Kästchen für das zurückgesetzte CMM.
2. Klicken Sie auf Actions > Security > View Certificates.
3. Aktivieren Sie das Kästchen für das neue, nicht vertrauenswürdige Zertifikat und klicken Sie anschließend auf Accept. Das Gehäuse wird jetzt als vertrauenswürdig eingestuft (die Rechenknoten und die Netzwerkeinheiten im Gehäuse werden noch immer als nicht vertrauenswürdig eingestuft).
4. Widerrufen Sie den Zugriff auf das neue CMM und fordern Sie anschließend Zugriff auf dieses CMM an, damit alle im Gehäuse enthaltenen verwalteten Endpunkte als vertrauenswürdig eingestuft werden:
  1. Aktivieren Sie das Kästchen für das CMM und klicken Sie anschließend auf Actions > Security > Revoke Access.
  2. Stellen Sie sicher, dass das Kästchen für das CMM aktiviert ist, und klicken Sie anschließend auf Actions > Security > Request Access.
  Anmerkung: Das Gehäuse wird innerhalb kürzester Zeit als vertrauenswürdig eingestuft, bei den Gehäusekomponenten kann dieser Wechsel einige Minuten dauern.
Sie verwalten einen Rechenknoten ohne vorherige Verwaltung des Gehäuses, in dem der Rechenknoten installiert ist, und der Rechenknoten hat nach einem Warmstart oder nach einem Failover des CMM des Gehäuses den Status Not trusted. Die Ursache liegt darin, dass der Rechenknoten vom CMM ein neues Zertifikat anfordert. So stellen Sie (unabhängig von der Zertifikatsrichtlinie der Verwaltungssoftware) für den Rechenknoten wieder einen vertrauenswürdigen Status her:
1. Aktivieren Sie in der Tabellenansicht das Kästchen für den nicht vertrauenswürdigen Rechenknoten.
2. Klicken Sie auf Actions > Security > View Certificates.
3. Aktivieren Sie das Kästchen für das neue, nicht vertrauenswürdige Zertifikat und klicken Sie anschließend auf Accept. Der Rechenknoten wird nun als vertrauenswürdig eingestuft.
Sie tauschen das von der verwalteten Ressource verwendete Zertifikat gegen ein nicht vom CMM signiertes Zertifikat aus (z. B. Verisign).
Die Zertifikatsrichtlinie der Verwaltungssoftware ist auf "Explicit" gesetzt und die Verwaltungssoftware erkennt ein neues Gehäuse. So fügen Sie das neue CMM-Zertifikat dem Truststore hinzu und stellen eine Verbindung zum CMM her:
1. Fügen Sie das Zertifikat manuell dem Truststore hinzu. Weitere Informationen finden Sie im Abschnitt Explizite Zertifikatsrichtlinie.
2. Aktivieren Sie in der Tabellenansicht das Kästchen für das neue CMM.
3. Klicken Sie auf Actions > Security > View Certificates.
4. Aktivieren Sie das Kästchen für das neue, nicht vertrauenswürdige Zertifikat und klicken Sie anschließend auf Accept. Das Gehäuse wird jetzt als vertrauenswürdig eingestuft (die Rechenknoten und die Netzwerkeinheiten im Gehäuse werden noch immer als nicht vertrauenswürdig eingestuft).
5. Widerrufen Sie den Zugriff auf das neue CMM und fordern Sie anschließend Zugriff auf dieses CMM an, damit alle im Gehäuse enthaltenen verwalteten Endpunkte als vertrauenswürdig eingestuft werden:
  1. Aktivieren Sie das Kästchen für das CMM und klicken Sie anschließend auf Actions > Security > Revoke Access.
  2. Stellen Sie sicher, dass das Kästchen für das CMM aktiviert ist, und klicken Sie anschließend auf Actions > Security > Request Access.
  Anmerkung: Das Gehäuse wird innerhalb kürzester Zeit als vertrauenswürdig eingestuft, bei den Gehäusekomponenten kann dieser Wechsel einige Minuten dauern.
Der Endpunkt für den Verwaltungsknoten hat den Status Not trusted. Wenn ein IBM Flex System Manager-Verwaltungsknoten nicht das Gehäuse verwaltet, in dem er installiert ist, kann der Status des Verwaltungsknotenendpunkts bei einem Failover des CMM zu Not trusted wechseln. Dies geschieht aufgrund einer Änderung am IMM-Zertifikat für den Verwaltungsknoten.
Gehen Sie wie folgt vor, um das geänderte Zertifikat zum Truststore hinzuzufügen:
1. Aktivieren Sie in der Tabellenansicht das Kästchen für den Verwaltungsknotenendpunkt.
2. Klicken Sie auf Actions > Security > View Certificates.
3. Aktivieren Sie das Kästchen für das nicht vertrauenswürdige Zertifikat. Klicken Sie dann auf Accept. Jetzt ist der Verwaltungsknoten vertrauenswürdig.
Der Endpunkt für den Verwaltungsknoten hat den Status Not trusted. Wenn ein IBM Flex System Manager-Verwaltungsknoten das Gehäuse, in dem er installiert ist, nicht verwaltet und Sie die Firmware aktualisieren oder ein Fixpack der Verwaltungssoftware für diesen Verwaltungsknoten installieren, ändert sich der Zugriffsstatus des Verwaltungsknotenendpunkts in Not trusted, nachdem der Verwaltungsknoten erneut gestartet wurde. Wenn die Firmware des integrierten Managementmoduls (IMM) auf dem Verwaltungsknoten aktualisiert wird, verfügt der Verwaltungsknoten nicht über das CA-Zertifikat des CMM, das zur Überprüfung des neuen IMM-Zertifikats erforderlich ist.
Gehen Sie wie folgt vor, um dem Truststore das neue Zertifikat hinzuzufügen:
1. Aktivieren Sie in der Tabellenansicht das Kästchen für den Verwaltungsknotenendpunkt.
2. Klicken Sie auf Actions > Security > View Certificates.
3. Aktivieren Sie das Kästchen für das nicht vertrauenswürdige Zertifikat. Klicken Sie dann auf Accept. Jetzt ist der Verwaltungsknoten vertrauenswürdig.

No Access

Der Status No access gibt zwar an, dass eine Verbindung zwischen Verwaltungssoftware und verwalteter Ressource besteht (und die verwaltete Ressource möglicherweise nicht als vertrauenswürdig eingestuft wird), RSAPs verfügen jedoch über keine Berechtigungsnachweise, ungültige Berechtigungsnachweise oder gültige Berechtigungsnachweise mit abgelaufenem Kennwort.

Hinweise:

Handelt es sich bei der verwalteten Ressource um einen Rechenknoten im Gehäuse, kann das Problem unter Umständen auf Gehäuseebene oder über eine direkte Aktion auf dem Rechenknotenendpunkt behoben werden. Ist der Zugriff auf den verwalteten Gehäuseendpunkt freigegeben, der Zugriff auf einen Rechenknotenendpunkt in diesem Gehäuse jedoch nicht, muss das Zugriffsproblem durch Auswahl und Konfiguration des Zugriffs für diesen Rechenknoten behoben werden.
Wenn die verwaltete Ressource ein neuer Rechenknoten oder Speicherknoten in einem Gehäuse mit zentraler Benutzerverwaltung ist, könnte das Problem eine nicht aktuelle Knotenfirmware sein. Weitere Informationen finden Sie unter Probleme mit der zentralen Benutzerverwaltung.

Aktivieren Sie das Kästchen für die Ressource ohne Zugriff:
- Wenn die Ressource ohne Zugriff ein Gehäuse oder ein Rechenknoten in einem Gehäuse ohne Zugriff ist, aktivieren Sie das Kästchen für das CMM.
- Wenn die Ressource ein Rechenknoten ohne Zugriff in einem Gehäuse mit Zugriff ist, aktivieren Sie das Kästchen für den Rechenknoten.
- Wenn die Ressource ohne Zugriff eine andere Hardwarekomponente und kein Gehäuse oder Rechenknoten ist, aktivieren Sie das Kästchen für diese Ressource.
Klicken Sie auf Actions > Security > Request Access.
Anmerkung: Ist das Kennwort abgelaufen, wird dies über den Status angezeigt; in diesem Fall müssen Sie vor einer Zugriffsanforderung für die Ressource zunächst das Kennwort ändern. Klicken Sie auf Change Password, um das Kennwort zu aktualisieren.
Klicken Sie auf Request Access.

Wenn ein Gehäuse, das zuvor im Modus für die zentrale Benutzerverwaltung verwaltet wurde, den Zugriffstatus No access aufweist, müssen Sie möglicherweise die CMM-LDAP-Konfiguration aktualisieren und ein neues SSL-Zertifikat für den Verwaltungsknoten importieren. Dieses Szenario ist typisch, wenn die IP-Adresse des Verwaltungsknotens geändert wird, der Modus für die zentrale Benutzerverwaltung jedoch nicht vorübergehend für das Gehäuse inaktiviert wurde.

Wenn Sie die IP-Adresse des Verwaltungsknotens über die Befehlszeilenschnittstelle oder die Webschnittstelle ändern, ist das LDAP-SSL-Zertifikat nicht mehr mit dem zentral verwalteten Gehäuse synchronisiert und es ist Ihnen nicht möglich, mit IBM Flex System Manager-Berechtigungsnachweisen auf das CMM zuzugreifen. Gehen Sie wie folgt vor, um dieses Problem zu beheben:

Beginnen Sie eine Sitzung über die CMM-Befehlszeilenschnittstelle und melden Sie sich über den Account RECOVERY_ID an.
Anmerkung: Das Kennwort für den Account RECOVERY_ID wurde definiert, als Sie auf der Seite "Management Domain" das zu verwaltende Gehäuse ausgewählt haben.
Ist dies das erste Mal, dass Sie den Account RECOVERY_ID zum Anmelden am CMM verwendet haben, müssen Sie das Kennwort ändern.
Geben Sie, wenn die entsprechende Aufforderung angezeigt wird, das neue Kennwort für den Account RECOVERY_ID ein.
Führen Sie den folgenden Befehl aus, um die IP-Adresse des Verwaltungsknotens zu identifizieren: ldapcfg -T mm[p]
Achten Sie auf die IP-Adresse, die in der generierten Ausgabe neben dem Parameter i1 angezeigt wird. Dies ist die IP-Adresse des Verwaltungsknotens in der Konfiguration der CMM-Benutzerregistry.
Anmerkung: Falls für den Parameter i1 die alte IP-Adresse des Verwaltungsknotens angezeigt wird, führen Sie den folgenden Befehl aus, um die CMM-Konfiguration mit der neuen IP-Adresse des Verwaltungsknotens zu aktualisieren:
```
ldapcfg -i1 <neue_IP_Adresse> -T mm[p] 
```
Hierbei ist <neue_IP_Adresse> die neue IP-Adresse des Verwaltungsknotens.
Führen Sie den folgenden Befehl aus, um das Verwaltungsknotenzertifikat zu importieren:
```
sslcfg -tc1 import -u https://<IP_Adresse>/FRMServerCert.der -T mm[p]
```
Hierbei ist <IP_Adresse> die neue IP-Adresse des Verwaltungsknotens, die Sie im vorherigen Schritt identifiziert haben.
Wählen Sie für jedes Gehäuse, auf das Sie zugreifen möchten, auf der Seite "Chassis Manager" der Verwaltungssoftware-Webschnittstelle das Gehäuse aus und klicken Sie dann auf Actions > Security > Request Access. Die Seite "Request Access" wird geöffnet.
Klicken Sie auf OK.

Partial Access

Der Status Partial access gibt zwar an, dass eine Verbindung zwischen Verwaltungssoftware und verwalteter Ressource besteht, eine oder mehrere RSAPs jedoch entweder über keine oder ungültige Berechtigungsnachweise verfügen oder über gültige Berechtigungsnachweise mit einem abgelaufenen Kennwort.

Anmerkung: Mit den folgenden Schritten kann dieses Problem behoben werden, falls es durch einen oder mehrere RSAP-Berechtigungsnachweise für die verwaltete Ressource verursacht wurde. Es kann jedoch noch andere Ursachen für einen teilweisen Zugriff geben; so kann einer der RSAPs beispielsweise durch eine Firewall blockiert werden.

Aktivieren Sie das Kästchen für die Ressource und klicken Sie anschließend auf Actions > Security > Configure Access.
Geben Sie bei entsprechender Aufforderung die gültigen Berechtigungsnachweise ein.
Klicken Sie auf OK.

Wenn Sie die vorangehende Prozedur ausführen und das Problem des partiellen Zugriffs weiterhin vorliegt, überprüfen und beheben Sie gegebenenfalls alle folgenden Bedingungen:

Es gibt keine physische Verbindung.
Die Verbindung wird durch die Firewallkonfiguration für das Netzwerk verhindert.
Die verwaltete Ressource ist ausgeschaltet und muss eingeschaltet werden.
Die verwaltete Ressource muss erneut gestartet werden.