DR und Anzeigegeräte funktionieren nach XSCF-Neustart nicht mehr (6821108)

Nach dem Neustart des XSCF-Service-Prozessors auf OPL-Systemen gehen die IPsec-Verbindungen verloren. Daraufhin wird für den XSCF-Service-Prozessor die folgende Fehlermeldung angezeigt:

XSCF> showdevices -d 0

Can't get device information from DomainID 0.

Die folgende Meldung wird in der Datei /var/adm/messages auf der Domain angezeigt:

Apr  7 11:19:20 domain-0 sckmd: [ID 205163 daemon.error] 
PF_KEY error: type=ADD, errno=17: File exists, diagnostic code=0: No diagnostic

Dieses Problem tritt auf, weil die vorhandenen Security Associations (SAs) auf der Domain nicht ordnungsgemäß gelöscht wurden, und deshalb die neuen SAs nicht hinzugefügt werden können.

Problemumgehung 1: Führen Sie den Neustart des XSCF-Service-Prozessors zweimal durch. Beim ersten Neustart wird eine Hälfte der SAs gelöscht, beim zweiten die andere Hälfte. Beim zweiten Mal ist das Hinzufügen erfolgreich, und die IPsec-Kommunikation wird wiederhergestellt.

Problemumgehung 2: Löschen Sie die IPsec-SAs zweimal auf jeder Domain, bevor Sie den Dienstprozessor neu starten.

Wenn Sie IPsec auf dem System für nichts anderes verwenden, wird ipseckey flush alle SAs anzeigen. Wenn Sie IPsec auch für andere Zwecke verwenden, müssen Sie folgende Schritte ausführen, um alle SAs anzuzeigen:

1. IP-Adressen ermitteln:

   # /usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp Domain Address: 192.168.224.2 SP Address: 192.168.224.1

2. Löschen Sie die SPIs zweimal mithilfe der Dienstprogramme ipseckey und prtdscp:

   # ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff00 dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -s` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d` # ipseckey delete ah spi 0xff dst `/usr/platform/SUNW,SPARC-Enterprise/sbin/prtdscp -d`

   Beim Neustart des Dienstprozessors werden die Schlüssel korrekt hinzugefügt.