Avamar:由于 DNS 查询花费的时间过多,备份失败 — avtar 严重 <8941>:严重的服务器连接问题,导致初始化中止。

版主
版主

Avamar:由于 DNS 查询花费的时间过多,备份失败 — avtar 严重 <8941>:严重的服务器连接问题,导致初始化中止。

 

知识库文章:000532022 

 

Avamar:由于 DNS 查询花费的时间过多,备份失败 — avtar 严重 <8941>:严重的服务器连接问题,导致初始化中止。验证服务器地址和登录凭据是否正确。(000532022)

主要产品:Avamar

产品:AvamarAvamar Client for Windows

版本:3

文章类型:中断修复

目标受众:级别 30 = 客户

上次发布时间:2019 7 9 日(星期二),22:34:38 GMT

 

摘要:

本篇知识库文章旨在说明

avtar 握手失败但 ping 正常工作并且所需 TCP 端口号

也开放的特殊情况。

 

问题:

在此情景下,我们发现,一些客户端受到影响,而其他的一些客户端则不受影响。
对于受影响的客户端,Win FS 备份和 VSS 备份均会出现此问题。

avtar 日志中,我们可以看到以下错误消息:

avtar FATAL <8941>: Fatal server connection problem, aborting initialization. Verify correct server address and login credentials.

avtar Info <5694>: - Failed initial handshake, trying again

avtar Info <5562>: - - Connect: Trying 10.xx.xx.xx:29000

通过添加日志调试,我们可以在日志中看到额外的信息:

[avtar]  sslcertificate::verify_certificate_ip CN Name='Avamar Server RSA TLS'

    [avtar]  sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS

    [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

    [avtar]  sslcertificate::verify_certificate_ip CN Name='<avamar-server-fqdn>'

    [avtar]  sslcertificate::verify_cnname Performing CN Name validation for <avamar-server-fqdn>

    [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

    [avtar]  sslcertificate::verify_certificate_ip CN Name field did not match Hostname - Checking SA Names

    [avtar]  sslcertificate::verify_certificate_ip rawIPAddrLen = 4

    [avtar]  sslcertificate::verify_certificate_ip Comparing 10.xx.xx.xx with 10.xx.xx.xx

    [avtar]  sslcertificate::verify_certificate_ip Certificate successfully verified

    [avtar]  <-- SSL

    [avtar]  <-- TLS 1.2 Handshake, ServerHelloDone

    [avtar]  --> SSL

    [avtar]  --> TLS 1.2 Handshake, ClientKeyExchange

    [avtar]  --> SSL

    [avtar]  --> TLS 1.2 ChangeCipherSpec

    [avtar]  --> SSL

    [avtar]  --> TLS 1.2 Handshake, Finished

>[avtar]  sslsockimpl::open  connect failure  (setrslt 1)  (conrslt 0)

>[avtar]  Printing ssl error stack

    [avtar]  certlock::~certlock() success to remove SSL cert lock 'C:\Program Files\avs\etc\.tmp\.certlock'

    [avtar]  sslsockimpl::save_server_cert saving cert='C:\Program Files\avs\etc\servercert.pem'

    [avtar]  sslsockimpl::save_server_cert cipher='AES256-SHA'

>[avtar]  sslsockimpl::open  failure

> avtar Info <5694>: - Failed initial handshake, trying again

出于故障排除的目的,我们检查并确认 TCP 端口 280012800227000 29000 全部开放,并且根据 Avamar 安全指南,这些端口均在正确的 TCP 方向中,ping DNS 解析也正常工作。

 

 

 

 

原因:

此问题是由于 DNS 查询中的响应时间较长而引起的,事实上,我们可以看到“DnsQuery(dns) returned”每次花费的时间超过 10 秒,请注意,握手过程在完全失败前会运行多次查询尝试。

按照示例:

2019/03/05-10:22:41.39299 [avtar]  sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS

2019/03/05-10:22:53.30100 [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

整个握手过程需要大约 50 秒才能完成和失败:

2019/03/05-10:22:14.89800 [avtar]  sslsockimpl::open  initclient success

....

2019/03/05-10:23:05.41599 [avtar]  sslsockimpl::open  failure


为了进行比较,下面提供一个来自正常工作的客户端的示例,在该示例中,我们看到“DnsQuery” 1 秒之内返回:

2019/03/05-11:56:06.97600 [avtar]  sslcertificate::verify_cnname Performing CN Name validation for <avamar-server-fqdn>

2019/03/05-11:56:07.79600 [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

整个握手过程将在大约 13 秒内完成:

2019/03/05-11:55:54.12400 [avtar]  sslsockimpl::open  initclient success

...

2019/03/05-11:56:07.82899 [avtar]  sslsockimpl::open  initclient success, cipher: AES256-SHA

在摘要中,根本原因是 DnsQuery 在受影响的客户端计算机上花费了过多时间。

 

解决方法:

为了解决此类型问题,系统管理员需要在 DNS 服务器上采取操作以解决此延迟。

由于该问题超出 Avamar 备份产品的范围,因此系统管理员需要参与进来。

 

注意:

如果您遇到相同的错误,但 DNS 在一秒之内做出响应,则您可能会遇到其他类型的问题。
请先检查 Dell EMC 知识库,以了解是否有任何其他知识库文章可帮助您解决此问题,如果没有,请与 Avamar 支持团队联系。

 

主要产品:

Avamar

 

产品:

Avamar、Avamar Client for Windows

 

 

 

版本历史
修订号
1 / 1
上次更新时间:
‎02-25-2020 05:51 PM
更新依据:
 
贡献者