未解决
Community Manager
•
6.3K 消息
0
419
Avamar:由于 DNS 查询花费的时间过多,备份失败 — avtar 严重 <8941>:严重的服务器连接问题,导致初始化中止。
知识库文章:000532022
Avamar:由于 DNS 查询花费的时间过多,备份失败 — avtar 严重 <8941>:严重的服务器连接问题,导致初始化中止。验证服务器地址和登录凭据是否正确。(000532022)
主要产品:Avamar
产品:Avamar、Avamar Client for Windows
| 版本:3 | 文章类型:中断修复 | 目标受众:级别 30 = 客户 | 上次发布时间:2019 年 7 月 9 日(星期二),22:34:38 GMT |
| 摘要: | 本篇知识库文章旨在说明 avtar 握手失败但 ping 正常工作并且所需 TCP 端口号 也开放的特殊情况。 |
| 问题: | 在此情景下,我们发现,一些客户端受到影响,而其他的一些客户端则不受影响。 avtar FATAL <8941>: Fatal server connection problem, aborting initialization. Verify correct server address and login credentials. avtar Info <5694>: - Failed initial handshake, trying again avtar Info <5562>: - - Connect: Trying 10.xx.xx.xx:29000 通过添加日志调试,我们可以在日志中看到额外的信息: [avtar] sslcertificate::verify_certificate_ip CN Name='Avamar Server RSA TLS' [avtar] sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS [avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx [avtar] sslcertificate::verify_certificate_ip CN Name=' ' [avtar] sslcertificate::verify_cnname Performing CN Name validation for [avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx [avtar] sslcertificate::verify_certificate_ip CN Name field did not match Hostname - Checking SA Names [avtar] sslcertificate::verify_certificate_ip rawIPAddrLen = 4 [avtar] sslcertificate::verify_certificate_ip Comparing 10.xx.xx.xx with 10.xx.xx.xx [avtar] sslcertificate::verify_certificate_ip Certificate successfully verified [avtar] <-- SSL [avtar] <-- TLS 1.2 Handshake, ServerHelloDone [avtar] --> SSL [avtar] --> TLS 1.2 Handshake, ClientKeyExchange [avtar] --> SSL [avtar] --> TLS 1.2 ChangeCipherSpec [avtar] --> SSL [avtar] --> TLS 1.2 Handshake, Finished >[avtar] sslsockimpl::open connect failure (setrslt 1) (conrslt 0) >[avtar] Printing ssl error stack [avtar] certlock::~certlock() success to remove SSL cert lock 'C:\Program Files\avs\etc\.tmp\.certlock' [avtar] sslsockimpl::save_server_cert saving cert='C:\Program Files\avs\etc\servercert.pem' [avtar] sslsockimpl::save_server_cert cipher='AES256-SHA' >[avtar] sslsockimpl::open failure > avtar Info <5694>: - Failed initial handshake, trying again 出于故障排除的目的,我们检查并确认 TCP 端口 28001、28002、27000 和 29000 全部开放,并且根据 Avamar 安全指南,这些端口均在正确的 TCP 方向中,ping 和 DNS 解析也正常工作。 |
| | |
| 原因: | 此问题是由于 DNS 查询中的响应时间较长而引起的,事实上,我们可以看到“DnsQuery(dns) returned”每次花费的时间超过 10 秒,请注意,握手过程在完全失败前会运行多次查询尝试。 2019/03/05-10:22:41.39299 [avtar] sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS 2019/03/05-10:22:53.30100 [avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx 整个握手过程需要大约 50 秒才能完成和失败: 2019/03/05-10:22:14.89800 [avtar] sslsockimpl::open initclient success .... 2019/03/05-10:23:05.41599 [avtar] sslsockimpl::open failure
2019/03/05-11:56:06.97600 [avtar] sslcertificate::verify_cnname Performing CN Name validation for 2019/03/05-11:56:07.79600 [avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx 整个握手过程将在大约 13 秒内完成: 2019/03/05-11:55:54.12400 [avtar] sslsockimpl::open initclient success ... 2019/03/05-11:56:07.82899 [avtar] sslsockimpl::open initclient success, cipher: AES256-SHA 在摘要中,根本原因是 DnsQuery 在受影响的客户端计算机上花费了过多时间。 |
| | |
| 解决方法: | 为了解决此类型问题,系统管理员需要在 DNS 服务器上采取操作以解决此延迟。 |
| | |
| 注意: | 如果您遇到相同的错误,但 DNS 在一秒之内做出响应,则您可能会遇到其他类型的问题。 |
| | |
| 主要产品: | Avamar |
| | |
| 产品: | Avamar、Avamar Client for Windows |