Avamar：Data Domainトークン認証がアクセス権不足エラーで失敗する

Data Domain Boostトークンベース認証使用時のバックアップ失敗

観察された動作

• Avamarクライアントは、トークンを使用してData Domainシステムへの接続を試みます。
• 接続が確立されているように見えますが、バックアップがほぼ即座に終了します。
• クライアント ログに、結果コード5075の警告と次のメッセージが含まれています "the user has insufficient access rights."
• バックアップで見つからないことが報告される /ddr_files.xml ファイルであり、不完全としてマークされます。
• この問題は、クライアントのサブセットにのみ影響する可能性があります。すべてのクライアントに障害が発生した場合、問題は異なる可能性があります。

失敗したクライアントからのログの抜粋例:

avtar Info <41236>: - Connecting to Data Domain Server name "test-dd-lab3.emc.com" with token:cc343af1edf716d3de8af0ede44cc9ab2285ebce
avtar Info <19156>: - Establishing a connection via token to the Data Domain system with encryption (Connection mode: A:3 E:2)

2018-02-05 08:55:44 avtar Warning <18125>: Calling DDR_OPEN_VIA_TOKEN returned result code:5075 message:the user has insufficient access rights
2018-02-05 08:55:44 avtar Error <10542>: Data Domain server "test-dd-lab3.emc.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
2018-02-05 08:55:44 avtar Error <10509>: Problem logging into the DDR server:'', only GSAN communication was enabled.
2018-02-05 08:55:44 avtar FATAL <17964>: Backup is incomplete because file "/ddr_files.xml" is missing

DNSまたはネットワーク アドレス変換の問題によるトークン ベース認証の失敗

エラーをトリガーする主な条件

• トークン認証には、Data Domain OSバージョン5.7.1.x以降が必要です。
• バックアップ クライアントは解決可能な完全修飾ドメイン名(FQDN)を使用する必要があります。
• クライアントの正引き(ホスト名→IP)および逆引き(IP→ホスト名)DNSルックアップでは、クライアント、Avamar Server、Data Domainシステムで同じ結果を返す必要があります。
• ルックアップが異なるか失敗した場合、クライアントは従来の認証にフォールバックします。トークンベースの認証は、次のエラーで失敗します。 error code 5075 ("the user has insufficient access rights").
• 送信元 IP アドレスを書き換える NAT デバイスの背後にあるクライアントは、DNS の整合性を損ない、同じ不十分アクセスエラーを引き起こします。

関連するエラーインジケータ

2018-02-05 08:55:44 avtar Warning <18125>: Calling DDR_OPEN_VIA_TOKEN returned result code:5075 message:the user has insufficient access rights

固定 "the user has insufficient access rights" トークンベースの認証でエラーが発生しました。

詳細な解決方法

次の手順に従って、AvamarとData Domainの間でトークン ベースの認証が機能することを確認します。

• バックアップ クライアント、Avamar Server、Data DomainシステムがクライアントのFQDN(完全修飾ドメイン名)を解決できること、正引き参照と逆引き参照で同じ結果が返されることを確認します。
• 異なるルックアップがある場合は、DNSエントリーを修正するか、影響を受けるホストに適切な/etc/hostsレコードを追加します。
• クライアントが、送信元 IP アドレスを書き換える NAT デバイスの背後にいないことを確認します。
• DNSが修正されたら、バックアップを再実行して、トークン認証が成功したことを確認します。
• 問題が解決しない場合は、Dellサポートでサービス リクエストを開き、このKBを参照してください。

クライアントマシンからの nslookup: 
 

@linux-testvm1 ~]$ nslookup linux-testvm1
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

@linux-testvm1 ~]$ nslookup linux-testvm1.emc.com
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

@linux-testvm1 ~]$ nslookup 10.46.18.11
...
Non-authoritative answer:
151.18.167.136.in-addr.arpa     name = linux-testvm1.emc.com.

Avamar ServerからのNslookup: 
 

admin@test-av1:~#: nslookup linux-testvm1
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

admin@test-av1:~#: nslookup linux-testvm1.emc.com
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

admin@test-av1:~#: nslookup 10.46.18.11
...
Non-authoritative answer:
151.18.167.136.in-addr.arpa     name = linux-testvm1.emc.com.

Data Domainシステムからのnslookup: 
 

SE@test-dd-lab3## net lookup linux-testvm1
linux-testvm1.emc.com has address 10.46.18.11

SE@test-dd-lab3## net lookup linux-testvm1.emc.com
linux-testvm1.emc.com has address 10.46.18.11

SE@test-dd-lab3## net lookup 10.46.18.11
151.18.167.136.in-addr.arpa domain name pointer linux-testvm1.emc.com.