Avamar:Goav dd check-ssl 功能的相關資訊
Summary: 本文說明如何使用 Goav dd check-ssl 功能來解決 Avamar 和 Data Domain 之間的 SSL 連線問題。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
下載並安裝 Goav 工具
請參閱 Dell 文章 000192151 Avamar:Goav 工具以下載和安裝 Avamar Goav 工具。
將 Goav 置於 Avamar 上後,前往目錄並使工具可執行。
chmod a+x goav
命令
執行下列命令,以使用 Data Domain check-ssl 功能:
./goav dd check-ssl
查看說明畫面以瞭解使用方式:
./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
Usage:
goav dd check-ssl [flags]
Flags:
--fix Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
-h, --help help for check-ssl
Global Flags:
-d, --debug debug output
-f, --force Ignore Configuration
-n, --noheader Do no display header
使用案例
當 Data Domain 與 Avamar 整合並啟用工作階段安全性時,兩者之間可能會出現憑證問題。
使用此工具診斷 Avamar 和 Data Domain 之間的潛在憑證問題。
範例
執行被動檢查,可保證不會對 Avamar 或 Data Domain 進行任何變更。
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:04 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester PASSED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
如果檢查失敗,則會有與之相關聯的錯誤訊息。
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:09 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag FAILED Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false
使用修正旗標以允許自動修復遇到的問題。
./goav dd check-ssl --fix =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 04:11 JST =========================================================== COMMAND : ./goav dd check-ssl --fix NOTE: This is not an official tool =========================================================== This feature may need to restart MCS/DDboost. Ok [yes/no]? y Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester FAILED enabling nfs... FIXED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
檢查說明
工作階段安全性
- 啟用「工作階段安全性」時,Avamar 和 Data Domain 之間會交換憑證。
- 停用「工作階段安全性」時,Avamar 和 Data Domain 之間不會交換憑證,因此沒有理由執行此工具。
- 使用修正旗標時,如果停用工作階段安全性,則不會自動啟用它。
DDR 安全性功能手動和主機憑證自動重新整理旗標
- 在大多數情況下,這些旗標在 Avamar 的 mcserver.xml 中應該為 false。
- 將手動旗標設為 false,可讓 MCS 簽署 Data Domain 憑證簽署要求,並為 Data Domain 產生已簽署的主機憑證。
- 如果手動旗標為 true,MCS 不會嘗試為 Data Domain 產生已簽署的主機憑證。
- 將主機憑證自動重新整理旗標設為 false 是常用的設定,因為已簽署的主機憑證會在每次遺失時都重新產生。
- 此工具可確保兩個旗標都設為預設值 false。
- 使用修正旗標時,如果這些旗標設為 true,則會自動將其變更為 false。
GSAN 憑證鏈和伺服器憑證到期
- GSAN 在連接埠 29000 上執行,該連接埠會託管具有金鑰組和憑證鏈的安全 TCP 連線。
- 此工具會檢查這些憑證是否未過期。
- 使用修正旗標時,如果 GSAN 憑證鏈已過期,則會使用 mcrootca 和 enable_secure_config.sh 重新產生該憑證鏈。
- 如果只有 GSAN 伺服器憑證到期,可以使用「enable_secure_config.sh」重新產生該憑證,而不會產生任何停機時間。修正旗標會自動執行此操作。
取得附加的 Data Domain
- 從 ddrmaint 持續性存放區擷取新增的 Data Domain。
- 會針對每個附加的 Data Domain 完成下列檢查。
檢查 DDR 金鑰是否存在
- 請確定用於從 Avamar 到 Data Domain 之無密碼驗證的 DDR 私人金鑰是否存在且可讀取。
- 使用修正旗標時,如果金鑰不存在,系統會使用 mcddrsetup_sshkey 自動重新產生該金鑰,並將新金鑰匯入到每個附加的 Data Domain。
測試連接埠 22
- 確定 Avamar 和 Data Domain 之間的連接埠 22 已開啟,且 Data Domain 正在接聽。
- 如果連接埠已關閉,且使用了修正旗標,則不會進行任何變更。
測試 DDR 金鑰 SSH 驗證
- 嘗試使用現有 DDR 私人金鑰 (而非密碼) 連線至附加的 Data Domain。
- 使用修正旗標時,如果此連線失敗,此工具會自動將現有 DDR 私人金鑰匯入至 Data Domain。
Data Domain SCP 已啟用
- 請確定 Data Domain 上已啟用安全複製通訊協定 (SCP)。
- SCP 用於在 Avamar 和 Data Domain 之間傳輸憑證等檔案,如果停用,Avamar 便無法將憑證傳送至 Data Domain。
- 如果 SCP 已停用並使用了修正旗標,此工具會自動在 Data Domain 上啟用 SCP。
Data Domain NFS 已啟用
- 請確定 Data Domain 上已啟用 NFS 的第 3 或第 4 版。
- 使用修正旗標時,如果 NFS 已停用,此工具會自動啟用 NFS,其預設為啟用 NFS 第 3 版。
- 如果停用 NFS,Avamar 和 Data Domain 便無法正確通訊。
Data Domain 系統密碼片語
- 請確定已設定 Data Domain 系統密碼片語。
- 必須先設定 Data Domain 系統密碼片語,系統才能支援資料加密、要求數位憑證,並防止資料遭到粉碎銷毀。
- 使用修正旗標時,如果未設定密碼片語,則不會進行任何變更,使用者必須在方便的時間前往設定 Data Domain 系統密碼片語,最好是使用 Data Domain Web 介面的「管理」->「存取」->「系統管理員存取」。
Data Domain 匯入的主機 DDBoost
- 確定 Data Domain 上的已簽署主機憑證 (imported-host ddboost) 存在且未過期。
- 此憑證由 MCS (GSAN 憑證鏈) 簽署。
- 使用修正旗標時,如果該憑證遺失或已過期,則此工具會嘗試透過以下步驟重新產生該憑證。
- 刪除現有已匯入的主機 ddboost 憑證。
- 載入 Avamar GSAN 憑證鏈。
- 刪除 Data Domain 上現有匯入的 ca ddboost 和 login-auth 憑證 (Avamar GSAN 憑證鏈)。
- 重新啟動 DDBoost。
- 重新啟動 MCS。
- 傳送「mccli dd edit」命令來執行 Data Domain 同步,這是推動 MCS 產生新憑證並將其匯入至 Data Domain 的因素。
Data Domain 主機簽發者已附加
- 檢查 Data Domain 已簽署的主機憑證 (imported-host ddboost) 是否具有其可成功匯出的配對 Avamar GSAN 憑證鏈 (匯入的 ca ddboost)。
- 使用修正旗標時,如果驗證失敗,則此工具會嘗試透過以下步驟重新產生該憑證。
- 刪除現有已匯入的主機 ddboost 憑證。
- 載入 Avamar GSAN 憑證鏈。
- 刪除 Data Domain 上現有匯入的 ca ddboost 和 login-auth 憑證 (Avamar GSAN 憑證鏈)。
- 重新啟動 DDBoost。
- 重新啟動 MCS。
- 傳送「mccli dd edit」命令來執行 Data Domain 同步,這是推動 MCS 產生新憑證並將其匯入至 Data Domain 的因素。
- 此檢查的意義在於,Data Domain 可能會由數個 Avamar 伺服器使用,且每個伺服器都有自己的 GSAN 憑證鏈。Data Domain 已簽署的主機憑證僅會由一個 Avamar 簽署,且必須能夠找到簽署它的憑證。
Avamar 鏈已匯入至 Data Domain
- 檢查 Avamar GSAN 憑證鏈是否已匯入至 Data Domain。
- 比較 Avamar Server 上存在之鏈的 SHA1 指紋,以及 Data Domain 上存在的一或多個匯入的 ca ddboost 憑證。
- 之所以執行此檢查,是因為可能尚未匯入 Avamar 鏈,或是舊 Avamar 鏈可能存在於其來自相同伺服器的位置,這可能是在於 Avamar 上重新產生之憑證的執行個體中。
- 當多個 Avamar 伺服器使用相同的 Data Domain 時,每個 Avamar GSAN 憑證鏈都必須以匯入的 ca ddboost 和 login-auth 存在於 Data Domain 上。其中只有一個是對 Data Domain 簽署之主機憑證的簽發者。
- 使用修正旗標時,如果檢查失敗,則此工具會嘗試透過以下步驟重新產生該憑證。
- 刪除現有已匯入的主機 ddboost 憑證。
- 載入 Avamar GSAN 憑證鏈。
- 刪除 Data Domain 上現有匯入的 ca ddboost 和 login-auth 憑證 (Avamar GSAN 憑證鏈)。
- 重新啟動 DDBoost。
- 重新啟動 MCS。
- 傳送「mccli dd edit」命令來執行 Data Domain 同步,這是推動 MCS 產生新憑證並將其匯入至 Data Domain 的因素。
備份排程器狀態
- 這是可確保備份排程器對使用者而言處於已知狀態的協助程式檢查。
- 這是在是否使用修正旗標時提示啟動服務的唯一檢查方式。
Additional Information
上觀看此相同影片。)Affected Products
Avamar, Data DomainArticle Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.