Avamar - DataDomain-varmuuskopiointivirhe, joka johtuu liian monesta IP-osoitteesta johtuvasta DDR_GET_AUTH_TOKEN

Avtar-lokit ilmoittavat varmuuskopioinnin epäonnistuneen virheellisen tunnuksen vuoksi:

<katkelma>
2017-05-26 14:04:56 avtar Info <10539>: Yhdistäminen Data Domain -palvelimeen "testdd.dell.com"(1) (LSU: avamar-1393882510) todennustunnuksella
2017-05-26 14:04:56 avtar Info <10540>: - Ratkaistu Data Domain -palvelimen nimi "testdd.dell.com" IP-osoitteeseen "10.241.170.73"
2017-05-26 14:04:56 avtar Info <41236>: - Yhteyden muodostaminen Data Domain Server -nimeen "testdd.dell.com" tunnuksella:5ba93c9db0cff93f52b521d7420e43f6edxxxxxx
2017-05-26 14:04:56 avtar Virhe <41439>: Virheellisen tunnuksen käyttäminen:5ba93c9db0cff93f52b521d7420e43f6edxxxxxx
2017-05-26 14:04:56 avtar Virhe <10542>: Data Domain -palvelimen "testdd.dell.com" avaaminen epäonnistui DDR-tuloskoodi: 4904, desc: Virheellinen API-argumentti.
2017-05-26 14:04:56 avtar Virhe <10509>: Ongelma kirjauduttaessa DDR-palvelimeen:'', vain GSAN-yhteys oli käytössä.
2017-05-26 14:04:56 avtar FATAL <17964>: Varmuuskopiointi on puutteellista, koska tiedosto "/ddr_files.xml" puuttuu
2017-05-26 14:04:56 avtar Info <10642>: DDR-virheet aiheuttivat varmuuskopion kirjaamatta jättämisen, virheet=0, fatals=0
2017-05-26 14:04:56 avtar Info <12530>: Varmuuskopiointia ei sidottu DDR:ään.
2017-05-26 14:04:56 AVTAR FATAL <8941>: Vakava palvelinyhteysongelma, joka keskeyttää alustuksen. Tarkista palvelimen osoite ja kirjautumistiedot oikein.
2017-05-26 14:04:56 Avtar Info <6149>: Virheen yhteenveto: 5 virhettä: 41439, 10542, 8941, 10509, 17964
2017-05-26 14:04:56 Avtar Info <8468>: Päätösviestin lähettäminen vanhemmalle
2017-05-26 14:04:56 avtar Info <5314>: Komento epäonnistui (5 virhettä, poistumiskoodi 10008: yhteyden muodostaminen palvelimeen ei onnistu (mahdollinen verkko- tai DNS-vika))
<snip>

Tiedoston /usr/local/avamar/var/ddrmaintlogs/ddrmaint.log tarkistus näyttää virheilmoituksen, että yhden tunnuksen pyyntöön näyttää liittyvän suuri määrä IP-osoitteita:

<katkelma>
26. toukokuuta 14:17:27 testava ddrmaint.bin[107666]: Info: request-token:open_ddr:service handle:1 index:1 server:testdd.dell.com user:ddboost duration=1800 vanhenee=2017-05-26 14:47:27
May 26 14:17:27 testava ddrmaint.bin[107666]: Tiedot: ddrmaint Info <41440>: Data Domain handle:1 capabilities:0x0020023B
May 26 14:17:27 testava ddrmaint.bin[107666]: Varoitus: Kutsu DDR_GET_AUTH_TOKEN palautti tuloskoodin:(4904) Virheellinen API-argumentti. message:Saavutettu asiakasohjelman isäntänimien enimmäismäärä. 52 > 16
. toukokuuta 26 14:17:27 testava ddrmaint.bin[107666]: Virhe: request-token::body – Tunnuksen hakeminen epäonnistui. Käytä tunnusta=1:00. Virhe:4904 Syy:Virheellinen API-argumentti.
26. toukokuuta 14:17:27 testava ddrmaint.bin[107666]: Virhe: <xxxx>Datadomain-pyyntötunnuksen käyttö epäonnistui.
26. toukokuuta 14:17:27 testava ddrmaint.bin[107666]: Info: ============================= pyyntötunnus päättyi 0 sekunnissa
May 26 14:17:27 testava ddrmaint.bin[107666]: Info: ============================= pyyntötunnus cmd valmis =============================
<katkelma>

Tällä hetkellä DDboost-ohjelmointirajapinnan rajoituksen vuoksi IP-osoitteiden ja isäntänimien yhteisenimmäismäärä yhdelle tunnuspyynnölle on 16.

Data Domain -tiimin kanssa tarvitaan RFE, jotta tietyn asiakkaan yhdellä tunnuspyynnöllä hyväksyttyjen IP-osoitteiden enimmäismäärä kasvaa.

Varmista, että ongelmallisella asiakkaalla on todella niin monta IP-osoitetta ongelman tarkistamiseksi.  Varmista tämä ifconfig (Linux) ipconfig (Windows) -komennoilla. 

Väliaikaisena kiertotapana on mahdollista poistaa tunnukseen perustuva todennus käytöstä.

1. Tarkista mcserver.xml tiedoston nykyiset tunnusasetukset:
 

grep -i use_ddr_auth_token /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml

<entry key="use_ddr_auth_token" value="true" />2. Luo varmuuskopio mcserver.xml:

cp -p /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml /usr/local/avamar/var/mc/server_data/prefs/x-mcserver.xml-backup-with-token

3. Dsable-tunnukseen perustuva todennus. 

Huomautus: Tunnustodennusta ei voi poistaa käytöstä vain asiakkailta, joita haavoittuvuus koskee. Mutta on mahdollista poistaa tunnuspohjainen todennus laajennusta kohti.

Pysyvä korjaus:
 Tällä hetkellä pysyvää korjausta ei ole saatavilla.  Data Domain Engineeringin kanssa on avattu RFE, joka lisää hostamien ja IP-osoitteiden määrän rajoitusta, kun pyydetään tunnusta ddboostilla.  Tätä tietoartikkelia päivitetään RFE:n päätöslauselman seurauksena.