Avamar: Falha no backup porque a consulta DNS demora muito tempo - avtar FATAL <8941>: Fatal server connection problem, aborting initialization. Verifique o endereço do servidor e as credenciais de login corretos.
Summary: O objetivo deste artigo da KB é explicar o cenário especial em que o handshake avtar falha, mas o ping funciona e os números de porta TCP necessários também estão abertos.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Nesse cenário, descobrimos que alguns clientes foram afetados e outros não.
Para o client afetado, o problema ocorre com os backups do Win FS, bem como com os backups do VSS.
Nos logs avtar, podemos ver a seguinte mensagem de erro:
avtar FATAL <8941>: Fatal server connection problem, aborting initialization. Verify correct server address and login credentials. avtar Info <5694>: - Failed initial handshake, trying again avtar Info <5562>: - - Connect: Trying 10.xx.xx.xx:29000 Adding log debugging we can see the extra bit of information in the log:
[avtar] sslcertificate::verify_certificate_ip CN Name='Avamar Server RSA TLS'
[avtar] sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS
[avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx
[avtar] sslcertificate::verify_certificate_ip CN Name='<avamar-server-fqdn>'
[avtar] sslcertificate::verify_cnname Performing CN Name validation for <avamar-server-fqdn>
[avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx
[avtar] sslcertificate::verify_certificate_ip CN Name field did not match Hostname - Checking SA Names
[avtar] sslcertificate::verify_certificate_ip rawIPAddrLen = 4
[avtar] sslcertificate::verify_certificate_ip Comparing 10.xx.xx.xx with 10.xx.xx.xx
[avtar] sslcertificate::verify_certificate_ip Certificate successfully verified
[avtar] <-- SSL
[avtar] <-- TLS 1.2 Handshake, ServerHelloDone
[avtar] --> SSL
[avtar] --> TLS 1.2 Handshake, ClientKeyExchange
[avtar] --> SSL
[avtar] --> TLS 1.2 ChangeCipherSpec
[avtar] --> SSL
[avtar] --> TLS 1.2 Handshake, Finished
>[avtar] sslsockimpl::open connect failure (setrslt 1) (conrslt 0)
>[avtar] Printing ssl error stack
[avtar] certlock::~certlock() success to remove SSL cert lock 'C:\Program Files\avs\etc\.tmp\.certlock'
[avtar] sslsockimpl::save_server_cert saving cert='C:\Program Files\avs\etc\servercert.pem'
[avtar] sslsockimpl::save_server_cert cipher='AES256-SHA'
>[avtar] sslsockimpl::open failure
> avtar Info <5694>: - Failed initial handshake, trying again
For the troubleshooting purpose we checked and confirmed that the TCP ports 28001, 28002, 27000 and 29000 were all open and within the correct TCP directions as per Avamar security guide, ping and DNS resolution were also working fine.
Cause
Esse problema é devido ao longo tempo de resposta nas consultas DNS, na verdade, podemos ver que o "DnsQuery(dns) retornado" estava levando mais de 10 segundos todas as vezes, observe que o processo de handshake executa várias tentativas de consulta antes de falhar completamente.
Por exemplo:
Por exemplo:
2019/03/05-10:22:41.39299 [avtar] sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS 2019/03/05-10:22:53.30100 [avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx And the entire handshake process would require about 50 seconds to complete and fail:
2019/03/05-10:22:14.89800 [avtar] sslsockimpl::open initclient success .... 2019/03/05-10:23:05.41599 [avtar] sslsockimpl::open failure
For comparison here is an example from a working client where we see that the the "DnsQuery" is returned in less than 1 second:
2019/03/05-11:56:06.97600 [avtar] sslcertificate::verify_cnname Performing CN Name validation for <avamar-server-fqdn> 2019/03/05-11:56:07.79600 [avtar] uwrapper::gethostbyaddr DnsQuery(dns) returned (9002) for 10.xx.xx.xx And the entire handshake process would complete in about 13 seconds:
2019/03/05-11:55:54.12400 [avtar] sslsockimpl::open initclient success ... 2019/03/05-11:56:07.82899 [avtar] sslsockimpl::open initclient success, cipher: AES256-SHA In a summary, the root cause is identified as DnsQuery spent too much time on the affected client machines.
Resolution
Para resolver esse tipo de problema, o administrador do sistema precisa realizar ações no servidor DNS para resolver esse atraso.
Como o problema está fora do escopo do produto de backup do Avamar, o administrador do sistema precisa ser envolvido.
Como o problema está fora do escopo do produto de backup do Avamar, o administrador do sistema precisa ser envolvido.
Additional Information
Caso você enfrente os mesmos erros, mas no seu caso, o DNS reaparece em menos de um segundo, então você pode estar enfrentando um tipo diferente de problema.
Verifique primeiro na Base de conhecimento da Dell EMC para ver se algum outro artigo da KB pode ajudá-lo a resolver esse problema. Caso contrário, entre em contato com a equipe de suporte do Avamar.
Verifique primeiro na Base de conhecimento da Dell EMC para ver se algum outro artigo da KB pode ajudá-lo a resolver esse problema. Caso contrário, entre em contato com a equipe de suporte do Avamar.
Affected Products
AvamarProducts
Avamar, Avamar Client for WindowsArticle Properties
Article Number: 000055434
Article Type: Solution
Last Modified: 11 Oct 2024
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.