Avamar: Information om Goav dd check-ssl-funktion

Summary: I den här artikeln beskrivs hur du använder Goav dd check-ssl-funktionen för att lösa problem med SSL-anslutningen mellan Avamar och Data Domain.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Ladda ner och installera Goav-verktyget

Läs Dell-artikeln 000192151 Avamar: Goav-verktyget för att ladda ner och installera Avamar Goav-verktyget.

När Goav har placerats på Avamar går du till katalogen och gör verktyget körbart.

chmod a+x goav

Kommando

Använd funktionen Data Domain check-ssl genom att köra följande kommando:

./goav dd check-ssl

Kontrollera användningen på hjälpskärmen:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Användningsfall

När Data Domain är integrerat med Avamar och sessionssäkerhet är aktiverat kan det uppstå ett certifikatproblem mellan dem.

Använd det här verktyget för att diagnostisera potentiella certifikatproblem mellan Avamar och Data Domain.

Exempel

Kör passiva kontroller som garanterar att inga ändringar görs i Avamar eller Data Domain.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Om en kontroll misslyckas finns det ett felmeddelande associerat med den.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Använd korrigeringsflaggan för att tillåta automatisk reparation av problem som uppstår.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Förklaring av kontroller

Sessionssäkerhet

  • När sessionssäkerhet är aktiverat utbyts certifikat mellan Avamar och Data Domain.
  • När sessionssäkerhet är inaktiverat utbyts inte certifikat mellan Avamar och Data Domain, så det finns ingen anledning att köra det här verktyget.
  • När korrigeringsflaggan används, om sessionssäkerhet är inaktiverad, aktiveras den inte automatiskt.

DDR-säkerhetsfunktionsmanual och flagga för automatisk uppdatering av värdcertifikat

  • Dessa flaggor bör vara falska i Avamars mcserver.xml i de flesta fall.
  • Om du ställer in den manuella flaggan på false kan MCS signera begäran om signering av Data Domain-certifikat och generera ett signerat värdcertifikat för Data Domain.
  • Om den manuella flaggan är true försöker MCS inte generera ett signerat värdcertifikat för Data Domain.
  • Att ställa in flaggan för automatisk uppdatering av värdcertifikat till false är den vanliga inställningen eftersom det signerade värdcertifikatet återskapas när det saknas.
  • Verktyget ser till att båda flaggorna är inställda på standardvärdet false.
  • När fixflaggan används ändras dessa flaggor automatiskt till false om de är inställda på true.

GSAN-certifikatkedja och förfallodatum för servercertifikat

  • GSAN körs på port 29000 som är värd för en säker TCP-anslutning med ett nyckelpar och en certifikatkedja.
  • Verktyget kontrollerar att dessa certifikat inte har upphört att gälla.
  • Om GSAN-certifikatkedjan har upphört att gälla när korrigeringsflaggan används återskapas den med hjälp av mcrootca och enable_secure_config.sh.
  • Om endast GSAN-servercertifikatet har upphört att gälla kan det återskapas med hjälp av "enable_secure_config.sh" utan driftavbrott. Korrigeringsflaggan gör detta automatiskt.

Hämta anslutna Data Domains

  • Hämta tillagda Data Domains från ddrmaint beständigt arkiv.
  • Följande kontroller utförs för varje ansluten Data Domain.

Kontrollera att DDR-nyckeln finns

  • Kontrollera att den DDR-privata nyckel som används för lösenordsfri autentisering från Avamar till Data Domain finns och är läsbar.
  • Om nyckeln inte finns när korrigeringsflaggan används återskapas den automatiskt med hjälp av mcddrsetup_sshkey och den nya nyckeln importeras till varje ansluten Data Domain.

Testport 22

  • Kontrollera att port 22 är öppen mellan Avamar och Data Domain och att Data Domain lyssnar.
  • Om porten är stängd och korrigeringsflaggan används görs inga ändringar.

Testa DDR-nyckel SSH-autentisering

  • Försök att ansluta till ansluten Data Domain med hjälp av den befintliga privata DDR-nyckeln i stället för ett lösenord.
  • Om den här anslutningen misslyckas när korrigeringsflaggan används importerar verktyget automatiskt den befintliga privata DDR-nyckeln till Data Domain.

Data Domain SCP aktiverat

  • Kontrollera att Secure Copy Protocol (SCP) är aktiverat på Data Domain.
  • SCP används för att överföra filer, t.ex. certifikat, mellan Avamar och Data Domain. Om det är inaktiverat kan Avamar inte skicka certifikaten till Data Domain.
  • Om SCP är inaktiverat och korrigeringsflaggan används aktiveras SCP automatiskt på Data Domain.

Data Domain NFS aktiverat

  • Kontrollera att version 3 eller 4 av NFS är aktiverad på Data Domain.
  • När korrigeringsflaggan används, om NFS är inaktiverat, aktiverar verktyget automatiskt NFS som standard aktiverar NFS version 3.
  • Om NFS är inaktiverat kan Avamar och Data Domain inte kommunicera korrekt.

Lösenfras för Data Domain-system

  • Kontrollera att lösenfrasen för Data Domain-systemet är inställd.
  • Data Domain-systemlösenfrasen måste anges innan systemet kan stödja datakryptering, begära digitala certifikat och skydda mot dataförstöring.
  • Om lösenfrasen inte är inställd när korrigeringsflaggan används görs inga ändringar och användaren måste ange lösenfrasen för Data Domain-systemet vid en lämplig tidpunkt, helst med hjälp av Data Domain-webbgränssnittet på Administration –> Åtkomst –> Administratörsåtkomst.

Data Domain importerad värd DDBoost

  • Kontrollera att det signerade värdcertifikatet (imported-host ddboost) på Data Domain finns och inte har upphört att gälla.
  • Detta certifikat är signerat av MCS (GSAN certificate chain).
  • När korrigeringsflaggan används, om den saknas eller har upphört att gälla, försöker verktyget att återskapa den med följande steg.
    • Ta bort det befintliga importerade ddboost-värdcertifikatet.
    • Läs in Avamar GSAN-certifikatkedjan.
    • Ta bort det befintliga importerade ca, ddboost- och login-auth-certifikatet (Avamar GSAN-certifikatkedja) på Data Domain.
    • Starta om DDBoost.
    • Starta om MCS.
    • Utför en Data Domain-synkronisering genom att skicka kommandot "mccli dd edit". Det är detta som driver MCS att generera och importera de nya certifikaten till Data Domain.

Data Domain-värdutfärdaren är ansluten

  • Kontrollera att det Data Domain-signerade värdcertifikatet (imported-host ddboost) har en länkad Avamar GSAN-certifikatkedja (importerad ca ddboost) som kan exporteras.
  • Om det inte går att validera korrigeringsflaggan när korrigeringsflaggan används försöker verktyget återskapa den med följande steg.
    • Ta bort det befintliga importerade ddboost-värdcertifikatet.
    • Läs in Avamar GSAN-certifikatkedjan.
    • Ta bort det befintliga importerade ca, ddboost- och login-auth-certifikatet (Avamar GSAN-certifikatkedja) på Data Domain.
    • Starta om DDBoost.
    • Starta om MCS.
    • Utför en Data Domain-synkronisering genom att skicka kommandot "mccli dd edit". Det är detta som driver MCS att generera och importera de nya certifikaten till Data Domain.
  • Betydelsen av denna kontroll är att Data Domain kan användas av flera Avamar-servrar, var och en med sin egen GSAN-certifikatkedja. Det Data Domain-signerade värdcertifikatet är endast signerat av en Avamar och måste kunna hitta det certifikat som signerade det.

Avamar Chain importerad till Data Domain

  • Kontrollera att Avamar GSAN-certifikatkedjan är importerad till Data Domain.
  • Utför en jämförelse av SHA1-fingeravtrycket för kedjan som finns på Avamar-servern och ett eller flera importerade ca ddboost-certifikat som finns på Data Domain.
  • Den här kontrollen görs eftersom Avamar-kedjan kanske inte importeras, eller så kan det finnas en gammal Avamar-kedja i dess ställe från samma server, kanske vid återskapande av certifikat på Avamar.
  • När flera Avamar-servrar använder samma Data Domain måste varje Avamar GSAN-certifikatkedja finnas på Data Domain som en importerad ca ddboost och login-auth. Endast en av dessa är utfärdare av det Data Domain-signerade värdcertifikatet.
  • Om den här kontrollen misslyckas när korrigeringsflaggan används försöker verktyget återskapa den med följande steg.
    • Ta bort det befintliga importerade ddboost-värdcertifikatet.
    • Läs in Avamar GSAN-certifikatkedjan.
    • Ta bort det befintliga importerade ca, ddboost- och login-auth-certifikatet (Avamar GSAN-certifikatkedja) på Data Domain.
    • Starta om DDBoost.
    • Starta om MCS.
    • Utför en Data Domain-synkronisering genom att skicka kommandot "mccli dd edit". Det är detta som driver MCS att generera och importera de nya certifikaten till Data Domain.

Status för schemaläggaren för säkerhetskopiering

  • Det här är en hjälpkontroll för att säkerställa att schemaläggaren för säkerhetskopiering är i ett känt tillstånd för användaren.
  • Det här är den enda kontrollen som uppmanar dig att starta tjänsten när korrigeringsflaggan används eller inte.

 

Additional Information

Titta på den här videon:

(Du kan också titta på samma video på YouTubeDen här hyperlänken tar dig till en webbplats utanför Dell Technologies..)

 

Affected Products

Avamar, Data Domain
Article Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.