Avamar:Goav dd check-ssl機能に関する情報

Summary: この記事では、Goav dd check-ssl機能を使用して、AvamarとData Domain間のSSL接続の問題を解決する方法について説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Goavツールのダウンロードとインストール

Dellの記事000192151「Avamar:Goavツール」を参照し 、Avamar Goavツールをダウンロードしてインストールします。

GOAVがAvamarに配置されたら、ディレクトリーに移動してツールを実行可能にします。

chmod a+x goav

コマンド

次のコマンドを実行して、Data Domainのcheck-ssl機能を使用します。

./goav dd check-ssl

使用方法については、ヘルプ画面を確認してください。

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

使用事例

Data DomainがAvamarと統合されていて、セッション セキュリティが有効になっている場合、それらの間で証明書の問題が発生する可能性があります。

このツールを使用して、AvamarとData Domain間の潜在的な証明書の問題を診断します。

AvamarやData Domainに変更が加えられないことを保証するパッシブ チェックを実行します。

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

チェックが失敗した場合は、関連するエラー メッセージが表示されます。

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

「fix」フラグを使用して、発生した問題の自動修復を許可します。

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

チェックの説明

セッション セキュリティ

  • セッション セキュリティが有効になっている場合、証明書はAvamarとData Domainの間で交換されます。
  • セッション セキュリティが無効になっている場合、AvamarとData Domainの間で証明書が交換されないため、このツールを実行する理由はありません。
  • 「fix」フラグを使用している場合、無効になっているセッション セキュリティは自動的には有効になりません。

DDRセキュリティ機能の手動およびホスト証明書自動更新フラグ

  • 通常、これらのフラグはAvamarのmcserver.xmlではfalseになっているはずです。
  • 手動フラグをfalseに設定すると、MCSはData Domain証明書署名要求に署名し、Data Domainの署名済みホスト証明書を生成できるようになります。
  • 手動フラグがtrueの場合、MCSはData Domainの署名済みホスト証明書の生成を試行しません。
  • 署名済みホスト証明書が見つからない場合は必ず再生成されるため、ホスト証明書の自動更新フラグは通常falseに設定します。
  • このツールは、両方のフラグがデフォルト値のfalseに設定されていることを確認します。
  • 「fix」フラグを使用すると、これらのフラグはtrueに設定されても自動的にfalseに変更されます。

GSAN証明書チェーンとサーバー証明書の有効期限

  • GSANは、キーペアと証明書チェーンを使用した安全なTCP接続をホストするポート29000で実行されます。
  • このツールは、これらの証明書の有効期限が切れていないことを確認します。
  • 「fix」フラグを使用すると、GSAN証明書チェーンの有効期限が切れている場合、「mcrootca」と「enable_secure_config.sh」を使用して証明書チェーンが再生成されます。
  • GSANサーバー証明書のみの有効期限が切れている場合は、「enable_secure_config.sh」を使用してダウンタイムなしで再生成できます。「fix」フラグは、これを自動的に行います。

接続されたData Domainの取得

  • 追加されたData Domainをddrmaint永続ストアから取得します。
  • 接続されている各Data Domainに対して、次のチェックが行われます。

DDRキーが存在することの確認

  • AvamarからData Domainへのパスワードレス認証に使用されるDDRプライベート キーが存在し、読み取り可能であることを確認します。
  • 「fix」フラグを使用すると、キーが存在しない場合、mcddrsetup_sshkeyを使用して自動的に再生成され、新しいキーが各接続されたData Domainにインポートされます。

ポート22のテスト

  • AvamarとData Domainの間でポート22が開いており、Data Domainがリスンしていることを確認します。
  • 「fix」フラグが使用されている場合、ポートが閉じられていても変更は行われません。

DDRキーSSH認証のテスト

  • パスワードの代わりに、既存のDDRプライベート キーを使用して、接続されているData Domainへの接続を試みます。
  • 「fix」フラグを使用すると、この接続に失敗した場合、ツールは既存のDDRプライベート キーをData Domainに自動的にインポートします。

Data Domain SCPの有効化

  • Secure Copy Protocol (SCP)がData Domainで有効になっていることを確認します。
  • SCPは、AvamarとData Domain間で証明書などのファイルを転送するために使用されます。SCPが無効になっている場合、Avamarは証明書をData Domainに送信できません。
  • 「fix」フラグを使用すると、SCPが無効になっている場合、ツールはData DomainでSCPを自動的に有効にします。

Data Domain NFSの有効化

  • Data DomainでNFSのバージョン3または4が有効になっていることを確認します。
  • 「fix」フラグを使用すると、NFSが無効になっている場合、ツールは自動的にNFSを有効にします。デフォルトではNFSバージョン3が有効になります。
  • NFSが無効になっている場合、AvamarとData Domainは正しく通信できません。

Data Domainシステムのパスフレーズ

  • Data Domainシステムのパスフレーズが設定されていることを確認します。
  • データ暗号化をサポートしたり、デジタル証明書を要求したり、データの削除から保護するためには、Data Domainシステムのパスフレーズを設定する必要があります。
  • 「fix」フラグが使用されている場合、パスフレーズが設定されていなくても変更は行われません。ユーザーは都合のよいときにData Domainシステムのパスフレーズを設定する必要があります。Data Domain Webインターフェイスの[Administration]>[Access]>[Administrator Access]の使用が推奨されています。

Data DomainへのホストDDBoostのインポート

  • 署名済みホスト証明書(インポート済みホストddboost)がData Domain上に存在し、有効期限が切れていないことを確認します。
  • この証明書は、MCS(GSAN証明書チェーン)によって署名されています。
  • 「fix」フラグを使用すると、フラグが欠落しているか期限切れになっている場合、ツールは次の手順でフラグの再生成を試みます。
    • 既存のインポート済みホストddboost証明書を削除します。
    • Avamar GSAN証明書チェーンをロードします。
    • Data Domain上の既存のインポート済みCA ddboostおよびログイン認証証明書(Avamar GSAN証明書チェーン)を削除します。
    • DDBoostを再起動します。
    • MCSを再起動します。
    • 「mccli dd edit」コマンドを送信してData Domain同期を実行します。これにより、MCSは新しい証明書を生成してData Domainにインポートします。

Data Domainホスト発行者の接続

  • Data Domain署名済みホスト証明書(インポート済みホストddboost)に、正常にエクスポートできるペアのAvamar GSAN証明書チェーン(インポート済みca ddboost)があることを確認します。
  • 「fix」フラグを使用すると、検証に失敗した場合、ツールは次の手順でフラグの再生成を試みます。
    • 既存のインポート済みホストddboost証明書を削除します。
    • Avamar GSAN証明書チェーンをロードします。
    • Data Domain上の既存のインポート済みCA ddboostおよびログイン認証証明書(Avamar GSAN証明書チェーン)を削除します。
    • DDBoostを再起動します。
    • MCSを再起動します。
    • 「mccli dd edit」コマンドを送信してData Domain同期を実行します。これにより、MCSは新しい証明書を生成してData Domainにインポートします。
  • このチェックの重要性は、Data Domainが、それぞれ独自のGSAN証明書チェーンを持つ複数のAvamar Serverによって使用される可能性があることです。Data Domainの署名済みホスト証明書は、1つのAvamarによってのみ署名されており、その署名を行った証明書を見つける必要があります。

Data DomainへのAvamarチェーンのインポート

  • Avamar GSAN証明書チェーンがData Domainにインポートされていることを確認します。
  • Avamar Serverに存在するチェーンのSHA1フィンガープリントと、Data Domainに存在する1つ以上のインポート済みCA DDBoost証明書を比較します。
  • このチェックが行われるのは、Avamarの証明書を再生成した場合などに、Avamarチェーンがインポートされていない、または同じサーバーから古いAvamarチェーンが存在する可能性があるためです。
  • 複数のAvamar Serverが同じData Domainを使用している場合、各Avamar GSAN証明書チェーンは、Data Domainにインポートされたca ddboostおよびlogin-authとして存在しなければなりません。これらのうち1つだけが、Data Domain署名済みホスト証明書の発行者です。
  • 「fix」フラグを使用すると、このチェックが失敗した場合、ツールは次の手順でフラグの再生成を試みます。
    • 既存のインポート済みホストddboost証明書を削除します。
    • Avamar GSAN証明書チェーンをロードします。
    • Data Domain上の既存のインポート済みCA ddboostおよびログイン認証証明書(Avamar GSAN証明書チェーン)を削除します。
    • DDBoostを再起動します。
    • MCSを再起動します。
    • 「mccli dd edit」コマンドを送信してData Domain同期を実行します。これにより、MCSは新しい証明書を生成してData Domainにインポートします。

バックアップ スケジューラー ステータス

  • これは、バックアップ スケジューラーがユーザーにとって既知の状態であることを確認するためのヘルパー チェックです。
  • これは、「fix」フラグが使用されているかどうかにかかわらずサービスを開始するよう促す唯一のチェックです。

 

Additional Information

次のビデオをご覧ください。

(このビデオはYouTubeこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。でも視聴できます。)

 

Affected Products

Avamar, Data Domain
Article Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.