Avamar: Oplysninger om Goav DD Check-SSL-funktion
Summary: Denne artikel beskriver, hvordan du bruger Goav dd check-ssl-funktionen til at løse SSL-forbindelsesproblemer mellem Avamar og Data Domain.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Download og installer Goav-værktøj
Se Dell-artiklen 000192151 Avamar: Goav-værktøj til at downloade og installere Avamar Goav-værktøjet.
Når Goav er placeret på Avamar, skal du gå til biblioteket og gøre værktøjet eksekverbart.
chmod a+x goav
Kommando
Brug Data Domain check-ssl-funktionen ved at køre følgende kommando:
./goav dd check-ssl
Kontroller hjælpeskærmen for brug:
./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
Usage:
goav dd check-ssl [flags]
Flags:
--fix Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
-h, --help help for check-ssl
Global Flags:
-d, --debug debug output
-f, --force Ignore Configuration
-n, --noheader Do no display header
Brugsscenarie
Når Data Domain er integreret med Avamar, og sessionssikkerhed er aktiveret, kan der være et certifikatproblem mellem dem.
Brug dette værktøj til at diagnosticere potentielle certifikatproblemer mellem Avamar og Data Domain.
Eksempler
Kør passive kontroller for at garantere, at der ikke foretages ændringer af Avamar eller Data Domain.
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:04 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester PASSED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
Hvis en kontrol mislykkes, er der knyttet en fejlmeddelelse til den.
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:09 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag FAILED Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false
Brug rettelsesflaget til at tillade automatisk afhjælpning af opståede problemer.
./goav dd check-ssl --fix =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 04:11 JST =========================================================== COMMAND : ./goav dd check-ssl --fix NOTE: This is not an official tool =========================================================== This feature may need to restart MCS/DDboost. Ok [yes/no]? y Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester FAILED enabling nfs... FIXED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
Forklaring af kontrol
Sessionssikkerhed
- Når sessionssikkerhed er aktiveret, udveksles certifikater mellem Avamar og Data Domain.
- Når sessionssikkerhed er deaktiveret, udveksles certifikater ikke mellem Avamar og Data Domain, så der er ingen grund til at køre dette værktøj.
- Når rettelsesflaget bruges, aktiveres sessionssikkerhed ikke automatisk, hvis sessionssikkerhed er deaktiveret.
DDR-sikkerhedsfunktionsmanual og flag for automatisk opdatering af værtscertifikat
- Disse flag bør i de fleste tilfælde være falske i Avamars mcserver.xml.
- Hvis du angiver det manuelle flag til false, kan MCS signere anmodningen om signering af Data Domain-certifikatet og generere et signeret værtscertifikat til Data Domain.
- Hvis det manuelle flag er sandt, forsøger MCS ikke at generere et signeret værtscertifikat for Data Domain.
- Indstilling af flag for automatisk opdatering af værtscertifikat til falsk er den sædvanlige indstilling, da det signerede værtscertifikat regenereres, når det mangler.
- Værktøjet sikrer, at begge flag er indstillet til standardværdien false.
- Når rettelsesflaget bruges, ændres disse flag automatisk til falsk, hvis de er indstillet til sand.
Udløb for GSAN-certifikatkæde og servercertifikat
- GSAN kører på port 29000, som er vært for en sikker TCP-forbindelse med et nøglepar og en certifikatkæde.
- Værktøjet kontrollerer, at disse certifikater ikke er udløbet.
- Når rettelsesflaget bruges, og GSAN-certifikatkæden er udløbet, regenereres den ved hjælp af mcrootca og enable_secure_config.sh.
- Hvis det kun er GSAN-servercertifikatet, der er udløbet, kan det regenereres ved hjælp af "enable_secure_config.sh" uden nedetid. Rettelsesflaget gør dette automatisk.
Hent tilknyttede Data Domains
- Hent tilføjede Data Domains fra ddrmaint persistent store.
- Følgende kontroller udføres for hvert tilknyttet Data Domain.
Kontroller, at DDR-nøglen findes
- Sørg for, at den private DDR-nøgle, der bruges til godkendelse uden adgangskode fra Avamar til Data Domain, findes og er læsbar.
- Når rettelsesflaget bruges, og nøglen ikke findes, regenereres den automatisk ved hjælp af mcddrsetup_sshkey, og den nye nøgle importeres til hvert tilknyttet Data Domain.
Testport 22
- Sørg for, at port 22 er åben mellem Avamar og Data Domain, og at Data Domain lytter.
- Hvis porten er lukket, og rettelsesflaget bruges, foretages der ingen ændringer.
Test SSH-godkendelse af DDR-nøgle
- Forsøg at oprette forbindelse til det tilknyttede Data Domain ved hjælp af den eksisterende private DDR-nøgle i stedet for en adgangskode.
- Når rettelsesflaget bruges, importerer værktøjet automatisk den eksisterende private DDR-nøgle til Data Domain, hvis denne forbindelse mislykkes.
Data Domain SCP aktiveret
- Sørg for, at SCP (Secure Copy Protocol) er aktiveret på Data Domain.
- SCP bruges til at overføre filer, f.eks. certifikater mellem Avamar og Data Domain. Hvis det er deaktiveret, kan Avamar ikke sende certifikaterne til Data Domain.
- Hvis SCP er deaktiveret, og rettelsesflaget bruges, aktiverer værktøjet automatisk SCP på Data Domain.
Data Domain NFS aktiveret
- Sørg for, at version 3 eller 4 af NFS er aktiveret på Data Domain.
- Når rettelsesflaget bruges, og NFS er deaktiveret, aktiverer værktøjet automatisk NFS, hvilket som standard aktiverer NFS version 3.
- Hvis NFS er deaktiveret, kan Avamar og Data Domain ikke kommunikere korrekt.
Data Domain-systemadgangsudtryk
- Kontrollér, at Data Domain-systemets adgangsudtryk er angivet.
- Data Domain-systemets adgangsudtryk skal angives, før systemet kan understøtte datakryptering, anmode om digitale certifikater og beskytte mod makulering af data.
- Når rettelsesflaget bruges, og adgangsudtrykket ikke er angivet, foretages der ingen ændringer, og brugeren skal angive Data Domain-systemets adgangsudtryk på et passende tidspunkt, helst ved hjælp af Data Domain-webgrænsefladen under Administration -> Adgang -> Administratoradgang.
Data Domain importeret vært DDBoost
- Sørg for, at det signerede værtscertifikat (imported-host ddboost) på Data Domain findes og ikke er udløbet.
- Dette certifikat er signeret af MCS (GSAN-certifikatkæde).
- Når rettelsesflaget bruges, og hvis det mangler eller er udløbet, forsøger værktøjet at regenerere det ved hjælp af følgende trin.
- Slet det eksisterende importerede vært ddboost-certifikat.
- Indlæs Avamar GSAN-certifikatkæden.
- Slet det eksisterende importerede ca ddboost- og login-godkendelsescertifikat (Avamar GSAN-certifikatkæde) på Data Domain.
- Genstart DDBoost.
- Genstart MCS.
- Udfør en Data Domain-synkronisering ved at sende kommandoen "mccli dd edit". Det er dette, der skubber MCS til at generere og importere de nye certifikater til Data Domain.
Data Domain-værtsudsteder er tilknyttet
- Kontrollér, at det Data Domain-signerede værtscertifikat (imported-host ddboost) har en parret Avamar GSAN-certifikatkæde (importeret ca ddboost), som det kan eksportere.
- Når rettelsesflaget bruges, og dette ikke valideres, forsøger værktøjet at regenerere det med følgende trin.
- Slet det eksisterende importerede vært ddboost-certifikat.
- Indlæs Avamar GSAN-certifikatkæden.
- Slet det eksisterende importerede ca ddboost- og login-godkendelsescertifikat (Avamar GSAN-certifikatkæde) på Data Domain.
- Genstart DDBoost.
- Genstart MCS.
- Udfør en Data Domain-synkronisering ved at sende kommandoen "mccli dd edit". Det er dette, der skubber MCS til at generere og importere de nye certifikater til Data Domain.
- Betydningen af denne kontrol er, at Data Domain kan bruges af flere Avamar-servere med hver deres GSAN-certifikatkæde. Det Data Domain-signerede værtscertifikat er kun signeret af én Avamar og skal kunne finde det certifikat, der signerede det.
Avamar-kæde importeret til Data Domain
- Kontrollér, at Avamar GSAN-certifikatkæden er importeret til Data Domain.
- Foretage en sammenligning af SHA1-fingeraftrykket fra kæden på Avamar-serveren og et eller flere importerede ca ddboost-certifikater på Data Domain.
- Denne kontrol udføres, fordi Avamar-kæden muligvis ikke importeres, eller en gammel Avamar-kæde kan eksistere i stedet fra den samme server, måske i tilfælde af regenerering af certifikater på Avamar.
- Når flere Avamar-servere bruger det samme Data Domain, skal hver Avamar GSAN-certifikatkæde være til stede på Data Domain som en importeret ca ddboost og login-auth. Kun én af disse er udstederen af det Data Domain-signerede værtscertifikat.
- Når rettelsesflaget bruges, forsøger værktøjet at regenerere det med følgende trin, hvis denne kontrol mislykkes.
- Slet det eksisterende importerede vært ddboost-certifikat.
- Indlæs Avamar GSAN-certifikatkæden.
- Slet det eksisterende importerede ca ddboost- og login-godkendelsescertifikat (Avamar GSAN-certifikatkæde) på Data Domain.
- Genstart DDBoost.
- Genstart MCS.
- Udfør en Data Domain-synkronisering ved at sende kommandoen "mccli dd edit". Det er dette, der skubber MCS til at generere og importere de nye certifikater til Data Domain.
Backup Scheduler Status
- Dette er en hjælperkontrol for at sikre, at backupplanlægningsprogrammet er i en kendt tilstand for brugeren.
- Dette er den eneste kontrol, der beder om at starte tjenesten, når rettelsesflaget bruges eller ej.
Additional Information
.)Affected Products
Avamar, Data DomainArticle Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.