NetWorker: AUTHC-Verbindungen schlagen mit HTTP 400/403-Fehlern fehl

The NetWorker nsrlogin Befehl schlägt mit HTTP 400 oder 403 fehl:

nsrlogin -u administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 403
Server Message : Make sure that server is running

Oder:

nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 400
Server Message : Make sure that server is running

Die NetWorker-Authentifizierung und andere Versuche, eine Verbindung zum Authentifizierungsservice herzustellen, schlagen mit ähnlichen Fehlern fehl.

nsrauthtrust -H NETWORKER_SERVER_NAME -P 9090
125927:nsrauthtrust: Failed to retrieve certificate: CONNECT tunnel failed, response 403

Upgrades für NetWorker Management Console (NMC) und NetWorker Web User Interface (NWUI) (Windows) sowie Skripte nach dem Upgrade (Linux) melden Verbindungsfehler auf dem AUTHC-Port.

Dieses Problem tritt außerhalb von NetWorker auf. The NetWorker nsrlogin meldete auch "Connect Tunnel Failed", da in der Umgebung ein HTTPS-Proxy konfiguriert ist. Dies kann mithilfe der curl Befehl durchgeführt:

curl https://NETWORKER_SERVER_ADDRESS:9090

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Rebuilt URL to: https://NETWORKER_SERVER_ADDRESS:9090/
* Uses proxy env variable no_proxy == 'HTTP_PROXY_HOSTNAME'
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:8080'
*   Trying HTTP_PROXY_IP...
* TCP_NODELAY set
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 8080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.61.1
> Proxy-Connection: Keep-Alive

< HTTP/1.1 403 Forbidden
< Server: squid/3.5.20
< Mime-Version: 1.0
< Date: Thu, 03 Jul 2025 15:36:25 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3548
< X-Squid-Error: ERR_ACCESS_DENIED 0
< Vary: Accept-Language
< X-Cache: MISS from HTTP_PROXY_HOSTNAME
< X-Cache-Lookup: NONE from HTTP_PROXY_HOSTNAME:8080
< Via: 1.1 HTTP_PROXY_HOSTNAME (squid/3.5.20)
< Proxy-Connection: Keep-Alive
* Received HTTP code 403 from proxy after CONNECT
* Closing connection 0
* Curl: (56) Received HTTP code 403 from proxy after CONNECT

Oder:

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:443'
*   Trying HTTP_PROXY_IP:443...
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 443 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.76.1
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 400 Bad Request
< Server: openresty
< Date: Thu, 03 Jul 2025 14:11:12 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: close
<
* Received HTTP code 400 from proxy after CONNECT
* CONNECT phase completed!
* Closing connection 0

Der spezifische zurückgegebene Fehler kann je nach verwendetem Proxyanbieter und der verwendeten Konfiguration variieren. Die Gemeinsamkeit besteht darin, dass die Kommunikation zum NetWorker-Authentifizierungsport (AUTHC) (Standard 9090) über einen HTTPS-Proxyhost umgeleitet wird. Der zurückgegebene Fehler ist ein HTTP 4xx-Fehler. entweder 400 (ungültige Anforderung) oder 403 (unzulässig).

Die Verwendung eines HTTPS-Proxys speziell für Authentifizierungsdatenverkehr auf Port 9090 wird nicht explizit als unterstützte Konfiguration dokumentiert oder getestet. NetWorker-Komponenten erwarten in der Regel eine direkte Kommunikation zwischen Services, insbesondere für die Authentifizierung.

Entfernen Sie die HTTP-/HTTPS-Proxykonfiguration auf dem NetWorker-Server. Dies muss auch von jedem NetWorker-Host entfernt werden, der mit Port 9090 auf dem NetWorker-Server kommuniziert. Siehe: NetWorker-Prozesse und -Ports

Führen Sie auf dem NetWorker-Server Folgendes aus:

unset https_proxy
unset http_proxy

Sobald die Variablen nicht festgelegt sind, versuchen Sie, nsrlogin wieder. Wenn erfolgreich, führen Sie Folgendes aus: nsrlogout.

[admin@lnx-srvr01 root]$ nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
Authentication succeeded

[admin@lnx-srvr01 root]$ nsrlogout

Dies weist darauf hin, dass die Kommunikation mit dem NetWorker-AUTHC-Service funktionsfähig ist. Andere Prozesse, die die NetWorker-Authentifizierung oder die Kommunikation über Port 9090 umfassen, werden voraussichtlich erfolgreich sein.

Die Spalte unset Setzt nur die Variable für die aktuelle Shell-Sitzung auf. Wenn sie als System- oder Profilvariablen festgelegt sind, werden sie automatisch geladen, wenn Sie ein Terminal öffnen, das System neu starten oder eine neue Shell-Sitzung starten. Die folgenden Aktionen müssen durchgeführt werden, um zu verhindern, dass die Variablen bei der nächsten Sitzung oder dem nächsten Neustart geladen werden.

Windows: Überprüfen Sie die SYSTEM- oder USER-Variablen und entfernen Sie alle Variablen, die zur Definition eines HTTP/HTTPS-Proxyhosts verwendet werden.

Linux: Überprüfen Sie die folgenden Dateien auf HTTP-/HTTPS-Variableneinstellungen und entfernen Sie sie: 

• ~/.bashrc
• ~/.bash_profile
• ~/.Profil
• /etc/environment
• /etc/profil
• /etc/profile.d/*.sh