NetWorker: Połączenia AUTHC kończą się niepowodzeniem z błędami HTTP 400/403

Interfejs NetWorker nsrlogin polecenie nie powiodło się z protokołem HTTP 400 lub 403:

nsrlogin -u administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 403
Server Message : Make sure that server is running

lub:

nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 400
Server Message : Make sure that server is running

Uwierzytelnianie NetWorker i inne próby połączenia się z usługą uwierzytelniania kończą się niepowodzeniem z podobnymi błędami.

nsrauthtrust -H NETWORKER_SERVER_NAME -P 9090
125927:nsrauthtrust: Failed to retrieve certificate: CONNECT tunnel failed, response 403

Uaktualnienia konsoli NetWorker Management Console (NMC) i sieciowego interfejsu użytkownika NetWorker (NWUI) (Windows) oraz skrypty po aktualizacji (Linux) zgłaszają błędy połączenia na porcie AUTHC.

Ten problem występuje poza NetWorker. Interfejs NetWorker nsrlogin zgłoszono również błąd "Connect Tunnel Failed", ponieważ w środowisku skonfigurowano serwer proxy HTTPS. Można to sprawdzić za pomocą curl :

curl https://NETWORKER_SERVER_ADDRESS:9090

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Rebuilt URL to: https://NETWORKER_SERVER_ADDRESS:9090/
* Uses proxy env variable no_proxy == 'HTTP_PROXY_HOSTNAME'
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:8080'
*   Trying HTTP_PROXY_IP...
* TCP_NODELAY set
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 8080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.61.1
> Proxy-Connection: Keep-Alive

< HTTP/1.1 403 Forbidden
< Server: squid/3.5.20
< Mime-Version: 1.0
< Date: Thu, 03 Jul 2025 15:36:25 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3548
< X-Squid-Error: ERR_ACCESS_DENIED 0
< Vary: Accept-Language
< X-Cache: MISS from HTTP_PROXY_HOSTNAME
< X-Cache-Lookup: NONE from HTTP_PROXY_HOSTNAME:8080
< Via: 1.1 HTTP_PROXY_HOSTNAME (squid/3.5.20)
< Proxy-Connection: Keep-Alive
* Received HTTP code 403 from proxy after CONNECT
* Closing connection 0
* Curl: (56) Received HTTP code 403 from proxy after CONNECT

lub:

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:443'
*   Trying HTTP_PROXY_IP:443...
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 443 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.76.1
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 400 Bad Request
< Server: openresty
< Date: Thu, 03 Jul 2025 14:11:12 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: close
<
* Received HTTP code 400 from proxy after CONNECT
* CONNECT phase completed!
* Closing connection 0

Zwracany błąd może się różnić w zależności od konkretnego dostawcy proxy i używanej konfiguracji. Wspólną cechą jest to, że komunikacja z portem uwierzytelniania NetWorker (AUTHC) (domyślnie 9090) jest przekierowywana przez hosta proxy HTTPS. Zwrócony błąd to błąd HTTP 4xx; 400 (Nieprawidłowe żądanie) lub 403 (Niedozwolone).

Użycie serwera proxy HTTPS specjalnie do uwierzytelniania ruchu na porcie 9090 nie jest jawnie udokumentowane ani przetestowane jako obsługiwana konfiguracja. Składniki NetWorker zazwyczaj oczekują bezpośredniej komunikacji między usługami, zwłaszcza w celu uwierzytelniania.

Usuń konfigurację serwera proxy HTTP/HTTPS na serwerze NetWorker. Należy go również usunąć z każdego hosta NetWorker komunikującego się z portem 9090 na serwerze NetWorker. Patrz: Procesy i porty NetWorker

Na serwerze NetWorker uruchom:

unset https_proxy
unset http_proxy

Po usunięciu zmiennych spróbuj nsrlogin znów. Jeśli ta czynność się powiedzie, uruchom polecenie nsrlogout.

[admin@lnx-srvr01 root]$ nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
Authentication succeeded

[admin@lnx-srvr01 root]$ nsrlogout

Oznacza to, że komunikacja z usługą NetWorker AUTHC działa. Oczekuje się, że inne procesy obejmujące uwierzytelnianie NetWorker lub komunikację przez port 9090 zakończą się powodzeniem.

Kolumna unset Polecenie usuwa tylko zmienną dla bieżącej sesji powłoki. Jeśli są ustawione jako zmienne systemowe lub profilowe, ładują się automatycznie po otwarciu terminala, ponownym uruchomieniu systemu lub rozpoczęciu nowej sesji powłoki. Aby zapobiec załadowaniu zmiennych podczas następnej sesji lub ponownego uruchomienia, należy wykonać następujące czynności.

Windows: sprawdź zmienne SYSTEM lub USER i usuń wszystkie zmienne używane do definiowania hosta proxy HTTP/HTTPS.

Linux: Sprawdź ustawienia zmiennych HTTP/HTTPS w następujących plikach i usuń je: 

• ~/.bashrc
• ~/.bash_profile
• ~/.profil
• /etc/środowisko
• /etc/profile
• /etc/profile.d/*.sh