NetWorker: As conexões AUTHC falham com erros HTTP 400/403

O NetWorker nsrlogin falha com HTTP 400 ou 403:

nsrlogin -u administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 403
Server Message : Make sure that server is running

Ou:

nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 400
Server Message : Make sure that server is running

A autenticação do NetWorker e outras tentativas de conexão com o serviço de autenticação falham com erros semelhantes.

nsrauthtrust -H NETWORKER_SERVER_NAME -P 9090
125927:nsrauthtrust: Failed to retrieve certificate: CONNECT tunnel failed, response 403

Os upgrades do NetWorker Management Console (NMC) e do NetWorker Web User Interface (NWUI) (Windows) e dos scripts pós-upgrade (Linux) relatam falhas de conexão na porta AUTHC.

Esse problema está ocorrendo fora do NetWorker. O NetWorker nsrlogin também relatou "Connect Tunnel Failed" porque há um proxy HTTPS configurado no ambiente. Isso pode ser validado usando o curl comando:

curl https://NETWORKER_SERVER_ADDRESS:9090

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Rebuilt URL to: https://NETWORKER_SERVER_ADDRESS:9090/
* Uses proxy env variable no_proxy == 'HTTP_PROXY_HOSTNAME'
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:8080'
*   Trying HTTP_PROXY_IP...
* TCP_NODELAY set
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 8080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.61.1
> Proxy-Connection: Keep-Alive

< HTTP/1.1 403 Forbidden
< Server: squid/3.5.20
< Mime-Version: 1.0
< Date: Thu, 03 Jul 2025 15:36:25 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3548
< X-Squid-Error: ERR_ACCESS_DENIED 0
< Vary: Accept-Language
< X-Cache: MISS from HTTP_PROXY_HOSTNAME
< X-Cache-Lookup: NONE from HTTP_PROXY_HOSTNAME:8080
< Via: 1.1 HTTP_PROXY_HOSTNAME (squid/3.5.20)
< Proxy-Connection: Keep-Alive
* Received HTTP code 403 from proxy after CONNECT
* Closing connection 0
* Curl: (56) Received HTTP code 403 from proxy after CONNECT

Ou:

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:443'
*   Trying HTTP_PROXY_IP:443...
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 443 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.76.1
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 400 Bad Request
< Server: openresty
< Date: Thu, 03 Jul 2025 14:11:12 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: close
<
* Received HTTP code 400 from proxy after CONNECT
* CONNECT phase completed!
* Closing connection 0

O erro específico retornado pode variar dependendo do fornecedor de proxy específico e da configuração usada. O ponto comum é que você vê a comunicação com a porta de autenticação do NetWorker (AUTHC) (padrão 9090) redirecionada por meio de um host de proxy HTTPS. O erro retornado é um erro HTTP 4xx; 400 (Solicitação incorreta) ou 403 (Proibida).

O uso de um proxy HTTPS especificamente para tráfego de autenticação na porta 9090 não é explicitamente documentado ou testado como uma configuração compatível. Os componentes do NetWorker geralmente esperam comunicação direta entre os serviços, especialmente para autenticação.

Remova a configuração do proxy HTTP/HTTPS no servidor NetWorker. Ele também deve ser removido de qualquer host do NetWorker que se comunica com a porta 9090 no servidor do NetWorker. Consulte: Processos e portas do NetWorker

No servidor NetWorker, execute:

unset https_proxy
unset http_proxy

Depois que as variáveis estiverem desdefinidas, tente nsrlogin outra vez. Se for bem-sucedido, execute-o nsrlogout.

[admin@lnx-srvr01 root]$ nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
Authentication succeeded

[admin@lnx-srvr01 root]$ nsrlogout

Isso indica que a comunicação com o serviço AUTHC do NetWorker está funcional. Espera-se que outros processos que envolvam autenticação ou comunicação do NetWorker pela porta 9090 sejam bem-sucedidos.

A coluna unset O comando desativa apenas a variável para a sessão atual do shell. Se definido como variáveis de sistema ou perfil, eles são carregados automaticamente quando você abre um terminal, reinicializa o sistema ou inicia uma nova sessão do shell. As seguintes ações devem ser executadas para impedir que as variáveis sejam carregadas na próxima sessão ou na reinicialização.

Windows: verifique as variáveis SYSTEM ou USER e remova todas as variáveis usadas para definir um host proxy HTTP/HTTPS.

Linux: Verifique os seguintes arquivos para quaisquer configurações de variável HTTP/HTTPS e remova-os: 

• ~/.bashrc
• ~/.bash_profile
• ~/.perfil
• /etc/meio ambiente
• /etc/perfil
• /etc/profile.d/*.sh