NetWorker. Сбой подключений AUTHC с ошибками HTTP 400/403

Система NetWorker nsrlogin завершается сбоем с ошибкой HTTP 400 или 403:

nsrlogin -u administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 403
Server Message : Make sure that server is running

Или

nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 400
Server Message : Make sure that server is running

Проверка подлинности NetWorker и другие попытки подключения к службе проверки подлинности завершаются сбоем с аналогичными ошибками.

nsrauthtrust -H NETWORKER_SERVER_NAME -P 9090
125927:nsrauthtrust: Failed to retrieve certificate: CONNECT tunnel failed, response 403

Обновления консоли управления NetWorker Management Console (NMC) и веб-интерфейса пользователя NetWorker (NWUI) (Windows), а также сценарии после обновления (Linux) сообщают о сбоях подключения на порте AUTHC.

Эта проблема возникает за пределами NetWorker. Система NetWorker nsrlogin также сообщила о сбое подключения туннеля, так как в среде настроен прокси-сервер HTTPS. Это можно проверить с помощью метода curl :

curl https://NETWORKER_SERVER_ADDRESS:9090

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Rebuilt URL to: https://NETWORKER_SERVER_ADDRESS:9090/
* Uses proxy env variable no_proxy == 'HTTP_PROXY_HOSTNAME'
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:8080'
*   Trying HTTP_PROXY_IP...
* TCP_NODELAY set
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 8080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.61.1
> Proxy-Connection: Keep-Alive

< HTTP/1.1 403 Forbidden
< Server: squid/3.5.20
< Mime-Version: 1.0
< Date: Thu, 03 Jul 2025 15:36:25 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3548
< X-Squid-Error: ERR_ACCESS_DENIED 0
< Vary: Accept-Language
< X-Cache: MISS from HTTP_PROXY_HOSTNAME
< X-Cache-Lookup: NONE from HTTP_PROXY_HOSTNAME:8080
< Via: 1.1 HTTP_PROXY_HOSTNAME (squid/3.5.20)
< Proxy-Connection: Keep-Alive
* Received HTTP code 403 from proxy after CONNECT
* Closing connection 0
* Curl: (56) Received HTTP code 403 from proxy after CONNECT

Или

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:443'
*   Trying HTTP_PROXY_IP:443...
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 443 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.76.1
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 400 Bad Request
< Server: openresty
< Date: Thu, 03 Jul 2025 14:11:12 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: close
<
* Received HTTP code 400 from proxy after CONNECT
* CONNECT phase completed!
* Closing connection 0

Конкретная возвращаемая ошибка может варьироваться в зависимости от конкретного поставщика прокси-сервера и используемой конфигурации. Общим является то, что связь с портом аутентификации NetWorker (AUTHC) (по умолчанию 9090) перенаправляется через прокси-сервер HTTPS. Возвращена ошибка HTTP 4xx; 400 (неверный запрос) или 403 (запрещено).

Использование прокси-сервера HTTPS специально для трафика аутентификации через порт 9090 явно не документируется и не тестируется как поддерживаемая конфигурация. Компоненты NetWorker обычно предполагают прямое взаимодействие между службами, особенно для аутентификации.

Удалите конфигурацию прокси-сервера HTTP/HTTPS на сервере NetWorker. Его также необходимо удалить с любого хоста NetWorker, взаимодействующего с портом 9090 на сервере NetWorker. Видеть: Процессы и порты NetWorker

На сервере NetWorker выполните команду:

unset https_proxy
unset http_proxy

После отмены настройки переменных попытайтесь nsrlogin снова. Если выполнено, запустите nsrlogout.

[admin@lnx-srvr01 root]$ nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
Authentication succeeded

[admin@lnx-srvr01 root]$ nsrlogout

Это означает, что связь со службой AUTHC NetWorker работоспособна. Другие процессы, включающие аутентификацию NetWorker или обмен данными через порт 9090, должны быть успешными.

Переменная unset только отменяет переменную для текущего сеанса оболочки. Если задано как системные или профильные переменные, они загружаются автоматически при открытии терминала, перезагрузке системы или запуске нового сеанса оболочки. Чтобы предотвратить загрузку переменных во время следующей сессии или перезагрузки, необходимо выполнить следующие действия.

Windows: проверьте переменные SYSTEM или USER и удалите все переменные, используемые для определения хоста прокси-сервера HTTP/HTTPS.

Linux: Проверьте следующие файлы на наличие настроек переменных HTTP/HTTPS и удалите их: 

• ~/.bashrc
• ~/.bash_profile
• ~/.профиль
• /etc/environment
• /etc/profile
• /etc/profile.d/*.sh