NetWorker: AUTHC-verbindingen mislukken met HTTP 400/403-fouten

De NetWorker nsrlogin command fails with HTTP 400 or 403:

nsrlogin -u administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 403
Server Message : Make sure that server is running

Of:

nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
117849:nsrlogin: Authentication library error: CONNECT tunnel failed, response 400
Server Message : Make sure that server is running

NetWorker-verificatie en andere pogingen om verbinding te maken met de verificatieservice mislukken met vergelijkbare fouten.

nsrauthtrust -H NETWORKER_SERVER_NAME -P 9090
125927:nsrauthtrust: Failed to retrieve certificate: CONNECT tunnel failed, response 403

NetWorker Management Console (NMC) en NetWorker Web User Interface (NWUI) upgrades (Windows) en post-upgradescripts (Linux) melden verbindingsfouten op de AUTHC-poort.

Dit probleem doet zich voor buiten NetWorker. De NetWorker nsrlogin De opdracht meldde ook "Connect Tunnel Failed" omdat er een HTTPS-proxy in de omgeving is geconfigureerd. Dit kan worden gevalideerd met behulp van de curl bevelen:

curl https://NETWORKER_SERVER_ADDRESS:9090

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Rebuilt URL to: https://NETWORKER_SERVER_ADDRESS:9090/
* Uses proxy env variable no_proxy == 'HTTP_PROXY_HOSTNAME'
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:8080'
*   Trying HTTP_PROXY_IP...
* TCP_NODELAY set
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 8080 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.61.1
> Proxy-Connection: Keep-Alive

< HTTP/1.1 403 Forbidden
< Server: squid/3.5.20
< Mime-Version: 1.0
< Date: Thu, 03 Jul 2025 15:36:25 GMT
< Content-Type: text/html;charset=utf-8
< Content-Length: 3548
< X-Squid-Error: ERR_ACCESS_DENIED 0
< Vary: Accept-Language
< X-Cache: MISS from HTTP_PROXY_HOSTNAME
< X-Cache-Lookup: NONE from HTTP_PROXY_HOSTNAME:8080
< Via: 1.1 HTTP_PROXY_HOSTNAME (squid/3.5.20)
< Proxy-Connection: Keep-Alive
* Received HTTP code 403 from proxy after CONNECT
* Closing connection 0
* Curl: (56) Received HTTP code 403 from proxy after CONNECT

Of:

curl -v https://NETWORKER_SERVER_ADDRESS:9090
* Uses proxy env variable https_proxy == 'http://HTTP_PROXY_HOSTNAME:443'
*   Trying HTTP_PROXY_IP:443...
* Connected to HTTP_PROXY_HOSTNAME (HTTP_PROXY_IP) port 443 (#0)
* allocate connect buffer!
* Establish HTTP proxy tunnel to NETWORKER_SERVER_ADDRESS:9090
> CONNECT NETWORKER_SERVER_ADDRESS:9090 HTTP/1.1
> Host: NETWORKER_SERVER_ADDRESS:9090
> User-Agent: curl/7.76.1
> Proxy-Connection: Keep-Alive
>
< HTTP/1.1 400 Bad Request
< Server: openresty
< Date: Thu, 03 Jul 2025 14:11:12 GMT
< Content-Type: text/html
< Content-Length: 154
< Connection: close
<
* Received HTTP code 400 from proxy after CONNECT
* CONNECT phase completed!
* Closing connection 0

De specifieke fout die wordt geretourneerd, kan variëren, afhankelijk van de specifieke proxyleverancier en gebruikte configuratie. De overeenkomst is dat de communicatie naar de NetWorker-authenticatiepoort (AUTHC) (standaard 9090) wordt omgeleid via een HTTPS-proxyhost. De geretourneerde fout is een HTTP 4xx-fout; ofwel 400 (Ongeldig verzoek) of 403 (Verboden).

Het gebruik van een HTTPS-proxy specifiek voor authenticatieverkeer op poort 9090 is niet expliciet gedocumenteerd of getest als een ondersteunde configuratie. NetWorker-componenten verwachten doorgaans directe communicatie tussen services, met name voor authenticatie.

Verwijder de HTTP/HTTPS-proxyconfiguratie op de NetWorker-server. Deze moet ook worden verwijderd uit elke NetWorker-host die communiceert met poort 9090 op de NetWorker-server. Zie: NetWorker-processen en -poorten

Voer op de NetWorker-server de volgende taken uit:

unset https_proxy
unset http_proxy

Zodra de variabelen zijn uitgeschakeld, probeert u nsrlogin opnieuw. Als dit is gelukt, voert u deze opdracht uit nsrlogout.

[admin@lnx-srvr01 root]$ nsrlogin -u Administrator
130136:nsrlogin: Please enter password:
Authentication succeeded

[admin@lnx-srvr01 root]$ nsrlogout

Dit geeft aan dat de communicatie met de NetWorker AUTHC-service functioneel is. Andere processen met NetWorker-verificatie of communicatie via poort 9090 zullen naar verwachting slagen.

De unset Command schakelt alleen de variabele voor de huidige shell-sessie uit. Als ze zijn ingesteld als systeem- of profielvariabelen, worden ze automatisch geladen wanneer u een terminal opent, het systeem opnieuw opstart of een nieuwe shell-sessie start. De volgende acties moeten worden uitgevoerd om te voorkomen dat de variabelen bij de volgende sessie of herstart worden geladen.

Windows: controleer de variabelen SYSTEM of USER en verwijder alle variabelen die worden gebruikt om een HTTP/HTTPS-proxyhost te definiëren.

Linux: Controleer de volgende bestanden op instellingen voor HTTP/HTTPS-variabelen en verwijder ze: 

• ~/.bashrc
• ~/.bash_profile
• ~/.profiel
• /etc/environment
• /etc/profile
• /etc/profile.d/*.sh