Data Domain：DDMC: 管理下システムを Management Center に追加できない

特定のDD (Data Domain)をDDMCに追加できません。Example:

SE@DDMC01##  managed-system add abc.com force
The SHA1 fingerprint for the remote host's CA certificate is
F1:D2:22:95:7C:45:C9:69:CB:76:25:18:C7:33:30:43:7A:CA:98:B9
Do you want to trust this certificate?  Are you sure? (yes|no) [no]: yes

** Once added, all "admin"  role users on this DD Management Center
   will operate on "abc.com" system with "admin" role.

To allow "abc.com" to be managed by this DD Management Center,
Enter "abc.com" sysadmin password:
ok, proceeding.
*** Add abc.com failed:

System "abc.com" is in the "unknown" state. Data collection is disabled

DDMCに新しい管理下システムを追加しようとしたときに発生する可能性のある別のエラー メッセージは、次のとおりです。

**** managed-dd.example.com: Error communicating with host ddmc.example.com: error occurred in the SSL/TLS handshake.

これには、次のようなさまざまな理由が考えられます。

• 接続の問題
• DDの無効なエントリー
• DDMCの無効なエントリー
• 必要なポートが開いていません
• DDMCとDDの間でSSL/TLSプロトコル バージョンが一致しません

ログ：

DDMC:
Messages. engineering:

Jul 29 19:04:36 MSPjDDMC01 sms: NOTICE: Trust with host aaa.com has been added
Jul 29 19:09:42 MSPjDDMC01 -ddsh: NOTICE: MSG-DDSH-00017: (tty=pts/0, session=8899) tassos1: command "managed-system add abc.com force" exited with code: 95
Jul 29 20:58:37 MSPjDDMC01 -ddsh: NOTICE: MSG-DDSH-00009: (tty=pts/0, session=8899) tassos1: command "managed-system add abc.com force"
Jul 29 21:04:36 MSPjDDMC01 sms: WARNING: ems_post_event: Failed to initialize event: Incompatible managed system version. EVT-OBJ::SystemName=abc.com EVT-INFO::DetectedVersion=
Jul 29 21:23:32 MSPjDDMC01 sms: NOTICE: Trust with host aaa.com has been added
Jul 29 21:47:24 MSPjDDMC01 -ddsh: NOTICE: MSG-DDSH-00017: (tty=pts/0, session=8899) tassos1: command "managed-system add abc.com force" exited with code: 245

sms.info

07/29 21:04:36.487 (tid 0x6ffbca0): **** Error communicating with host abc.com: Error communicating with host abc.com:
error occurred in the SSL/TLS handshake.
07/29 21:04:36.509 (tid 0x6ffbca0): Workflow Getting system data (ID 1434912) starts child workflow (ID 1434913) to
get current node config & status info for host "abc.com"
07/29 21:04:36.521 (tid 0x70005a0): Workflow (ID 1434913) begin to get_node_info
for host "abc.com"
07/29 21:04:36.716 (tid 0x70005a0): **** Error communicating with host abc.com: error occurred in the
SSL/TLS handshake.
07/29 21:04:36.723 (tid 0x70005a0): Workflow (ID 1434913) detected host "abc.com" is unreachable. No data collection is
performed.
07/29 21:04:36.733 (tid 0x70005a0): WARNING: ems_post_event: Failed to initialize event: Incompatible managed system version. EVT-
OBJ::SystemName=abc.com EVT-INFO::DetectedVersion=

この問題を解決するために実行できるトラブルシューティング手順は次のとおりです。エラー「error occurred in the SSL/TLS handshake」は、以降のDDMCリリースでのセキュリティ強化の結果です。DDMC/DDOSの組み合わせは、マトリックスごとにサポートされている場合がありますが、セキュリティの変更により機能しません。技術的な詳細については、KB記事「DDOS/DDMCでTLSバージョン1.1および1.2がサポートされていますか?」を参照してください(この記事を表示するには、Dellサポート アカウントが必要です)。この問題は、DDMC 6.1を使用してDDOS 5.7.4.0より前のバージョンのDDを管理すると発生します。この問題は、管理対象DDをDDOS 5.7.4.0以降にアップグレードすることで解決されます。

問題のその他の考えられる原因については、以下のトラブルシューティング手順に従ってください。

1. 「ping」コマンドと「net lookup」コマンドの両方を使用して、DDとDDMC間の接続を確認します。

2. 必要に応じて適切なホスト エントリーを追加し、pingと検索を正常に実行します。

3. DDMCから次のコマンドを実行して、DDへの接続も確認します。

   #managed-system check-connection <DD Hostname>

4. SEモードにアクセスし、telnetを使用して3009ポートが双方向に開いていることを確認します。

   DDRとDDMCの両方:
   SSHコマンドライン接続を開いてSEモードにアクセスします(例:puttyを使用)

   メモ: 「SE」コマンドは、DDOSバージョン7.7.5.25、7.10.1.15、7.13.0.15、6.2.1.110以降では廃止されており、Dellの従業員のみがアクセスできます。
   1. DDの場合:

      # se telnet <DDMC IP> 3009

   2. DDMCの場合:

      # se telnet <DD IP> 3009

   telnet接続の例。DD OSはtelnetを許可していないため、接続が外部ホストによってクローズされることが予想されます。

   se telnet 172.18.50.132  3009
   Trying 172.18.50.132...
   Connected to 172.18.50.132.
   Escape character is '^]'.
   Connection closed by foreign host.

5. DDをDDMCに追加する際にDDMCが取得しているフィンガープリントを、DDのCA証明書のフィンガープリントと比較します。

   DDMCは正しいDDフィンガープリントを取得する必要があります。

   SE@phxdd01#adminaccess certificate show detailed
   Type:                host
   Cert Type:           Host Certificate
   Application:         https
   Subject/Issued To:   abc.com
   Issued By:           abc.com
   Valid From:          Sat Aug  1 01:30:36 2015
   Valid Until:         Wed Jul 25 08:30:36 2046
   Fingerprint:         7F:81:11:BC:F5:10:40:83:68:87:81:F5:97:77:EF:6C:EF:02:74:82
   
   Type:                ca
   Cert Type:           Root CA
   Application:         trusted-ca
   Subject/Issued To:   abc.com
   Issued By:           abc.com
   Valid From:          Sun Aug  2 08:30:36 2015
   Valid Until:         Wed Jul 25 08:30:36 2046
   Fingerprint:         F1:D2:22:95:7C:45:C9:69:CB:76:25:18:C7:33:30:43:7A:CA:98:B9 
   
   SE@DDMC01##  managed-system add abc.com force
   The SHA1 fingerprint for the remote host's CA certificate is
   F1:D2:22:95:7C:45:C9:69:CB:76:25:18:C7:33:30:43:7A:CA:98:B9
   Do you want to trust this certificate?  Are you sure? (yes|no) [no]: yes

6. DDで、Subject列の下にあるHostnamesのホストとCA証明書を確認します。次のように同じである必要があります。

   tassos1@jaxdd01# hostname
   The Hostname is: pqr.com
   assos1@jaxdd01# adminaccess certificate show
   Subject                              Type   Application   Valid From                 Valid Until                Fingerprint
   ----------------------------------   ----   -----------   ------------------------   ------------------------   ---------------------------------------
   pqr.com           host   https         Sun Dec  8 12:16:08 2013   Wed Nov 30 18:16:08 2044   2A:21:3E:1E:43:C9:77:F7:20:EF:E5:DF:D9:C9:9A:F8:4C:33:5E:0B
   pqr.ent.com   ca     trusted-ca    Wed Feb 22 12:41:58 2012   Sat Feb 14 12:41:58 2043   AE:AF:8A:E9:0D:0C:F3:53:B5:A7:BF:D8:38:BC:2D:DA:CF:E5:E9:C8
   ----------------------------------   ----   -----------   ------------------------   ------------------------   ---------------------------------------

   上記の出力のように不一致が存在する場合は、DDで証明書を再生成します。
   DD証明書を再生成するには、TSEはBASHモードに移行する必要があります。このステップは、Data Domainサポート エンジニアが実行する必要があります。

   # ddsh -a adminaccess certificate show
   Subject                      Type   Application   Valid From                 Valid Until                Fingerprint
   --------------------------   ----   -----------   ------------------------   ------------------------   ------------------------------------------
   pqr.com   host   https         Sat Aug  8 06:39:31 2015   Wed Aug  1 10:39:31 2046   D5:26:79:20:3A:2F:73:41:7E:A8:5C:9B:69:54:11:8B:33:E9:BD:D9
   pqr.com   ca     trusted-ca    Sun Aug  9 11:39:31 2015   Wed Aug  1 10:39:31 2046   02:A0:F7:49:E1:16:BC:8E:FD:47:E4:24:C3:AE:45:7D:B1:8B:0C:3D
   --------------------------   ----   -----------   ------------------------   ------------------------   -----------------------------

7. DDMCで、すべての有効なホスト名が管理対象システムとして、信頼されていることを確認します。

   #adminaccess trust show
   #managed-system show

   上記の両方のコマンドの出力を比較し、不一致がないかどうかを確認します。
   無効なDDホスト名の信頼をDDMCから削除する必要があります。

   DDMCで実行
   DDRの信頼を削除し、次のCLIコマンドを実行します。

   #adminaccess trust del host <Data Domain Hostname> type mutual

   Data Domainで実行

   #adminaccess trust del host <DDMC hostname> type mutual

8. 次に、コマンド ライン インターフェイス(CLI)でforceオプションを使用してData DomainをDDMCに再度追加してみます。

   #managed-system add <DD Hostname> force

9. 「Sync」コマンドは、DDMC上の管理対象システムを同期するためにいつでも使用できます。

   #managed-system sync
   #managed-system show