Домен даних: ДДМК: Не вдається додати керовані системи до Центру керування
Summary: Кроки з усунення неполадок із додаванням домену даних (DD) до PowerProtect DD Management Center (DDMC).
Symptoms
Не вдається додати певний домен даних (DD) до DDMC. Приклад:
SE@DDMC01## managed-system add abc.com force The SHA1 fingerprint for the remote host's CA certificate is F1:D2:22:95:7C:45:C9:69:CB:76:25:18:C7:33:30:43:7A:CA:98:B9 Do you want to trust this certificate? Are you sure? (yes|no) [no]: yes ** Once added, all "admin" role users on this DD Management Center will operate on "abc.com" system with "admin" role. To allow "abc.com" to be managed by this DD Management Center, Enter "abc.com" sysadmin password: ok, proceeding. *** Add abc.com failed: System "abc.com" is in the "unknown" state. Data collection is disabled
Ще одне можливе повідомлення про помилку при спробі додати нову керовану систему в DDMC виглядає наступним чином:
**** managed-dd.example.com: Error communicating with host ddmc.example.com: error occurred in the SSL/TLS handshake.
Cause
Це може бути пов'язано з різними причинами, такими як:
- Проблема з підключенням
- Невірні записи в ДД
- Невірні записи в DDMC
- Потрібний порт не відкритий
- Невідповідність версії протоколу SSL/TLS між DDMC і DD
Журнали:
DDMC:
Messages.engineering:
Jul 29 19:04:36 MSPjDDMC01 sms: NOTICE: Trust with host aaa.com has been added Jul 29 19:09:42 MSPjDDMC01 -ddsh: NOTICE: MSG-DDSH-00017: (tty=pts/0, session=8899) tassos1: command "managed-system add abc.com force" exited with code: 95 Jul 29 20:58:37 MSPjDDMC01 -ddsh: NOTICE: MSG-DDSH-00009: (tty=pts/0, session=8899) tassos1: command "managed-system add abc.com force" Jul 29 21:04:36 MSPjDDMC01 sms: WARNING: ems_post_event: Failed to initialize event: Incompatible managed system version. EVT-OBJ::SystemName=abc.com EVT-INFO::DetectedVersion= Jul 29 21:23:32 MSPjDDMC01 sms: NOTICE: Trust with host aaa.com has been added Jul 29 21:47:24 MSPjDDMC01 -ddsh: NOTICE: MSG-DDSH-00017: (tty=pts/0, session=8899) tassos1: command "managed-system add abc.com force" exited with code: 245
sms.info
07/29 21:04:36.487 (tid 0x6ffbca0): **** Error communicating with host abc.com: Error communicating with host abc.com: error occurred in the SSL/TLS handshake. 07/29 21:04:36.509 (tid 0x6ffbca0): Workflow Getting system data (ID 1434912) starts child workflow (ID 1434913) to get current node config & status info for host "abc.com" 07/29 21:04:36.521 (tid 0x70005a0): Workflow (ID 1434913) begin to get_node_info for host "abc.com" 07/29 21:04:36.716 (tid 0x70005a0): **** Error communicating with host abc.com: error occurred in the SSL/TLS handshake. 07/29 21:04:36.723 (tid 0x70005a0): Workflow (ID 1434913) detected host "abc.com" is unreachable. No data collection is performed. 07/29 21:04:36.733 (tid 0x70005a0): WARNING: ems_post_event: Failed to initialize event: Incompatible managed system version. EVT- OBJ::SystemName=abc.com EVT-INFO::DetectedVersion=
Resolution
Нижче наведено кроки з усунення несправностей, яких можна дотримуватися, щоб вирішити проблему. Помилка "Помилка сталася в рукостисканні SSL/TLS" є результатом посилення безпеки для пізніших випусків DDMC. Комбінація DDMC/DDOS може підтримуватися матрицею, але не працює через зміну безпеки. Стаття в КБ "Чи підтримує DDOS/DDMC версії TLS 1.1 і 1.2?" містить всі технічні подробиці (для перегляду цієї статті потрібен обліковий запис служби підтримки Dell). Проблема виникає при використанні DDMC 6.1 для управління ДД у версіях старше DDOS 5.7.4.0. Проблема вирішується оновленням керованого ДД до DDOS 5.7.4.0 або пізнішої версії.
Для інших можливих причин неполадок дотримуйтесь наведених нижче інструкцій для усунення неполадок:
-
Перевірте зв'язок між DD і DDMC за допомогою команд "ping" і "net lookup" в обидві сторони.
-
Додайте відповідні записи хоста, якщо це потрібно, щоб зробити пінг і пошук успішними.
-
З DDMC також перевірте підключення до DD, виконавши наступну команду:
#managed-system check-connection <DD Hostname>
-
Доступ до режиму SE і порту перевірки 3009 відкритий в обидві сторони за допомогою telnet:
Як на DDR, так і на DDMC:
Увійдіть у режим SE, відкривши з'єднання з командного рядка SSH [наприклад, за допомогою putty]ПРИМІТКА. Команди «SE» застаріли у версіях DDOS 7.7.5.25, 7.10.1.15, 7.13.0.15, 6.2.1.110 і вище і доступні лише співробітникам Dell.- На ДД:
# se telnet <DDMC IP> 3009
- На DDMC:
# se telnet <DD IP> 3009
Приклад підключення telnet. Очікується закриття з'єднання чужим хостом, так як DD OS не дозволяє telnet.
se telnet 172.18.50.132 3009 Trying 172.18.50.132... Connected to 172.18.50.132. Escape character is '^]'. Connection closed by foreign host.
- На ДД:
-
Порівняйте відбиток, який DDMC отримує під час додавання DD до DDMC, з відбитком сертифіката CA DD.
DDMC повинен підібрати правильний відбиток DD.
SE@phxdd01#adminaccess certificate show detailed Type: host Cert Type: Host Certificate Application: https Subject/Issued To: abc.com Issued By: abc.com Valid From: Sat Aug 1 01:30:36 2015 Valid Until: Wed Jul 25 08:30:36 2046 Fingerprint: 7F:81:11:BC:F5:10:40:83:68:87:81:F5:97:77:EF:6C:EF:02:74:82 Type: ca Cert Type: Root CA Application: trusted-ca Subject/Issued To: abc.com Issued By: abc.com Valid From: Sun Aug 2 08:30:36 2015 Valid Until: Wed Jul 25 08:30:36 2046 Fingerprint: F1:D2:22:95:7C:45:C9:69:CB:76:25:18:C7:33:30:43:7A:CA:98:B9 SE@DDMC01## managed-system add abc.com force The SHA1 fingerprint for the remote host's CA certificate is F1:D2:22:95:7C:45:C9:69:CB:76:25:18:C7:33:30:43:7A:CA:98:B9 Do you want to trust this certificate? Are you sure? (yes|no) [no]: yes
-
У DD перевірте імена хостів для хоста та сертифіката CA у стовпці Тема. Вона повинна бути такою ж, на відміну від наведених нижче:
tassos1@jaxdd01# hostname The Hostname is: pqr.com assos1@jaxdd01# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ---------------------------------- ---- ----------- ------------------------ ------------------------ --------------------------------------- pqr.com host https Sun Dec 8 12:16:08 2013 Wed Nov 30 18:16:08 2044 2A:21:3E:1E:43:C9:77:F7:20:EF:E5:DF:D9:C9:9A:F8:4C:33:5E:0B pqr.ent.com ca trusted-ca Wed Feb 22 12:41:58 2012 Sat Feb 14 12:41:58 2043 AE:AF:8A:E9:0D:0C:F3:53:B5:A7:BF:D8:38:BC:2D:DA:CF:E5:E9:C8 ---------------------------------- ---- ----------- ------------------------ ------------------------ ---------------------------------------
Якщо невідповідність присутня, як у вищеописаному виводі, то повторно генерувати сертифікат на ДД.
Щоб повторно згенерувати DD сертифікат, TSE має перейти в режим BASH. Цей крок має виконати Data Domain Support Engineer.# ddsh -a adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint -------------------------- ---- ----------- ------------------------ ------------------------ ------------------------------------------ pqr.com host https Sat Aug 8 06:39:31 2015 Wed Aug 1 10:39:31 2046 D5:26:79:20:3A:2F:73:41:7E:A8:5C:9B:69:54:11:8B:33:E9:BD:D9 pqr.com ca trusted-ca Sun Aug 9 11:39:31 2015 Wed Aug 1 10:39:31 2046 02:A0:F7:49:E1:16:BC:8E:FD:47:E4:24:C3:AE:45:7D:B1:8B:0C:3D -------------------------- ---- ----------- ------------------------ ------------------------ -----------------------------
-
У DDMC переконайтеся, що всі допустимі імена хостів додано як керовані системи та під довірою.
#adminaccess trust show #managed-system show
Порівняйте виходи обох наведених вище команд і подивіться, чи немає невідповідностей.
Довіра для невірних імен хостів DD має бути видалена з DDMC.Запуск на DDMC
Видаліть довіру DDR, запустіть цю команду CLI:#adminaccess trust del host <Data Domain Hostname> type mutual
Запуск на домені даних
#adminaccess trust del host <DDMC hostname> type mutual
-
Тепер спробуйте повторно додати домен даних до DDMC за допомогою опції CLI з примусовою допомогою
#managed-system add <DD Hostname> force
-
Команду "Sync" можна використовувати в будь-який час для синхронізації керованих систем на DDMC:
#managed-system sync #managed-system show