Integracja Avamar i Data Domain: DD wyświetla się na czerwono w AUI Avamar i/lub interfejsie użytkownika Ścieżka rozwiązania
Summary: Data Domain wyświetlane na czerwono w interfejsie użytkownika Avamar i/lub AUI są spowodowane kilkoma różnymi problemami. Jest to ścieżka rozwiązania, która wskazuje istniejące artykuły bazy wiedzy dotyczące tych tematów. ...
Symptoms
Data Domain jest wyświetlana na czerwono w AUI i/lub interfejsie użytkownika ze względu na problemy z certyfikatami, które również mogą powodować niepowodzenia tworzenia kopii zapasowych lub replikacji.
Scenariusz 2
Data Domain wyświetla kolor czerwony w interfejsie użytkownika AUI i/lub z powodu nieprawidłowej konfiguracji SNMP.
Scenariusz 3
Data Domain wyświetla kolor czerwony w AUI i/lub interfejsie użytkownika z powodu braku i/lub nieprawidłowych ddr_key.
Scenariusz 4
Wygasłe certyfikatyScenariusz 5
Klucz wejściowy "hfsaddr" w mcserver.xml jest skonfigurowany
jako ip zamiast nazwy hosta, podczas gdy podmiotem imported-ca jest nazwa hosta Avamar.
Cause
Resolution
Data Domain jest wyświetlana na czerwono w AUI i/lub interfejsie użytkownika ze względu na problemy z certyfikatami, które również mogą powodować niepowodzenia tworzenia kopii zapasowych lub replikacji.
Automatyzacja narzędzi Goav
Szczegółowe scenariusze opisane w tym artykule mogą być wykonywane ręcznie lub można użyć narzędzia wiersza polecenia (CLI) narzędzia Goav do automatycznego wykrywania problemów i ich rozwiązywania.
Zapoznaj się z artykułem z bazy wiedzy, aby uzyskać więcej informacji na temat korzystania z narzędzia Goav w celu rozwiązania problemów opisanych w artykule bazy wiedzy 000215679, Avamar: Informacje o funkcji
Goav dd check-SSLScenariusz 1
Procedura dla scenariusza 1 ma zastosowanie tylko wtedy, gdy zabezpieczenia sesji są włączone.
Sprawdź, czy zabezpieczenia sesji są włączone jako użytkownik root:
enable_secure_config.sh --showconfig
Current Session Security Settings
----------------------------------
"encrypt_server_authenticate" ="false"
"secure_agent_feature_on" ="false"
"session_ticket_feature_on" ="false"
"secure_agents_mode" ="unsecure_only"
"secure_st_mode" ="unsecure_only"
"secure_dd_feature_on" ="false"
"verifypeer" ="no"
Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.
Powyższe dane wyjściowe pokazują, że zabezpieczenia sesji są wyłączone.
Wszystko inne niż dane wyjściowe pokazane powyżej wskazuje, że zabezpieczenia sesji są włączone.
Przykład:
enable_secure_config.sh --showconfig Current Session Security Settings ---------------------------------- "encrypt_server_authenticate" ="true" "secure_agent_feature_on" ="true" "session_ticket_feature_on" ="true" "secure_agents_mode" ="secure_only" "secure_st_mode" ="secure_only" "secure_dd_feature_on" ="true" "verifypeer" ="yes" Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication. Client Agent and Management Server Communication set to secure_only mode. Secure Data Domain Feature is Enabled.
Objawy:Kod wyniku DDR:
5049, opis: Nie znaleziono
pliku Kod wyniku DDR: 5341, desc: Błąd biblioteki SSL "failed to import hosta lub certyfikatu ca automatycznie"
Kod wyniku DDR: 5008, opis: Nieprawidłowy argument
Przyczyna:
Wszystkie kody wyników dotyczące niepowodzenia tworzenia kopii zapasowej w Data Domain, gdy włączone są zabezpieczenia sesji, odnoszą się do problemów z certyfikatami.
Rozwiązanie:
Poniżej przedstawiono kroki, które należy wykonać, aby zapewnić automatyczne i poprawne importowanie certyfikatów.
Przed rozpoczęciem sprawdzania certyfikatów sprawdź, czy w Data Domain ustawiono hasło systemowe. W interfejsie użytkownika Data Domain Enterprise Manager przejdź do opcji Dostęp administratora dostępu > administracyjnego>. Przycisk "ZMIEŃ HASŁO" wskazuje, że hasło systemowe jest ustawione.
1. W Data Domain sprawdź bieżące certyfikaty.
ddboost51@fudge# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Wed Jan 19 12:22:07 2022 Mon Jan 18 12:22:07 2027 63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5 fudge_av.com imported-ca ddboost Thu Jan 6 10:16:07 2022 Tue Jan 5 10:16:07 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
2. Usuń wszystkie zaimportowane certyfikaty dla Avamar, w którym występują problemy z kopią zapasową, na przykład: fudge_av.com który to Avamar wymieniony w wyniku polecenia "adminaccess certificate show".
ddboost51@fudge# adminaccess certificate delete subject fudge_av.com
3. Usuń certyfikat ddboost zaimportowanego hosta.
ddboost51@fudge# adminaccess certificate delete imported-host application ddboost
4. Sprawdź aktualne certyfikaty po usunięciu.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
5. Sprawdź mcserver.xml parametry.
W przypadku oprogramowania Avamar w wersji 19.3 lub starszej:
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml <entry key="ddr_security_feature_manual" value="false" />
W przypadku Avamar w wersji 19.4:
grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml <entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
6. Upewnij się, że ręczna funkcja zabezpieczeń jest ustawiona na wartość false. Umożliwia to automatyczne importowanie certyfikatów do Data Domain.
W wersji Avamar 19.3 i starszych, jeśli ustawiono wartość true, ustaw ją na false i ponownie uruchom MCS.
<entry key="ddr_security_feature_manual" value="false" />
W wersji Avamar 19.4 i nowszych można ustawić obie flagi na false i ponownie uruchomić MCS.
<entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
7. Uruchom ponownie MCS.
mcserver.sh --stop mcserver.sh --start
8. W Data Domain uruchom ponownie ddboost.
ddboost disable ddboost enable
9. Otwórz interfejs użytkownika Avamar i/lub AUI, a następnie zaktualizuj i/lub edytuj system Data Domain.
Otwórz serwer Data Doman w Avamar Administrator.
W Avamar MCGUI przejdź do > Server Server Management, wybierz serwer DD, kliknij ikonę Edit Data Domain System i kliknij przycisk OK w oknie wyświetlacza.
A. W aplikacji Avamar Administrator kliknij przycisk Server Launcher. Zostanie wyświetlone okno Serwer.
B. Kliknij kartę Zarządzanie serwerem .
C. Wybierz system Data Domain do edycji.
D. Wybierz opcję Actions >Edit Data Domain System. Zostanie wyświetlone okno dialogowe Edit Data Domain System.
E. Kliknij przycisk OK.
Nie są wymagane żadne zmiany konfiguracji Data Domain.
10. Po zakończeniu edycji certyfikaty powinny zostać automatycznie zaimportowane do Data Domain.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Fri Feb 25 13:29:36 2022 Wed Feb 24 13:29:36 2027 4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33 fudge_av.com imported-ca ddboost Mon Feb 7 13:30:20 2022 Sat Feb 6 13:30:20 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
11. Pamiętaj, aby w razie potrzeby wznowić harmonogram tworzenia kopii zapasowych w Avamar.
dpnctl start sched
Scenariusz 2
Data Domain wyświetla kolor czerwony w interfejsie użytkownika AUI i/lub z powodu nieprawidłowej konfiguracji SNMP.
Objawy:W interfejsie użytkownika Java i/lub AUI DD świeci na czerwono na ekranie
głównym Przyczyna:
Nieprawidłowa konfiguracja DD SNMP może również powodować wyświetlanie koloru czerwonego lub 0 s w interfejsie użytkownika i/lub AUI.
Rozwiązanie:
sprawdzanie i/lub poprawianie konfiguracji DD SNMP Najprostszym
sposobem weryfikacji i/lub poprawienia DD SNMP w wersji 2 jest użycie interfejsu sieciowego DD.
https://<data_domain_fqdn>
Przejdź do interfejsu Ustawienia administracyjne >>SNMP Konfiguracja SNMP >V2C.
1. Utwórz ciąg społeczności tylko do odczytu lub użyj istniejącego.
2. Utwórz hosta pułapki o nazwie hosta Avamar, porcie 163, a następnie wybierz ciąg społeczności, którego chcesz użyć.
3. Przejdź do interfejsu użytkownika Java Avamar lub AUI i edytuj system Data Domain, wybierz kartę SNMP i zaktualizuj ciąg społeczności SNMP skonfigurowany dla hosta pułapki.
4. Może być konieczne ponowne uruchomienie usługi "mcddrnsmp" w Avamarze, jako użytkownik root:
mcddrsnmp restart
Powiązane artykuły bazy wiedzy Lightning dotyczące konfiguracji SNMP: artykuł bazy wiedzy nr 000063895, Data Domain:
Typowa konfiguracja SNMP i problemy powodujące wyłączenie usług monitorowania w zintegrowanym oprogramowaniu do tworzenia kopii zapasowych lub DPA
Scenariusz 3
Data Domain jest wyświetlana na czerwono w AUI i/lub interfejsie użytkownika z powodu braku i/lub nieprawidłowych ddr_key.
Gdy system Avamar przechowuje kopie zapasowe w systemie Data Domain, serwer konsoli zarządzającej Avamar (MCS) wysyła polecenia do systemu Data Domain przy użyciu protokołu SSH. Ten protokół zapewnia bezpieczny kanał komunikacji do zdalnego wykonywania poleceń. Aby umożliwić zdalne wykonywanie poleceń przy użyciu SSH, systemy Data Domain zapewniają interfejs SSH o nazwie DDSSH. Interfejs DDSSH wymaga uwierzytelnienia systemu Avamar. Uwierzytelnianie odbywa się poprzez utworzenie kluczy prywatnych i publicznych SSH w systemie Avamar i udostępnienie klucza publicznego systemowi Data Domain.
1. W systemie Avamar otwórz powłokę poleceń, zaloguj się do Avamar i załaduj klucze.
ssh-agent bash ssh-add ~admin/.ssh/admin_key
2. Sprawdź, czy pliki ddr_key i ddr_key.pub znajdują się już w folderze /home/admin/.ssh/:
ls -lh /home/admin/.ssh/ddr*
3. Otwórz plik ddr_key.pub z kotem i skopiuj jego zawartość. Przydaje się to do późniejszego wklejenia w Data Domain.
cat /home/admin/.ssh/ddr_key.pub
4. Skopiuj całą zawartość pliku, jeśli będzie to potrzebne później. Wygląda to tak:
ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname
5. Zaloguj się do systemu Data Domain, wpisując:
ssh <ddboost>@<DataDomainHostname>
6. Sprawdzanie kluczy ssh
adminaccess show ssh-keys
7. Użyj polecenia "adadminaccess" z poleceniem "data domain add", aby otworzyć magazyn kluczy w systemie Data Domain:
adminaccess add ssh-keys user <ddboost>
Gdzie <ddboost> jest nazwą użytkownika przypisaną do systemu Avamar w systemie Data Domain. Narzędzie wyświetli monit o klucz:
ddboost@datadomain# adminaccess add ssh-keys user ddboost
Wprowadź klawisz, a następnie naciśnij klawisze Control-D lub naciśnij klawisze Control-C, aby anulować.
8. Wklej klucz publiczny SSH systemu Avamar (ddr_key.pub) po wyświetleniu tego monitu
9. Zakończ wprowadzanie klucza, naciskając klawisze Ctrl+D, aby go zapisać. Narzędzie dodaje klucz publiczny do magazynu kluczy w systemie Data Domain.
10. Wyloguj się z systemu Data Domain.
exit
11. Wróć do Avamara i załaduj klucze ddr.
ssh-agent bash ssh-add ~/.ssh/ddr_key
12. Sprawdź, czy można zalogować się do systemu Data Domain bez podawania hasła, wpisując:
ssh <ddboost>@<DataDomainHostname> admin@avamar:~/#: ssh ddboost@DataDomainHostname EMC Data Domain Virtual Edition Last login: Tue Dec 3 01:17:07 PST 2019 from 10.x.x.x on pts/1 Welcome to Data Domain OS 6.2.0.10-615548 ----------------------------------------- ddboost@DataDomainHostname#
Scenariusz 4
Certyfikaty serwera Avamar/gsan wygasły, co spowodowało niepowodzenie tworzenia kopii zapasowych.
Certyfikat ddboost importowanego hosta Data Domain wygasł, powodując niepowodzenie tworzenia kopii zapasowych.
Jeśli certyfikaty serwera Avamar/gsan wygasły, należy ponownie wygenerować WSZYSTKIE certyfikaty przy użyciu AVP zabezpieczeń sesji. Wybieramy WSZYSTKIE certyfikaty, ponieważ avamar_keystore musi uzyskać nowe klucze główne, aby utworzyć nowe certyfikaty serwera/GSAN z tych kluczy.
Skorzystaj z poniższego artykułu bazy wiedzy, aby pobrać i zainstalować avp zabezpieczeń sesji w celu ponownego wygenerowania wszystkich certyfikatów.
Artykuł bazy wiedzy 000067229 Avamar-IDPA: Tworzenie kopii zapasowych lub replikacji kończy się niepowodzeniem z powodu błędu certyfikatu.
Po ponownym wygenerowaniu certyfikatów Data Domain musi uzyskać nowy zaimportowany plik ca ddboost (Avamar chain.pem).
Scenariusz 5
Skontaktuj się z pomocą techniczną firmy Dell, aby uzyskać pomoc i podaj ten identyfikator artykułu.