Avamar en Data Domain-integratie: DD wordt rood weergegeven in Avamar AUI en/of gebruikersinterface Resolutiepad
Summary: Data Domain dat rood wordt weergegeven in de Avamar-gebruikersinterface en/of AUI wordt veroorzaakt door een aantal verschillende problemen. Dit is een oplossingspad dat u verwijst naar bestaande KB-artikelen voor deze onderwerpen. ...
Symptoms
Data Domain wordt rood weergegeven in AUI en/of gebruikersinterface als gevolg van certificaatproblemen, die ook back-up- en/of replicatiefouten kunnen veroorzaken.
Scenario 2
Data Domain wordt rood weergegeven in de AUI en/of gebruikersinterface vanwege een onjuiste SNMP-configuratie.
Scenario 3
Data Domain wordt rood weergegeven in AUI en/of gebruikersinterface vanwege ontbrekende en/of onjuiste ddr_key.
Scenario 4
Verlopen certificaten
Scenario 5
De invoersleutel "hfsaddr" in mcserver.xml is geconfigureerd als ip in plaats van hostnaam, terwijl het onderwerp van imported-ca de Avamar-hostnaam is.
Cause
Resolution
Data Domain wordt rood weergegeven in AUI en/of gebruikersinterface als gevolg van certificaatproblemen, die ook back-up- en/of replicatiefouten kunnen veroorzaken.
Automatisering van Goav-tools
De gedetailleerde scenario's in dit artikel kunnen handmatig worden gevolgd, of de Goav-opdrachtregeltool (CLI) kan worden gebruikt om automatisch problemen te detecteren en op te lossen.
Zie het Knowledge Base-artikel voor meer informatie over het gebruik van Goav om de problemen op te lossen die worden beschreven in KB-artikel 000215679, Avamar: Informatie over de Goav DD Check-SSL-functie
Scenario 1
De procedure voor scenario 1 is alleen relevant wanneer sessiebeveiliging is ingeschakeld.
Controleer of sessiebeveiliging is ingeschakeld als hoofdgebruiker:
enable_secure_config.sh --showconfig
Current Session Security Settings
----------------------------------
"encrypt_server_authenticate" ="false"
"secure_agent_feature_on" ="false"
"session_ticket_feature_on" ="false"
"secure_agents_mode" ="unsecure_only"
"secure_st_mode" ="unsecure_only"
"secure_dd_feature_on" ="false"
"verifypeer" ="no"
Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.
De bovenstaande uitvoer geeft aan dat sessiebeveiliging is uitgeschakeld.
Iets anders dan de hierboven weergegeven uitvoer geeft aan dat sessiebeveiliging is ingeschakeld.
Voorbeeld:
enable_secure_config.sh --showconfig Current Session Security Settings ---------------------------------- "encrypt_server_authenticate" ="true" "secure_agent_feature_on" ="true" "session_ticket_feature_on" ="true" "secure_agents_mode" ="secure_only" "secure_st_mode" ="secure_only" "secure_dd_feature_on" ="true" "verifypeer" ="yes" Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication. Client Agent and Management Server Communication set to secure_only mode. Secure Data Domain Feature is Enabled.
Symptomen:DDR-resultaatcode:
5049, desc: Bestand niet gevonden
DDR-resultaatcode: 5341, desc: SSL library error "failed to import host or ca certificate automatically"
DDR result code: 5008, desc: Ongeldig argument
Oorzaak:
Al deze resultaatcodes bij het niet maken van een back-up naar Data Domain wanneer sessiebeveiliging is ingeschakeld, hebben betrekking op certificaatproblemen.
Oplossing:
Hier volgen de stappen om ervoor te zorgen dat certificaten automatisch en correct worden geïmporteerd.
Controleer of er een systeemwachtwoordzin is ingesteld op Data Domain voordat u verdergaat met het controleren van certificaten. Ga in de gebruikersinterface van Data Domain Enterprise Manager naar Administration > Access Administrator Access > . De knop met het label "CHANGE PASSPHRASE" geeft aan dat de wachtwoordzin van het systeem is ingesteld.
1. Controleer op Data Domain de huidige certificaten.
ddboost51@fudge# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Wed Jan 19 12:22:07 2022 Mon Jan 18 12:22:07 2027 63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5 fudge_av.com imported-ca ddboost Thu Jan 6 10:16:07 2022 Tue Jan 5 10:16:07 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
2. Verwijder alle geïmporteerde certificaten voor de Avamar die back-upfouten ondervindt, bijvoorbeeld: fudge_av.com dat is de Avamar die wordt vermeld in de uitvoer van de opdracht "adminaccess certificate show".
ddboost51@fudge# adminaccess certificate delete subject fudge_av.com
3. Verwijder het geïmporteerde host ddboost-certificaat.
ddboost51@fudge# adminaccess certificate delete imported-host application ddboost
4. Controleer de huidige certificaten na het verwijderen.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
5. Controleer mcserver.xml parameters.
Op Avamar versie 19.3 en lager:
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml <entry key="ddr_security_feature_manual" value="false" />
On Avamar version 19.4:
grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml <entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
6. Zorg ervoor dat de handmatige beveiligingsfunctie is ingesteld op false. Hierdoor kunnen de certificaten automatisch worden geïmporteerd naar het Data Domain.
Als deze is ingesteld op "true" bij Avamar 19.3 en lager, stelt u deze in op false en start u MCS opnieuw.
<entry key="ddr_security_feature_manual" value="false" />
Op Avamar 19.4 en hoger kunt u beide vlaggen instellen op false en MCS opnieuw starten.
<entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
7. Start MCS opnieuw.
mcserver.sh --stop mcserver.sh --start
8. Start ddboost opnieuw in Data Domain.
ddboost disable ddboost enable
9. Open de Avamar-gebruikersinterface en/of AUI en werk het Data Domain-systeem bij en/of bewerk het.
Open de Data Doman-server in de Avamar Administrator.
Ga in Avamar MCGUI naar Server Server >Management, selecteer de DD-server, klik op het pictogram Edit Data Domain System en klik op OK in het weergavevenster.
A. Klik in Avamar Administrator op de knop Server Launcher. Het venster Server wordt weergegeven.
B. Klik op het tabblad Serverbeheer .
C. Selecteer het Data Domain systeem dat u wilt bewerken.
D. Selecteer Acties >Bewerken Data Domain systeem. Het dialoogvenster Edit Data Domain System wordt weergegeven.
E. Klik op OK.
Er zijn geen wijzigingen vereist voor de Data Domain-configuratie.
10. Nadat de bewerking is voltooid, worden de certificaten automatisch geïmporteerd in het Data Domain.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Fri Feb 25 13:29:36 2022 Wed Feb 24 13:29:36 2027 4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33 fudge_av.com imported-ca ddboost Mon Feb 7 13:30:20 2022 Sat Feb 6 13:30:20 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
11. Vergeet niet om, indien nodig, de back-upplanner op Avamar te hervatten.
dpnctl start sched
Scenario 2
Data Domain wordt rood weergegeven in de AUI en/of gebruikersinterface vanwege een onjuiste SNMP-configuratie.
Symptomen: In de Java-gebruikersinterface en/of AUI wordt DD rood weergegeven op het hoofdscherm
Oorzaak:
Onjuiste DD SNMP-configuratie kan er ook voor zorgen dat de DD rood of 0-en weergeeft in de gebruikersinterface en/of AUI.
Oplossing:
DD SNMP-configuratie
verifiëren en/of corrigeren De eenvoudigste manier om DD SNMP versie 2 te controleren en/of te corrigeren is via de DD-webinterface.
https://<data_domain_fqdn>
Ga in de interface naar Administration >Settings > SNMP SNMP >V2C configuration.
1. Maak een alleen-lezen community-tekenreeks of gebruik een bestaande.
2. Maak een trap-host die de Avamar-hostnaam is, poort 163, en selecteer de community-tekenreeks die u wilt gebruiken.
3. Ga naar de Avamar Java-gebruikersinterface of AUI en bewerk het Data Domain-systeem, selecteer het tabblad SNMP en werk de SNMP-communitytekenreeks bij die u voor uw trap-host hebt geconfigureerd.
4. Mogelijk moet u de "mcddrnsmp"-service opnieuw starten op Avamar, als root:
mcddrsnmp restart
Verwante Lightning Knowledge Based Articles for SNMP configuration:KB article 000063895, Data Domain:
Veelvoorkomende SNMP-configuratie en problemen waardoor monitoringservices zijn uitgeschakeld in geïntegreerde back-upsoftware of DPA
Scenario 3
Data Domain wordt rood weergegeven in AUI en/of gebruikersinterface vanwege ontbrekende en/of onjuiste ddr_key.
Wanneer een Avamar-systeem back-ups opslaat op een Data Domain systeem, geeft de Avamar Management Console Server (MCS) opdrachten aan het Data Domain systeem met behulp van het SSH-protocol. Dit protocol biedt een beveiligd communicatiekanaal voor het uitvoeren van opdrachten op afstand. Om het uitvoeren van externe opdrachten met behulp van SSH mogelijk te maken, bieden Data Domain systemen een SSH-interface met de naam DDSSH. De DDSSH-interface vereist verificatie van het Avamar-systeem. Verificatie wordt uitgevoerd door privé- en openbare SSH-sleutels aan te maken op het Avamar-systeem en de openbare sleutel te delen met het Data Domain-systeem.
1. Open op Avamar een opdrachtshell, meld u aan bij Avamar en laad de sleutels.
ssh-agent bash ssh-add ~admin/.ssh/admin_key
2. Controleer of de ddr_key en ddr_key.pub zich al in de map /home/admin/.ssh/ bevinden:
ls -lh /home/admin/.ssh/ddr*
3. Open de ddr_key.pub met kat en kopieer de inhoud. Het is handig om later op Data Domain te plakken.
cat /home/admin/.ssh/ddr_key.pub
4. Kopieer de volledige inhoud van het bestand als het later nodig is. Het ziet er als volgt uit:
ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname
5. Meld u aan bij het Data Domain systeem door:
ssh <ddboost>@<DataDomainHostname>
6. Controleer de ssh-toetsen
adminaccess show ssh-keys
7. Gebruik de Data Domain-opdracht adminaccess add ssh-keys om de keystore op het Data Domain systeem te openen:
adminaccess add ssh-keys user <ddboost>
Waarbij <ddboost> de gebruikersnaam is die is toegewezen aan het Avamar-systeem op het Data Domain-systeem. Het hulpprogramma vraagt om de sleutel:
ddboost@datadomain# adminaccess add ssh-keys user ddboost
Voer de toets in en druk op Control-D of druk op Control-C om te annuleren.
8. Plak de openbare SSH-sleutel van het Avamar-systeem (ddr_key.pub) bij deze prompt
9. Voltooi de invoer van de sleutel door op Ctrl+D te drukken om deze op te slaan. Het hulpprogramma voegt de openbare sleutel toe aan de keystore op het Data Domain-systeem.
10. Meld u af bij het Data Domain-systeem.
exit
11. Terug naar Avamar, laad de ddr-sleutels.
ssh-agent bash ssh-add ~/.ssh/ddr_key
12. Test of u zich kunt aanmelden bij het Data Domain systeem zonder een wachtwoord op te geven door het volgende te typen:
ssh <ddboost>@<DataDomainHostname> admin@avamar:~/#: ssh ddboost@DataDomainHostname EMC Data Domain Virtual Edition Last login: Tue Dec 3 01:17:07 PST 2019 from 10.x.x.x on pts/1 Welcome to Data Domain OS 6.2.0.10-615548 ----------------------------------------- ddboost@DataDomainHostname#
Scenario 4
De Avamar server/gsan-certificaten zijn verlopen, waardoor back-ups mislukken.
Het DDBOOST-certificaat voor Data Domain imported-host is verlopen, waardoor back-ups mislukken.
Als de Avamar server/gsan-certificaten zijn verlopen, moet u ALLE certificaten opnieuw genereren met behulp van de sessiebeveiligings-AVP. We selecteren ALLE certificaten omdat de avamar_keystore nieuwe basissleutels moet krijgen om nieuwe server/gsan-certificaten van die sleutels te kunnen maken.
Gebruik het volgende KB-artikel om de sessiebeveiligingsavp te downloaden en te installeren om alle certificaten opnieuw te genereren.
KB-artikel 000067229 Avamar-IDPA: Back-ups of replicaties mislukken met certificaatfout.
Na het opnieuw genereren van de certificaten moet het Data Domain de nieuwe imported-ca ddboost (Avamar chain.pem) krijgen.
Scenario 5
Neem contact op met Dell Support voor hulp en vermeld de ID van dit artikel.