Интеграция Avamar и Data Domain: DD отображает красный цвет в Avamar AUI и/или пользовательском интерфейсе Путь решения
Summary: Красный цвет в Data Domain в пользовательском интерфейсе Avamar и/или AUI вызваны несколькими различными проблемами. Это путь решения проблемы, который указывает на существующие статьи базы знаний по этим темам. ...
Symptoms
Data Domain отображается красным цветом в пользовательском интерфейсе и/или в пользовательском интерфейсе из-за проблем с сертификатами, которые также могут приводить к сбоям резервного копирования и/или репликации.
Сценарий 2
Data Domain отображается красным цветом в пользовательском интерфейсе и/или в пользовательском интерфейсе из-за неправильной конфигурации SNMP.
Сценарий 3
Data Domain отображается красным цветом в пользовательском интерфейсе и/или в пользовательском интерфейсе из-за отсутствия или неверного ddr_key.
Сценарий 4
Сертификаты
с истекшим сроком действияСценарий 5
Ключ входа, «hfsaddr» в mcserver.xml, настроен как ip, а не как имя хоста, а субъект imported-ca — имя хоста Avamar.
Cause
Resolution
Data Domain отображается красным цветом в пользовательском интерфейсе и/или в пользовательском интерфейсе из-за проблем с сертификатами, которые также могут приводить к сбоям резервного копирования и/или репликации.
Автоматизация инструмента Goav
Подробные сценарии, описанные в этой статье, можно выполнять вручную или использовать инструмент командной строки Goav (CLI) для автоматического обнаружения проблем и их устранения.
Дополнительные сведения об использовании Goav для устранения проблем, описанных в статье базы знаний 000215679, Avamar, см. в статье базы знаний: Информация о функции
Goav dd check-sslСценарий 1
Процедура для сценария 1 актуальна только в том случае, если включена безопасность сеанса.
Проверьте, включена ли безопасность сеанса в качестве пользователя root:
enable_secure_config.sh --showconfig
Current Session Security Settings
----------------------------------
"encrypt_server_authenticate" ="false"
"secure_agent_feature_on" ="false"
"session_ticket_feature_on" ="false"
"secure_agents_mode" ="unsecure_only"
"secure_st_mode" ="unsecure_only"
"secure_dd_feature_on" ="false"
"verifypeer" ="no"
Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.
В приведенном выше выводе указано, что безопасность сеанса отключена.
Если выходные данные отличаются от указанных выше, это означает, что безопасность сеанса включена.
Примере:
enable_secure_config.sh --showconfig Current Session Security Settings ---------------------------------- "encrypt_server_authenticate" ="true" "secure_agent_feature_on" ="true" "session_ticket_feature_on" ="true" "secure_agents_mode" ="secure_only" "secure_st_mode" ="secure_only" "secure_dd_feature_on" ="true" "verifypeer" ="yes" Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication. Client Agent and Management Server Communication set to secure_only mode. Secure Data Domain Feature is Enabled.
Симптомы:Код результата DDR:
5049, по определению: Файл не найден,
код результата DDR: 5341, desc: Ошибка библиотеки SSL «Не удалось автоматически импортировать сертификат хоста или CA»:
«Код результата DDR: 5008, по определению: Причина
:
все эти коды результатов сбоя резервного копирования в Data Domain при включенной безопасности сеанса связаны с проблемами с сертификатами.
Решение.Ниже приведены действия, которые помогут убедиться, что импорт сертификатов выполняется автоматически и правильно.
Прежде чем переходить к проверке сертификатов, убедитесь, что в Data Domain установлена системная парольная фраза. В пользовательском интерфейсе Data Domain Enterprise Manager перейдите в раздел Admin > Access Administrator Access > . Кнопка с надписью «CHANGE PASSPHRASE» показывает, что системная фраза-пароль установлена.
1. В Data Domain проверьте текущие сертификаты.
ddboost51@fudge# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Wed Jan 19 12:22:07 2022 Mon Jan 18 12:22:07 2027 63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5 fudge_av.com imported-ca ddboost Thu Jan 6 10:16:07 2022 Tue Jan 5 10:16:07 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
2. Удалите все импортированные сертификаты для Avamar, в которых происходят сбои резервного копирования, например: fudge_av.com который является Avamar, указанным в выходных данных команды «adminaccess certificate show».
ddboost51@fudge# adminaccess certificate delete subject fudge_av.com
3. Удалите сертификат ddboost импортированного хоста.
ddboost51@fudge# adminaccess certificate delete imported-host application ddboost
4. Проверьте текущие сертификаты после удаления.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
5. Проверьте параметры mcserver.xml.
В Avamar версии 19.3 и ниже:
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml <entry key="ddr_security_feature_manual" value="false" />
Для версии Avamar 19.4:
grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml <entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
6. Убедитесь, что для функции безопасности вручную установлено значение «false». Это позволяет автоматически импортировать сертификаты в Data Domain.
В Avamar 19.3 и более ранних версиях, если для него установлено значение true, установите значение false и перезапустите MCS.
<entry key="ddr_security_feature_manual" value="false" />
В Avamar 19.4 и более поздних версиях можно установить оба флага в false и перезапустить MCS.
<entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
7. Перезапустите MCS.
mcserver.sh --stop mcserver.sh --start
8. В Data Domain перезапустите ddboost.
ddboost disable ddboost enable
9. Откройте пользовательский интерфейс Avamar и/или AUI, а затем обновите и/или отредактируйте систему Data Domain.
Откройте сервер Data Doman в Avamar Administrator.
В Avamar MCGUI перейдите в раздел Server >Server Management, выберите сервер DD, нажмите значок Edit Data Domain System и нажмите OK в окне дисплея.
a. В Avamar Administrator нажмите кнопку запуска сервера. Откроется окно Сервер.
B. Перейдите на вкладку Управление сервером .
C. Выберите систему Data Domain для редактирования.
D. Выберите Действия >Изменить систему Data Domain. Откроется диалоговое окно Изменение системы Data Domain.
E. Нажмите кнопку ОК.
Для конфигурации Data Domain не требуется никаких изменений.
10. После завершения редактирования сертификаты должны быть автоматически импортированы в Data Domain.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Fri Feb 25 13:29:36 2022 Wed Feb 24 13:29:36 2027 4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33 fudge_av.com imported-ca ddboost Mon Feb 7 13:30:20 2022 Sat Feb 6 13:30:20 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
11. Не забудьте возобновить работу планировщика резервного копирования в Avamar, если это необходимо.
dpnctl start sched
Сценарий 2
Data Domain отображается красным цветом в пользовательском интерфейсе и/или в пользовательском интерфейсе из-за неправильной конфигурации SNMP.
Симптомы:В пользовательском интерфейсе java и/или aui DD показывает красный цвет на главном экране
Причина:
Неправильная конфигурация DD SNMP также может привести к отображению красного цвета или 0 в пользовательском интерфейсе и/или AUI.
Решение. Проверка и/или исправление конфигурации
DD SNMP Самый простой способ проверить и/или исправить DD SNMP версии 2 — использовать веб-интерфейс DD.
https://<data_domain_fqdn>
Перейдите в интерфейсе Настройки > администрирования >SNMP SNMP>V2C Configuration.
1. Создайте строку доступного только для чтения или используйте существующую.
2. Создайте хост ловушки, который является именем хоста Avamar, порт 163, и выберите строку сообщества, которую вы хотите использовать.
3. Перейдите в пользовательский интерфейс Java или пользовательский интерфейс Avamar и отредактируйте систему Data Domain, выберите вкладку SNMP и обновите строку сообщества SNMP, настроенную для хоста ловушки.
4. Возможно, потребуется перезапустить службу «mcddrnsmp» в Avamar в качестве пользователя root:
mcddrsnmp restart
Связанные статьи базы знаний Lightning для настройки SNMP: статья базы знаний 000063895, Data Domain:
Общая конфигурация SNMP и проблемы, вызывающие отключение служб мониторинга в ПО для интегрированного резервного копирования или DPA
Сценарий 3
Data Domain отображается красным цветом в пользовательском интерфейсе и/или в пользовательском интерфейсе из-за отсутствия или неверного ddr_key.
Когда система Avamar сохраняет резервные копии в системе Data Domain, сервер Avamar Management Console Server (MCS) выдает команды системе Data Domain, используя протокол SSH. Этот протокол обеспечивает безопасный канал связи для удаленного выполнения команд. Чтобы разрешить удаленное выполнение команд с помощью SSH, системы Data Domain используют интерфейс SSH под названием DDSSH. Интерфейс DDSSH требует проверки подлинности системы Avamar. Аутентификация осуществляется путем создания закрытого и открытого ключей SSH в системе Avamar и совместного использования открытого ключа с системой Data Domain.
1. В Avamar откройте командную оболочку, войдите в Avamar и загрузите ключи.
ssh-agent bash ssh-add ~admin/.ssh/admin_key
2. Убедитесь, что ddr_key и ddr_key.pub уже находятся в папке /home/admin/.ssh/:
ls -lh /home/admin/.ssh/ddr*
3. Откройте ddr_key.pub с помощью cat и скопируйте его содержимое. Его полезно вставить в Data Domain позже.
cat /home/admin/.ssh/ddr_key.pub
4. Скопируйте все содержимое файла, если это потребуется позже. Выглядит это так:
ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname
5. Войдите в систему Data Domain, введя:
ssh <ddboost>@<DataDomainHostname>
6. Проверка ssh-ключей
adminaccess show ssh-keys
7. Используйте команду Data Domain adminaccess add ssh-keys, чтобы открыть хранилище ключей в системе Data Domain:
adminaccess add ssh-keys user <ddboost>
Где <ddboost> — это имя пользователя, назначенное системе Avamar в системе Data Domain. Утилита запрашивает ключ:
ddboost@datadomain# adminaccess add ssh-keys user ddboost
Введите клавишу и нажмите Control-D или нажмите Control-C, чтобы отменить операцию.
8. Вставьте открытый ключ SSH системы Avamar (ddr_key.pub) в ответ на запрос
9. Завершите ввод ключа, нажав Ctrl+D, чтобы сохранить его. Утилита добавляет открытый ключ в хранилище ключей в системе Data Domain.
10. Выйдите из системы Data Domain.
exit
11. Вернемся в Avamar, загрузите ключи DDR.
ssh-agent bash ssh-add ~/.ssh/ddr_key
12. Убедитесь, что вы можете войти в систему Data Domain без ввода пароля, введя:
ssh <ddboost>@<DataDomainHostname> admin@avamar:~/#: ssh ddboost@DataDomainHostname EMC Data Domain Virtual Edition Last login: Tue Dec 3 01:17:07 PST 2019 from 10.x.x.x on pts/1 Welcome to Data Domain OS 6.2.0.10-615548 ----------------------------------------- ddboost@DataDomainHostname#
Сценарий 4
Срок действия сертификатов Avamar Server/GSAN истек, что приводит к сбою резервного копирования.
Срок действия сертификата ddboost импортируемого хоста Data Domain истек, что приводит к сбою резервного копирования.
Если срок действия сертификатов Avamar Server/GSAN истек, необходимо повторно создать ВСЕ сертификаты с помощью AVP безопасности сеанса. Мы выбираем ВСЕ сертификаты, так как avamar_keystore должны получить новые корневые ключи, чтобы создавать новые сертификаты сервера/gsan из этих ключей.
Чтобы повторно создать все сертификаты, скачайте и установите AVP безопасности сеансов, приведенные в следующей статье базы знаний.
Статья базы знаний 000067229 Avamar-IDPA. Операции резервного копирования или репликации завершаются сбоем с ошибкой сертификата.
После повторного создания сертификатов система Data Domain должна получить новый импортируемый файл ddboost (Avamar chain.pem).
Сценарий 5
Обратитесь за помощью в службу поддержки Dell и укажите идентификатор этой статьи.