Integração entre Avamar e Data Domain: DD exibido em vermelho na AUI do Avamar e/ou no caminho de resolução da interface do usuário
Summary: O Data Domain exibido em vermelho na interface do usuário do Avamar e/ou AUI é causado por alguns problemas diferentes. Este é um caminho de resolução que direciona você para os artigos existentes da KB para esses tópicos. ...
Symptoms
Data Domain exibido em vermelho na AUI e/ou na interface do usuário devido a problemas de certificado, que também podem estar causando falhas de backup e/ou replicação.
Cenário 2
O Data Domain está vermelho na AUI e/ou na interface do usuário devido à configuração incorreta do SNMP.
Cenário 3
O Data Domain está vermelho na AUI e/ou na interface do usuário devido a ddr_key ausentes e/ou incorretas.
Cenário 4
Certificados
expiradosCenário 5
A chave de entrada, "hfsaddr" no mcserver.xml é configurada como ip em vez de hostname, enquanto o assunto de imported-ca é hostname do Avamar.
Cause
Resolution
Data Domain exibido em vermelho na AUI e/ou na interface do usuário devido a problemas de certificado, que também podem estar causando falhas de backup e/ou replicação.
Automação da ferramenta Goav
Os cenários detalhados neste artigo podem ser seguidos manualmente ou a ferramenta de linha de comando (CLI) do Goav pode ser usada para detectar problemas e resolvê-los automaticamente.
Consulte o artigo da base de conhecimento para obter mais detalhes sobre como usar o Goav para resolver os problemas descritos no artigo da KB 000215679, Avamar: Informações sobre o recurso Goav dd check-ssl
Cenário 1
O procedimento para o cenário 1 só é relevante quando a segurança da sessão está habilitada.
Verifique se a segurança da sessão está ativada como usuário root:
enable_secure_config.sh --showconfig
Current Session Security Settings
----------------------------------
"encrypt_server_authenticate" ="false"
"secure_agent_feature_on" ="false"
"session_ticket_feature_on" ="false"
"secure_agents_mode" ="unsecure_only"
"secure_st_mode" ="unsecure_only"
"secure_dd_feature_on" ="false"
"verifypeer" ="no"
Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.
O resultado acima mostra a segurança da sessão desativada.
Qualquer resultado diferente do mostrado acima indica que a segurança da sessão está ativada.
Exemplo:
enable_secure_config.sh --showconfig Current Session Security Settings ---------------------------------- "encrypt_server_authenticate" ="true" "secure_agent_feature_on" ="true" "session_ticket_feature_on" ="true" "secure_agents_mode" ="secure_only" "secure_st_mode" ="secure_only" "secure_dd_feature_on" ="true" "verifypeer" ="yes" Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication. Client Agent and Management Server Communication set to secure_only mode. Secure Data Domain Feature is Enabled.
Sintomas: código de resultado DDR:
5049, descrição: Arquivo não encontrado
Código de resultado do DDR: 5341, desc: Erro de biblioteca SSL "failed to import host or ca certificate automatically"
Código de resultado DDR: 5008, descrição: Causa do argumento
inválido:
todos esses códigos de resultado na falha no backup no Data Domain quando a segurança da sessão está habilitada estão relacionados a problemas de certificado.
Resolução:
estas são as etapas para garantir que as importações de certificados sejam automáticas e corretas.
Verifique se há uma frase secreta do sistema definida no Data Domain antes de continuar a verificar os certificados. Na interface do usuário do Data Domain Enterprise Manager, vá para Administration > Access Administrator Access > . O botão identificado como "CHANGE PASSPHRASE" mostra que a frase secreta do sistema está definida.
1. No Data Domain, verifique os certificados atuais.
ddboost51@fudge# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Wed Jan 19 12:22:07 2022 Mon Jan 18 12:22:07 2027 63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5 fudge_av.com imported-ca ddboost Thu Jan 6 10:16:07 2022 Tue Jan 5 10:16:07 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
2. Exclua quaisquer certificados importados para o Avamar que estejam enfrentando falhas de backup, por exemplo: fudge_av.com que é o Avamar listado na saída do comando "adminaccess certificate show".
ddboost51@fudge# adminaccess certificate delete subject fudge_av.com
3. Exclua o certificado ddboost de host importado.
ddboost51@fudge# adminaccess certificate delete imported-host application ddboost
4. Verifique os certificados atuais após a exclusão.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
5. Verifique mcserver.xml parâmetros.
No Avamar versão 19.3 e inferior:
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml <entry key="ddr_security_feature_manual" value="false" />
No Avamar versão 19.4:
grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml <entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
6. Certifique-se de que o recurso de segurança manual esteja definido como falso. Isso permite que os certificados sejam importados automaticamente para o Data Domain.
No Avamar 19.3 e versões anteriores, se estiver definido como true, defina-o como false e reinicie o MCS.
<entry key="ddr_security_feature_manual" value="false" />
No Avamar 19.4 e posterior, é possível definir ambos os indicadores como false e reiniciar o MCS.
<entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
7. Reinicie o MCS.
mcserver.sh --stop mcserver.sh --start
8. No Data Domain, reinicie o ddboost.
ddboost disable ddboost enable
9. Abra a interface do usuário do Avamar e/ou a AUI e atualize e/ou edite o sistema Data Domain.
Abra o servidor Data Doman no Avamar Administrator.
Na MCGUI do Avamar, vá para Server >Server Management, selecione o servidor DD, clique no ícone Edit Data Domain System e clique em OK na janela de exibição.
Um. No Avamar Administrator, clique no botão Server Launcher. A janela Server é exibida.
B. Clique na guia Server Management .
C. Selecione o sistema Data Domain a ser editado.
D. Selecione Actions >Edit Data Domain System. A caixa de diálogo Edit Data Domain System é exibida.
e. Clique em OK.
Nenhuma alteração é necessária para a configuração do Data Domain.
10. Depois que a edição for concluída, os certificados deverão ser importados automaticamente para o Data Domain.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Fri Feb 25 13:29:36 2022 Wed Feb 24 13:29:36 2027 4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33 fudge_av.com imported-ca ddboost Mon Feb 7 13:30:20 2022 Sat Feb 6 13:30:20 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
11. Lembre-se de retomar o agendador de backup no Avamar, se necessário.
dpnctl start sched
Cenário 2
O Data Domain está vermelho na AUI e/ou na interface do usuário devido à configuração incorreta do SNMP.
Sintomas: Na interface do usuário java e/ou AUI, o DD exibido em vermelho na tela
principal Causa:
a configuração incorreta de SNMP do DD também pode fazer com que o DD apresente vermelho ou 0s na interface do usuário e/ou na AUI.
Resolução:
verificando e/ou corrigindo a configuração
de SNMP do DD A maneira mais fácil de verificar e/ou corrigir o SNMP do DD versão 2 é usando a interface Web do DD.
https://<data_domain_fqdn>
Navegue pela interface até Administration >Settings > SNMP SNMP >V2C Configuration.
1. Crie uma string de comunidade somente leitura ou use uma existente.
2. Crie um host de trap, que é o nome do host do Avamar, porta 163, e selecione a string de comunidade que deseja usar.
3. Vá para a interface do usuário do Avamar Java ou AUI e edite o sistema Data Domain, selecione a guia SNMP e atualize a string de comunidade SNMP que você configurou para o host de trap.
4. Talvez seja necessário reiniciar o serviço "mcddrnsmp" no Avamar como root:
mcddrsnmp restart
Artigos baseados em conhecimento relacionados ao Lightning para configuração do SNMP: artigo da KB 000063895, Data Domain:
Configuração comum de SNMP e problemas que fazem com que os serviços de monitoramento sejam desativados no software de backup integrado ou DPA
Cenário 3
O Data Domain está vermelho na AUI e/ou na interface do usuário devido a ddr_key ausentes e/ou incorretas.
Quando um sistema Avamar armazena backups em um sistema Data Domain, o Avamar Management Console Server (MCS) emite comandos para o sistema Data Domain usando o protocolo SSH. Esse protocolo fornece um canal de comunicação seguro para a execução remota de comandos. Para permitir a execução remota de comandos usando SSH, os sistemas Data Domain fornecem uma interface SSH chamada DDSSH. A interface DDSSH requer autenticação do sistema Avamar. A autenticação é realizada criando chaves públicas e privadas SSH no sistema Avamar e compartilhando a chave pública com o sistema Data Domain.
1. No Avamar, abra um shell de comando, faça log-in no Avamar e carregue as chaves.
ssh-agent bash ssh-add ~admin/.ssh/admin_key
2. Verifique se o ddr_key e o ddr_key.pub já estão na pasta /home/admin/.ssh/:
ls -lh /home/admin/.ssh/ddr*
3. Abra o ddr_key.pub com cat e copie seu conteúdo. É útil colar no Data Domain mais tarde.
cat /home/admin/.ssh/ddr_key.pub
4. Copie todo o conteúdo do arquivo que será necessário mais tarde. Fica assim:
ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname
5. Faça login no sistema Data Domain digitando:
ssh <ddboost>@<DataDomainHostname>
6. Verifique as teclas ssh
adminaccess show ssh-keys
7. Use o comando do Data Domain adminaccess add ssh-keys para abrir o keystore no sistema Data Domain:
adminaccess add ssh-keys user <ddboost>
Em que <ddboost> é o nome de usuário atribuído ao sistema Avamar no sistema Data Domain. O utilitário solicita a chave:
ddboost@datadomain# adminaccess add ssh-keys user ddboost
Digite a tecla e pressione Control-D ou pressione Control-C para cancelar.
8. Cole a chave pública SSH do sistema Avamar (ddr_key.pub) neste prompt
9. Conclua a entrada da tecla pressionando Ctrl+D para salvá-la. O utilitário adiciona a chave pública ao keystore no sistema Data Domain.
10. Faça logout do sistema Data Domain.
exit
11. De volta ao Avamar, carregue as chaves DDR.
ssh-agent bash ssh-add ~/.ssh/ddr_key
12. Teste se você pode fazer log-in no sistema Data Domain sem fornecer uma senha digitando:
ssh <ddboost>@<DataDomainHostname> admin@avamar:~/#: ssh ddboost@DataDomainHostname EMC Data Domain Virtual Edition Last login: Tue Dec 3 01:17:07 PST 2019 from 10.x.x.x on pts/1 Welcome to Data Domain OS 6.2.0.10-615548 ----------------------------------------- ddboost@DataDomainHostname#
Cenário 4
Os certificados do Avamar Server/GSAN expiraram, causando falha nos backups.
O certificado ddboost do host importado do Data Domain expirou, causando falha nos backups.
Se os certificados do servidor Avamar/GSAN tiverem expirado, você deverá gerar novamente TODOS os certificados usando o AVP de segurança da sessão. Selecionamos TODOS os certificados porque o avamar_keystore deve obter novas chaves raiz para criar novos certificados de servidor/GSAN a partir dessas chaves.
Use o seguinte artigo da base de conhecimento para fazer download e instalar a sessão de segurança avp para gerar novamente todos os certificados.
Artigo da KB 000067229 Avamar-IDPA: Falha nos backups ou replicações com erro de certificado.
Depois de regenerar os certificados, o Data Domain deve obter o novo ddboost imported-ca (Avamar chain.pem).
Cenário 5
Entre em contato com o Suporte Dell para obter assistência e mencione o ID deste artigo.