Integrazione di Avamar e Data Domain: DD visualizzato in rosso in Avamar AUI e/o nell'interfaccia utente Percorso di risoluzione
Summary: I dati di Data Domain che vengono visualizzati in rosso nell'interfaccia utente di Avamar e/o nell'AUI sono causati da alcuni problemi diversi. Si tratta di un percorso di risoluzione che indirizza l'utente verso articoli della Knowledge Base esistenti per questi argomenti. ...
Symptoms
Data Domain visualizzato in rosso in AUI e/o nell'interfaccia utente a causa di problemi relativi ai certificati, che potrebbero anche causare errori di backup e/o replica.
Scenario 2
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di una configurazione SNMP errata.
Scenario 3
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di ddr_key mancanti e/o errate.
Scenario 4
Certificati
scadutiScenario 5
La chiave di immissione "hfsaddr" in mcserver.xml è configurata come ip anziché come nome host, mentre l'oggetto di imported-ca è il nome host Avamar.
Cause
Resolution
Data Domain visualizzato in rosso in AUI e/o nell'interfaccia utente a causa di problemi relativi ai certificati, che potrebbero anche causare errori di backup e/o replica.
Automazione degli strumenti Goav
Gli scenari dettagliati in questo articolo possono essere seguiti manualmente oppure è possibile utilizzare lo strumento della riga di comando (CLI) di Goav per rilevare automaticamente i problemi e risolverli.
Consultare l'articolo della Knowledge Base per ulteriori dettagli sull'utilizzo di Goav per risolvere i problemi descritti nell'articolo della KB 000215679, Avamar: Informazioni sulla funzione
goav dd check-sslScenario 1
La procedura per lo scenario 1 è pertinente solo quando la sicurezza della sessione è abilitata.
Verificare che la sicurezza della sessione sia abilitata come utente root:
enable_secure_config.sh --showconfig
Current Session Security Settings
----------------------------------
"encrypt_server_authenticate" ="false"
"secure_agent_feature_on" ="false"
"session_ticket_feature_on" ="false"
"secure_agents_mode" ="unsecure_only"
"secure_st_mode" ="unsecure_only"
"secure_dd_feature_on" ="false"
"verifypeer" ="no"
Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.
L'output precedente mostra la sicurezza della sessione disabilitata.
Qualsiasi valore diverso dall'output mostrato in precedenza indica che la sicurezza della sessione è abilitata.
Esempio:
enable_secure_config.sh --showconfig Current Session Security Settings ---------------------------------- "encrypt_server_authenticate" ="true" "secure_agent_feature_on" ="true" "session_ticket_feature_on" ="true" "secure_agents_mode" ="secure_only" "secure_st_mode" ="secure_only" "secure_dd_feature_on" ="true" "verifypeer" ="yes" Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication. Client Agent and Management Server Communication set to secure_only mode. Secure Data Domain Feature is Enabled.
Sintomi: codice risultato DDR:
5049, DESC: File non trovato
Codice risultato DDR: 5341, desc: Errore della libreria SSL "impossibile importare automaticamente il certificato host o CA"
Codice risultato DDR: 5008, DESC: Argomento
non valido Causa:
tutti questi codici di risultato quando non è possibile eseguire il backup su Data Domain quando la protezione della sessione è abilitata si riferiscono a problemi relativi ai certificati.
Risoluzione:
ecco i passaggi per garantire che le importazioni dei certificati siano automatiche e corrette.
Verificare che sia presente una passphrase di sistema impostata su Data Domain prima di procedere con il controllo dei certificati. Nell'interfaccia utente di Data Domain Enterprise Manager, accedere a Administration > Access Administrator Access > . Il pulsante "CHANGE PASSPHRASE" indica che la passphrase di sistema è impostata.
1. In Data Domain, controllare i certificati correnti.
ddboost51@fudge# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Wed Jan 19 12:22:07 2022 Mon Jan 18 12:22:07 2027 63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5 fudge_av.com imported-ca ddboost Thu Jan 6 10:16:07 2022 Tue Jan 5 10:16:07 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
2. Eliminare eventuali certificati importati per l'Avamar che presenta errori di backup, ad esempio: fudge_av.com ovvero Avamar elencato nell'output del comando "adminaccess certificate show".
ddboost51@fudge# adminaccess certificate delete subject fudge_av.com
3. Eliminare il certificato ddboost dell host importato.
ddboost51@fudge# adminaccess certificate delete imported-host application ddboost
4. Controllare i certificati correnti dopo l'eliminazione.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ----------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
5. Controllare mcserver.xml parametri.
Su Avamar versione 19.3 e precedenti:
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml <entry key="ddr_security_feature_manual" value="false" />
In Avamar versione 19.4:
grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml <entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
6. Assicurarsi che la funzione di protezione manuale sia impostata su false. Ciò consente l'importazione automatica dei certificati in Data Domain.
In Avamar 19.3 e versioni precedenti, se è impostato su true, impostarlo su false e riavviare MCS.
<entry key="ddr_security_feature_manual" value="false" />
In Avamar 19.4 e versioni successive, è possibile impostare entrambi i flag su false e riavviare MCS.
<entry key="ddr_host_cert_auto_refresh" value="false" /> <entry key="ddr_security_feature_manual" value="false" />
7. Riavviare MCS.
mcserver.sh --stop mcserver.sh --start
8. In Data Domain, riavviare ddboost.
ddboost disable ddboost enable
9. Aprire l'interfaccia utente e/o l'AUI di Avamar, quindi aggiornare e/o modificare il sistema Data Domain.
Aprire il server Data Doman in Avamar Administrator.
In Avamar MCGUI, accedere a Server >Server Management, selezionare il server DD, cliccare sull'icona Edit Data Domain System e quindi su OK nella finestra di visualizzazione.
Un. In Avamar Administrator, cliccare sul pulsante Server Launcher. Viene visualizzata la finestra Server.
B. Cliccare sulla scheda Server Management .
C. Selezionare il sistema Data Domain da modificare.
D. Selezionare Actions >Edit Data Domain System. Viene visualizzata la finestra di dialogo Edit Data Domain System.
e. Cliccare su OK.
Non sono necessarie modifiche per la configurazione di Data Domain.
10. Al termine della modifica, i certificati dovrebbero essere importati automaticamente in Data Domain.
ddboost51@fudge# adminaccess certificate show Subject Type Application Valid From Valid Until Fingerprint ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------ fudge_dd.net host https Sun Nov 5 12:16:05 2017 Wed Oct 28 18:16:05 2048 5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5 fudge_dd.net ca trusted-ca Tue Jun 26 16:36:14 2012 Fri Jun 19 16:36:14 2043 44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A fudge_dd.net imported-host ddboost Fri Feb 25 13:29:36 2022 Wed Feb 24 13:29:36 2027 4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33 fudge_av.com imported-ca ddboost Mon Feb 7 13:30:20 2022 Sat Feb 6 13:30:20 2027 FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10 ------------------------------- ------------- ----------- ------------------------ ------------------------ ------------------------------------------------------------
11. Ricordarsi di riprendere l'utilità di pianificazione dei backup su Avamar, se necessario.
dpnctl start sched
Scenario 2
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di una configurazione SNMP errata.
Sintomi: nell'interfaccia utente Java e/o in AUI, DD viene visualizzato in rosso sulla schermata
principale Causa:
una configurazione DD SNMP errata può anche far sì che DD mostri rosso o 0 nell'interfaccia utente e/o nell'AUI.
Risoluzione:
verifica e/o correzione della configurazione
di DD SNMP Il modo più semplice per verificare e/o correggere DD SNMP versione 2 consiste nell'utilizzare l'interfaccia web di DD.
https://<data_domain_fqdn>
Passare all'interfaccia di Administration >Settings > SNMP SNMP >V2C Configuration.
1. Creare una stringa della community read-only o utilizzarne una esistente.
2. Creare un host trap che è il nome host Avamar, la porta 163, e selezionare la stringa della community che si desidera utilizzare.
3. Accedere all'interfaccia utente Java di Avamar o AUI e modificare il sistema Data Domain, selezionare la scheda SNMP e aggiornare la stringa della community SNMP configurata per l'host trap.
4. Potrebbe essere necessario riavviare il servizio "mcddrnsmp" su Avamar, come root:
mcddrsnmp restart
Articoli della Knowledge Based relativi a Lightning per la configurazione SNMP: articolo della KB 000063895, Data Domain:
Configurazione SNMP comune e problemi che causano la disabilitazione dei servizi di monitoraggio in Integrated Backup Software o DPA
Scenario 3
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di ddr_key mancanti e/o errate.
Quando un sistema Avamar archivia i backup su un sistema Data Domain, Avamar Management Console Server (MCS) emette comandi per il sistema Data Domain utilizzando il protocollo SSH. Questo protocollo fornisce un canale di comunicazione sicuro per l'esecuzione di comandi remoti. Per consentire l'esecuzione di comandi remoti tramite SSH, i sistemi Data Domain forniscono un'interfaccia SSH denominata DDSSH. L'interfaccia DDSSH richiede l'autenticazione del sistema Avamar. L'autenticazione viene eseguita creando chiavi pubbliche e private SSH sul sistema Avamar e condividendo la chiave pubblica con il sistema Data Domain.
1. In Avamar, aprire una shell dei comandi, accedere ad Avamar e caricare le chiavi.
ssh-agent bash ssh-add ~admin/.ssh/admin_key
2. Verificare che ddr_key e ddr_key.pub si trovino già nella cartella /home/admin/.ssh/:
ls -lh /home/admin/.ssh/ddr*
3. Aprire il file ddr_key.pub con cat e copiarne il contenuto. È utile incollare su Data Domain in un secondo momento.
cat /home/admin/.ssh/ddr_key.pub
4. Copiare l'intero contenuto del file in un secondo momento. Ha un aspetto simile al seguente:
ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname
5. Accedere al sistema Data Domain digitando:
ssh <ddboost>@<DataDomainHostname>
6. Controllare le chiavi SSH
adminaccess show ssh-keys
7. Utilizzare il comando adminaccess add ssh-keys di Data Domain per aprire l'archivio chiavi sul sistema Data Domain:
adminaccess add ssh-keys user <ddboost>
Dove <ddboost> è il nome utente assegnato al sistema Avamar sul sistema Data Domain. L'utilità richiede la chiave:
ddboost@datadomain# adminaccess add ssh-keys user ddboost
Inserire il tasto e premere Ctrl-D o Ctrl-C per annullare.
8. Incollare la chiave pubblica SSH del sistema Avamar (ddr_key.pub) al prompt
9. Completare l'immissione della chiave premendo Ctrl+D per salvarla. L'utilità aggiunge la chiave pubblica all'archivio chiavi sul sistema Data Domain.
10. Disconnettersi dal sistema Data Domain.
exit
11. Tornare ad Avamar, caricare le chiavi ddr.
ssh-agent bash ssh-add ~/.ssh/ddr_key
12. Verificare che sia possibile accedere al sistema Data Domain senza fornire una password digitando:
ssh <ddboost>@<DataDomainHostname> admin@avamar:~/#: ssh ddboost@DataDomainHostname EMC Data Domain Virtual Edition Last login: Tue Dec 3 01:17:07 PST 2019 from 10.x.x.x on pts/1 Welcome to Data Domain OS 6.2.0.10-615548 ----------------------------------------- ddboost@DataDomainHostname#
Scenario 4
I certificati gsan o Avamar Server sono scaduti, causando un errore nei backup.
Il certificato ddboost host importato di Data Domain è scaduto, causando l'esito negativo dei backup.
Se i certificati Avamar Server/gsan sono scaduti, è necessario rigenerare TUTTI i certificati utilizzando l'AVP di sicurezza della sessione. Selezioniamo TUTTI i certificati perché il avamar_keystore deve ottenere nuove chiavi root per creare nuovi certificati server/gsan da tali chiavi.
Utilizzare il seguente articolo della Knowledge Base per scaricare e installare la sessione security avp per rigenerare tutti i certificati.
Articolo della Knowledge Base 000067229 Avamar-IDPA: I backup o le repliche hanno esito negativo con errore del certificato.
Dopo aver rigenerato i certificati, Data Domain deve ottenere il nuovo imported-ca ddboost (Avamar chain.pem).
Scenario 5
Contattare il supporto Dell per assistenza e menzionare l'ID di questo articolo.