Avamar: Tietoja Goav dd check-ssl -ominaisuudesta

Summary: Tässä artikkelissa kerrotaan, miten Goav dd check-ssl -toiminnolla voidaan ratkaista SSL-yhteysongelmia Avamarin ja Data Domainin välillä.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Lataa ja asenna Goav-työkalu

Katso Avamaria 000192151 Dellin artikkeli: Goav-työkalu Avamar Goav -työkalun lataamiseen ja asentamiseen.

Kun Goav on sijoitettu Avamariin, siirry hakemistoon ja määritä työkalu suoritettavaksi.

chmod a+x goav

Komento

Käytä Data Domain check-ssl -toimintoa suorittamalla seuraava komento:

./goav dd check-ssl

Tarkista käyttö ohjenäytöstä:

./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost

Usage:
  goav dd check-ssl [flags]

Flags:
      --fix    Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
  -h, --help   help for check-ssl

Global Flags:
  -d, --debug      debug output
  -f, --force      Ignore Configuration
  -n, --noheader   Do no display header

Käyttötapaus

Kun Data Domain on integroitu Avamariin ja istunnon suojaus on käytössä, niiden välillä saattaa olla varmenneongelma.

Tällä työkalulla voit diagnosoida mahdolliset varmenneongelmat Avamarin ja Data Domainin välillä.

Esimerkkejä

Suorita passiivisia tarkistuksia, jotka takaavat, ettei Avamariin tai Data Domainiin tehdä muutoksia.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:04 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Jos tarkistus epäonnistuu, siihen liittyy virheilmoitus.

./goav dd check-ssl
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 02:09 JST
===========================================================
COMMAND :  ./goav dd check-ssl
NOTE: This is not an official tool
===========================================================
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      FAILED
Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false

Käytä korjausmerkintää, jos haluat sallia ilmenneiden ongelmien automaattisen korjauksen.

./goav dd check-ssl --fix
===========================================================
GoAv    :        1.61
Avamar  :        19.4
Date    :        12 Jul 2023 04:11 JST
===========================================================
COMMAND :  ./goav dd check-ssl --fix
NOTE: This is not an official tool
===========================================================
This feature may need to restart MCS/DDboost. Ok [yes/no]? y
Session Security Enabled                                              PASSED
DDR Security Feature Manual Flag                                      PASSED
DDR Host Cert Auto Refresh Flag                                       PASSED
GSAN Cert Chain Expiration                                            PASSED
GSAN Server Cert Expiration                                           PASSED
Get Attached Data Domains                                             PASSED
Check DDR Key exists                                                  PASSED
Test Port 22: ddsm-1111-els.example.dell.com.tester                   PASSED
Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester          PASSED
DD SCP enabled: ddsm-1111-els.example.dell.com.tester                 PASSED
DD NFS enabled: ddsm-1111-els.example.dell.com.tester                 FAILED
enabling nfs...                                                       FIXED
DD system passphrase is set: ddsm-1111-els.example.dell.com.tester    PASSED
DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester       PASSED
DD host issuer is attached: ddsm-1111-els.example.dell.com.tester     PASSED
Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester    PASSED
Backup Scheduler Status                                               FAILED
Backup Scheduler Status is Down, start scheduler [yes/no]? n

Tarkastusten selitys

Istunnon turvallisuus

  • Kun istunnon suojaus on käytössä, varmenteita vaihdetaan Avamarin ja Data Domainin välillä.
  • Kun istunnon suojaus on poistettu käytöstä, varmenteita ei vaihdeta Avamarin ja Data Domainin välillä, joten tätä työkalua ei ole syytä suorittaa.
  • Jos korjausmerkintä on käytössä ja istunnon suojaus ei ole automaattisesti käytössä, se ei ole automaattisesti käytössä.

DDR-suojaustoiminnon opas ja isäntävarmenteen automaattinen päivitysmerkintä

  • Näiden lippujen pitäisi useimmissa tapauksissa olla epätosia Avamarin mcserver.xml.
  • Kun manuaalisen merkinnän arvoksi määritetään epätosi, MCS voi allekirjoittaa Data Domain -varmenteen allekirjoituspyynnön ja luoda allekirjoitetun isäntävarmenteen Data Domainille.
  • Jos manuaalinen merkintä on tosi, MCS ei yritä luoda allekirjoitettua isäntävarmennetta Data Domainille.
  • Isännän varmenteen automaattisen päivityksen lipun arvoksi epätosi on tavallinen asetus, koska allekirjoitettu isäntävarmenne luodaan uudelleen aina, kun se puuttuu.
  • Työkalu varmistaa, että molempien merkintöjen oletusarvo on epätosi.
  • Kun korjausmerkintää käytetään, näiden merkintöjen arvoksi muutetaan automaattisesti epätosi, jos niiden arvo on tosi.

GSAN-varmenneketju ja palvelinvarmenteen vanheneminen

  • GSAN toimii portissa 29000, joka isännöi suojattua TCP-yhteyttä avainparin ja varmenneketjun avulla.
  • Työkalu tarkistaa, että nämä varmenteet eivät ole vanhentuneet.
  • Jos GSAN-varmenneketju on vanhentunut, se luodaan uudelleen käyttämällä korjausmerkintää mcrootcan ja enable_secure_config.sh avulla.
  • Jos vain GSAN-palvelimen varmenne on vanhentunut, se voidaan luoda uudelleen komennolla enable_secure_config.sh ilman käyttökatkoja. Korjausmerkintä tekee tämän automaattisesti.

Hae liitetyt toimialueet

  • Hae lisätyt datatoimialueet ddrmaint-pysyväissäilöstä.
  • Seuraavat tarkistukset tehdään kullekin liitetylle Data Domainille.

Tarkista, että DDR-avain on olemassa

  • Varmista, että yksityinen DDR-avain, jota käytetään salasanattomaan todennukseen Avamarista Data Domainiin, on olemassa ja että se on luettavissa.
  • Jos avainta ei ole korjausmerkintää käytettäessä, se luodaan automaattisesti uudelleen käyttämällä mcddrsetup_sshkey ja kuhunkin liitettyyn Data Domainiin tuotua uutta avainta.

Testiportti 22

  • Varmista, että portti 22 on auki Avamarin ja Data Domainin välillä ja Data Domain kuuntelee.
  • Jos portti on suljettu ja korjausmerkintää käytetään, muutoksia ei tehdä.

Testaa DDR-avaimen SSH-todennus

  • Yritä muodostaa yhteys liitettyyn Data Domainiin käyttämällä olemassa olevaa yksityistä DDR-avainta salasanan sijaan.
  • Jos yhteys epäonnistuu, työkalu tuo korjausmerkintää käytettäessä yksityisen DDR-avaimen automaattisesti Data Domainiin.

Data Domain SCP:n tuki

  • Varmista, että SCP (Secure Copy Protocol) on käytössä Data Domainissa.
  • SCP:tä käytetään tiedostojen, kuten varmenteiden, siirtämiseen Avamarin ja Data Domainin välillä. Jos se on poistettu käytöstä, Avamar ei voi lähettää varmenteita Data Domainiin.
  • Jos SCP on poistettu käytöstä ja korjausmerkintää käytetään, työkalu ottaa SCP:n automaattisesti käyttöön Data Domainissa.

Data Domain NFS käytössä

  • Varmista, että NFS:n versio 3 tai 4 on otettu käyttöön Data Domainissa.
  • Jos NFS on poistettu käytöstä korjausmerkintää käytettäessä, työkalu ottaa NFS:n automaattisesti käyttöön, jolloin NFS-versio 3 otetaan oletusarvoisesti käyttöön.
  • Jos NFS on pois käytöstä, Avamar ja Data Domain eivät voi kommunikoida oikein.

Data Domain -järjestelmän tunnuslause

  • Varmista, että Data Domain -järjestelmän salasana on määritetty.
  • Data Domain -järjestelmän salasana on määritettävä, ennen kuin järjestelmä voi tukea tietojen salausta, pyytää digitaalisia varmenteita ja suojata tietojen murskaamiselta.
  • Jos salasanaa ei ole määritetty korjausmerkintää käytettäessä, muutoksia ei tehdä, vaan käyttäjän on määritettävä Data Domain -järjestelmän salasana sopivana ajankohtana, mieluiten käyttämällä Data Domain -verkkokäyttöliittymää kohdassa Administration -> Access -> Administrator Access.

Data Domain tuotu isäntä DDBoost

  • Varmista, että Data Domainin allekirjoitettu isäntävarmenne (imported-host ddboost) on olemassa ja että se ei ole vanhentunut.
  • Tämän sertifikaatin on allekirjoittanut MCS (GSAN certificate chain).
  • Jos korjauslippu puuttuu tai on vanhentunut, työkalu yrittää luoda sen uudelleen seuraavasti.
    • Poista nykyinen tuotu isännän ddboost-varmenne.
    • Lataa Avamar GSAN -varmenneketju.
    • Poista nykyinen tuotu ca ddboost- ja kirjautumistodennusvarmenne (Avamar GSAN -varmenneketju) Data Domainista.
    • Käynnistä DDBoost uudelleen.
    • Käynnistä MCS uudelleen.
    • Synkronoi Data Domain -toiminnot lähettämällä mccli dd edit -komento. Tämä käynnistää MCS:n luomaan ja tuomaan uudet varmenteet Data Domainiin.

Data Domain -isännän myöntäjä on liitetty

  • Tarkista, että Data Domainin allekirjoitetussa isäntävarmenteessa (imported-host ddboost) on pariksi liitetty Avamar GSAN -varmenneketju (tuotu ca ddboost), jonka vienti onnistuu.
  • Jos korjausmerkintää käytetään ja sen vahvistaminen epäonnistuu, työkalu yrittää luoda sen uudelleen seuraavasti.
    • Poista nykyinen tuotu isännän ddboost-varmenne.
    • Lataa Avamar GSAN -varmenneketju.
    • Poista nykyinen tuotu ca ddboost- ja kirjautumistodennusvarmenne (Avamar GSAN -varmenneketju) Data Domainista.
    • Käynnistä DDBoost uudelleen.
    • Käynnistä MCS uudelleen.
    • Synkronoi Data Domain -toiminnot lähettämällä mccli dd edit -komento. Tämä käynnistää MCS:n luomaan ja tuomaan uudet varmenteet Data Domainiin.
  • Tarkistuksen merkitys on siinä, että Data Domainia voivat käyttää useat Avamar-palvelimet, joilla kaikilla on oma GSAN-varmenneketjunsa. Data Domainilla allekirjoitetun isännän varmenteen on allekirjoittanut vain yksi Avamar, ja sen on löydettävä sen allekirjoittanut varmenne.

Data Domainiin tuotu Avamar-ketju

  • Varmista, että Avamar GSAN -varmenneketju on tuotu Data Domainiin.
  • Vertaa Avamar-palvelimessa olevan ketjun SHA1-sormenjälkeä Data Domainissa olevaan vähintään yhteen tuotuun ca ddboost -varmenteeseen.
  • Tämä tarkistus tehdään, koska Avamar-ketjua ei ehkä tuoda tai sen tilalla saattaa olla vanha Avamar-ketju samasta palvelimesta, esimerkiksi jos kyseessä on varmenteiden regenerointi Avamarissa.
  • Kun useat Avamar-palvelimet käyttävät samaa Data Domainia, kunkin Avamar GSAN -varmenneketjun on oltava Data Domainissa tuotuna ca ddboost- ja login-auth-varmenneketjuna. Vain yksi näistä on Data Domain -allekirjoitetun isäntävarmenteen myöntäjä.
  • Jos korjausmerkintä epäonnistuu ja tarkistus epäonnistuu, työkalu yrittää luoda sen uudelleen seuraavasti.
    • Poista nykyinen tuotu isännän ddboost-varmenne.
    • Lataa Avamar GSAN -varmenneketju.
    • Poista nykyinen tuotu ca ddboost- ja kirjautumistodennusvarmenne (Avamar GSAN -varmenneketju) Data Domainista.
    • Käynnistä DDBoost uudelleen.
    • Käynnistä MCS uudelleen.
    • Synkronoi Data Domain -toiminnot lähettämällä mccli dd edit -komento. Tämä käynnistää MCS:n luomaan ja tuomaan uudet varmenteet Data Domainiin.

Varmuuskopiointiajoituksen tila

  • Tällä apuohjelmalla varmistetaan, että varmuuskopiointien ajoitus on käyttäjän tiedossa.
  • Tämä on ainoa tarkistus, joka kehottaa käynnistämään palvelun, kun korjausmerkintää käytetään vai ei.

 

Additional Information

Katso tämä video:

(Voit katsoa saman videon myös YouTubessaTämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon..)

 

Affected Products

Avamar, Data Domain
Article Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version:  11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.