Avamar: Informasjon om Goav dd check-ssl-funksjon
Summary: Denne artikkelen forklarer hvordan du bruker Goav dd check-ssl-funksjonen til å løse SSL-tilkoblingsproblemer mellom Avamar og Data Domain.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Last ned og installer Goav-verktøyet
Se Dell-artikkelen 000192151 Avamar: Goav-verktøyet for å laste ned og installere Avamar Goav-verktøyet.
Når Goav er plassert på Avamar, går du til katalogen og gjør verktøyet kjørbart.
chmod a+x goav
Kommando
Bruk Data Domain-check-ssl-funksjonen ved å kjøre følgende kommando:
./goav dd check-ssl
Sjekk hjelpeskjermen for bruk:
./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
Usage:
goav dd check-ssl [flags]
Flags:
--fix Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
-h, --help help for check-ssl
Global Flags:
-d, --debug debug output
-f, --force Ignore Configuration
-n, --noheader Do no display header
Brukstilfelle
Når Data Domain er integrert med Avamar og øktsikkerhet er aktivert, kan det være et sertifikatproblem mellom dem.
Bruk dette verktøyet til å diagnostisere potensielle sertifikatproblemer mellom Avamar og Data Domain.
Eksempler
Kjør passive kontroller som garanterer at det ikke gjøres endringer i Avamar eller Data Domain.
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:04 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester PASSED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
Hvis en kontroll mislykkes, er det en feilmelding knyttet til den.
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:09 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag FAILED Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false
Bruk reparasjonsflagget for å tillate automatisk utbedring av problemer som oppstår.
./goav dd check-ssl --fix =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 04:11 JST =========================================================== COMMAND : ./goav dd check-ssl --fix NOTE: This is not an official tool =========================================================== This feature may need to restart MCS/DDboost. Ok [yes/no]? y Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester FAILED enabling nfs... FIXED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
Forklaring av kontroller
Øktsikkerhet
- Når Øktsikkerhet er aktivert, utveksles sertifikater mellom Avamar og Data Domain.
- Når øktsikkerhet er deaktivert, utveksles ikke sertifikater mellom Avamar og Data Domain, så det er ingen grunn til å kjøre dette verktøyet.
- Når reparasjonsflagget brukes, hvis øktsikkerhet er deaktivert, aktiveres det ikke automatisk.
Håndbok for DDR-sikkerhetsfunksjon og flagg for automatisk oppdatering av vertssertifikat
- Disse flaggene skal i de fleste tilfeller være falske i Avamars mcserver.xml.
- Hvis du setter det manuelle flagget til usant, kan MCS signere forespørselen om sertifikatsignering for Data Domain og generere et signert vertssertifikat for Data Domain.
- Hvis det manuelle flagget er sant, prøver ikke MCS å generere et signert vertssertifikat for datadomenet.
- Det å angi flagget for automatisk oppdatering av vertssertifikatet til usann er den vanlige innstillingen, siden det signerte vertssertifikatet genereres på nytt hver gang det mangler.
- Verktøyet sikrer at begge flaggene er satt til standardverdien usann.
- Når reparasjonsflagget brukes, endres disse flaggene automatisk til usann hvis de er satt til sann.
GSAN-sertifikatkjede og utløp av serversertifikat
- GSAN kjører på port 29000, som er vert for en sikker TCP-tilkobling med et nøkkelpar og en sertifikatkjede.
- Verktøyet kontrollerer at disse sertifikatene ikke er utløpt.
- Når reparasjonsflagget brukes, hvis GSAN-sertifikatkjeden er utløpt, regenereres det ved hjelp av mcrootca og enable_secure_config.sh.
- Hvis bare GSAN-serversertifikatet er utløpt, kan det genereres på nytt ved hjelp av "enable_secure_config.sh" uten nedetid. Reparasjonsflagget gjør dette automatisk.
Hent tilknyttede datadomener
- Hent tilføyde datadomener fra fast ddrmaint-lager.
- Følgende kontroller utføres for hvert tilkoblede datadomene.
Sjekk at DDR-nøkkelen finnes
- Kontroller at DDR-privatnøkkelen som brukes til passordløs godkjenning fra Avamar til Data Domain, finnes og er lesbar.
- Hvis nøkkelen ikke finnes når reparasjonsflagget brukes, regenereres det automatisk ved hjelp av mcddrsetup_sshkey, og den nye nøkkelen importeres til hvert tilkoblede datadomene.
Testport 22
- Kontroller at port 22 er åpen mellom Avamar og Data Domain, og at Data Domain lytter.
- Hvis porten er lukket og fiksflagget brukes, gjøres ingen endringer.
Test DDR-nøkkel SSH-godkjenning
- Forsøk å koble til det tilkoblede datadomenet ved hjelp av den eksisterende DDR-privatnøkkelen i stedet for et passord.
- Hvis denne tilkoblingen mislykkes når reparasjonsflagget brukes, importerer verktøyet automatisk den eksisterende DDR-privatnøkkelen til datadomenet.
Data Domain SCP-aktivert
- Kontroller at Secure Copy Protocol (SCP) er aktivert på datadomenet.
- SCP brukes til å overføre filer, for eksempel sertifikater, mellom Avamar og Data Domain. Hvis dette er deaktivert, kan ikke Avamar sende sertifikatene til Data Domain.
- Hvis SCP er deaktivert og reparasjonsflagget brukes, aktiverer verktøyet automatisk SCP på Data Domain.
Aktivert Data Domain NFS
- Kontroller at versjon 3 eller 4 av NFS er aktivert på Data Domain.
- Når reparasjonsflagget brukes, hvis NFS er deaktivert, aktiverer verktøyet automatisk NFS som standard aktivering av NFS versjon 3.
- Hvis NFS er deaktivert, kan ikke Avamar og Data Domain kommunisere på riktig måte.
Data Domain System-passfrase
- Kontroller at Data Domain-systempassordet er angitt.
- Data Domain-systempassordet må angis før systemet kan støtte datakryptering, be om digitale sertifikater og for å beskytte mot makulering av data.
- Når reparasjonsflagget brukes, hvis passordet ikke er angitt, gjøres det ingen endringer, og brukeren må angi Data Domain-systempassordet på et passende tidspunkt, helst ved hjelp av Data Domain-nettgrensesnittet under Administrasjon -> Tilgang -> Administratortilgang.
Data Domain Imported Host DDBoost
- Kontroller at det signerte vertssertifikatet (imported-host ddboost) på Data Domain finnes og ikke er utløpt.
- Dette sertifikatet er signert av MCS (GSAN-sertifikatkjede).
- Når reparasjonsflagget brukes, hvis det mangler eller er utløpt, prøver verktøyet å generere det på nytt med følgende trinn.
- Slett det eksisterende importerte verts-ddboost-sertifikatet.
- Last inn Avamar GSAN-sertifikatkjeden.
- Slett det eksisterende importerte CADDBOOST- og påloggingsautorisasjonssertifikatet (Avamar GSAN-sertifikatkjede) på Data Domain.
- Start DDBoost på nytt.
- Start MCS på nytt.
- Utfør synkronisering av datadomenet ved å sende kommandoen "mccli dd edit". Det er dette som får MCS til å generere og importere de nye sertifikatene til Data Domain.
Data Domain-vertsutsteder er tilknyttet
- Kontroller at Data Domain-signert vertssertifikat (imported-host ddboost) har en sammenkoblet Avamar GSAN-sertifikatkjede (importert ca ddboost) som den kan eksportere.
- Når reparasjonsflagget brukes, hvis dette ikke valideres, prøver verktøyet å generere det på nytt med følgende trinn.
- Slett det eksisterende importerte verts-ddboost-sertifikatet.
- Last inn Avamar GSAN-sertifikatkjeden.
- Slett det eksisterende importerte CADDBOOST- og påloggingsautorisasjonssertifikatet (Avamar GSAN-sertifikatkjede) på Data Domain.
- Start DDBoost på nytt.
- Start MCS på nytt.
- Utfør synkronisering av datadomenet ved å sende kommandoen "mccli dd edit". Det er dette som får MCS til å generere og importere de nye sertifikatene til Data Domain.
- Betydningen av denne kontrollen er at Data Domain kan brukes av flere Avamar-servere, hver med sin egen GSAN-sertifikatkjede. Det Data Domain-signerte vertssertifikatet er bare signert av én Avamar, og må kunne finne sertifikatet som signerte det.
Avamar-kjede importert til Data Domain
- Kontroller at Avamar GSAN-sertifikatkjeden er importert til Data Domain.
- Utfør en sammenligning av SHA1-fingeravtrykket til kjeden som finnes på Avamar-serveren, og ett eller flere importerte CA ddboost-sertifikater på datadomenet.
- Denne kontrollen utføres fordi Avamar-kjeden kanskje ikke importeres, eller fordi det kan hende at en gammel Avamar-kjede finnes fra samme server, kanskje ved regenerering av sertifikater på Avamar.
- Når flere Avamar-servere bruker samme datadomene, må hver Avamar GSAN-sertifikatkjede finnes på datadomenet som en importert sertifiserings- og påloggingsautorisasjon. Bare én av disse er utstederen av det Data Domain-signerte vertssertifikatet.
- Når reparasjonsflagget brukes, hvis denne kontrollen mislykkes, prøver verktøyet å generere det på nytt med følgende trinn.
- Slett det eksisterende importerte verts-ddboost-sertifikatet.
- Last inn Avamar GSAN-sertifikatkjeden.
- Slett det eksisterende importerte CADDBOOST- og påloggingsautorisasjonssertifikatet (Avamar GSAN-sertifikatkjede) på Data Domain.
- Start DDBoost på nytt.
- Start MCS på nytt.
- Utfør synkronisering av datadomenet ved å sende kommandoen "mccli dd edit". Det er dette som får MCS til å generere og importere de nye sertifikatene til Data Domain.
Status for sikkerhetskopiplanlegger
- Dette er en hjelpekontroll for å sikre at sikkerhetskopieringsplanleggeren er i en kjent tilstand for brukeren.
- Dette er den eneste kontrollen som ber om å starte tjenesten når reparasjonsflagget brukes eller ikke.
Additional Information
.)Affected Products
Avamar, Data DomainArticle Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.