Avamar:关于 Goav dd check-ssl 功能的信息
Summary: 本文介绍如何使用 Goav dd check-ssl 功能来解决 Avamar 与 Data Domain 之间的 SSL 连接问题。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
下载并安装 Goav 工具
请参阅戴尔文章 000192151 Avamar:Goav 工具,以下载并安装 Avamar Goav 工具。
将 Goav 放在 Avamar 上之后,进入该目录并将工具设为可执行。
chmod a+x goav
命令
通过运行以下命令,使用 Data Domain check-ssl 功能:
./goav dd check-ssl
查看帮助屏幕以了解用法:
./goav dd check-ssl -h
Sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
Usage:
goav dd check-ssl [flags]
Flags:
--fix Push MCS to automatically sign new DD imported-host ddboost certificate, and import Avamar root ca as imported-ca ddboost
-h, --help help for check-ssl
Global Flags:
-d, --debug debug output
-f, --force Ignore Configuration
-n, --noheader Do no display header
使用案例
当 Data Domain 与 Avamar 集成且会话安全处于启用状态时,它们之间可能存在证书问题。
使用此工具可诊断 Avamar 与 Data Domain 之间的潜在证书问题。
示例
运行被动检查,这可保证不对 Avamar 或 Data Domain 进行任何更改。
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:04 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester PASSED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
如果检查失败,则会显示一条与之关联的错误消息。
./goav dd check-ssl =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 02:09 JST =========================================================== COMMAND : ./goav dd check-ssl NOTE: This is not an official tool =========================================================== Session Security Enabled PASSED DDR Security Feature Manual Flag FAILED Error: ddr_security_feature_manual flag in mcserver.xml is true, should be false
使用 fix 标记可允许自动修复遇到的问题。
./goav dd check-ssl --fix =========================================================== GoAv : 1.61 Avamar : 19.4 Date : 12 Jul 2023 04:11 JST =========================================================== COMMAND : ./goav dd check-ssl --fix NOTE: This is not an official tool =========================================================== This feature may need to restart MCS/DDboost. Ok [yes/no]? y Session Security Enabled PASSED DDR Security Feature Manual Flag PASSED DDR Host Cert Auto Refresh Flag PASSED GSAN Cert Chain Expiration PASSED GSAN Server Cert Expiration PASSED Get Attached Data Domains PASSED Check DDR Key exists PASSED Test Port 22: ddsm-1111-els.example.dell.com.tester PASSED Test ddr_key ssh auth: ddsm-1111-els.example.dell.com.tester PASSED DD SCP enabled: ddsm-1111-els.example.dell.com.tester PASSED DD NFS enabled: ddsm-1111-els.example.dell.com.tester FAILED enabling nfs... FIXED DD system passphrase is set: ddsm-1111-els.example.dell.com.tester PASSED DD imported-host ddboost: ddsm-1111-els.example.dell.com.tester PASSED DD host issuer is attached: ddsm-1111-els.example.dell.com.tester PASSED Av chain.pem imported to DD: ddsm-1111-els.example.dell.com.tester PASSED Backup Scheduler Status FAILED Backup Scheduler Status is Down, start scheduler [yes/no]? n
检查说明
会话安全
- 当会话安全处于启用状态时,将在 Avamar 和 Data Domain 之间交换证书。
- 当会话安全处于禁用状态时,Avamar 和 Data Domain 之间不会交换证书,因此没有理由运行此工具。
- 当用户使用 fix 标记时,如果会话安全处于禁用状态,系统不会自动启用它。
DDR 安全功能手动标记和主机证书自动刷新标记
- 在大多数情况下,Avamar 的 mcserver.xml 中的这些标记应为“false”。
- 将手动标记设置为“false”,允许 MCS 签署 Data Domain 证书签名请求,并为 Data Domain 生成签名的主机证书。
- 如果手动标记为“true”,则 MCS 不会尝试为 Data Domain 生成签名的主机证书。
- 由于签名的主机证书在缺少时就会重新进行生成,因此将主机证书自动刷新标记设置为“false”是常规的设置。
- 工具可确保这两个标记都设置为默认值“false”。
- 如果以上这些标记已设置为“true”,那么它们在用户使用 fix 标记时将会自动更改为“false”。
GSAN 证书链和服务器证书过期
- GSAN 在端口 29000 上运行,该端口通过密钥对和证书链托管安全 TCP 连接。
- 工具会检查这些证书是否未过期。
- 当用户使用 fix 标记时,如果 GSAN 证书链已过期,则它会通过 mcrootca 和 enable_secure_config.sh 来重新生成。
- 如果只有 GSAN 服务器证书过期,则可使用“enable_secure_config.sh”重新生成该证书,而不会出现任何停机时间。该 fix 标记会自动执行这个操作。
获取连接的 Data Domain
- 从 ddrmaint 持久性存储中检索已添加的 Data Domain。
- 对每个连接的 Data Domain 执行以下检查。
检查 DDR 密钥是否存在
- 确保用于从 Avamar 到 Data Domain 的无密码身份验证的 DDR 私钥存在且可读。
- 当用户使用 fix 标记时,如果密钥不存在,则它会通过 mcddrsetup_sshkey 自动重新生成,而且新密钥会被导入到每个连接的 Data Domain。
测试端口 22
- 确保 Avamar 和 Data Domain 之间的端口 22 处于打开状态,并且 Data Domain 正在侦听。
- 如果用户关闭该端口并使用 fix 标记,则不会进行任何更改。
测试 DDR 密钥 SSH 身份验证
- 尝试使用现有 DDR 私钥(而不是密码)来连接到连接的 Data Domain。
- 当用户使用 fix 标记时,如果此连接失败,则该工具会自动将现有 DDR 私钥导入到 Data Domain。
启用 Data Domain SCP
- 确保在 Data Domain 上启用安全复制协议 (SCP)。
- SCP 可用于在 Avamar 和 Data Domain 之间传输证书等文件,如果它处于禁用状态,Avamar 无法将证书发送到 Data Domain。
- 如果用户禁用 SCP 并且使用 fix 标记,则该工具会自动在 Data Domain 上启用 SCP。
启用 Data Domain NFS
- 确保在 Data Domain 上启用 NFS 版本 3 或版本 4。
- 当用户使用 fix 标记时,如果 NFS 处于禁用状态,则该工具会自动启用 NFS(默认情况下启用 NFS 版本 3)。
- 如果用户禁用 NFS,则 Avamar 和 Data Domain 无法正常通信。
Data Domain 系统密码
- 确保已设置 Data Domain 系统密码。
- 用户必须先设置 Data Domain 系统密码,然后系统才能支持数据加密、请求数字证书和防止数据粉碎。
- 当用户使用 fix 标记时,如果未设置密码,则不会进行任何更改,并且用户必须在方便的时候去设置 Data Domain 系统密码,最好使用 Data Domain Web 界面上的“Administration”->“Access”->“Administrator Access”进行操作。
Data Domain Imported-Host DDBoost 证书
- 确保 Data Domain 上的签名主机证书 (imported-host ddboost) 存在且未过期。
- 此证书由 MCS(GSAN 证书链)签名。
- 当用户使用 fix 标记时,如果证书缺失或过期,则工具会尝试通过以下步骤重新生成它。
- 删除现有的 imported-host ddboost 证书。
- 加载 Avamar GSAN 证书链。
- 删除 Data Domain 上现有的 imported ca ddboost 和 login-auth 证书(Avamar GSAN 证书链)。
- 重新启动 DDBoost。
- 重新启动 MCS。
- 通过发送“mccli dd edit”命令来执行 Data Domain 同步,这是促使 MCS 生成新证书并将其导入 Data Domain 的原因。
连接 Data Domain 主机颁发者
- 检查 Data Domain 签名的主机证书 (imported-host ddboost) 是否具有可成功导出的配对的 Avamar GSAN 证书链 (imported ca ddboost)。
- 当用户使用 fix 标记时,如果验证失败,则该工具会尝试通过以下步骤重新生成它。
- 删除现有的 imported-host ddboost 证书。
- 加载 Avamar GSAN 证书链。
- 删除 Data Domain 上现有的 imported ca ddboost 和 login-auth 证书(Avamar GSAN 证书链)。
- 重新启动 DDBoost。
- 重新启动 MCS。
- 通过发送“mccli dd edit”命令来执行 Data Domain 同步,这是促使 MCS 生成新证书并将其导入 Data Domain 的原因。
- 此检查的意义在于,Data Domain 可能由多个 Avamar 服务器使用,并且每个服务器都有自己的 GSAN 证书链。Data Domain 签名的主机证书仅由一个 Avamar 签名,并且必须能够找到签署它的证书。
Avamar 链导入到 Data Domain
- 检查 Avamar GSAN 证书链是否已导入到 Data Domain。
- 将 Avamar Server 上存在的证书链的 SHA1 指纹与 Data Domain 上存在的一个或多个 imported ca ddboost 证书进行比较。
- 执行此检查的原因是:在 Avamar 上重新生成证书时,可能没有导入 Avamar 链,或同一服务器的位置上可能存在旧的 Avamar 链。
- 当多个 Avamar Server 使用同一 Data Domain 时,每个 Avamar GSAN 证书链都必须作为 imported ca ddboost 和 login-auth 存在于 Data Domain 上。其中只有一个是 Data Domain 签名的主机证书的颁发者。
- 当用户使用 fix 标记时,如果此检查失败,则工具会尝试通过以下步骤重新生成它。
- 删除现有的 imported-host ddboost 证书。
- 加载 Avamar GSAN 证书链。
- 删除 Data Domain 上现有的 imported ca ddboost 和 login-auth 证书(Avamar GSAN 证书链)。
- 重新启动 DDBoost。
- 重新启动 MCS。
- 通过发送“mccli dd edit”命令来执行 Data Domain 同步,这是促使 MCS 生成新证书并将其导入 Data Domain 的原因。
备份计划程序状态
- 这是一项帮助程序检查,用于确保备份计划程序处于用户已知的状态。
- 这是在使用或未使用 fix 标记时都会提示启动服务的唯一检查。
Additional Information
上观看相同的视频。)Affected Products
Avamar, Data DomainArticle Properties
Article Number: 000215679
Article Type: How To
Last Modified: 04 Feb 2025
Version: 11
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.