IDPA 2.1 : La restauration NDMP échoue avec l’erreur « La sauvegarde n’est pas valide ou n’est pas une sauvegarde NDMP »

Les erreurs suivantes peuvent apparaître dans le journal des tâches de restauration NDMP : 

2018-12-06 15:03:04 avndmp Info <6444>: [avndmp_assist] Plugin exited with 'code 157: miscellaneous error'
2018-12-06 15:03:04 avndmp Error <11799>: [avndmp_assist] Backup is invalid or not a NDMP backup.
2018-12-06 15:03:04 avndmp Info <11780>: [avndmp_ctl_sup] Global avndmp_assist exit code is: 161

Pour vérifier la version du plug-in DD Boost sur Avamar, exécutez la commande suivante :

strings /usr/local/avamar/lib/libDDBoost.so | grep "[0-9]\.[0-9]\.[0-9]\.[0-9]"

Or  

grep -i engine ddrmaint.log | tail -1

Dans le journal DDFS (/ddr/var/log/debug/ddfs.info) sur Data Domain, les erreurs suivantes s’affichent :

12/06 15:02:45.099 (tid 0x90a9b30): nfs_rpc_svc_idx0 accepted cfa 255 from 10.12.255.85:39910
12/06 15:02:45.103 (tid 0x7ff35b151220): nfsproc3_ostmntsec_3_svc: connection failed permission (corrupted credentials) from host 10.12.255.85 - ost_decrypt_mnt_sec_request(): failed to finalize plain text (101077092, error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt)

   

Le serveur Avamar 7.5.0 utilise la bibliothèque DD Boost version 3.4.0.2. Ce problème existe sur la bibliothèque DD Boost 3.4.0 et est résolu sur la version 3.4.1.

La bibliothèque DD Boost version 3.4.1.1 d’Avamar Server version 7.5.1 est intégrée. 

À partir de la version 3.4 du plugin, Data Domain effectue l’authentification à l’aide de clés prépartagées (PSK) générées à partir du mot de passe. Le client génère une clé PSK à partir du mot de passe fourni par l’application, chiffre certaines informations d’authentification et les envoie à DDR. La DDR tente de générer la même clé PSK (puisqu’elle connaît déjà le mot de passe d’un utilisateur), de déchiffrer le contenu envoyé par le client et de valider.

Avec DD Boost ifgroup Lorsque cette option est activée, Data Domain tombe dans le chemin reconnecté, qui appelle le chemin de connexion PSK et s’appuie sur le mot de passe crypt_hash stocké dans la structure nfs_conn. Toutefois, sur le plugin DD Boost 3.4.0.2, Data Domain ne génère pas à nouveau le mot de passe crypt_hash lors de la reconnexion. La clé PSK n’est pas la même sur le client et sur le DDR, d’où l’échec du déchiffrement.

Solution de contournement :
Utilisez l’une des méthodes suivantes pour contourner ce problème.    

Méthode 1 :
Utilisez l’authentification par nom d’utilisateur et mot de passe. (Désactiver la sécurité des sessions sur l’instance d’Avamar Server)
 
Suivez les instructions de l’article 000067229 : Avamar 7.3 et versions supérieures : Les sauvegardes ou les réplications échouent avec une erreur de certificat pour télécharger l’avp SessionSecurityConfiguration (il peut être nécessaire de se connecter en tant qu’utilisateur du support Dell enregistré pour afficher cet article) :

• Vérifications préalables avant d’installer avp :   
  • Vérifiez que la tâche de maintenance, la sauvegarde, la restauration et la réplication ne sont pas en cours d’exécution lors de l’installation de SessionSecurityConfiguration avp
  • Vérification de la présence d’un point de contrôle sur Avamar Server

1. Accédez à la page Avamar Installation Manager (AVI) (http://< adresse IP/fqdn du serveur Avamar/avi) dans un navigateur Web et connectez-vous en tant qu’utilisateur root :    
   1. Sous l’onglet Maintenance , sélectionnez SessionSecurityConfiguration , puis cliquez sur Run :    

2. Sélectionnez le mode Désactivé dans le menu déroulant sous l’onglet Paramètres de sécurité :    

2. Cliquez sur Continue (Continuer).

Suivez les instructions de l’article 000222279 : Avamar : Gérer les paramètres de sécurité de la session avec le module d’installation Avinstaller (AVP) (en anglais)

Méthode 2 : 
Mettez à niveau le catalogue client Avamar vers la version 7.5.1-101, puis mettez à niveau le nœud NDMP Accelerator vers la même version (7.5.1).

Méthode 3 :
Désactivation de DD Boost ifgroups sur le système Data Domain.
   

1. Connectez-vous au système Data Domain :   
   1. Exécutez la commande ci-dessous pour afficher le ifgroups sur le système Data Domain : 

ddboost ifgroup show config all

Group-name    Status        Interface      Clients     Replication
-----------   --------      ---------      -------     -----------
default       disabled           0         1             0
backupgroup   enabled            2         0             0
-----------   --------      ---------      -------     -----------

Group-name    Status     Interfaces
-----------   -------   -----------
backupgroup   enabled   10.x.x.x
backupgroup   enabled   192.x.x.x
-----------   -------   -----------

 

2. Exécutez la commande suivante pour désactiver le ifgroup concerné: 

ddboost ifgroup disable <group-name>