NetWorker: Identifikujte klienty, kteří vyžadují vymazání informací partnera "Error-SSL protocol failure"

Summary: Soubor /nsr/logs/daemon.raw serveru NetWorker je zahlcený chybami „Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': V důsledku selhání protokolu SSL došlo k chybě." Kromě možného problému s připojením to ztěžuje analýzu protokolů pro jakékoli jiné řešení potíží. Tento článek popisuje kroky, které lze provést k odstranění tohoto problému z připojení na straně serveru i klienta. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

V některých situacích může být daemon.raw může být zahlcena chybami ověřovacího připojení Generic Security Service (GSS) mezi dvěma systémy NetWorker:

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.

Nebo

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.

V serveru NetWorker spusťte jako uživatel root nebo Administrator příkaz:

nsradmin -C -y -p nsrexecd "nsr peer information"

Viz: NetWorker: Jak automaticky vymazat neshody informací partnera NSR pomocí nsradmin -C

Tento příkaz zkontroluje každý prostředek partnerského certifikátu v nástroji serveru NetWorker nsrladb a pokouší se to napravit. Tato operace musí být spuštěna také na klientech, kteří hlásí tento problém. K tomu může docházet u mnoha klientů a je obtížné izolovat všechny různé hostitele, kteří vyžadují opravu.

Následující proces lze použít k určení, které systémy vyžadují spuštění nsradmin -C -y nebo může vyžadovat ruční odstranění informací o partnerském vztahu.

Hostitelé s Linuxem:

  1. Vykreslování daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

POZNÁMKA: Tento příklad vykreslí pouze poslední 1 týden zpráv. Vyhnete se tak kontrole problémů partnerů, které se již nemusí vyskytovat. Další filtry jsou vysvětleny v: NetWorker: Jak používat protokol nsr_render_log
 
  1. Vytvořte soubor obsahující pouze chyby připojení ověřování GSS:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Nebo:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

POZNÁMKA: V závislosti na konkrétní zjištěné chybě ověřování GSS změňte filter používá grep pro shromáždění požadovaného výstupu.
 
  1. Z výstupního souboru GSS vytvořte soubor obsahující pouze jména klientů:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Tento příkaz používá linuxové příkazy awk a print pouze k tisku column obsahující název klienta z úplné chybové zprávy připojení SSL. V závislosti na filter number Upravte číslo tisku tak, aby se názvy klientů vytiskly správně, pokud výše uvedený příklad nevrátí očekávané výsledky.

  1. Zkontrolujte soubor pomocí unikátního příkazu, který ve výstupu zobrazí pouze jednu isntanci každého klienta s daným problémem:
cat client.out | uniq

Příklad:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Výše uvedené názvy hostitelů byly změněny; Namísto stovek záznamů v daemon.raw, toto chování hlásí pouze jeden záznam pro každého klienta.

  1. Připojte se ke klientským systémům hlášeným pomocí SSH nebo protokolu RDP (Remote Desktop Protocol) a spusťte příkazový řádek uživatele root nebo správce:
nsradmin -C -y -p nsrexecd "nsr peer information"

Spuštění tohoto příkazu na serveru i klientovi by mělo zajistit, že nsrladb v každém systému obsahuje správné informace o partnerském certifikátu. Pokud je zjištěna neshoda, certifikát je odstraněn a další pokus o připojení mezi serverem a klientem by měl vygenerovat nový.

Ten nsradmin Příkaz ukazuje, u kterých hostitelů došlo k neshodě a jaká akce byla provedena ve výstupu.

Ruční odstranění informací partnera je podrobně popsáno v článku NetWorker: Oprava nekonzistentních informací partnerů NSR

  1. Výstupní soubory lze odstranit, jakmile již nejsou potřeba:
rm -rf filename

Hostitelé Windows:

  1. Otevřete příkazový řádek Windows PowerShell jako správce.
  2. Změňte adresáře na adresář protokolu NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"

V příkladu se předpokládá, že se použije výchozí umístění instalace. Pokud jste nainstalovali NetWorker do jiného umístění, upravte odpovídajícím způsobem příkaz.

  1. Vykreslování daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out

POZNÁMKA: Tento příklad vykreslí pouze poslední 1 týden zpráv. Vyhnete se tak kontrole problémů partnerů, které se již nemusí vyskytovat. Další filtry jsou vysvětleny v: NetWorker: Jak používat protokol nsr_render_log
 
  1. Vytvořte soubor obsahující pouze chyby připojení ověřování GSS:
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Nebo:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

POZNÁMKA: V závislosti na konkrétní zjištěné chybě ověřování GSS změňte "filter" používá grep pro shromáždění požadovaného výstupu.
 
  1. Vygenerujte výstup zobrazující jedinečné systémy, které hlásí chyby ověřování GSS:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Tento příkaz rozdělí výstup podle mezer a vypíše pouze sloupec obsahující název klienta z úplných chybových zpráv připojení GSS. V tomto sloupci se mohou objevit další informace; Hostitelé NetWorker by však měli být identifikovatelní. V závislosti na filter number Pokud výše uvedený příklad nevrátí očekávané výsledky, změňte číslo tisku pro výstup názvů klientů.

Příklad: 
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
  1. Připojte se ke klientským systémům nahlášeným pomocí SSH nebo RDP a spusťte příkazový řádek uživatele root nebo správce:
nsradmin -C -y -p nsrexecd "nsr peer information"

Spuštění tohoto příkazu na serveru i klientovi by mělo zajistit, že nsrladb v každém systému obsahuje správné informace o partnerském certifikátu. Pokud je zjištěna neshoda, certifikát je odstraněn a další pokus o připojení mezi serverem a klientem by měl vygenerovat nový.

Ten nsradmin Příkaz ukazuje, u kterých hostitelů došlo k neshodě a jaká akce byla provedena ve výstupu.

Ruční odstranění informací partnera je podrobně popsáno v článku NetWorker: Oprava nekonzistentních informací partnerů NSR

  1. Výstupní soubory lze odstranit, jakmile již nejsou potřeba.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.