NetWorker: Виявлення клієнтів, яким потрібне очищення інформації однорангового вузла "Помилка-збій протоколу SSL"
Summary: Файл /nsr/logs/daemon.raw сервера NetWorker переповнений повідомленням "Неможливо завершити SSL-рукостискання з nsrexecd на хості "CLIENT_NAME": Помилка сталася в результаті збою протоколу SSL. Окрім можливої проблеми з підключенням, це ускладнює аналіз журналів для будь-якого іншого усунення несправностей. У цій статті описано кроки, які можна виконати, щоб усунути цю проблему як під час підключення до сервера, так і до з'єднання на стороні клієнта. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
У деяких ситуаціях сервер NetWorker daemon.raw може бути залита помилками підключення аутентифікації Generic Security Service (GSS) між двома системами NetWorker:
MM/DD/YYYY HH:MM:SS 5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.
Або
MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.
З сервера NetWorker в якості командного рядка root або Administrator запустіть:
nsradmin -C -y -p nsrexecd "nsr peer information"
Бачити: NetWorker: Як автоматично усунути розбіжності в інформації NSR за допомогою nsradmin -C
Ця команда перевіряє кожен ресурс сертифіката вузла в сервері NetWorker nsrladb і намагається це виправити. Цю операцію також потрібно виконати для клієнтів, які повідомляють про цю проблему. Це може відбуватися з багатьма клієнтами, і стає важко ізолювати всі різні хости, які потребують корекції.
Наступний процес можна використовувати для визначення того, які системи потребують запуску nsradmin -C -y або може вимагати видалення інформації про вузол вручну.
Хости Linux:
- Відобразіть файл
daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1
ПРИМІТКА. Цей приклад відображає лише останні 1 тиждень повідомлень. Це дозволяє уникнути перевірки проблем з одноранговими вузлами, які можуть більше не виникати. Інші фільтри пояснюються в: NetWorker: Спосіб застосування nsr_render_log
- Створіть файл, що містить лише помилки підключення аутентифікації GSS:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out
Або:
cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
ПРИМІТКА. Залежно від конкретної спостережуваної помилки аутентифікації GSS, змініть
filter Використовується grep щоб зібрати необхідний вихід.
- Створіть файл, що містить тільки імена клієнтів з вихідного файлу GSS:
cat GSS_error.out | awk {'print $24'} | sort > client.out
Ця команда використовує команди Linux awk і print для друку лише column містить ім'я клієнта з повного повідомлення про помилку підключення SSL. Залежно від filter number використовується, змініть номер друку, щоб правильно вивести імена клієнтів, якщо наведений вище приклад не повертає очікуваних результатів.
- Перегляньте файл за допомогою унікальної команди, щоб вивести лише по одному екземпляру кожного з клієнтів, які повідомляють про цю проблему:
cat client.out | uniq
Приклад:
[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':
Вищезазначені імена хостів було змінено; Тепер замість сотень записів у daemon.raw, лише один запис для кожного клієнта повідомляє про таку поведінку.
- Підключіться до клієнтських систем, про які повідомляється за допомогою протоколу SSH або Remote Desktop Protocol (RDP), і запустіть командний рядок root/Administrator:
nsradmin -C -y -p nsrexecd "nsr peer information"
Виконання цієї команди як на сервері, так і на клієнті має гарантувати, що nsrladb У кожній системі міститься правильна інформація про сертифікат однорангового вузла. При виявленні невідповідності сертифікат видаляється, а наступна спроба з'єднання між сервером і клієнтом повинна згенерувати нову.
Об'єкт nsradmin Команда показує, у яких хостів є невідповідність і яка дія була виконана у виводі.
Видалення інформації пірів вручну докладно описано в статті NetWorker: Виправлення неузгодженої інформації NSR
- Вихідні файли можуть бути видалені, коли вони більше не потрібні:
rm -rf filename
Хости Windows:
- Відкрийте запит Windows Powershell від імені адміністратора.
- Змініть каталоги на директорію журналу NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"
У прикладі передбачається, що використовується місце встановлення за замовчуванням. Якщо ви встановили NetWorker в іншому місці, змініть команду відповідним чином.
- Відобразіть файл
daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out
ПРИМІТКА. Цей приклад відображає лише останні 1 тиждень повідомлень. Це дозволяє уникнути перевірки проблем з одноранговими вузлами, які можуть більше не виникати. Інші фільтри пояснюються в: NetWorker: Спосіб застосування nsr_render_log
- Створіть файл, що містить лише помилки підключення аутентифікації GSS:
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out
Або:
Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
ПРИМІТКА. Залежно від конкретної спостережуваної помилки аутентифікації GSS, змініть «
filter" використовується grep щоб зібрати необхідний вихід.
- Згенеруйте вихідні дані, що показують унікальні системи, що повідомляють про помилки аутентифікації GSS:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Ця команда розбиває вихідні дані за пробілами і виводить тільки стовпець , що містить ім'я клієнта з повних повідомлень про помилки GSS підключення. У цій колонці може з'явитися інша інформація; однак, хости NetWorker повинні бути ідентифікованими. Залежно від
filter number used, змініть номер друку, щоб вивести імена клієнтів, якщо наведений вище приклад не повертає очікуваних результатів.
Приклад:
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
- Підключіться до клієнтських систем, про які повідомляється за допомогою SSH або RDP, і запустіть командний рядок root/Administrator:
nsradmin -C -y -p nsrexecd "nsr peer information"
Виконання цієї команди як на сервері, так і на клієнті має гарантувати, що nsrladb У кожній системі міститься правильна інформація про сертифікат однорангового вузла. При виявленні невідповідності сертифікат видаляється, а наступна спроба з'єднання між сервером і клієнтом повинна згенерувати нову.
Об'єкт nsradmin Команда показує, у яких хостів є невідповідність і яка дія була виконана у виводі.
Видалення інформації пірів вручну докладно описано в статті NetWorker: Виправлення неузгодженої інформації NSR
- Вихідні файли можуть бути видалені, коли вони більше не потрібні.
Affected Products
NetWorkerArticle Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.