NetWorker: Identifizieren Sie Clients, die das Löschen von Peer-Informationen erfordern. "Fehler – SSL-Protokollfehler"

Summary: Die Datei /nsr/logs/daemon.raw des NetWorker-Servers wird überflutet mit dem Fehler „Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': Ein Fehler ist aufgrund eines SSL-Protokollfehlers aufgetreten." Abgesehen von einem möglichen Verbindungsproblem erschwert dies das Parsen der Protokolle für andere Troubleshooting-Maßnahmen. In diesem Artikel werden die Schritte erläutert, die befolgt werden können, um dieses Problem sowohl über die server- als auch über die clientseitige Verbindung zu beheben. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In einigen Situationen kann das daemon.raw kann mit GSS-Authentifizierungsfehlern (Generic Security Service) zwischen zwei NetWorker-Systemen überflutet werden:

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.

Oder

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.

Führen Sie auf dem NetWorker-Server als Root- oder Administrator-Nutzer über die Eingabeaufforderung Folgendes aus:

nsradmin -C -y -p nsrexecd "nsr peer information"

Siehe: NetWorker: So löschen Sie Nichtübereinstimmungen von NSR-Peer-Informationen automatisch mithilfe von nsradmin -C

Mit diesem Befehl werden die einzelnen Peer-Zertifikatressourcen in der nsrladb und versucht, sie zu korrigieren. Dieser Vorgang muss auch auf den Clients ausgeführt werden, die dieses Problem melden. Dies kann bei vielen Clients der Fall sein, und es wird schwierig, all die verschiedenen Hosts zu isolieren, die korrigiert werden müssen.

Mit dem folgenden Prozess kann ermittelt werden, welche Systeme ausgeführt werden müssen nsradmin -C -y Oder es ist ein manuelles Löschen von Peer-Informationen erforderlich.

Linux-Hosts:

  1. Rendern Sie die daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

HINWEIS: In diesem Beispiel werden nur die Nachrichten der letzten 1 Woche gerendert. Dadurch wird vermieden, dass nach Peer-Problemen gesucht wird, die möglicherweise nicht mehr auftreten. Weitere Filter werden erläutert in: NetWorker: Verwenden von nsr_render_log
 
  1. Erstellen Sie eine Datei, die nur die GSS-Authentifizierungsverbindungsfehler enthält:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Oder:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

HINWEIS: Ändern Sie je nach beobachtetem GSS-Authentifizierungsfehler die filter Verwendet von grep , um die erforderliche Ausgabe zu erfassen.
 
  1. Erstellen Sie eine Datei, die nur die Clientnamen aus der GSS-Ausgabedatei enthält:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Dieser Befehl verwendet die Linux-Befehle awk und print, um nur das column mit dem Clientnamen aus der Fehlermeldung der vollständigen SSL-Verbindung. Abhängig von der filter number verwenden, ändern Sie die Drucknummer, um die Clientnamen korrekt auszugeben, wenn das obige Beispiel nicht die erwarteten Ergebnisse zurückgibt.

  1. Überprüfen Sie die Datei mithilfe des eindeutigen Befehls, um nur eine Instanz jedes Clients auszugeben, der dieses Problem meldet:
cat client.out | uniq

Beispiel:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Die oben genannten Hostnamen wurden geändert. Anstelle von Hunderten von Einträgen in daemon.rawmeldet nur ein Eintrag pro Client dieses Verhalten.

  1. Stellen Sie eine Verbindung zu den Clientsystemen her, die über SSH oder RDP (Remote Desktop Protocol) gemeldet werden, und verwenden Sie eine Root-/Administrator-Eingabeaufforderung, um Folgendes auszuführen:
nsradmin -C -y -p nsrexecd "nsr peer information"

Wenn Sie diesen Befehl sowohl auf dem Server als auch auf dem Client ausführen, sollte sichergestellt werden, dass die nsrladb auf jedem System enthält die richtigen Peer-Zertifikatinformationen. Wenn eine Nichtübereinstimmung festgestellt wird, wird das Zertifikat gelöscht und beim nächsten Verbindungsversuch zwischen dem Server und dem Client sollte ein neuer erstellt werden.

Das nsradmin zeigt an, welche Hosts nicht übereinstimmen und welche Aktion in der Ausgabe durchgeführt wurde.

Das manuelle Löschen von Peerinformationen wird im folgenden Artikel beschrieben: Korrigieren inkonsistenter NSR-Peerinformationen

  1. Die Ausgabedateien können einmalig gelöscht werden, wenn sie nicht mehr benötigt werden:
rm -rf filename

Windows-Hosts:

  1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung als Administrator.
  2. Ändern Sie die Verzeichnisse in das NetWorker-Protokollverzeichnis:
cd "C:\Program Files\EMC NetWorker\nsr\logs"

Im Beispiel wird davon ausgegangen, dass das Standardinstallationsverzeichnis verwendet wird. Wenn Sie NetWorker an einem anderen Speicherort installiert haben, ändern Sie den Befehl entsprechend.

  1. Rendern Sie die daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out

HINWEIS: In diesem Beispiel werden nur die Nachrichten der letzten 1 Woche gerendert. Dadurch wird vermieden, dass nach Peer-Problemen gesucht wird, die möglicherweise nicht mehr auftreten. Weitere Filter werden erläutert in: NetWorker: Verwenden von nsr_render_log
 
  1. Erstellen Sie eine Datei, die nur die GSS-Authentifizierungsverbindungsfehler enthält:
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Oder:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

HINWEIS: Ändern Sie je nach beobachtetem GSS-Authentifizierungsfehler das "filter" verwendet von grep , um die erforderliche Ausgabe zu erfassen.
 
  1. Erzeugen einer Ausgabe mit eindeutigen Systemen, die GSS-Authentifizierungsfehler melden:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Dieser Befehl teilt die Ausgabe durch Leerzeichen auf und druckt nur die Spalte mit dem Clientnamen aus den vollständigen GSS-Verbindungsfehlermeldungen. Möglicherweise werden weitere Informationen in dieser Spalte angezeigt. NetWorker-Hosts sollten jedoch identifizierbar sein. Abhängig von der filter number verwendet wird, ändern Sie die Drucknummer, um die Clientnamen auszugeben, wenn das obige Beispiel nicht die erwarteten Ergebnisse liefert.

Beispiel: 
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
  1. Stellen Sie eine Verbindung zu den Client-Systemen her, die über SSH oder RDP gemeldet wurden, und verwenden Sie eine Root-/Administrator-Eingabeaufforderung, um Folgendes auszuführen:
nsradmin -C -y -p nsrexecd "nsr peer information"

Wenn Sie diesen Befehl sowohl auf dem Server als auch auf dem Client ausführen, sollte sichergestellt werden, dass die nsrladb auf jedem System enthält die richtigen Peer-Zertifikatinformationen. Wenn eine Nichtübereinstimmung festgestellt wird, wird das Zertifikat gelöscht und beim nächsten Verbindungsversuch zwischen dem Server und dem Client sollte ein neuer erstellt werden.

Das nsradmin zeigt an, welche Hosts nicht übereinstimmen und welche Aktion in der Ausgabe durchgeführt wurde.

Das manuelle Löschen von Peerinformationen wird im folgenden Artikel beschrieben: Korrigieren inkonsistenter NSR-Peerinformationen

  1. Die Ausgabedateien können einmal gelöscht werden, wenn sie nicht mehr benötigt werden.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.