NetWorker: Clients identificeren die informatie van collega's moeten wissen "Error-SSL protocol failure"

Summary: De /nsr/logs/daemon.raw van de NetWorker server wordt overspoeld met "Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': Er is een fout opgetreden als gevolg van een storing in het SSL-protocol." Afgezien van een mogelijk verbindingsprobleem, maakt dit het moeilijk om de logboeken te parseren voor andere probleemoplossing. In dit artikel worden de stappen beschreven die kunnen worden gevolgd om dit probleem op te lossen via zowel de server- als clientverbinding. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

In sommige situaties is het daemon.raw Kan worden overspoeld met Generic Security Service (GSS)-authenticatieverbindingsfouten tussen twee NetWorker-systemen:

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.

Of

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.

Voer vanaf de NetWorker-server de volgende opdracht uit als root- of administrator-opdrachtprompt:

nsradmin -C -y -p nsrexecd "nsr peer information"

Zie: NetWorker: Niet-overeenkomende NSR-peerinformatie automatisch wissen met behulp van nsradmin -C

Met deze opdracht worden elke peercertificaatbron in de nsrladb en probeert het te corrigeren. Deze bewerking moet ook worden uitgevoerd op de clients die dit probleem melden. Dit kan voor veel cliënten voorkomen en het wordt moeilijk om alle verschillende hosts te isoleren die correctie vereisen.

Het volgende proces kan worden gebruikt om te bepalen op welke systemen uitvoering moet worden uitgevoerd nsradmin -C -y of mogelijk moet informatie van collega's handmatig worden verwijderd.

Linux-hosts:

  1. Render de daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

OPMERKING: In dit voorbeeld worden alleen de berichten van de laatste 1 week weergegeven. Dit voorkomt dat er moet worden gecontroleerd op problemen met collega's die zich mogelijk niet meer voordoen. Andere filters worden uitgelegd in: NetWorker: Hoe nsr_render_log te gebruiken
 
  1. Maak een bestand met alleen de GSS-authenticatieverbindingsfouten:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Of:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

OPMERKING: Afhankelijk van de specifieke GSS-authenticatiefout die is waargenomen, moet u de filter Gebruikt door grep om de vereiste output te verzamelen.
 
  1. Maak een bestand met alleen de clientnamen uit het GSS-uitvoerbestand:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Deze opdracht maakt gebruik van de opdrachten Linux awk en print om alleen de column met de clientnaam uit de foutmelding volledige SSL-verbinding. Afhankelijk van de filter number gebruikt, wijzig dan het afdruknummer om de clientnamen correct weer te geven als het bovenstaande voorbeeld niet de verwachte resultaten oplevert.

  1. Controleer het bestand met de unieke opdracht om slechts één exemplaar uit te voeren van elk van de clients die dit probleem melden:
cat client.out | uniq

Voorbeeld:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

De bovenstaande hostnamen zijn gewijzigd; Nu, in plaats van honderden vermeldingen in daemon.raw, rapporteert slechts één vermelding voor elke client dit gedrag.

  1. Maak verbinding met de clientsystemen die zijn gerapporteerd met behulp van SSH of Remote Desktop Protocol (RDP) en gebruik een root-/beheerdersopdrachtprompt om het volgende uit te voeren:
nsradmin -C -y -p nsrexecd "nsr peer information"

Als u deze opdracht uitvoert op zowel de server als de client, moet er zeker van zijn dat het nsrladb op elk systeem bevat de juiste peer-certificaatinformatie. Als wordt gedetecteerd dat het certificaat niet overeenkomt, wordt het verwijderd en wordt bij de volgende verbindingspoging tussen de server en de client een nieuw certificaat gegenereerd.

De nsradmin De opdracht laat zien welke hosts niet overeenkomen en welke actie is ondernomen in de uitvoer.

Het handmatig verwijderen van peer-informatie wordt beschreven in artikel NetWorker: Inconsistente NSR-peerinformatie corrigeren

  1. De uitvoerbestanden kunnen worden verwijderd zodra ze niet meer nodig zijn:
rm -rf filename

Windows-hosts:

  1. Open een Windows Powershell-prompt als beheerder.
  2. Wijzig de directory's in de logboekdirectory van NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"

In het voorbeeld wordt ervan uitgegaan dat de standaardinstallatielocatie wordt gebruikt. Als u NetWorker op een andere locatie hebt geïnstalleerd, wijzigt u de opdracht dienovereenkomstig.

  1. Render de daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out

OPMERKING: In dit voorbeeld worden alleen de berichten van de laatste 1 week weergegeven. Dit voorkomt dat er moet worden gecontroleerd op problemen met collega's die zich mogelijk niet meer voordoen. Andere filters worden uitgelegd in: NetWorker: Hoe nsr_render_log te gebruiken
 
  1. Maak een bestand met alleen de GSS-authenticatieverbindingsfouten:
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Of:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

OPMERKING: Afhankelijk van de specifieke GSS-authenticatiefout die is waargenomen, wijzigt u de "filter" gebruikt door grep om de vereiste output te verzamelen.
 
  1. Uitvoer genereren met unieke systemen die de GSS-authenticatiefouten rapporteren:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Met deze opdracht wordt de uitvoer opgesplitst in spaties en wordt alleen de kolom met de clientnaam afgedrukt uit de volledige foutmeldingen van de GSS-verbindingsfout. Andere informatie in deze kolom kan worden weergegeven; NetWorker-hosts moeten echter identificeerbaar zijn. Afhankelijk van de filter number gebruikt, wijzigt u het afdruknummer om de clientnamen weer te geven als het bovenstaande voorbeeld niet de verwachte resultaten oplevert.

Voorbeeld: 
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
  1. Maak verbinding met de clientsystemen die zijn gerapporteerd met behulp van SSH of RDP en gebruik een root-/beheeropdrachtprompt om het volgende uit te voeren:
nsradmin -C -y -p nsrexecd "nsr peer information"

Als u deze opdracht uitvoert op zowel de server als de client, moet er zeker van zijn dat het nsrladb op elk systeem bevat de juiste peer-certificaatinformatie. Als wordt gedetecteerd dat het certificaat niet overeenkomt, wordt het verwijderd en wordt bij de volgende verbindingspoging tussen de server en de client een nieuw certificaat gegenereerd.

De nsradmin De opdracht laat zien welke hosts niet overeenkomen en welke actie is ondernomen in de uitvoer.

Het handmatig verwijderen van peer-informatie wordt beschreven in artikel NetWorker: Inconsistente NSR-peerinformatie corrigeren

  1. De uitvoerbestanden kunnen worden verwijderd zodra ze niet meer nodig zijn.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.