NetWorker. Определение клиентов, которым требуется очистка информации об одноранговом узле «Ошибка — сбой протокола SSL»

Summary: Файл /nsr/logs/daemon.raw сервера NetWorker содержит множество сообщений «Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': Произошла ошибка в результате сбоя протокола SSL». Помимо возможной проблемы с подключением, это затрудняет анализ журналов для поиска и устранения других неполадок. В этой статье описаны действия, которые можно предпринять, чтобы устранить эту проблему как в подключении на стороне сервера, так и на стороне клиента. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

В некоторых ситуациях daemon.raw может быть переполнен ошибками подключения для проверки подлинности Generic Security Service (GSS) между двумя системами NetWorker:

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.

или

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.

На сервере NetWorker откройте командную строку администратора или переключитесь на пользователя root и выполните следующую команду:

nsradmin -C -y -p nsrexecd "nsr peer information"

Видеть: NetWorker. Как автоматически устранить несоответствия информации об одноранговых узлах NSR с помощью nsradmin -C

Эта команда проверяет каждый ресурс однорангового сертификата в nsrladb и пытается это исправить. Эта операция также должна выполняться на клиентах, сообщающих об этой проблеме. Это может происходить со многими клиентами, и становится трудно изолировать все различные хосты, для которых требуется коррекция.

Чтобы определить, для каких систем требуется запуск, можно выполнить описанный ниже процесс nsradmin -C -y или может потребоваться ручное удаление информации об одноранговом узле.

Хосты Linux:

  1. Выполните рендеринг daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

ПРИМЕЧАНИЕ. В этом примере отображаются только сообщения за последнюю неделю. Это позволяет избежать проверки на наличие проблем с одноранговыми узлами, которые, возможно, больше не возникают. Другие фильтры описаны в разделе: NetWorker. Как использовать nsr_render_log
 
  1. Создайте файл, содержащий ошибки подключения только для аутентификации GSS:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Или

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

ПРИМЕЧАНИЕ. В зависимости от наблюдаемой конкретной ошибки аутентификации GSS измените filter Используется пользователем grep для сбора требуемых выходных данных.
 
  1. Создайте файл, содержащий только имена клиентов, из выходного файла GSS:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Эта команда использует команды Linux awk и print для вывода только column содержащее имя клиента из полного сообщения об ошибке SSL-подключения. В зависимости от filter number Используется, измените номер печати для правильного вывода имен клиентов, если приведенный выше пример не возвращает ожидаемых результатов.

  1. Просмотрите файл с помощью команды uniq, чтобы вывести только один экземпляр каждого из клиентов, сообщивших об этой проблеме:
cat client.out | uniq

Пример.

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Указанные выше имена хостов были изменены; Теперь вместо сотен записей в daemon.raw, только одна запись для каждого клиента сообщает об этом поведении.

  1. Подключитесь к клиентским системам, используя протокол SSH или RDP (Remote Desktop Protocol), и выполните командную строку с правами root или администратором, выполнив следующие действия.
nsradmin -C -y -p nsrexecd "nsr peer information"

Выполнение этой команды как на сервере, так и на клиенте должно гарантировать, что nsrladb В каждой системе содержится информация о правильном сертификате однорангового узла. При обнаружении несоответствия сертификат удаляется, а при следующей попытке подключения между сервером и клиентом должен быть создан новый.

Тем nsradmin Команда показывает, на каких хостах обнаружено несоответствие и какие действия были предприняты в выходных данных.

Удаление информации об одноранговом узле вручную подробно описано в статье NetWorker. Исправление несогласованной информации об одноранговом узле NSR

  1. Выходные файлы можно удалить, когда они больше не нужны:
rm -rf filename

Хосты Windows:

  1. Откройте командную строку Windows PowerShell от имени администратора.
  2. Измените каталоги в каталог журнала NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"

В примере предполагается, что используется папка установки по умолчанию. Если вы установили NetWorker в другом месте, измените команду соответствующим образом.

  1. Выполните рендеринг daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out

ПРИМЕЧАНИЕ. В этом примере отображаются только сообщения за последнюю неделю. Это позволяет избежать проверки на наличие проблем с одноранговыми узлами, которые, возможно, больше не возникают. Другие фильтры описаны в разделе: NetWorker. Как использовать nsr_render_log
 
  1. Создайте файл, содержащий ошибки подключения только для аутентификации GSS:
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Или

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

ПРИМЕЧАНИЕ. В зависимости от наблюдаемой конкретной ошибки аутентификации GSS измените параметр «filter" используется grep для сбора требуемых выходных данных.
 
  1. Создать выходные данные, показывающие уникальные системы, сообщающие об ошибках аутентификации GSS:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Эта команда разделяет выходные данные на пробелы и выводит только столбец , содержащий имя клиента из полных сообщений об ошибках подключения GSS. В этом столбце может появиться другая информация; однако хосты NetWorker должны быть идентифицируемы. В зависимости от filter number used, измените номер печати для вывода имен клиентов, если приведенный выше пример не вернул ожидаемых результатов.

Пример. 
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
  1. Подключитесь к клиентским системам, о которых сообщается с помощью SSH или RDP, и используйте командную строку root или администратора для выполнения:
nsradmin -C -y -p nsrexecd "nsr peer information"

Выполнение этой команды как на сервере, так и на клиенте должно гарантировать, что nsrladb В каждой системе содержится информация о правильном сертификате однорангового узла. При обнаружении несоответствия сертификат удаляется, а при следующей попытке подключения между сервером и клиентом должен быть создан новый.

Тем nsradmin Команда показывает, на каких хостах обнаружено несоответствие и какие действия были предприняты в выходных данных.

Удаление информации об одноранговом узле вручную подробно описано в статье NetWorker. Исправление несогласованной информации об одноранговом узле NSR

  1. Выходные файлы можно удалить, когда они больше не нужны.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.