NetWorker : Identifiez les clients qui nécessitent l’effacement des informations d’homologue « Erreur - Défaillance du protocole SSL »

Summary: Le fichier /nsr/logs/daemon.raw du serveur NetWorker est submergé par l’erreur : « Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': Une erreur s’est produite à la suite d’une défaillance du protocole SSL. Outre un éventuel problème de connexion, cela rend difficile l’analyse des journaux pour tout autre dépannage. Cet article décrit les étapes à suivre pour résoudre ce problème à partir du serveur et de la connexion côté client. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dans certains cas, l’option du NetWorker Server daemon.raw peut être inondé d’erreurs de connexion d’authentification GSS (Generic Security Service) entre deux systèmes NetWorker :

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.

ou

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.

À partir du serveur NetWorker, en tant qu’invite de commande root ou administrateur, exécutez :

nsradmin -C -y -p nsrexecd "nsr peer information"

Voir : NetWorker : Comment effacer automatiquement les incohérences d’informations d’homologue NSR à l’aide de nsradmin -C

Cette commande vérifie chaque ressource de certificat homologue du NetWorker Server nsrladb et tente de le corriger. Cette opération doit également être exécutée sur les clients qui signalent ce problème. Cela peut se produire pour de nombreux clients, et il devient difficile d’isoler tous les différents hôtes qui nécessitent une correction.

Le processus suivant peut être utilisé pour déterminer quels systèmes doivent être exécutés nsradmin -C -y ou peut nécessiter la suppression manuelle des informations d’homologue.

Hôtes Linux :

  1. Affichez le daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

Remarque : Cet exemple ne restitue que la dernière semaine de messages. Cela évite de rechercher des problèmes d’homologues qui peuvent ne plus se produire. D’autres filtres sont expliqués dans : NetWorker : utilisation de nsr_render_log
 
  1. Créez un fichier contenant uniquement les erreurs de connexion d’authentification GSS :
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

ou :

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

Remarque : En fonction de l’erreur d’authentification GSS spécifique observée, modifiez le paramètre filter Utilisé par grep pour collecter la sortie requise.
 
  1. Créez un fichier contenant uniquement les noms des clients à partir du fichier de sortie GSS :
cat GSS_error.out | awk {'print $24'} | sort > client.out

Cette commande utilise les commandes Linux awk et print pour imprimer uniquement le fichier column contenant le nom du client à partir du message d’erreur de connexion SSL complète. En fonction de l' filter number utilisé, modifiez le numéro d’impression pour générer correctement les noms de client si l’exemple ci-dessus ne renvoie pas les résultats attendus.

  1. Passez en revue le fichier à l’aide de la commande unique pour ne générer qu’une seule instance de chacun des clients signalant ce problème :
cat client.out | uniq

Exemple :

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Les noms d’hôte ci-dessus ont été modifiés. maintenant, au lieu de centaines d’entrées dans daemon.raw, une seule entrée pour chaque client signale ce comportement.

  1. Connectez-vous aux systèmes clients signalés à l’aide de SSH ou du protocole RDP (Remote Desktop Protocol) et utilisez une invite de commande root/d’administration pour exécuter :
nsradmin -C -y -p nsrexecd "nsr peer information"

L’exécution de cette commande sur le serveur et le client devrait garantir que le nsrladb sur chaque système contient les informations de certificat homologue correctes. Si une incompatibilité est détectée, le certificat est supprimé et la prochaine tentative de connexion entre le serveur et le client doit générer une nouvelle connexion.

Le nsradmin indique quels hôtes ne correspondent pas et quelle action a été effectuée dans la sortie.

La suppression manuelle des informations d’homologue est décrite dans l’article NetWorker : Correction des informations d’homologue NSR incohérentes

  1. Les fichiers de sortie peuvent être supprimés une fois qu’ils ne sont plus nécessaires :
rm -rf filename

Hôtes Windows :

  1. Ouvrez une invite Windows Powershell en tant qu’administrateur.
  2. Remplacez les répertoires par le répertoire des logs NetWorker :
cd "C:\Program Files\EMC NetWorker\nsr\logs"

L’exemple suppose que l’emplacement d’installation par défaut est utilisé. Si vous avez installé NetWorker à un autre emplacement, modifiez la commande en conséquence.

  1. Affichez le daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out

Remarque : Cet exemple ne restitue que la dernière semaine de messages. Cela évite de rechercher des problèmes d’homologues qui peuvent ne plus se produire. D’autres filtres sont expliqués dans : NetWorker : utilisation de nsr_render_log
 
  1. Créez un fichier contenant uniquement les erreurs de connexion d’authentification GSS :
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

ou :

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

Remarque : En fonction de l’erreur d’authentification GSS spécifique observée, modifiez le "filter" utilisé par grep pour collecter la sortie requise.
 
  1. Générez une sortie montrant les systèmes uniques signalant les erreurs d’authentification GSS :
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Cette commande divise la sortie par espaces et imprime uniquement la colonne contenant le nom du client à partir des messages d’erreur de connexion GSS complets. D’autres informations dans cette colonne peuvent apparaître ; Toutefois, les hôtes NetWorker doivent être identifiables. En fonction de l' filter number utilisé, modifiez le numéro d’impression pour générer les noms de client si l’exemple ci-dessus ne renvoie pas les résultats attendus.

Exemple : 
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
  1. Connectez-vous aux systèmes clients signalés à l’aide de SSH ou RDP et utilisez une invite de commande root/d’administration pour exécuter :
nsradmin -C -y -p nsrexecd "nsr peer information"

L’exécution de cette commande sur le serveur et le client devrait garantir que le nsrladb sur chaque système contient les informations de certificat homologue correctes. Si une incompatibilité est détectée, le certificat est supprimé et la prochaine tentative de connexion entre le serveur et le client doit générer une nouvelle connexion.

Le nsradmin indique quels hôtes ne correspondent pas et quelle action a été effectuée dans la sortie.

La suppression manuelle des informations d’homologue est décrite dans l’article NetWorker : Correction des informations d’homologue NSR incohérentes

  1. Les fichiers de sortie peuvent être supprimés une fois qu’ils ne sont plus nécessaires.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.