NetWorker: Identifiera klienter som kräver rensning av peer-information "Error-SSL protocol failure"

Summary: NetWorker-serverns /nsr/logs/daemon.raw översvämmas av "Det går inte att slutföra SSL-handskakning med nsrexecd på värden "CLIENT_NAME": Ett fel uppstod på grund av ett SSL-protokollfel." Bortsett från ett möjligt anslutningsproblem gör detta det svårt att parsa loggarna för annan felsökning. Den här artikeln beskriver steg som kan följas för att rensa problemet från både server- och klientanslutningen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

I vissa situationer kan NetWorker-serverns daemon.raw kan översvämmas av anslutningsfel vid Generic Security Service (GSS) mellan två NetWorker-system:

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.

Eller

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.

Från NetWorker-servern kör du följande kommandotolk som rot eller administratör:

nsradmin -C -y -p nsrexecd "nsr peer information"

Se: NetWorker: Så här rensar du matchningsfel för NSR-peerinformation automatiskt med hjälp av nsradmin -C

Det här kommandot kontrollerar varje peer-certifikatresurs i NetWorker-serverns nsrladb och försöker rätta till det. Den här åtgärden måste också köras på de klienter som rapporterar det här problemet. Detta kan inträffa för många klienter och det blir svårt att isolera alla olika värdar som kräver korrigering.

Följande process kan användas för att avgöra vilka system som kräver körning nsradmin -C -y eller kan kräva manuell radering av peer-information.

Linux-värdar:

  1. Rendera daemon.raw:
nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

Obs! Det här exemplet återger bara de senaste 1 veckornas meddelanden. På så sätt undviker du att leta efter peer-problem som kanske inte längre uppstår. Andra filter förklaras i: NetWorker: Så här använder du nsr_render_log
 
  1. Skapa en fil som endast innehåller anslutningsfelen för GSS-autentisering:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Eller:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

Obs! Beroende på det specifika GSS-autentiseringsfel som observerats ändrar du filter Används av grep för att samla in nödvändiga utdata.
 
  1. Skapa en fil som endast innehåller klientnamnen från GSS-utdatafilen:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Det här kommandot använder Linux-kommandona awk och print för att endast skriva ut column som innehåller klientnamnet från det fullständiga felmeddelandet för SSL-anslutningen. Beroende på filter number används ändrar du utskriftsnumret för att mata ut klientnamnen korrekt om exemplet ovan inte returnerar de förväntade resultaten.

  1. Granska filen med det unika kommandot för att endast mata ut en instans av var och en av klienterna som rapporterar det här problemet:
cat client.out | uniq

Exempel:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Ovanstående värdnamn har ändrats; I stället för hundratals poster i daemon.rawrapporterar endast en post för varje klient det här beteendet.

  1. Anslut till klientsystemen som rapporteras med SSH eller RDP (Remote Desktop Protocol) och kör via en kommandotolk i rot/administration för att köra:
nsradmin -C -y -p nsrexecd "nsr peer information"

Om du kör det här kommandot på både servern och klienten bör du se till att nsrladb på varje system innehåller rätt peer-certifikatinformation. Om ett matchningsfel upptäcks tas certifikatet bort och nästa anslutningsförsök mellan servern och klienten bör generera ett nytt.

Den nsradmin Kommandot visar vilka värdar som har ett matchningsfel och vilken åtgärd som vidtogs i utdata.

Manuell borttagning av peer-information beskrivs i artikeln NetWorker: Åtgärda inkonsekvent NSR-peer-information

  1. Utdatafilerna kan tas bort när de inte längre behövs:
rm -rf filename

Windows-värdar:

  1. Öppna en Windows PowerShell-kommandotolk som administratör.
  2. Ändra kataloger till NetWorker-loggkatalogen:
cd "C:\Program Files\EMC NetWorker\nsr\logs"

Exemplet förutsätter att standardinstallationsplatsen används. Om du har installerat NetWorker på en annan plats ändrar du kommandot i enlighet med detta.

  1. Rendera daemon.raw:
nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out

Obs! Det här exemplet återger bara de senaste 1 veckornas meddelanden. På så sätt undviker du att leta efter peer-problem som kanske inte längre uppstår. Andra filter förklaras i: NetWorker: Så här använder du nsr_render_log
 
  1. Skapa en fil som endast innehåller anslutningsfelen för GSS-autentisering:
elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Eller:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

Obs! Beroende på det specifika GSS-autentiseringsfel som observerats ändrar du "filter" används av grep för att samla in nödvändiga utdata.
 
  1. Generera utdata som visar unika system som rapporterar GSS-autentiseringsfel:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Det här kommandot delar upp utdata med blanksteg och skriver bara ut kolumnen som innehåller klientnamnet från de fullständiga felmeddelandena för GSS-anslutning. Annan information i den här kolumnen kan visas. NetWorker-värdar bör dock vara identifierbara. Beroende på filter number används ändrar du utskriftsnumret för att mata ut klientnamnen om exemplet ovan inte returnerar de förväntade resultaten.

Exempel: 
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
  1. Anslut till klientsystemen som rapporterats med SSH eller RDP och kör via en kommandotolk i rot/administration:
nsradmin -C -y -p nsrexecd "nsr peer information"

Om du kör det här kommandot på både servern och klienten bör du se till att nsrladb på varje system innehåller rätt peer-certifikatinformation. Om ett matchningsfel upptäcks tas certifikatet bort och nästa anslutningsförsök mellan servern och klienten bör generera ett nytt.

Den nsradmin Kommandot visar vilka värdar som har ett matchningsfel och vilken åtgärd som vidtogs i utdata.

Manuell borttagning av peer-information beskrivs i artikeln NetWorker: Åtgärda inkonsekvent NSR-peer-information

  1. Utdatafilerna kan tas bort när de inte längre behövs.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 26 Apr 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.