Avamar：会话安全

什么是会话安全？

会话安全：产品安全指南

Avamar Client 可以使用会话安全来保护 Avamar Server 和 Avamar Client 软件之间的所有通信。Avamar Server 向 Avamar Client 提供身份验证，而 Avamar Client 也向 Avamar Server 提供身份验证。

会话安全功能包含针对 Avamar 系统进程间通信的安全改进。

Avamar 会使用会话票证保护 Avamar 系统进程之间的所有通信。在一个 Avamar 进程接受来自另一个 Avamar 进程的传输之前，需要有效的会话票证。

会话票证具有以下常规特征：

• 会话票证经过加密和签名，以防止修改
• 会话票证的有效期很短
• 每个会话票证都包含唯一的签名，并且仅分配给一个 Avamar 进程
• 会话票证的完整性受加密保护
• 每个 Avamar 系统节点会单独验证会话票证签名
• 如果需要，会话可延长至会话票证有效期之后

Avamar 充当私立证书颁发机构，并为 Avamar 系统生成唯一的服务器证书。

Avamar 系统会在向 Avamar Server 注册的每个 Avamar Client 上安装服务器证书的公钥。Avamar Client 使用公钥对来自 Avamar 系统的传输进行身份验证。

对于当前已注册的客户端，服务器证书的公钥和其他必需的证书文件将在安装后一小时内传播到客户端。

Avamar 系统还会自动与 Avamar 存储节点共享 Avamar Server 证书。共享证书允许实用程序节点和存储节点提供相同的证书进行身份验证。

当 Avamar Server 注册 Avamar Client 时，将生成客户端证书。

生成客户端证书后，Avamar 系统会使用与 Avamar Client 的加密连接在客户端上安装证书。此外，Avamar 系统还存储客户端证书的公钥。公钥用于在所有后续通信中对客户端进行身份验证。


会话安全如何工作？

会话安全已在 Avamar Server 上启用。启用后，客户端、代理和 Data Domain 系统都要走 Avamar 的特殊证书注册流程。

在 Windows 或 Linux 客户端和代理上，注册时，它会看到 Avamar Server 已启用会话安全。Avamar 将其内部根 CA (chain.pem) 发送给客户端，以便客户端可以存储和信任它。客户端生成证书签名请求 (CSR)。CSR (avclient.csr) 将从客户端发送到 Avamar Server 的 MCS 进程，该进程随后会对 CSR 进行签名，并将证书密钥对 (key.pem & cert.pem) 返回给客户端。

在 Data Domain 上，将 Data Domain 连接到 Avamar 或刷新 SSL 通信时，Avamar 会发现 Data Domain 没有来自其自身或另一个经验证的 Avamar 的签名证书 (imported-host ddboost)。Avamar 将使用 Data Domain ssh 私钥登录到 Data Domain，以通过 Data Domin shell (ddsh) 运行 ssh 命令。Avamar 将通过 SCP 提取 Data Domain 证书签名请求 (CSR)，并使用 Avamar 内部根 CA 对 CSR 进行签名。一旦 Data Domain 从 Avamar 获得签名证书 (imported-host ddboost)，Avamar 将导入对证书进行签名的根 CA (chain.pem as imported-ca ddboost/login-auth)。

现在，客户端/代理已注册，并具有通过 Avamar 的 MCS 进行身份验证所需的客户端证书，将尝试备份。Avamar 将工单发送到客户端或代理的 Avagent 侦听程序，后者会接收该工单。然后，客户端或代理使用 Avamar 在注册时导入到客户端的 Avamar 根 CA 来验证和核实 Avamar Server 的证书链。同样，Avamar 也会对客户端或代理进行身份验证。此时尚未传递任何数据。

身份验证成功后，工单启动，其状态从“Waiting-Client”变为“Running”。

现在，客户端和代理通过使用安装在其上的 avtar 二进制文件，最终将数据移动到 Avamar 和 Data Domain。该 avtar 二进制文件将传递一些标记，这些标记控制如何移动数据以及移动哪些数据的详细信息。

当客户端或代理上的 avtar 连接到 Avamar 的 GSAN 时，它必须知道是否启用了 verifypeer。该 verifypeer 设置是 GSAN 服务器设置，属于会话安全配置的一部分，它通过告诉 GSAN 是否要求每个传入连接都要有客户端证书来控制端口 29000 上 GSAN 的 SSL 套接字。幸运的是，TLS 1.2 协议已实施，该协议会自动处理客户端或代理在 TLS 握手期间如何向 gsan 提供其客户端证书。

以下是启用 verifypeer 时 TLS 相互/双向握手的演示。
从客户端或代理的角度来看，指向右侧的箭头表示与 Avamar Server 的连接。指向左侧的箭头表示从 Avamar Server 到客户端的连接。
 

[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, ClientHello
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, ServerHello
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, Certificate
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, ServerKeyExchange
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, CertificateRequest
[avtar]  <-- TLS 1.2 Handshake, ServerHelloDone
[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, Certificate
[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, ClientKeyExchange
[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, CertificateVerify
[avtar]  --> SSL
[avtar]  --> TLS 1.2 ChangeCipherSpec
[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, Finished
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 ChangeCipherSpec
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, Finished

当 verifypeer 处于禁用状态时，客户端不需要将客户端证书发送到 GSAN。
 

[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, ClientHello
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, ServerHello
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, Certificate
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, ServerKeyExchange
[avtar]  <-- SSL
[avtar]  <-- TLS 1.2 Handshake, ServerHelloDone
[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, ClientKeyExchange
[avtar]  --> SSL
[avtar]  --> TLS 1.2 ChangeCipherSpec
[avtar]  --> SSL
[avtar]  --> TLS 1.2 Handshake, Finished
[avtar]  <-- SSL 
[avtar]  <-- TLS 1.2 ChangeCipherSpec
[avtar]  <-- SSL 
[avtar]  <-- TLS 1.2 Handshake, Finished

重要的是，客户端或代理获得了必要的客户端证书，能够在 GSAN 需要时执行相互 TLS 握手。

这意味着，如果 Avamar 内部根 CA 发生变化，客户端、代理或 Data Domain 必须获取新的根 CA 才能为其签署证书。

客户端或代理成功连接到 GSAN 后，会尝试连接到 Data Domain。

以下日志显示了使用 avtar 连接到 Data Domain 的代理。verifypeer 设置处于禁用状态，但会话安全处于启用状态（单一身份验证模式）。 
 

2024-02-22 17:37:32 avtar Info <40058>: - Client connecting to the Avamar Server using authentication, client connecting to the Data Domain system using two-way authentication
2024-02-22 17:37:33 avtar Info <44068>: - Data Domain Engine Set FIPS OFF
2024-02-22 17:37:33 avtar Info <16684>: - Data Domain Engine (7.11.0.0 build 1033042)
2024-02-22 17:37:33 avtar Info <40174>: Multi-stream restore via cloning is enabled.
2024-02-22 17:37:33 avtar Info <10632>: Using Client-ID='6bf19b025be80a12da2e7b932da60079709906ae'
2024-02-22 17:37:33 avtar Info <40062>: GSAN connected via: IPv4, retrieved Data Domain IPv4 hostname = lab.dd.com
2024-02-22 17:37:33 avtar Info <10539>: Connecting to Data Domain Server "lab.dd.com"(1)  (LSU: avamar-1704339590) with auth token
2024-02-22 17:37:33 avtar Info <10540>: - Resolved Data Domain Server name "lab.dd.com" to the IP address "10.x.x.x"
2024-02-22 17:37:33 avtar Info <41236>: - Connecting to Data Domain Server name "lab.dd.com" with token:e2602cc64ce8c4782ca877cabe355191042d0fb4
2024-02-22 17:37:33 avtar Info <0000>: - Connecting to:
DataDomain:           lab.dd.com
encryption strength:  2
auth_mode:            2
client_cert           /usr/local/avamarclient/etc/cert.pem
client_key:           /usr/local/avamarclient/etc/key.pem
server_cert:          /tmp/.tmp_avamar/MOD-1708623043157#1_65d7865c_68ce32dc.pem
chain_cert:           /usr/local/avamarclient/etc/chain.pem

由于 verifypeer 是 Avamar GSAN 服务器设置，因此在启用会话安全的情况下，它不会影响 avtar 直接连接到 Data Domain 的方式。这意味着客户端或代理与 Data Domain 之间会发生相互 TLS 握手。

客户端或代理可以验证 Data Domain 证书链，因为它共享由 Avamar 在客户端注册时（或 DD 编辑或连接时）导入的相同 Avamar 内部根 CA。
 

Proxy
------
Avamar internal root CA
/usr/local/avamarclient/etc/chain.pem


Data Domain
--------------
Avamar internal root CA
run command to view certificate list on DD: adminaccess certificate show
imported-ca ddboost


/usr/local/avamarclient/etc/chain.pem == imported-ca ddboost

证书验证后，握手完成，并且备份数据从客户端移至网络上的 Data Domain 和 Avamar。


管理会话安全设置

以下两篇文章用于从命令行或 Avinstaller Web 服务管理会话安全设置。

000222234 | Avamar：从 CLI 管理会话安全设置
000222279 | Avamar：使用 Avinstaller 安装包 (AVP) 管理会话安全设置
 

目前有四种可能的受支持配置：

1. 禁用
2. 单一混合
3. 单一身份验证
4. 双重身份验证

禁用

设置：

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

当会话安全处于禁用状态时，客户端仅通过端口 28001 连接到 Avamar 的 Avagent 服务，并且客户端在 Avagent 端口 28002 上侦听来自 Avamar 的请求。

代理在端口 28009 上侦听。

端口 28001 是普通 TCP 套接字，不执行 TLS 握手。

客户端通过端口 29000 连接到 Avamar GSAN，并执行单向 TLS 握手。这意味着，即使会话安全处于禁用状态，当备份数据在客户端和 Avamar 之间传输时，它仍会动态加密。

用于 Avamar 软件身份验证的证书不会在 Avamar、代理、客户端和 Data Domain 之间交换。


单一混合

设置：

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="mixed"
"secure_st_mode"                                        ="mixed"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

在 Avamar 7.3 中首次引入会话安全时，单一混合模式使用较多，特别允许那些版本不是 7.3 或更高的客户端注册并备份到 Avamar。在撰写本文时，Avamar 19.10 是最新版本，并且单一混合模式与下一个要讨论的模式（即，单一身份验证）基本相同。


单一身份验证

设置：

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="no"

在此模式下，会话安全处于启用状态，并且证书在 Avamar、客户端、代理和 Data Domain 之间传递，以便在备份前进行身份验证。

客户端目前在端口 30002 上侦听来自 Avamar 的 Avagent 工单请求，代理在端口 30009 上侦听。Avamar 在端口 30001 和 30003 上侦听来自客户端和代理的连接请求。这些是执行 TLS 握手的 SSL 套接字。

与单一混合模式不同，单一身份验证模式强制所有客户端使用会话安全方法进行注册。

此模式将 Avamar 的 GSAN 上的 verifypeer 设置为禁用状态，这意味着 GSAN 不需要来自入站 avtar 连接的客户端证书。


双重身份验证

设置：

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

除了对 Avamar 的 GSAN 服务启用 verifypeer 设置外，双重身份验证模式与单一身份验证模式相同。

双重身份验证被视为应用于 Avamar Server 的最强设置，并且是 Avamar 部署期间的默认选项。


概览：Avamar 内部自签名根 CA

Avamar 内部根 CA 是 Avamar 以及 Avamar 将证书导入到的客户端、代理和 Data Domain 的内部可信赖证书颁发机构。

由于 Avamar 为证书签名请求 (CSR) 颁发证书，因此它是其自身的内部 CA。

当 Avamar 使用其根 CA 为 GSAN 签署证书时，这些证书存储在以下位置：
 

/home/admin/chain.pem
/home/admin/cert.pem
/home/admin/key.pem

/usr/local/avamar/etc/chain.pem
/usr/local/avamar/etc/cert.pem
/usr/local/avamar/etc/key.pem

如果安全扫描仪扫描 Avamar 上的端口 29000，它将向 GSAN 报告这个处理备份的端口上的自签名证书。

在某些环境中，这可能是不可接受的，建议参阅以下知识库文章，了解有关将 Avamar 内部根 CA 更换为用户提供的内部根 CA 的详细信息。

知识库文章 000204629 | Avamar：安装证书颁发机构/将 Avamar 证书颁发机构 (CA) 更换为用户提供的证书颁发机构 (CA)

该过程详细介绍了如何使用 importcert.sh 脚本来安装用户提供的公司内部证书颁发机构。用户提供的证书颁发机构可能由安全团队管理，因为没有公共证书颁发机构会泄露其 CA 的私钥，这是他们通过为他人签署证书和维护信任链来赚钱的理由。

内部 CA 的示例是 Microsoft Active Directory 证书服务。
什么是 Active Directory 证书服务？| Microsoft 学习

公共 CA 的示例是 DigiCert。

通过将 Avamar 密钥库中的根密钥对更换为用户提供的 CA 密钥对，可实现 Avamar 内部根 CA 更换。然后，GSAN 生成 CSR 和私钥，获取由新 CA 密钥对签署的 CSR，并替换此部分前面提到的文件。GSAN 会通过端口 29000 重新加载 SSL 套接字，连接到 GSAN 的新客户端将看到用户提供的 CA。

安全扫描仪现在会显示该端口上的签名证书，而且客户端、代理和 Data Domain 必须重新注册才能获得新的 CA。


限制

Avamar 会话安全功能受一些限制约束：

• 客户端
  • 会话安全功能不能与下列任何 Avamar Client 配合使用：
    • Veritas 群集服务器上的 Avamar Cluster Client for Solaris
    • Solaris 群集中的 Avamar Client for Solaris
• 其他产品
  • 建议使用 Avamar Server、Avamar Client 和 Data Domain 系统的 NTP 时间同步（如果适用）。如果时间不同步，那么可能会因证书有效性和到期时间而导致注册和备份/还原失败。更改主机上的时区可能会产生类似的影响，并且可能需要重新生成证书。
• 安全令牌
  • 安全令牌身份验证在下列情况下无法正常工作：
    • 客户端计算机位于 Network Address Translation (NAT) 防火墙设备后面
    • 客户端的主机名是虚拟名称，与其 IP 地址解析出的 FQDN 不同
    • 客户端计算机具有多个 IP 接口，并且每个接口解析为不同的完全限定域名 (FQDN)。有关更多信息，请参阅以下知识库：知识库 000056252 |Avamar：由于 IP 地址过多，备份到 Data Domain 失败，并显示消息“DDR_GET_AUTH_TOKEN”

会话安全更改规划

在更改会话安全设置之前，可执行以下步骤，以便在进行任何更改之前有机会还原先前的配置或证书。

请记住，如果更改了 Avamar 内部根 CA，则必须重新注册客户端、代理和 Data Domain。根据环境的大小（客户端、代理和 Data Domain 的数量），这可能是一项耗时数天的繁琐任务。

应用场景是：在重新生成证书的情况下，现在注册和备份失败。

假设证书未到期或即将到期，并且它们可能是意外重新生成的，以下步骤为如何防止数据丢失或数据不可用提供了一些指导。

获取当前的会话安全设置并记下它们：

enable_secure_config.sh --showconfig

复制 Avamar 密钥库：

cp -p /usr/local/avamar/lib/avamar_keystore /usr/local/avamar/lib/x-avamar_keystore-original 

假设现在已使用会话安全 AVP 或 CLI 方法重新生成证书。

这意味着 Avamar 密钥库已更改，并且 GSAN 证书已重新签名。

原始 Avamar 密钥库可以简单地移回原位：

cp -p /usr/local/avamar/lib/x-avamar_keystore-original /usr/local/avamar/lib/avamar_keystore

重新生成 GSAN 证书：

enable_secure_config.sh --certs

重新启动 MCS 和备份计划程序：

mcserver.sh --restart --force
dpnctl start sched

这将恢复客户端、代理和 Data Domain 先前已信任的原始 Avamar 内部根 CA。


故障处理

大多数时候，更改会话安全设置或重新生成证书都很简单。

此部分旨在介绍重新生成证书或更改设置后如何让一切再次正常工作。

本地刷新

在 verifypeer 处于启用状态的情况下，重新生成所有 Avamar 证书时，不会立即更新 Avamar Server 的 avtar 和 avmgr 使用的客户端证书。

这意味着，当 MCS 运行计划的刷新（将 MCS 配置备份到 GSAN）时，它将因 TLS 握手失败而失败。这是因为在 Avamar Server 上运行的 avtar 的客户端证书尚未获得更新的 Avamar 内部根 CA 和一组新的已签名客户端证书。

有关更多信息，请参阅以下知识库文章：

000214340 | Avamar：Avtar 无法连接到 Avamar 的 GSAN 服务，“致命的服务器连接问题，正在中止初始化。请验证服务器地址和登录凭据是否正确。”（英文版）

复制

如果在复制目标上启用 verifypeer，并且在目标上重新生成证书，则必须采用上面“本地刷新”部分中的类似方法。

首先，确保复制目标 Avagent 已注册，以便它可以接受复制工单。

在目标上，检查以下位置的 Avagent 日志：

/usr/local/avamar/var/client/avagent.log

正常运行的日志可能如下所示：

2024-02-22 15:31:57 avagent Info <5964>: Requesting work from avamar.lab
2024-02-22 15:31:57 avagent Info <5264>: Workorder received: sleep
2024-02-22 15:31:57 avagent Info <5996>: Sleeping 15 seconds
2024-02-22 15:32:12 avagent Info <40019>: Checking certificate status.
2024-02-22 15:32:12 avagent Info <43701>: agent_message::resolve_client_ip ping to MCS avamar.lab:10.x.x.x using local IP:10.x.x.x failed, timed out on receive


2024-02-22 15:32:12 avagent Info <5964>: Requesting work from avamar.lab
2024-02-22 15:32:12 avagent Info <5264>: Workorder received: sleep
2024-02-22 15:32:12 avagent Info <5996>: Sleeping 15 seconds

在日志中进一步回溯时，可能会发现最近成功的重新注册：

2024-02-22 15:09:00 avagent Info <7502>: Registration of client /MC_SYSTEM/avamar.lab with MCS avamar.lab:30001 successful.
2024-02-22 15:09:00 avagent Info <5928>: Registration of plugin 1008 Replicate successful.
2024-02-22 15:09:00 avagent Info <5928>: Registration of plugin 1038 vmir successful.
2024-02-22 15:09:00 avagent Info <5928>: Registration of plugin 1046 Migrate successful.
2024-02-22 15:09:00 avagent Info <5928>: Registration of plugin 1051 Tiering successful.
2024-02-22 15:09:00 avagent Info <5619>: Registration of client and plugins complete.
2024-02-22 15:09:00 avagent Info <5996>: Sleeping 60 seconds

由证书更改引起注册问题的不正常日志可能如下所示：

2024-02-22 15:04:57 avagent Error <40012>: Avamar server certificate verification error 7 at depth 0: certificate signature failure
2024-02-22 15:04:57 avagent Error <5365>: Cannot connect to 10.x.x.x:30001.
2024-02-22 15:04:57 avagent Info <5059>: unable to connect, sleep(60) then retrying
2024-02-22 15:05:57 avagent Error <40012>: Avamar server certificate verification error 7 at depth 0: certificate signature failure
2024-02-22 15:05:57 avagent Error <5365>: Cannot connect to 10.x.x.x:30001.
2024-02-22 15:05:57 avagent Info <5059>: unable to connect, sleep(60) then retrying
2024-02-22 15:06:57 avagent Error <40012>: Avamar server certificate verification error 7 at depth 0: certificate signature failure
2024-02-22 15:06:57 avagent Error <5365>: Cannot connect to 10.x.x.x:30001.

在这种情况下，为了立即强制向 MCS 重新注册 Avagent，必须执行以下步骤：

获取 MC_SYSTEM 账户名称，这可能是 Avamar FQDN：

mccli client show --domain=/MC_SYSTEM | grep MC_SYSTEM | awk '{print $1}'

example:
root@avamar:/usr/local/avamar/lib/#: mccli client show --domain=/MC_SYSTEM | grep MC_SYSTEM | awk '{print $1}'
avamar.lab

停用 MC_SYSTEM 账户：

mccli client edit --name=/MC_SYSTEM/<avamar_fqdn> --activated=false

example:
mccli client edit --name=/MC_SYSTEM/avamar.lab --activated=false

重新注册 MC_SYSTEM 账户：

/etc/init.d/avagent register <avamar_fqdn> /MC_SYSTEM

example:
/etc/init.d/avagent register avamar.lab /MC_SYSTEM

注册成功后，Avagent 可以接受目标上的复制。

现在，在源 Avamar 上，如果在复制目标 Avamar 上启用了 verifypeer，我们必须重新生成用于连接到目标 Avamar 的客户端证书。

类似于知识库文章 000214340 | Avamar：Avtar 无法连接到 Avamar 的 GSAN 服务，“致命的服务器连接问题，正在中止初始化。请验证服务器地址和登录凭据是否正确。”（英文版）

从源 Avamar ssh 会话中删除现有目标 Avamar 证书文件夹：

rm -r /usr/local/avamar/etc/<destination_avamar_ip_address>

rm -r /usr/local/avamar/etc/client/<destination_avamar_ip_address>

重新生成客户端证书：

/usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=<destination_avamar_ip_address>

/usr/local/avamar/bin/avagent.bin --gencerts=true --mcsaddr=<destination_avamar_ip_address> --sysdir=/usr/local/avamar/etc/client

可以从源 Avamar ssh 命令行测试与目标 Avamar 的通信：

avmgr logn --id=repluser --ap=<destination_repluser_password> --hfsaddr=<destination_avamar_ip_address> --debug --x19=1024 --x30=8192

客户端注册

更改会话安全设置或重新生成证书后，可以尝试备份。

这可能会导致您发现许多基于代理程序的客户端处于“Waiting-Client”状态，该状态一直持续到备份失败并显示“Timed-Out Start”为止。

重新生成新证书后，客户端需要大约 23 小时才能自动尝试重新注册。

可在 Avamar Server 上使用以下命令，为基于代理程序的客户端发送邀请，以便使用 Avamar MCS 进行重新注册。

mccli client re-register-all

该命令可能需要一些时间，具体取决于客户端数量，因为它会按顺序向每个客户端发送邀请。考虑在后台运行该命令，以防 ssh 会话超时。

nohup mccli client re-register-all &

请注意，这可能无法重新注册所有基于代理程序的客户端，有些客户端可能需要手动重新注册。

在 Windows 上重新注册客户端的手动流程是：

• 删除以下包含旧客户端证书的目录的内容：

  • "C:\Program Files\avs\etc"

• 重新启动“备份代理程序”服务

在 Linux 上重新注册客户端的手动流程是：

• 删除以下包含旧客户端证书的目录的内容：

  • /usr/local/avamar/etc

• 重新启动 Avagent 服务：

  • service avagent restart

此外，还可以重新启动客户端计算机，以尝试触发完全重新注册。

请注意，当会话安全处于启用状态时，名称解析在客户端注册流程中起着重要作用，请确保客户端可以对 Avamar Server 执行正向和反向 DNS 查找，反之亦然。这可以通过在客户端上配置 DNS A 记录或主机条目来实现。

Avamar 不会提供任何类型的可联系每个已连接客户端以执行手动重新注册的脚本，前面提到的 mccli 命令与此最为接近。

代理注册

在会话安全更改后，使用代理备份到 Avamar 的虚拟机在某种程度上具有一定优势，因为代理通常比基于代理程序的客户端少得多。

代理还应在 23 小时内尝试自动重新注册，但立即重新注册它们可能会更简单和更快捷。

目前有几个选项可用于尝试在代理上强制重新注册。

第一个选项是使用以下命令重新启动代理：

mccli mcs reboot-proxy --all

第二个选项是使用 Goav 工具来管理代理。

为 Goav 工具设置代理密码，以便它可以在必要时登录到代理。以下命令不会更改代理的操作系统密码，它只是将该密码加密存储起来，以便 Goav 工具在必须通过 ssh 登录到代理时可以使用它。

./goav proxy set-password

在所有连接的代理上执行 Avagent 重新启动：

./goav proxy exec "service avagent restart"

要在代理中检查 Avagent 日志以查看是否进行了成功的重新注册，请运行以下命令：

./goav proxy exec "grep -i registration /usr/local/avamarclient/var/avagent.log"

成功的输出可能类似于以下内容：

============== proxy.lab.emc.com =========================
Executing grep -i registration /usr/local/avamarclient/var/avagent.log on proxy.lab.emc.com
2024-02-23 17:54:06 avagent Info <18918>: Registration: Processing secure registration with the MCS.
2024-02-23 17:54:06 avagent Info <18923>: Registration: Certificate files are present.
2024-02-23 17:54:09 avagent Info <5470>: Updating registration information with the MCS (10.x.x.x), paging enabled
2024-02-23 17:54:09 avagent Info <7501>: Client registration updated 3cbe29134da771ac547b7105743e66633ff12d40 10.x.x.x(1704339590)
2024-02-23 17:54:09 avagent Info <7502>: Registration of client /clients/proxy.lab.emc.com with MCS 10.x.x.x:30001 successful.
2024-02-23 17:54:09 avagent Info <5928>: Registration of plugin 1019 vmwfilel successful.
2024-02-23 17:54:09 avagent Info <5928>: Registration of plugin 3019 vmwfilew successful.
2024-02-23 17:54:09 avagent Info <5928>: Registration of plugin 1016 vmimagel successful.
2024-02-23 17:54:09 avagent Info <5928>: Registration of plugin 3016 vmimagew successful.
2024-02-23 17:54:09 avagent Info <5928>: Registration of plugin 1001 Unix successful.
2024-02-23 17:54:09 avagent Info <5619>: Registration of client and plugins complete.

第三个选项是通过 ssh 连接到代理并运行初始化脚本：

/usr/local/avamarclient/etc/initproxyappliance.sh start

Data Domain 同步

在 Avamar 上更改会话安全设置或重新生成证书后，必须重新同步 Data Domain 或重新建立 SSL 连接。

以下知识库文章介绍了这种情况，并描述如何与 Data Domain 交换新证书。

000197106 | Avamar 和 Data Domain 集成：DD 在 Avamar AUI 和/或用户界面解决方案路径中显示为红色

我们强烈建议使用 Goav 工具执行 Avamar 和 Data Domain SSL 故障处理。

借助 Goav，可以自动诊断和解决 Data Domain 与 Avamar 的 SSL 连接，有关更多信息，请参阅以下知识库文章：

000215679 | Avamar：有关 Goav dd check-ssl 功能的信息

运行以下命令以自动修复 Avamar 和 Data Domain 证书：

./goav dd check-ssl --fix