Data Domain: Konfigurieren der sicheren Replikation zwischen Data Domain Restorern (DDRs) bei der Replikation über das öffentliche Internet
Summary: In diesem Artikel wird beschrieben, wie Sie eine sichere Replikation zwischen Data Domain Restorers (DDRs) bei der Replikation über das öffentliche Internet konfigurieren
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Data Domain Operating System (DDOS) Version 6.0.x (und höher) führt Änderungen ein, um eine sichere Replikation von Daten über das öffentliche Internet zu ermöglichen. Diese Funktion wurde entwickelt, um vor einem Man-in-the-Middle-Angriff (MITM) zu schützen, der unbefugten Zugriff auf Daten ermöglicht. Sie basiert auf sicherer Authentifizierung über SSL-Zertifikate (Secure Sockets Layer) auf Quell- und Ziel-DDRs (Data Domain Restorern).
Die Authentifizierung kann in einem von drei Modi konfiguriert werden:
Ab den ersten Versionen dieser Funktion kann sie nur über die Data Domain-Befehlszeilenshell (DDSH) und noch nicht über eine grafische Benutzeroberfläche (z. B. Data Domain System Manager/Management Center) konfiguriert werden.
Voraussetzungen:
# net ping [Hostname des Remote-DDR]
Stellen Sie gegenseitige Vertrauensbeziehung mit Remotesystem her:
# adminaccess trust add host [Hostname des Remotesystems] type mutual
Schritte zum Konfigurieren eines sicheren Replikationskontexts:
Beachten Sie, dass die sichere Replikation mit allen Replikationsprotokollen (d. h. Verzeichnis/MTree/Sammlung) unterstützt wird. Im folgenden Beispiel wird jedoch die MTree-Replikation verwendet. Wenn andere Replikationsprotokolle verwendet werden, müssen die Befehle nach Bedarf geändert werden.
Die Authentifizierung kann in einem von drei Modi konfiguriert werden:
- Anonym: Es wird keine Authentifizierung auf Verbindungen angewendet
- Einweg: Nur das Ziel-SSL-Zertifikat ist zertifiziert
- Wechselseitig: Sowohl Quell- als auch Ziel-SSL-Zertifikate sind zertifiziert
Ab den ersten Versionen dieser Funktion kann sie nur über die Data Domain-Befehlszeilenshell (DDSH) und noch nicht über eine grafische Benutzeroberfläche (z. B. Data Domain System Manager/Management Center) konfiguriert werden.
Voraussetzungen:
- Stellen Sie sicher, dass auf Quell- und Ziel-DDRs DDOS 6.0.x (oder höher) ausgeführt wird.
- Stellen Sie sicher, dass sowohl dem Quell- als auch dem Ziel-DDR eine Replikationslizenz hinzugefügt wurde
- Stellen Sie sicher, dass die erforderlichen Ports auf allen Firewalls zwischen Quell- und Ziel-DDR geöffnet wurden (weitere Informationen finden Sie im KB-Artikel 323297 Portanforderungen für den Zugriff auf das Data Domain-System durch eine Firewall)
- Stellen Sie sicher, dass die gegenseitige Vertrauensbeziehung zwischen Quell- und Ziel-DDR hergestellt wurde (beachten Sie, dass dafür Port 3009 zwischen DDRs geöffnet sein muss, wie im obigen Dokument beschrieben).
Melden Sie sich sowohl auf dem Quell- als auch auf dem Zielsystem bei der CLI an und stellen Sie sicher, dass Sie in beide Richtungen pingen können und dass die Vertrauensstellung in beide Richtungen hergestellt wird.
Vergewissern Sie sich, dass der Hostname des Remotesystems auflösbar/erreichbar ist:
# net ping [Hostname des Remote-DDR]
Stellen Sie gegenseitige Vertrauensbeziehung mit Remotesystem her:
# adminaccess trust add host [Hostname des Remotesystems] type mutual
- Starten Sie das Data Domain File System (DDFS) auf dem Quell- und Zielsystem neu (um sicherzustellen, dass die gegenseitige Vertrauensbeziehung vollständig hergestellt wird). Beachten Sie, dass dies zu einem kurzen Ausfall der Services auf jedem DDR führt:
# filesys restart
Hinweis: Sie können überprüfen, ob die Vertrauensstellungen vorhanden sind, indem Sie den folgenden Befehl auf der Quelle und dem Ziel ausführen. Wenn Sie sich auf der Data Domain-Quelle befinden, verwenden Sie den Zielhostnamen und umgekehrt, wenn Sie sich auf dem Zielsystem befinden.
# adminaccess trust show [Hostname]
Schritte zum Konfigurieren eines sicheren Replikationskontexts:
Beachten Sie, dass die sichere Replikation mit allen Replikationsprotokollen (d. h. Verzeichnis/MTree/Sammlung) unterstützt wird. Im folgenden Beispiel wird jedoch die MTree-Replikation verwendet. Wenn andere Replikationsprotokolle verwendet werden, müssen die Befehle nach Bedarf geändert werden.
- Erstellen Sie den neuen Replikationskontext (beachten Sie, dass dieser Befehl auf dem Quell- und Zielsystem ausgeführt werden muss):
# replication add source mtree://[Quell-DDR-Hostname]/data/col1/[Quell-MTree-Name] Ziel mtree://[Ziel-DDR-Hostname]/data/col1/[Ziel-MTree-Name] Verschlüsselung aktiviert Authentifizierungsmodus {anonymous | one-way | two-way}
- Initialisieren Sie den Replikationskontext auf dem Quellsystem:
# replication initialize mtree://[Ziel-DDR-Hostname]/data/col1/[Ziel-MTree-Name]
Affected Products
Cloud Disaster RecoveryProducts
Data Domain, Data Domain Replicator, DD OS 6.0Article Properties
Article Number: 000019129
Article Type: How To
Last Modified: 05 Sep 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.