Avamar- och Data Domain-integrering: DD visar rött i Avamar AUI och/eller användargränssnittets upplösningssökväg

Scenario 1
Data Domain visas rött i AUI och/eller användargränssnittet på grund av certifikatproblem, vilket också kan orsaka säkerhetskopierings- och/eller replikeringsfel.
 
Scenario 2
Data Domain visas rött i AUI och/eller användargränssnittet på grund av felaktig SNMP-konfiguration.

Scenario 3
Data Domain visas rött i AUI och/eller användargränssnittet på grund av att ddr_key saknas och/eller är felaktig.

Scenario 4
Certifikat

som har upphört att gällaScenario 5
Startnyckeln "hfsaddr" i mcserver.xml är konfigurerad som ip i stället för värdnamn, medan ämnet för imported-ca är Avamar-värdnamn.

Felaktig konfiguration av certifikat, SNMP eller offentlig nyckel

Data Domain visas rött i AUI och/eller användargränssnittet på grund av certifikatproblem, vilket också kan orsaka säkerhetskopierings- och/eller replikeringsfel.

Automatisering av Goav-verktyg

De detaljerade scenarierna i den här artikeln kan följas manuellt, eller så kan Goav-kommandoradsverktyget (CLI) användas för att automatiskt identifiera problem och lösa dem.
Mer information om hur du använder Goav för att lösa problemen som beskrivs i KB-artikeln 000215679, Avamar finns i kunskapsbasartikeln: Information om Goav dd check-ssl-funktion 

Scenario 1
Proceduren för scenario 1 är endast relevant när sessionssäkerhet är aktiverat.

Kontrollera om sessionssäkerhet är aktiverat som rotanvändare:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Utdata ovan visar sessionssäkerhet inaktiverat.
Allt annat än de utdata som visas ovan indikerar att sessionssäkerhet är aktiverat.
Exempel:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Symptom:DDR-resultatkod:
5049, beskrivet: Filen hittades
inte DDR-resultatkod: 5341, desc: SSL-biblioteksfel "kunde inte importera värd- eller CA-certifikat automatiskt"
DDR-resultatkod: 5008, beskrivs: Ogiltigt argument

Orsak:
Alla dessa resultatkoder vid underlåtenhet att säkerhetskopiera till Data Domain när sessionssäkerhet är aktiverat gäller certifikatproblem.  

Lösning:
Här är stegen för att säkerställa att certifikatimporten är automatisk och korrekt.  

Kontrollera att det finns en systemlösenfras angiven på Data Domain innan du fortsätter med att kontrollera certifikaten. I användargränssnittet för Data Domain Enterprise Manager går du till administratörsåtkomst för administrationsåtkomst >> . Knappen märkt "ÄNDRA LÖSENFRAS" visar att systemlösenfrasen är inställd.



1. Kontrollera de aktuella certifikaten på Data Domain.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. Ta bort alla importerade certifikat för Avamar som har säkerhetskopieringsfel, till exempel: fudge_av.com som är den Avamar som anges i utdata från kommandot "adminaccess certificate show".

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. Ta bort ddboost-certifikatet för den importerade värden.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. Kontrollera aktuella certifikat efter borttagningen.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. Kontrollera mcserver.xml parametrarna.
 
På Avamar version 19.3 och tidigare:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

På Avamar version 19.4:

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. Kontrollera att den manuella säkerhetsfunktionen är inställd på false. Detta gör att certifikaten automatiskt kan importeras till Data Domain.
 
Om den är inställd på true i Avamar 19.3 och tidigare ställer du in den på false och startar om MCS.

<entry key="ddr_security_feature_manual" value="false" />

I Avamar 19.4 och senare kan du ställa in båda flaggorna på false och starta om MCS.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. Starta om MCS.

mcserver.sh --stop
mcserver.sh --start

8. På Data Domain startar du om ddboost.

ddboost disable
ddboost enable

9. Öppna Avamar-användargränssnittet och/eller AUI och uppdatera och/eller redigera Data Domain-systemet.
Öppna Data Doman-servern i Avamar Administrator.
I Avamar MCGUI går du till Server Server Management (Server Server >Management), väljer DD-server, klickar på ikonen Edit Data Domain System och klickar på OK i displayfönstret.
A. I Avamar Administrator klickar du på Server Launcher-knappen. Fönstret Server visas.
B. Klicka på fliken Serverhantering .
C. Välj det Data Domain-system som ska redigeras.
D. Välj Åtgärder >Redigera Data Domain-systemet. Dialogrutan Edit Data Domain System visas.
E. Klicka på OK.
Inga ändringar krävs för Data Domain-konfigurationen.
 
10. När redigeringen är klar ska certifikaten automatiskt importeras till Data Domain.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. Kom ihåg att återuppta schemaläggaren för säkerhetskopiering i Avamar om det behövs.

dpnctl start sched

Scenario 2
Data Domain visas rött i AUI och/eller användargränssnittet på grund av felaktig SNMP-konfiguration.
 
Symptom:I java-användargränssnittet och/eller AUI, DD visar rött på huvudskärmen

Orsak:

Felaktig DD SNMP-konfiguration kan också göra att DD visar rött eller 0s i användargränssnittet och/eller AUI. 
 
Lösning:
Verifiera och/eller korrigera DD SNMP-konfiguration
 
Det enklaste sättet att verifiera och/eller korrigera DD SNMP version 2 är att använda DD-webbgränssnittet.

https://<data_domain_fqdn>

Navigera i gränssnittet till Administrationsinställningar >>SNMP>SNMP V2C-konfiguration. 
 
1. Skapa en skrivskyddad communitysträng eller använd en befintlig.
 
2. Skapa en trap-värd som är Avamar-värdnamnet, port 163, och välj den communitysträng som du vill använda.
 
3. Gå till Avamar Java-användargränssnittet eller AUI och redigera Data Domain-systemet, välj fliken SNMP och uppdatera SNMP-communitysträngen som du konfigurerade för trap-värden.
 
4. Du kan behöva starta om tjänsten "mcddrnsmp" på Avamar som rot:

mcddrsnmp restart

Relaterade Lightning Knowledge Based artiklar för SNMP-konfiguration:KB-artikel 000063895, Data Domain:
Vanlig SNMP-konfiguration och problem som gör att övervakningstjänster inaktiveras i integrerat säkerhetskopieringsprogram eller DPA

Scenario 3
Data Domain visas rött i AUI och/eller användargränssnittet på grund av att ddr_key saknas och/eller är felaktig.
 
När ett Avamar-system lagrar säkerhetskopior på ett Data Domain-system utfärdar Avamar Management Console Server (MCS) kommandon till Data Domain-systemet med hjälp av SSH-protokollet. Det här protokollet tillhandahåller en säker kommunikationskanal för fjärrkörning av kommandon. För att tillåta fjärrkörning av kommandon med SSH tillhandahåller Data Domain-system ett SSH-gränssnitt med namnet DDSSH. DDSSH-gränssnittet kräver autentisering av Avamar-systemet. Autentisering uppnås genom att skapa privata och offentliga SSH-nycklar på Avamar-systemet och dela den offentliga nyckeln med Data Domain-systemet.

1. Öppna ett kommandogränssnitt i Avamar, logga in på Avamar och läs in nycklarna.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. Kontrollera att ddr_key och ddr_key.pub redan finns i mappen /home/admin/.ssh/:

ls -lh /home/admin/.ssh/ddr*

3. Öppna ddr_key.pub med cat och kopiera dess innehåll. Det är användbart att klistra in på Data Domain senare.

cat /home/admin/.ssh/ddr_key.pub

4. Kopiera hela innehållet i filen s det behövs senare. Det ser ut så här:

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. Logga in på Data Domain-systemet genom att skriva:

ssh <ddboost>@<DataDomainHostname>

6. Kontrollera ssh-tangenterna

adminaccess show ssh-keys

7. Använd Data Domain-kommandot adminaccess add ssh-keys för att öppna nyckelbehållaren i Data Domain-systemet:

adminaccess add ssh-keys user <ddboost>

ddboost <> är användarnamnet som tilldelats Avamar-systemet i Data Domain-systemet. Verktyget frågar efter nyckeln:

ddboost@datadomain# adminaccess add ssh-keys user ddboost

Ange tangenten och tryck sedan på kontroll-D eller tryck på kontroll-C för att avbryta.

8. Klistra in den offentliga SSH-nyckeln för Avamar-systemet (ddr_key.pub) vid denna uppmaning

9. Slutför inmatningen av tangenten genom att trycka på Ctrl+D för att spara den. Verktyget lägger till den offentliga nyckeln i nyckelbehållaren i Data Domain-systemet.

10. Logga ut från Data Domain-systemet.

exit

11. Tillbaka till Avamar och läs in ddr-nycklarna.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. Testa att du kan logga in på Data Domain-systemet utan att ange ett lösenord genom att skriva:

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

Scenario 4
Avamar-servern/gsan-certifikaten har upphört att gälla, vilket gör att säkerhetskopieringar misslyckas.
DDBOOST-certifikatet för den importerade datadomänen har upphört att gälla, vilket gör att säkerhetskopieringar misslyckas.

Om Avamar-servern/gsan-certifikaten har gått ut måste du återskapa ALLA certifikat med hjälp av AVP för sessionssäkerhet. Vi väljer ALLA certifikat eftersom avamar_keystore måste hämta nya rotnycklar för att kunna skapa nya server/gsan-certifikat från dessa nycklar.

Använd följande KB-artikel för att ladda ned och installera AVP för sessionssäkerhet för att återskapa alla certifikat.
KB-artikel 000067229 Avamar-IDPA: Säkerhetskopieringar eller replikeringar misslyckas med certifikatfel.

När certifikaten har återskapats måste Data Domain hämta den nya imported-ca ddboost (Avamar chain.pem).

Scenario 5
Kontakta Dells support för att få hjälp och nämn detta artikel-ID.