Avamar- und Data Domain-Integration: DD wird in Avamar AUI und/oder Auflösungspfad der Benutzeroberfläche rot angezeigt

Szenario 1
Data Domain wird in der AUI und/oder der Benutzeroberfläche aufgrund von Zertifikatsproblemen rot angezeigt, was auch zu Backup- und/oder Replikationsfehlern führen kann.
 
Szenario 2
Data Domain wird in der AUI und/oder der Benutzeroberfläche aufgrund einer falschen SNMP-Konfiguration rot angezeigt.

Szenario 3
Data Domain wird in der AUI und/oder der Benutzeroberfläche aufgrund fehlender und/oder falscher ddr_key rot angezeigt.

Szenario 4
Abgelaufene Zertifikate

Szenario 5
Der Eingabeschlüssel "hfsaddr" wird mcserver.xml als IP anstelle des Hostnamens konfiguriert, während der Betreff von imported-ca der Avamar-Hostname ist.

Fehlkonfiguration von Zertifikat, SNMP oder öffentlichem Schlüssel

Data Domain wird in der AUI und/oder der Benutzeroberfläche aufgrund von Zertifikatsproblemen rot angezeigt, was auch zu Backup- und/oder Replikationsfehlern führen kann.

Automatisierung von Goav-Tools

Die detaillierten Szenarien in diesem Artikel können manuell befolgt werden, oder das Goav-Befehlszeilentool (CLI) kann verwendet werden, um Probleme automatisch zu erkennen und zu beheben.
Weitere Informationen zur Verwendung von Goav zur Behebung der im KB-Artikel 000215679, Avamar, beschriebenen Probleme finden Sie im Wissensdatenbank-Artikel: Informationen zur Goav dd check-ssl-Funktion 

Szenario 1
Das Verfahren für Szenario 1 ist nur relevant, wenn die Sitzungssicherheit aktiviert ist.

Überprüfen Sie, ob die Sitzungssicherheit als Root-Nutzer aktiviert ist:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

Die obige Ausgabe zeigt deaktivierte Sitzungssicherheit.
Alles andere als die oben gezeigte Ausgabe zeigt an, dass die Sitzungssicherheit aktiviert ist.
Beispiel:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Symptome:DDR-Ergebniscode:
5049, Beschreibung: Datei nicht gefunden
DDR-Ergebniscode: 5341, desc: SSL-Bibliotheksfehler "Host- oder CA-Zertifikat konnte nicht automatisch importiert werden"
DDR-Ergebniscode: 5008, Beschreibung: Ungültiges Argument

Ursache:
Alle diese Ergebniscodes beim fehlgeschlagenen Backup in Data Domain bei aktivierter Sitzungssicherheit beziehen sich auf Zertifikatprobleme.  

Lösung:
Hier sind die Schritte, mit denen Sie sicherstellen können, dass Zertifikatimporte automatisch und korrekt sind.  

Vergewissern Sie sich, dass auf Data Domain eine Systempassphrase festgelegt ist, bevor Sie mit der Prüfung der Zertifikate fortfahren. Navigieren Sie auf der Benutzeroberfläche von Data Domain Enterprise Manager zu Administration > Access Administrator Access > . Die Schaltfläche "CHANGE PASSPHRASE" zeigt an, dass die Systempassphrase festgelegt ist.



1. Überprüfen Sie auf Data Domain die aktuellen Zertifikate.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. Löschen Sie alle importierten Zertifikate für Avamar, bei denen Backupfehler auftreten, z. B.: fudge_av.com das ist das Avamar, das in der Ausgabe des Befehls "adminaccess certificate show" aufgeführt ist.

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. Löschen Sie das importierte Host-ddboost-Zertifikat.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. Überprüfen Sie die aktuellen Zertifikate nach dem Löschen.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. Überprüfen Sie mcserver.xml Parameter.
 
Für Avamar Version 19.3 und niedriger:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

Auf Avamar-Version 19.4:

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. Stellen Sie sicher, dass die manuelle Sicherheitsfunktion auf "false" eingestellt ist. Auf diese Weise können die Zertifikate automatisch in Data Domain importiert werden.
 
Wenn in Avamar 19.3 und niedriger der Wert auf "true" festgelegt ist, legen Sie ihn auf "false" fest und starten Sie MCS neu.

<entry key="ddr_security_feature_manual" value="false" />

In Avamar 19.4 und höher können Sie beide Flags auf false setzen und MCS neu starten.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. Starten Sie MCS neu.

mcserver.sh --stop
mcserver.sh --start

8. Starten Sie ddboost auf der Data Domain neu.

ddboost disable
ddboost enable

9. Öffnen Sie die Avamar -Benutzeroberfläche und/oder AUI und aktualisieren und/oder bearbeiten Sie das Data Domain-System.
Öffnen Sie den Data Doman-Server in Avamar Administrator.
Navigieren Sie in Avamar MCGUI zu Server Server Management Management, wählen Sie den DD-Server> aus, klicken Sie auf das Symbol Edit Data Domain System und klicken Sie im Anzeigefenster auf OK.
Eine. Klicken Sie in Avamar Administrator auf die Schaltfläche Server launcher. Das Fenster Server wird angezeigt.
B. Klicken Sie auf die Registerkarte Server Management .
C. Wählen Sie das zu bearbeitende Data Domain-System aus.
D. Wählen Sie Actions >Edit Data Domain System aus. Das Dialogfeld Edit Data Domain System wird angezeigt.
E. Klicken Sie auf OK.
Für die Data Domain-Konfiguration sind keine Änderungen erforderlich.
 
10. Nach Abschluss der Bearbeitung sollten die Zertifikate automatisch in Data Domain importiert werden.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. Denken Sie daran, den Backup-Planer auf Avamar bei Bedarf fortzusetzen.

dpnctl start sched

Szenario 2
Data Domain wird in der AUI und/oder der Benutzeroberfläche aufgrund einer falschen SNMP-Konfiguration rot angezeigt.
 
Symptome:In der Java-Benutzeroberfläche und/oder AUI wird DD auf dem Hauptbildschirm

rot angezeigt. Ursache:

Eine falsche DD-SNMP-Konfiguration kann auch dazu führen, dass die DD in der Benutzeroberfläche und AUI Rot oder 0 anzeigt. 
 
Lösung:
Überprüfen und/oder Korrigieren der DD SNMP-Konfiguration
 
Die einfachste Möglichkeit, DD SNMP Version 2 zu überprüfen und/oder zu korrigieren, ist die Verwendung der DD-Weboberfläche.

https://<data_domain_fqdn>

Navigieren Sie über die Schnittstelle zu Administration >Settings > SNMP SNMP >V2C Configuration.
 
1. Erstellen Sie eine schreibgeschützte Communityzeichenfolge oder verwenden Sie eine vorhandene.
 
2. Erstellen Sie einen Trap-Host, bei dem es sich um den Avamar-Hostnamen Port 163 handelt, und wählen Sie die Communityzeichenfolge aus, die Sie verwenden möchten.
 
3. Navigieren Sie zur Avamar-Java-Benutzeroberfläche oder AUI , bearbeiten Sie das Data Domain-System, wählen Sie die Registerkarte SNMP aus und aktualisieren Sie die SNMP-Communityzeichenfolge, die Sie für den Trap-Host konfiguriert haben.
 
4. Möglicherweise müssen Sie den Service "mcddrnsmp" auf Avamar als Root neu starten:

mcddrsnmp restart

Verwandte Lightning-Artikel in der Wissensdatenbank für die SNMP-Konfiguration: KB-Artikel 000063895, Data Domain:
Allgemeine SNMP-Konfiguration und Probleme, die dazu führen, dass Monitoringdienste in der integrierten Backupsoftware oder DPA

deaktiviert sindSzenario 3
Data Domain wird in der AUI und/oder der Benutzeroberfläche aufgrund fehlender und/oder falscher ddr_key rot angezeigt.
 
Wenn ein Avamar -System Backups auf einem Data Domain-System speichert, gibt der Avamar Management Console Server (MCS) Befehle über das SSH-Protokoll an das Data Domain-System aus. Dieses Protokoll bietet einen sicheren Kommunikationskanal für die Ausführung von Remotebefehlen. Um die Ausführung von Remotebefehlen mithilfe von SSH zu erlauben, stellen Data Domain-Systeme eine SSH-Schnittstelle namens DDSSH bereit. Die DDSSH-Schnittstelle erfordert die Authentifizierung des Avamar-Systems. Die Authentifizierung erfolgt durch die Erstellung privater und öffentlicher SSH-Schlüssel auf dem Avamar-System und die gemeinsame Nutzung des öffentlichen Schlüssels für das Data Domain-System.

1. Öffnen Sie auf Avamar eine Befehlsshell, melden Sie sich bei Avamar an und laden Sie die Schlüssel.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. Überprüfen Sie, ob sich die ddr_key und ddr_key.pub bereits im Ordner /home/admin/.ssh/ befinden:

ls -lh /home/admin/.ssh/ddr*

3. Öffnen Sie die ddr_key.pub mit cat und kopieren Sie den Inhalt. Es ist nützlich, sie später in Data Domain einzufügen.

cat /home/admin/.ssh/ddr_key.pub

4. Kopieren Sie den gesamten Inhalt der Datei, wenn sie später benötigt wird. Das sieht dann so aus:

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. Melden Sie sich beim Data Domain-System an, indem Sie Folgendes eingeben:

ssh <ddboost>@<DataDomainHostname>

6. Überprüfen Sie die SSH-Schlüssel

adminaccess show ssh-keys

7. Verwenden Sie den Data Domain-Befehl adminaccess add ssh-keys, um den Keystore auf dem Data Domain-System zu öffnen:

adminaccess add ssh-keys user <ddboost>

Dabei <ist "ddboost> " der Nutzername, der dem Avamar-System auf dem Data Domain-System zugewiesen ist. Das Dienstprogramm fordert Sie zur Eingabe des Schlüssels auf:

ddboost@datadomain# adminaccess add ssh-keys user ddboost

Geben Sie die Taste ein und drücken Sie dann Strg-D oder drücken Sie Ctrl-C, um den Vorgang abzubrechen.

8. Fügen Sie bei dieser Eingabeaufforderung

den öffentlichen SSH-Schlüssel des Avamar-Systems (ddr_key.pub) ein. 9. Schließen Sie die Eingabe des Schlüssels ab, indem Sie STRG+D drücken, um ihn zu speichern. Das Dienstprogramm fügt dem Keystore auf dem Data Domain-System den öffentlichen Schlüssel hinzu.

10. Melden Sie sich vom Data Domain-System ab.

exit

11. Laden Sie die DDR-Schlüssel zurück zu Avamar.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. Testen Sie, ob Sie sich ohne Angabe eines Kennworts beim Data Domain-System anmelden können, indem Sie Folgendes eingeben:

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

Szenario 4
Die Avamar-Server-/GSAN-Zertifikate sind abgelaufen, was dazu führt, dass Backups fehlschlagen.
Das DDBOOST-Zertifikat des importierten Data Domain-Hosts ist abgelaufen, wodurch Backups fehlschlagen.

Wenn die Avamar-Server-/GSAN-Zertifikate abgelaufen sind, müssen Sie ALLE Zertifikate mithilfe des Sitzungssicherheits-AVP neu erzeugen. Wir wählen ALLE Zertifikate aus, da der avamar_keystore neue Root-Schlüssel abrufen muss, um aus diesen Schlüsseln neue Server-/GSAN-Zertifikate zu erstellen.

Verwenden Sie den folgenden Wissensdatenbank-Artikel, um das Sitzungssicherheits-AVP herunterzuladen und zu installieren, um alle Zertifikate neu zu erzeugen.
Wissensdatenbank-Artikel 000067229 Avamar-IDPA: Backups oder Replikationen schlagen mit einem Zertifikatfehler fehl.

Nach dem erneuten Generieren der Zertifikate muss Data Domain den neuen importierten CA-ddboost (Avamar chain.pem) abrufen.

Szenario 5
Wenden Sie sich an den Dell Support, um Unterstützung zu erhalten, und geben Sie diese Artikel-ID an.