Intégration d’Avamar et de Data Domain : DD s’affiche en rouge dans l’AUI Avamar et/ou le chemin de résolution de l’interface utilisateur

Scénario 1
Data Domain s’affiche en rouge dans l’AUI et/ou l’interface utilisateur en raison de problèmes de certificat, ce qui peut également être à l’origine d’échecs de sauvegarde et/ou de réplication.
 
Scénario 2
Data Domain s’affiche en rouge dans l’AUI et/ou l’interface utilisateur en raison d’une configuration SNMP incorrecte.

Scénario 3
Data Domain s’affiche en rouge dans l’AUI et/ou l’interface utilisateur en raison d’un ddr_key manquant et/ou incorrect.

Scénario 4
Certificats

expirésScénario 5
Dans mcserver.xml, la clé d’entrée « hfsaddr » est configurée en tant qu’adresse IP au lieu de hostname, tandis que l’objet imported-ca est le nom d’hôte Avamar.

Mauvaise configuration du certificat, du SNMP ou de la clé publique

Data Domain s’affiche en rouge dans l’AUI et/ou l’interface utilisateur en raison de problèmes de certificat, ce qui peut également être à l’origine d’échecs de sauvegarde et/ou de réplication.

Automatisation de l’outil Goav

Les scénarios détaillés de cet article peuvent être suivis manuellement, ou l’outil de ligne de commande Goav (CLI) peut être utilisé pour détecter automatiquement les problèmes et les résoudre.
Consultez l’article de la base de connaissances pour plus d’informations sur l’utilisation de Goav pour résoudre les problèmes décrits dans l’article 000215679 de la base de connaissances, Avamar : Informations sur la fonctionnalité

goav dd check-sslScénario 1
La procédure du scénario 1 n’est pertinente que lorsque la sécurité de session est activée.

Vérifiez si la sécurité de la session est activée en tant qu’utilisateur root : 

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

La sortie ci-dessus indique que la sécurité de session est désactivée.
Tout résultat autre que la sortie ci-dessus indique que la sécurité de session est activée.
Exemple:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Symptômes :DDR result code :
5049, desc : Fichier introuvable
Code de résultat DDR : 5341, desc: SSL library error « failed to import host or ca certificate automatically"DDR
result code : 5008, desc : Cause de l’argument non valide : tous ces codes de résultat en cas d’échec

de
sauvegarde sur Data Domain lorsque la sécurité de session est activée sont liés à des problèmes de certificat.  

Résolution :
voici les étapes à suivre pour vous assurer que les importations de certificats sont automatiques et correctes.  

Vérifiez qu’une phrase secrète système est définie sur Data Domain avant de poursuivre la vérification des certificats. Dans l’interface utilisateur de Data Domain Enterprise Manager, accédez à Administration > Access Administrator Access > . Le bouton « CHANGE PASSPHRASE » indique que la phrase secrète du système est définie.



1. Sur Data Domain, vérifiez les certificats actuels.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. Supprimez tous les certificats importés pour Avamar qui rencontre des échecs de sauvegarde, par exemple : fudge_av.com lequel est l’Avamar répertorié dans la sortie de la commande « adminaccess certificate show ».

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. Supprimez le certificat ddboost de l’hôte importé.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. Vérifiez les certificats actuels après la suppression.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. Vérifiez mcserver.xml paramètres.
 
Sur Avamar 19.3 et versions antérieures :

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

Sur Avamar 19.4 :

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. Assurez-vous que la fonction de sécurité manuelle est définie sur false. Cela permet aux certificats d’être automatiquement importés dans le système Data Domain.
 
Sur Avamar 19.3 et versions antérieures, si ce paramètre est défini sur true, définissez-le sur false et redémarrez MCS.

<entry key="ddr_security_feature_manual" value="false" />

Sur Avamar 19.4 et versions ultérieures, vous pouvez définir les deux balises sur false et redémarrer MCS.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. Redémarrez MCS.

mcserver.sh --stop
mcserver.sh --start

8. Sur Data Domain, redémarrez ddboost.

ddboost disable
ddboost enable

9. Ouvrez l’interface utilisateur Avamar et/ou l’AUI, puis mettez à jour et/ou modifiez le système Data Domain.
Ouvrez le serveur Data Doman dans Avamar Administrator.
Dans Avamar MCGUI, accédez à Server >Server Management, sélectionnez le serveur DD , cliquez sur l’icône Edit Data Domain System , puis cliquez sur OK dans la fenêtre d’affichage.
Un. Dans Avamar Administrator, cliquez sur le bouton Server launcher. La fenêtre Server s’affiche.
B. Cliquez sur l’onglet Server Management .
C. Sélectionnez le système Data Domain à modifier.
D. Sélectionnez Actions >Edit Data Domain System. La boîte de dialogue Edit Data Domain System s’affiche.
E. Cliquez sur OK.
Aucune modification n’est requise pour la configuration de Data Domain.
 
10. Une fois la modification terminée, les certificats doivent être automatiquement importés dans Data Domain.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. N’oubliez pas de reprendre l’ordonnanceur de sauvegarde sur Avamar si nécessaire.

dpnctl start sched

Scénario 2
Data Domain s’affiche en rouge dans l’AUI et/ou l’interface utilisateur en raison d’une configuration SNMP incorrecte.
 
Symptômes :
Dans l’interface utilisateur Java et/ou AUI, DD s’affiche en rouge sur l’écran
 
principal Cause :
Une configuration DD SNMP incorrecte peut également entraîner l’affichage de DD en rouge ou de 0 dans l’interface utilisateur et/ou l’AUI.
 
Résolution :
vérification et/ou correction de la configuration
 
SNMP DD Le moyen le plus simple de vérifier et/ou de corriger DD SNMP version 2 est d’utiliser l’interface Web DD.

https://<data_domain_fqdn>

Accédez à l’interface Administration >Settings > SNMP SNMP >V2C Configuration.
 
1. Créez une chaîne de communauté en lecture seule ou utilisez une chaîne existante.
 
2. Créez un hôte de trap correspondant au nom d’hôte Avamar, port 163, puis sélectionnez la chaîne de communauté que vous souhaitez utiliser.
 
3. Accédez à l’interface utilisateur Java d’Avamar ou à l’AUI , modifiez le système Data Domain, sélectionnez l’onglet SNMP et mettez à jour la chaîne de communauté SNMP que vous avez configurée pour votre hôte trap.
 
4. Vous devrez peut-être redémarrer le service « mcddrnsmp » sur Avamar, en tant qu’utilisateur root :

mcddrsnmp restart

Articles connexes de la base de connaissances Lightning pour la configuration SNMP : article 000063895 de la base de connaissances, Data Domain :
Configuration SNMP commune et problèmes entraînant la désactivation des services de surveillance dans le logiciel de sauvegarde intégré ou DPA

Scénario 3
Data Domain s’affiche en rouge dans l’AUI et/ou l’interface utilisateur en raison d’un ddr_key manquant et/ou incorrect.
 
Lorsqu’un système Avamar stocke des sauvegardes sur un système Data Domain, le serveur MCS (Avamar Management Console Server) envoie des commandes au système Data Domain à l’aide du protocole SSH. Ce protocole fournit un canal de communication sécurisé pour l'exécution de commandes à distance. Pour permettre l'exécution de commandes à distance via SSH, les systèmes Data Domain fournissent une interface SSH appelée DDSSH. L'interface DDSSH nécessite l'authentification du système Avamar. L’authentification s’effectue en créant des clés publiques et privées SSH sur le système Avamar et en partageant la clé publique avec le système Data Domain.

1. Sous Avamar, ouvrez un shell de commande, connectez-vous à Avamar et chargez les clés.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. Vérifiez que les fichiers ddr_key et ddr_key.pub se trouvent déjà dans le dossier /home/admin/.ssh/ :

ls -lh /home/admin/.ssh/ddr*

3. Ouvrez le ddr_key.pub avec cat et copiez son contenu. Il est utile de coller sur Data Domain ultérieurement.

cat /home/admin/.ssh/ddr_key.pub

4. Copiez l’intégralité du contenu du fichier si nécessaire ultérieurement. Il ressemble à ceci :

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. Connectez-vous au système Data Domain en saisissant :

ssh <ddboost>@<DataDomainHostname>

6. Vérifiez les ssh-keys

adminaccess show ssh-keys

7. Utilisez la commande Data Domain adminaccess add ssh-keys pour ouvrir le magasin de clés sur le système Data Domain :

adminaccess add ssh-keys user <ddboost>

Où <ddboost> est le nom d’utilisateur attribué au système Avamar sur le système Data Domain. L’utilitaire vous invite à saisir la clé :

ddboost@datadomain# adminaccess add ssh-keys user ddboost

Saisissez la touche, puis appuyez sur Ctrl-D, ou appuyez sur Control-C pour annuler.

8. Collez la clé publique SSH du système Avamar (ddr_key.pub) à l’invite

9. Saisissez la touche en appuyant sur Ctrl+D pour l’enregistrer. L’utilitaire ajoute la clé publique au magasin de clés sur le système Data Domain.

10. Déconnectez-vous du système Data Domain.

exit

11. Revenez dans Avamar, chargez les clés DDR.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. Vérifiez que vous pouvez vous connecter au système Data Domain sans fournir de mot de passe en saisissant :

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

Scénario 4
Les certificats Avamar Server/gsan ont expiré, ce qui entraîne l’échec des sauvegardes.
Le certificat ddboost de l’hôte importé Data Domain a expiré, ce qui entraîne l’échec des sauvegardes.

Si les certificats Avamar Server/gsan ont expiré, vous devez régénérer TOUS les certificats à l’aide de l’AVP de sécurité de session. Nous sélectionnons TOUS les certificats, car le avamar_keystore doit obtenir de nouvelles clés racine afin de créer de nouveaux certificats de serveur/gsan à partir de ces clés.

Utilisez l’article de la base de connaissances suivant pour télécharger et installer l’avp de sécurité de session afin de régénérer tous les certificats.
Article de la base de connaissances 000067229 Avamar-IDPA : Les sauvegardes ou les réplications échouent avec une erreur de certificat.

Après avoir régénéré les certificats, le Data Domain doit obtenir le nouveau imported-ca ddboost (Avamar chain.pem).

Scénario 5
Contactez le support Dell pour obtenir de l’aide en mentionnant l’ID de cet article.