AvamarとData Domainの統合: DDがAvamar AUIまたはユーザー インターフェイスの解決パスで赤色を表示する

証明書の問題により、Data DomainがAUIまたはユーザー インターフェイスで赤色で表示されます。これもバックアップやレプリケーションの失敗の原因になっている可能性があります。

Goavツールの自動化

この記事の詳細なシナリオは、手動で従うか、Goavコマンド ライン(CLI)ツールを使用して問題を自動的に検出して解決することができます。
Goavを使用して問題を解決する方法の詳細については、KB記事000215679「Avamar: Goav dd check-ssl機能

に関する情報シナリオ 1
シナリオ 1 の手順は、セッション セキュリティが有効な場合にのみ関係します。

セッション セキュリティがrootユーザーとして有効になっているかどうかを確認します。 

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

上記の出力は、セッション セキュリティが無効になっていることを示しています。
上記の出力以外の場合は、セッション セキュリティが有効になっていることを示します。
例：

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

症状:DDR結果コード:
5049、説明: ファイルが見つかりません
DDRの結果コード: 5341, desc: SSLライブラリー エラー「ホストまたはCA証明書を自動的にインポートできませんでした」
DDR結果コード: 5008、説明: 無効な引数

原因:
セッション セキュリティが有効になっている場合にData Domainへのバックアップに失敗した場合に表示されるこれらの結果コードはすべて、証明書の問題に関連しています。  

解決策:
証明書のインポートが自動的かつ正しく行われるようにするための手順を次に示します。  

証明書の確認に進む前に、Data Domainにシステム パスフレーズが設定されていることを確認してください。Data Domain Enterprise Manager User Interfaceで、Administration > AccessAdministrator Access > に移動します。[CHANGE PASSPHRASE]というラベルの付いたボタンは、システム パスフレーズが設定されていることを示します。



1.Data Domainで、現在の証明書を確認します。

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2.バックアップに失敗したAvamarのインポート済み証明書をすべて削除します。例fudge_av.com、これはコマンド「adminaccess certificate show」の出力にリストされているAvamarです。

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3.インポートされたホストddboost証明書を削除します。

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4.削除後の現在の証明書を確認します。

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5.mcserver.xmlパラメータを確認してください。

Avamarバージョン19.3以前:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

Avamarバージョン19.4の場合：

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6.手動セキュリティ機能が false に設定されていることを確認します。これにより、証明書をData Domainに自動的にインポートできます。

Avamar 19.3以前では、trueに設定されている場合はfalseに設定してMCSを再起動します。

<entry key="ddr_security_feature_manual" value="false" />

Avamar 19.4以降では、両方のフラグをfalseに設定してMCSを再起動できます。

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7.MCSを再起動します。

mcserver.sh --stop
mcserver.sh --start

8.Data Domainで、ddboostを再起動します。

ddboost disable
ddboost enable

9.Avamarユーザー インターフェイスまたはAUIを開き、Data Domainシステムを更新または編集します。
Avamar AdministratorでData Domanサーバーを開きます。
Avamar MCGUIで、サーバー サーバー管理に移動し、DDサーバー>を選択し、Data Domainシステムの編集アイコンをクリックして、表示ウィンドウでOKをクリックします。
A。Avamar Administratorで、サーバー起動ボタンをクリックします。[サーバー]ウィンドウが表示されます。
B。[Server Management]タブをクリックします。
C。編集する Data Domainシステム を選択します。
D。アクションData >Domainシステムの編集を選択します。Data Domainシステムの編集ダイアログ ボックスが表示されます。
E。[ OK] をクリックします。
Data Domainの構成を変更する必要はありません。

10.編集が完了すると、証明書がData Domainに自動的にインポートされます。

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11.必要に応じて、Avamarでバックアップ スケジューラーを再開してください。

dpnctl start sched

シナリオ 2
SNMP設定が正しくないため、Data DomainがAUIまたはユーザー インターフェイスで赤色で表示されます。

症状:
Javaユーザー インターフェイスおよび/またはAUIで、DDがメイン画面
 
に赤色で表示される原因:
DD SNMP Configが正しくないと、DDのユーザー インターフェイスまたはAUIに赤色または0sが表示される可能性もあります。

解決方法:
DD SNMP構成
 
の確認と修正DD SNMPバージョン2を確認または修正する最も簡単な方法は、DD Webインターフェイスを使用することです。

https://<data_domain_fqdn>

インターフェイスでAdministration >SettingsSNMP >>SNMP V2C Configurationの順に移動します。 
 
1.読み取り専用のコミュニティー文字列を作成するか、既存のものを使用します。

2.Avamarホスト名、ポート163のトラップ ホストを作成し、使用するコミュニティー文字列を選択します。

3. Avamar Javaユーザー インターフェイスまたはAUIに移動し、Data Domainシステムを編集してSNMPタブを選択し、トラップ ホスト用に構成したSNMPコミュニティー文字列を更新します。

4.Avamarで「mcddrnsmp」サービスをrootとして再起動する必要がある場合があります。

mcddrsnmp restart

SNMP設定に関連するLightningナレッジベース記事:KB記事000063895、Data Domain:
一般的なSNMP設定と、統合バックアップ ソフトウェアまたはDPA

で無効化された監視サービスを引き起こす問題シナリオ 3
ddr_keyが見つからないか、正しくないため、AUIまたはユーザー インターフェイスでData Domainが赤色で表示される。

AvamarシステムがData Domainシステムにバックアップを保存すると、Avamar管理コンソール サーバー(MCS)はSSHプロトコルを使用してData Domainシステムにコマンドを発行します。このプロトコルは、リモート コマンド実行のための安全な通信チャネルを提供します。SSHを使用したリモート コマンドの実行を許可するために、Data DomainシステムはDDSSHという名前のSSHインターフェイスを提供します。DDSSHインターフェイスでは、Avamarシステムの認証が必要です。認証は、AvamarシステムでSSHプライベート キーと公開キーを作成し、その公開キーをData Domainシステムと共有することによって行われます。

1.Avamarでコマンド シェルを開き、Avamarにログインしてキーをロードします。

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2.ddr_keyとddr_key.pubがすでに/home/admin/.ssh/フォルダーにあることを確認します。

ls -lh /home/admin/.ssh/ddr*

3.cat で ddr_key.pub を開き、その内容をコピーします。後でData Domainに貼り付けると便利です。

cat /home/admin/.ssh/ddr_key.pub

4.後で必要になるため、ファイルの内容全体をコピーします。次のようになります。

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5.次のように入力して、Data Domainシステムにログインします。

ssh <ddboost>@<DataDomainHostname>

6.sshキーを確認します

adminaccess show ssh-keys

7.Data Domainコマンドadminaccess add ssh-keysを使用して、Data Domainシステムでキーストアを開きます。

adminaccess add ssh-keys user <ddboost>

ここで <、ddboost> はData Domainシステム上のAvamarシステムに割り当てられたユーザー名です。ユーティリティにより、次のキーの入力を求めるプロンプトが表示されます。

ddboost@datadomain# adminaccess add ssh-keys user ddboost

キーを入力してからControl-Dを押すか、Control-Cを押してキャンセルします。

8.このプロンプト

にAvamarシステム(ddr_key.pub)のSSH公開キーを貼り付けます。9.Ctrl+Dを押してキーの入力を完了し、保存します。このユーティリティは、Data Domainシステム上のキーストアに公開キーを追加します。

10.Data Domainシステムからログアウトします。

exit

11.Avamarに戻り、DDRキーをロードします。

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12.次のように入力して、パスワードを入力せずにData Domainシステムにログインできることをテストします。

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

シナリオ 4
Avamar Server/GSAN証明書の有効期限が切れているため、バックアップが失敗します。
Data Domainインポート ホストddboost証明書の有効期限が切れているため、バックアップが失敗します。

Avamar Server/GSAN証明書の有効期限が切れている場合は、セッション セキュリティAVPを使用してすべての証明書を再生成する必要があります。[ALL certificates]を選択するのは、これらのキーから新しいサーバー/GSAN証明書を作成するために、avamar_keystoreが新しいルート キーを取得する必要があるためです。

次のKB記事を使用して、セッション セキュリティavpをダウンロードしてインストールし、すべての証明書を再生成します。
Avamar-IDPA 000067229 KB記事: バックアップまたはレプリケーションが証明書エラーで失敗します。

証明書を再生成した後、Data Domainは新しいimported-ca ddboost (Avamar chain.pem)を取得する必要があります。

シナリオ5
Dellサポートに問い合わせて、この記事IDを伝えてください。