Avamar 및 Data Domain 통합: Avamar AUI 및/또는 사용자 인터페이스에서 DD가 빨간색으로 표시됨 해결 경로

인증서 문제로 인해 AUI 및/또는 사용자 인터페이스에서 Data Domain이 빨간색으로 표시되며, 이로 인해 백업 및/또는 복제 오류가 발생할 수도 있습니다.

Goav 툴 자동화

이 문서의 자세한 시나리오를 수동으로 따르거나 Goav CLI(명령줄) 도구를 사용하여 문제를 자동으로 감지하고 해결할 수 있습니다.
Goav를 사용하여 KB 문서 000215679, Avamar: Goav dd check-ssl 기능에

대한 정보시나리오 1
시나리오 1의 절차는 세션 보안이 활성화된 경우에만 관련이 있습니다.

세션 보안이 루트 사용자로 활성화되어 있는지 확인합니다. 

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

위의 출력은 세션 보안이 비활성화되어 있음을 보여줍니다.
위에 표시된 출력 이외의 출력은 세션 보안이 활성화되었음을 나타냅니다.
예제:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

증상: DDR 결과 코드:
5049, desc: 파일을 찾을 수
없음 DDR 결과 코드: 5341, desc: SSL 라이브러리 오류 "호스트 또는 ca 인증서를 자동으로 가져오지 못했습니다."
DDR 결과 코드: 5008, desc: 인수

가 잘못되었습니다. 원인:
세션 보안이 활성화된 경우 Data Domain에 백업하지 못할 경우 이러한 모든 결과 코드는 인증서 문제와 관련이 있습니다.  

해결 방법:
다음은 인증서 가져오기가 자동으로 올바른지 확인하는 단계입니다.  

인증서 확인을 진행하기 전에 Data Domain에 시스템 비밀번호 문구가 설정되어 있는지 확인합니다. Data Domain Enterprise Manager 사용자 인터페이스에서 관리 > 액세스관리자 액세스 > 로 이동합니다. "CHANGE PASSPHRASE" 버튼은 시스템 암호가 설정되었음을 나타냅니다.



1. Data Domain에서 현재 인증서를 확인합니다.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. 예를 들어 "adminaccess certificate show" 명령의 출력에 나열된 Avamar에 해당하는 fudge_av.com 백업이 실패한 Avamar에 대해 가져온 인증서를 삭제합니다.

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. 가져온 호스트 ddboost 인증서를 삭제합니다.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. 삭제 후 현재 인증서를 확인합니다.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. mcserver.xml 매개 변수를 확인하십시오.
 
Avamar 버전 19.3 이하:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

Avamar 버전 19.4:

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. 수동 보안 기능이 false로 설정되어 있는지 확인합니다. 이렇게 하면 인증서를 Data Domain으로 자동으로 가져올 수 있습니다.
 
Avamar 19.3 이하에서 true로 설정된 경우 false로 설정하고 MCS를 재시작합니다.

<entry key="ddr_security_feature_manual" value="false" />

Avamar 19.4 이상에서는 두 플래그를 모두 false로 설정하고 MCS를 재시작할 수 있습니다.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. MCS를 재시작합니다.

mcserver.sh --stop
mcserver.sh --start

8. Data Domain에서 ddboost를 재시작합니다.

ddboost disable
ddboost enable

9. Avamar 사용자 인터페이스 및/또는 AUI를 열고 Data Domain 시스템을 업데이트 및/또는 편집합니다.
Avamar Administrator에서 Data Doman 서버를 엽니다.
Avamar MCGUI에서 ServerServer >Management로 이동하고 DD 서버를 선택한 다음Edit Data Domain System 아이콘을 클릭하고 디스플레이 창에서 OK 를 클릭합니다.
a. Avamar Administrator에서 Server launcher 버튼을 클릭합니다. Server 창이 나타납니다.
B. Server Management 탭을 클릭합니다.
C. 편집할 Data Domain 시스템을 선택합니다.
D. ActionsEdit Data >Domain System을 선택합니다. Edit Data Domain System 대화 상자가 나타납니다.
전자. 확인을 클릭합니다.
Data Domain 구성을 변경할 필요가 없습니다.
 
10. 편집이 완료되면 자동으로 인증서를 Data Domain으로 가져와야 합니다.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. 필요한 경우 Avamar에서 백업 스케줄러를 재개해야 합니다.

dpnctl start sched

시나리오 2
잘못된 SNMP 구성으로 인해 Data Domain이 AUI 및/또는 사용자 인터페이스에 빨간색으로 표시됩니다.
 
증상:
Java 사용자 인터페이스 및/또는 AUI에서 기본 화면에
 
DD가 빨간색으로 표시됨 원인:
잘못된 DD SNMP 구성으로 인해 DD가 사용자 인터페이스 및/또는 AUI에 빨간색 또는 0을 표시할 수도 있습니다.
 
해결 방법:
DD SNMP 구성
 
확인 및/또는 수정 DD SNMP 버전 2를 확인 및/또는 수정하는 가장 쉬운 방법은 DD 웹 인터페이스를 사용하는 것입니다.

https://<data_domain_fqdn>

Administration SettingsSNMP>>SNMP V2C Configuration으로 > 인터페이스를 이동합니다. 
 
1. 읽기 전용 커뮤니티 문자열을 생성하거나 기존 커뮤니티 문자열을 사용합니다.
 
2. Avamar 호스트 이름, 포트 163인 트랩 호스트를 생성하고 사용할 커뮤니티 문자열을 선택합니다.
 
3. Avamar Java 사용자 인터페이스 또는 AUI로 이동하여 Data Domain 시스템을 편집하고 SNMP 탭을 선택한 다음 트랩 호스트에 대해 구성한 SNMP 커뮤니티 문자열을 업데이트합니다.
 
4. Avamar에서 루트로 "mcddrnsmp" 서비스를 재시작해야 할 수 있습니다.

mcddrsnmp restart

SNMP 구성에 대한 관련 Lightning 기술 자료 문서:KB 문서 000063895, Data Domain:
통합 백업 소프트웨어 또는 DPA

에서 모니터링 서비스가 비활성화되는 일반적인 SNMP 구성 및 문제시나리오 3
누락 및/또는 잘못된 ddr_key으로 인해 Data Domain이 AUI 및/또는 사용자 인터페이스에서 빨간색으로 표시됩니다.
 
Avamar 시스템이 Data Domain 시스템에 백업을 저장하는 경우 Avamar MCS(Management Console Server)는 SSH 프로토콜을 사용하여 Data Domain 시스템에 명령을 실행합니다. 이 프로토콜은 원격 명령 실행을 위한 보안 통신 채널을 제공합니다. SSH를 사용하여 원격 명령을 실행할 수 있도록 Data Domain 시스템은 DDSSH라는 SSH 인터페이스를 제공합니다. DDSSH 인터페이스에는 Avamar 시스템 인증이 필요합니다. 인증은 Avamar 시스템에서 SSH 개인 키와 공개 키를 생성하고 이 공개 키를 Data Domain 시스템과 공유하여 수행됩니다.

1. Avamar에서 명령 셸을 열고 Avamar에 로그인한 다음 키를 로드합니다.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. ddr_key 및 ddr_key.pub가 이미 /home/admin/.ssh/ 폴더에 있는지 확인합니다.

ls -lh /home/admin/.ssh/ddr*

3. cat과 함께 ddr_key.pub를 열고 내용을 복사합니다. 나중에 Data Domain에 붙여넣는 것이 유용합니다.

cat /home/admin/.ssh/ddr_key.pub

4. 나중에 필요한 파일의 전체 내용을 복사합니다. 다음과 같이 보입니다.

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. 다음을 입력하여 Data Domain 시스템에 로그인합니다.

ssh <ddboost>@<DataDomainHostname>

6. ssh-keys를 확인합니다.

adminaccess show ssh-keys

7. Data Domain 명령 adminaccess add ssh-keys를 사용하여 Data Domain 시스템에서 키 저장소를 엽니다.

adminaccess add ssh-keys user <ddboost>

여기서 <ddboost> 는 Data Domain 시스템의 Avamar 시스템에 할당된 사용자 이름입니다. 유틸리티가 키를 입력하라는 메시지를 표시합니다.

ddboost@datadomain# adminaccess add ssh-keys user ddboost

키를 입력한 다음 Control-D를 누르거나 Control-C를 눌러 취소합니다.

8. 이 프롬프트

에 Avamar 시스템(ddr_key.pub)의 SSH 공개 키를 붙여 넣습니다. 9. Ctrl+D를 눌러 키 입력을 완료합니다. 유틸리티가 Data Domain 시스템의 키 저장소에 공개 키를 추가합니다.

10. Data Domain 시스템에서 로그아웃합니다.

exit

11. Avamar로 돌아가서 ddr 키를 로드합니다.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. 다음을 입력하여 비밀번호를 입력하지 않고 Data Domain 시스템에 로그인할 수 있는지 테스트합니다.

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

시나리오 4
Avamar Server/gsan 인증서가 만료되어 백업이 실패합니다.
Data Domain이 가져온 호스트 ddboost 인증서가 만료되어 백업이 실패합니다.

Avamar Server/gsan 인증서가 만료된 경우 세션 보안 AVP를 사용하여 모든 인증서를 다시 생성해야 합니다. avamar_keystore 키에서 새 서버/gsan 인증서를 만들려면 새 루트 키를 가져와야 하므로 모든 인증서를 선택합니다.

다음 KB 문서를 사용하여 세션 보안 avp를 다운로드하고 설치하여 모든 인증서를 재생성합니다.
Avamar-IDPA 000067229 KB 문서: 인증서 오류로 인해 백업 또는 복제가 실패합니다.

인증서를 재생성한 후 Data Domain은 새로운 imported-ca ddboost(Avamar chain.pem)를 가져와야 합니다.

시나리오 5
도움이 필요하면 Dell 지원에 문의하고 이 문서 ID를 언급하십시오.