Avamar 和 Data Domain 整合：Avamar AUI 和/或使用者介面解決方案路徑中 DD 顯示紅色

由於憑證問題，Data Domain 在 AUI 和/或使用者介面中顯示紅色，這也可能導致備份及/或複寫失敗。

Goav 工具自動化

您可以手動遵循本文中的詳細方案，也可以使用 Goav 命令行 （CLI） 工具自動檢測問題並解決問題。
如需使用 Goav 解決知識文章 000215679， Avamar 中所述之問題的詳細資訊，請參閱知識文章：Goav dd check-ssl 功能

的相關資訊案例 1
僅當啟用會話安全性時，方案 1 的過程才相關。

檢查是否以 root 使用者身分啟用工作階段安全性： 

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

上面的輸出顯示會話安全性已禁用。
除上面顯示的輸出外，任何其他內容都表示會話安全性已啟用。
範例：

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

症狀：
DDR 結果代碼：5049，說明：找不到
檔案 DDR 結果代碼：5341，說明：SSL 程式庫錯誤「無法自動匯入主機或 ca 憑證」
DDR 結果代碼：5008，說明：無效的引數

原因：
在啟用工作階段安全性時，無法備份至 data domain 的所有這些結果代碼都與憑證問題有關。  

解決方案：
以下是確保證書導入自動且正確的步驟。  

請先確認 Data Domain 上已設定系統密碼片語，再繼續檢查憑證。在 Data Domain Enterprise Manager 使用者介面上，前往管理 > 存取系統管理員存取 > 權。標示為「變更密碼片語」的按鈕顯示已設定系統密碼片語。



1.在 Data Domain 上，檢查目前的憑證。

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2.刪除發生備份失敗的 Avamar 的任何匯入憑證，例如：fudge_av.com 哪個是命令「adminaccess certificate show」輸出結果中列出的 Avamar。

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3.刪除匯入的主機 ddboost 憑證。

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4.刪除後檢查目前的憑證。

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5.檢查mcserver.xml參數。

在 Avamar 版本 19.3 及更舊版本上：

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

在 Avamar 版本 19.4 上：

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6.請確定手動安全性功能已設為 false。這可讓憑證自動匯入 Data Domain。

在 Avamar 19.3 及更低版本上，如果設為 true，則則設為 false 並重新開機 MCS。

<entry key="ddr_security_feature_manual" value="false" />

在 Avamar 19.4 及更新版本上，您可以將兩個旗標設定為 false，然後重新啟動 MCS。

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7.重新啟動 MCS。

mcserver.sh --stop
mcserver.sh --start

8.在 Data Domain 上，重新啟動 ddboost。

ddboost disable
ddboost enable

9.開啟 Avamar 使用者介面和/或 AUI，並更新及/或編輯 Data Domain 系統。
在 Avamar Administrator 中開啟 Data Doman 伺服器。
在 Avamar MCGUI 中，前往伺服器伺服器管理，選取 DD 伺服器>，按一下編輯 Data Domain 系統圖示，然後在顯示視窗中按一下確定。
a.在 Avamar Administrator 中，按一下伺服器啟動器按鈕。伺服器視窗隨即出現。
b.按一下 伺服器管理 標籤。
c.選取要編輯的 Data Domain 系統 。
d.選取 動作編輯 >Data Domain 系統。「編輯 Data Domain 系統」對話方塊隨即顯示。
e.按一下 確定。
Data Domain 組態不需要變更。

10.編輯完成後，憑證應會自動匯入 Data Domain。

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11.如果需要，請記得在 Avamar 上恢復備份排程器。

dpnctl start sched

案例 2
由於 SNMP 組態不正確，Data Domain 在 AUI 及/或使用者介面中顯示紅色。

症狀：
在 java 使用者介面和/或 AUI 中，DD 在主畫面
 
上顯示紅色 原因：
DD SNMP 組態不正確也可能導致 DD 在使用者介面及/或 AUI 中顯示紅色或 0。

解決方法：
驗證及/或修正 DD SNMP 組
 
態 驗證及/或更正 DD SNMP 版本 2 最簡單的方法是使用 DD Web 介面。

https://<data_domain_fqdn>

將介面瀏覽至 管理 >設定 >、SNMP、 SNMP >V2C 組態。

1.創建唯讀社區字串或使用現有字串。

2.建立 Avamar 主機名稱、連接埠 163 的陷阱主機，然後選取您要使用的社群字串。

3.前往 Avamar Java 使用者介面或 AUI ，然後編輯 Data Domain 系統，選取 SNMP 標籤，然後更新您為陷阱主機所配置的 SNMP 社群字串。

4.您可能需要以 root 身分重新啟動 Avamar 上的「mcddrnsmp」服務：

mcddrsnmp restart

SNMP 組態相關的 Lightning 知識文章：KB 文章 000063895，Data Domain：
常見的 SNMP 組態和問題，會導致整合式備份軟體或 DPA

中的監控服務停用案例 3
由於ddr_key遺失及/或不正確，Data Domain 在 AUI 及/或使用者介面中顯示紅色。

當 Avamar 系統在 Data Domain 系統上儲存備份時，Avamar 管理主控台伺服器 （MCS） 會使用 SSH 通訊協定向 Data Domain 系統發出命令。本通訊協定為遠端命令執行提供安全的通訊通道。若要允許使用 SSH 執行遠端命令，Data Domain 系統會提供名為 DDSSH 的 SSH 介面。DDSSH 介面需要 Avamar 系統的驗證。身份驗證是通過在 Avamar 系統上創建 SSH 私鑰和公開金鑰並與 Data Domain 系統共用公開金鑰來實現的。

1.在 Avamar 上，開啟命令殼層，登入 Avamar 並載入金鑰。

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2.檢查 ddr_key 和 ddr_key.pub 是否已位於資料夾 /home/admin/.ssh/ 中：

ls -lh /home/admin/.ssh/ddr*

3.使用 cat 打開 ddr_key.pub 並複製其內容。稍後貼上 Data Domain 會很有用。

cat /home/admin/.ssh/ddr_key.pub

4.複製檔案的全部內容，稍後需要時需要。它看起來像這樣：

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5.輸入以下內容以登入 Data Domain 系統：

ssh <ddboost>@<DataDomainHostname>

6.檢查 SSH 鍵

adminaccess show ssh-keys

7.使用 Data Domain 命令 adminacces 新增 ssh 金鑰，在 Data Domain 系統上開啟金鑰存放區：

adminaccess add ssh-keys user <ddboost>

其中 <ddboost> 是指派給 Data Domain 系統上 Avamar 系統的使用者名稱。公用程式會提示輸入金鑰：

ddboost@datadomain# adminaccess add ssh-keys user ddboost

輸入按鍵，然後按下 Control-D，或按下 Control-C 以取消。

8.在此提示

時貼上 Avamar 系統 （ddr_key.pub） 的 SSH 公開金鑰 9.按下 Ctrl+D 以儲存金鑰，以完成金鑰輸入。公用程式會將公開金鑰新增至 Data Domain 系統上的金鑰存放區。

10.登出 Data Domain 系統。

exit

11.返回 Avamar，載入 DDR 金鑰。

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12.測試您可以在不提供密碼的情況下登入 Data Domain 系統，方法是輸入：

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

案例 4
Avamar server/gsan 憑證已過期，導致備份失敗。
Data Domain 匯入的主機 ddboost 憑證已過期，導致備份失敗。

如果 Avamar 伺服器/gsan 憑證已過期，您必須使用工作階段安全性 AVP 重新產生所有憑證。我們選取所有憑證，是因為avamar_keystore必須取得新的根金鑰，才能從這些金鑰建立新的伺服器/gsan 憑證。

使用下列 KB 文章下載並安裝工作階段安全性 avp，以重新產生所有憑證。
Avamar-IDPA 000067229 KB 文章：備份或複製失敗，並顯示憑證錯誤。

重新產生憑證後，Data Domain 必須取得新的 imported-ca ddboost （Avamar chain.pem）。

案例 5
請聯絡 Dell 支援以取得協助，並提及此文章 ID。