Integrazione di Avamar e Data Domain: DD visualizzato in rosso in Avamar AUI e/o nell'interfaccia utente Percorso di risoluzione

Scenario 1
Data Domain visualizzato in rosso in AUI e/o nell'interfaccia utente a causa di problemi relativi ai certificati, che potrebbero anche causare errori di backup e/o replica.
 
Scenario 2
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di una configurazione SNMP errata.

Scenario 3
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di ddr_key mancanti e/o errate.

Scenario 4
Certificati

scadutiScenario 5
La chiave di immissione "hfsaddr" in mcserver.xml è configurata come ip anziché come nome host, mentre l'oggetto di imported-ca è il nome host Avamar.

Configurazione errata di certificato, SNMP o chiave pubblica

Data Domain visualizzato in rosso in AUI e/o nell'interfaccia utente a causa di problemi relativi ai certificati, che potrebbero anche causare errori di backup e/o replica.

Automazione degli strumenti Goav

Gli scenari dettagliati in questo articolo possono essere seguiti manualmente oppure è possibile utilizzare lo strumento della riga di comando (CLI) di Goav per rilevare automaticamente i problemi e risolverli.
Consultare l'articolo della Knowledge Base per ulteriori dettagli sull'utilizzo di Goav per risolvere i problemi descritti nell'articolo della KB 000215679, Avamar: Informazioni sulla funzione

goav dd check-sslScenario 1
La procedura per lo scenario 1 è pertinente solo quando la sicurezza della sessione è abilitata.

Verificare che la sicurezza della sessione sia abilitata come utente root: 

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

L'output precedente mostra la sicurezza della sessione disabilitata.
Qualsiasi valore diverso dall'output mostrato in precedenza indica che la sicurezza della sessione è abilitata.
Esempio:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Sintomi: codice risultato DDR:
5049, DESC: File non trovato
Codice risultato DDR: 5341, desc: Errore della libreria SSL "impossibile importare automaticamente il certificato host o CA"
Codice risultato DDR: 5008, DESC: Argomento

non valido Causa:
tutti questi codici di risultato quando non è possibile eseguire il backup su Data Domain quando la protezione della sessione è abilitata si riferiscono a problemi relativi ai certificati.  

Risoluzione:
ecco i passaggi per garantire che le importazioni dei certificati siano automatiche e corrette.  

Verificare che sia presente una passphrase di sistema impostata su Data Domain prima di procedere con il controllo dei certificati. Nell'interfaccia utente di Data Domain Enterprise Manager, accedere a Administration > Access Administrator Access > . Il pulsante "CHANGE PASSPHRASE" indica che la passphrase di sistema è impostata.



1. In Data Domain, controllare i certificati correnti.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. Eliminare eventuali certificati importati per l'Avamar che presenta errori di backup, ad esempio: fudge_av.com ovvero Avamar elencato nell'output del comando "adminaccess certificate show".

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. Eliminare il certificato ddboost dell host importato.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. Controllare i certificati correnti dopo l'eliminazione.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. Controllare mcserver.xml parametri.
 
Su Avamar versione 19.3 e precedenti:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

In Avamar versione 19.4:

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. Assicurarsi che la funzione di protezione manuale sia impostata su false. Ciò consente l'importazione automatica dei certificati in Data Domain.
 
In Avamar 19.3 e versioni precedenti, se è impostato su true, impostarlo su false e riavviare MCS.

<entry key="ddr_security_feature_manual" value="false" />

In Avamar 19.4 e versioni successive, è possibile impostare entrambi i flag su false e riavviare MCS.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. Riavviare MCS.

mcserver.sh --stop
mcserver.sh --start

8. In Data Domain, riavviare ddboost.

ddboost disable
ddboost enable

9. Aprire l'interfaccia utente e/o l'AUI di Avamar, quindi aggiornare e/o modificare il sistema Data Domain.
Aprire il server Data Doman in Avamar Administrator.
In Avamar MCGUI, accedere a Server >Server Management, selezionare il server DD, cliccare sull'icona Edit Data Domain System e quindi su OK nella finestra di visualizzazione.
Un. In Avamar Administrator, cliccare sul pulsante Server Launcher. Viene visualizzata la finestra Server.
B. Cliccare sulla scheda Server Management .
C. Selezionare il sistema Data Domain da modificare.
D. Selezionare Actions >Edit Data Domain System. Viene visualizzata la finestra di dialogo Edit Data Domain System.
e. Cliccare su OK.
Non sono necessarie modifiche per la configurazione di Data Domain.
 
10. Al termine della modifica, i certificati dovrebbero essere importati automaticamente in Data Domain.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. Ricordarsi di riprendere l'utilità di pianificazione dei backup su Avamar, se necessario.

dpnctl start sched

Scenario 2
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di una configurazione SNMP errata.
 
Sintomi: nell'interfaccia utente Java e/o in AUI, DD viene visualizzato in rosso sulla schermata

principale Causa:

una configurazione DD SNMP errata può anche far sì che DD mostri rosso o 0 nell'interfaccia utente e/o nell'AUI. 
 
Risoluzione:
verifica e/o correzione della configurazione
 
di DD SNMP Il modo più semplice per verificare e/o correggere DD SNMP versione 2 consiste nell'utilizzare l'interfaccia web di DD.

https://<data_domain_fqdn>

Passare all'interfaccia di Administration >Settings > SNMP SNMP >V2C Configuration.
 
1. Creare una stringa della community read-only o utilizzarne una esistente.
 
2. Creare un host trap che è il nome host Avamar, la porta 163, e selezionare la stringa della community che si desidera utilizzare.
 
3. Accedere all'interfaccia utente Java di Avamar o AUI e modificare il sistema Data Domain, selezionare la scheda SNMP e aggiornare la stringa della community SNMP configurata per l'host trap.
 
4. Potrebbe essere necessario riavviare il servizio "mcddrnsmp" su Avamar, come root:

mcddrsnmp restart

Articoli della Knowledge Based relativi a Lightning per la configurazione SNMP: articolo della KB 000063895, Data Domain:
Configurazione SNMP comune e problemi che causano la disabilitazione dei servizi di monitoraggio in Integrated Backup Software o DPA

Scenario 3
Data Domain visualizzato in rosso nell'AUI e/o nell'interfaccia utente a causa di ddr_key mancanti e/o errate.
 
Quando un sistema Avamar archivia i backup su un sistema Data Domain, Avamar Management Console Server (MCS) emette comandi per il sistema Data Domain utilizzando il protocollo SSH. Questo protocollo fornisce un canale di comunicazione sicuro per l'esecuzione di comandi remoti. Per consentire l'esecuzione di comandi remoti tramite SSH, i sistemi Data Domain forniscono un'interfaccia SSH denominata DDSSH. L'interfaccia DDSSH richiede l'autenticazione del sistema Avamar. L'autenticazione viene eseguita creando chiavi pubbliche e private SSH sul sistema Avamar e condividendo la chiave pubblica con il sistema Data Domain.

1. In Avamar, aprire una shell dei comandi, accedere ad Avamar e caricare le chiavi.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. Verificare che ddr_key e ddr_key.pub si trovino già nella cartella /home/admin/.ssh/:

ls -lh /home/admin/.ssh/ddr*

3. Aprire il file ddr_key.pub con cat e copiarne il contenuto. È utile incollare su Data Domain in un secondo momento.

cat /home/admin/.ssh/ddr_key.pub

4. Copiare l'intero contenuto del file in un secondo momento. Ha un aspetto simile al seguente:

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. Accedere al sistema Data Domain digitando:

ssh <ddboost>@<DataDomainHostname>

6. Controllare le chiavi SSH

adminaccess show ssh-keys

7. Utilizzare il comando adminaccess add ssh-keys di Data Domain per aprire l'archivio chiavi sul sistema Data Domain:

adminaccess add ssh-keys user <ddboost>

Dove <ddboost> è il nome utente assegnato al sistema Avamar sul sistema Data Domain. L'utilità richiede la chiave:

ddboost@datadomain# adminaccess add ssh-keys user ddboost

Inserire il tasto e premere Ctrl-D o Ctrl-C per annullare.

8. Incollare la chiave pubblica SSH del sistema Avamar (ddr_key.pub) al prompt

9. Completare l'immissione della chiave premendo Ctrl+D per salvarla. L'utilità aggiunge la chiave pubblica all'archivio chiavi sul sistema Data Domain.

10. Disconnettersi dal sistema Data Domain.

exit

11. Tornare ad Avamar, caricare le chiavi ddr.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. Verificare che sia possibile accedere al sistema Data Domain senza fornire una password digitando:

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

Scenario 4
I certificati gsan o Avamar Server sono scaduti, causando un errore nei backup.
Il certificato ddboost host importato di Data Domain è scaduto, causando l'esito negativo dei backup.

Se i certificati Avamar Server/gsan sono scaduti, è necessario rigenerare TUTTI i certificati utilizzando l'AVP di sicurezza della sessione. Selezioniamo TUTTI i certificati perché il avamar_keystore deve ottenere nuove chiavi root per creare nuovi certificati server/gsan da tali chiavi.

Utilizzare il seguente articolo della Knowledge Base per scaricare e installare la sessione security avp per rigenerare tutti i certificati.
Articolo della Knowledge Base 000067229 Avamar-IDPA: I backup o le repliche hanno esito negativo con errore del certificato.

Dopo aver rigenerato i certificati, Data Domain deve ottenere il nuovo imported-ca ddboost (Avamar chain.pem).

Scenario 5
Contattare il supporto Dell per assistenza e menzionare l'ID di questo articolo.