Integración de Avamar y Data Domain: DD se muestra en rojo en la AUI de Avamar o en la ruta de resolución de la interfaz de usuario

Escenario 1
Data Domain se muestra en rojo en la AUI o en la interfaz de usuario debido a problemas de certificados, que también pueden causar fallas de respaldo o replicación.
 
Escenario 2
Data Domain se muestra en rojo en la AUI o en la interfaz de usuario debido a una configuración incorrecta de SNMP.

Escenario 3
Data Domain se muestra en rojo en la AUI o en la interfaz de usuario debido a un ddr_key faltante o incorrecto.

Escenario 4
Certificados

vencidosEscenario 5
La clave de entrada "hfsaddr" en mcserver.xml se configura como ip en lugar de hostname, mientras que el asunto de imported-ca es el hostname de Avamar.

Configuración incorrecta de certificado, SNMP o clave pública

Data Domain se muestra en rojo en la AUI o en la interfaz de usuario debido a problemas de certificados, que también pueden causar fallas de respaldo o replicación.

Automatización de herramientas Goav

Los escenarios detallados en este artículo se pueden seguir manualmente o se puede usar la herramienta de línea de comandos (CLI) Goav para detectar problemas y resolverlos automáticamente.
Consulte el artículo de la base de conocimientos para obtener más detalles sobre el uso de Goav para resolver los problemas descritos en el artículo de la base de conocimientos 000215679, Avamar: Información sobre la función

check-ssl de Goav ddEscenario 1
El procedimiento para el escenario 1 solo es pertinente cuando se habilita la seguridad de sesión.

Compruebe si la seguridad de la sesión está habilitada como usuario raíz: 

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

En el resultado anterior, se muestra la seguridad de la sesión deshabilitada.
Cualquier otro resultado que no sea el que se muestra anteriormente indica que la seguridad de la sesión está activada.
Ejemplo:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Síntomas: código de resultado de DDR:
5049, descripción: No se encontró el archivo Código
de resultado de DDR: 5341, desc: Error de la biblioteca SSL "No se pudo importar el certificado de host o ca automáticamente"
Código de resultado de DDR: 5008, descripción: Argumento

no válido Causa:
todos estos códigos de resultado cuando no se puede respaldar en Data Domain cuando la seguridad de sesión está habilitada se relacionan con problemas de certificados.  

Resolución:
Estos son los pasos para garantizar que las importaciones de certificados sean automáticas y correctas.  

Verifique que haya una frase de contraseña del sistema configurada en Data Domain antes de continuar con la comprobación de certificados. En la interfaz de usuario de Data Domain Enterprise Manager, vaya a Administration > Access Administrator Access > . El botón "CHANGE PASSPHRASE" muestra que la frase de contraseña del sistema está configurada.



1. En Data Domain, compruebe los certificados actuales.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. Elimine todos los certificados importados para el Avamar que experimente fallas de respaldo, por ejemplo: fudge_av.com cuál es el Avamar que aparece en la salida del comando "adminaccess certificate show".

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. Elimine el certificado ddboost del host importado.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. Compruebe los certificados actuales después de la eliminación.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. Compruebe mcserver.xml parámetros.
 
En Avamar versión 19.3 y anteriores:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

En Avamar 19.4:

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. Asegúrese de que la característica de seguridad manual esté configurada en falso. Esto permite que los certificados se importen automáticamente a Data Domain.
 
En Avamar 19.3 y versiones anteriores, si se establece en verdadero, configúrelo en falso y reinicie MCS.

<entry key="ddr_security_feature_manual" value="false" />

En Avamar 19.4 y versiones posteriores, puede establecer ambas marcas en falso y reiniciar MCS.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. Reinicie MCS.

mcserver.sh --stop
mcserver.sh --start

8. En Data Domain, reinicie ddboost.

ddboost disable
ddboost enable

9. Abra la interfaz de usuario de Avamar o AUI, y actualice o edite el sistema Data Domain.
Abra el servidor Doman de datos en Avamar Administrator.
En Avamar MCGUI, vaya a Server >Server Management, seleccione el servidor DD , haga clic en el icono Edit Data Domain System y, a continuación, haga clic en OK en la ventana que aparece.
Un. En Avamar Administrator, haga clic en el botón Server Launcher. Aparecerá la ventana Server.
B. Haga clic en la pestaña Server Management .
C. Seleccione el sistema Data Domain que desea editar.
D. Seleccione Actions >Edit Data Domain System. Aparecerá el cuadro de diálogo Edit Data Domain System.
e. Haga clic en Aceptar.
No se requieren cambios en la configuración de Data Domain.
 
10. Una vez finalizada la edición, los certificados se deben importar automáticamente a Data Domain.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. Recuerde reanudar el programador de respaldos en Avamar, si es necesario.

dpnctl start sched

Escenario 2
Data Domain se muestra en rojo en la AUI o en la interfaz de usuario debido a una configuración incorrecta de SNMP.
 
Síntomas: en la interfaz de usuario de Java o AUI, DD se muestra en rojo en la pantalla

principal Causa:

la configuración incorrecta de SNMP de DD también puede hacer que DD se muestre en rojo o 0s en la interfaz de usuario o AUI. 
 
Resolución:
verificación o corrección de la configuración
 
de DD SNMP La manera más sencilla de verificar o corregir DD SNMP versión 2 es mediante la interfaz web de DD.

https://<data_domain_fqdn>

Navegue por la interfaz hasta Administration >Settings >SNMP SNMP >V2C Configuration.
 
1. Cree una cadena de comunidad de solo lectura o utilice una existente.
 
2. Cree un host de captura que sea el nombre de host de Avamar, puerto 163, y seleccione la cadena de comunidad que desea usar.
 
3. Vaya a la interfaz de usuario de Java de Avamar o AUI, edite el sistema Data Domain, seleccione la pestaña SNMP y actualice la cadena de comunidad SNMP que configuró para el host trap.
 
4. Es posible que deba reiniciar el servicio "mcddrnsmp" en Avamar, como raíz:

mcddrsnmp restart

Artículos relacionados basados en conocimientos de Lightning para la configuración de SNMP:Artículo de la base de conocimientos 000063895, Data Domain:
Configuración y problemas comunes de SNMP que provocan la deshabilitación de los servicios de monitoreo en el software de respaldo integrado o DPA

Escenario 3
Data Domain se muestra en rojo en la AUI o en la interfaz de usuario debido a un ddr_key faltante o incorrecto.
 
Cuando un sistema Avamar almacena respaldos en un sistema Data Domain, Avamar Management Console Server (MCS) emite comandos al sistema Data Domain mediante el protocolo SSH. Este protocolo proporciona un canal de comunicación seguro para la ejecución remota de comandos. Para permitir la ejecución remota de comandos mediante SSH, los sistemas de Data Domain proporcionan una interfaz SSH denominada DDSSH. La interfaz de DDSSH requiere la autenticación del sistema Avamar. La autenticación se logra mediante la creación de claves privadas y públicas de SSH en el sistema Avamar y el uso compartido de la clave pública con el sistema Data Domain.

1. En Avamar, abra un shell de comandos, inicie sesión en Avamar y cargue las claves.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. Compruebe que el ddr_key y ddr_key.pub ya estén en la carpeta /home/admin/.ssh/:

ls -lh /home/admin/.ssh/ddr*

3. Abra el ddr_key.pub con cat y copie su contenido. Es útil pegar en Data Domain más adelante.

cat /home/admin/.ssh/ddr_key.pub

4. Copie todo el contenido de los archivos que se requieren más adelante. Se ve así:

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. Escriba lo siguiente para iniciar sesión en el sistema Data Domain:

ssh <ddboost>@<DataDomainHostname>

6. Compruebe las claves ssh

adminaccess show ssh-keys

7. Utilice el comando adminaccess add ssh-keys de Data Domain para abrir el almacenamiento de claves en el sistema Data Domain:

adminaccess add ssh-keys user <ddboost>

Donde <ddboost> es el nombre de usuario asignado al sistema Avamar en el sistema Data Domain. La utilidad solicita la clave:

ddboost@datadomain# adminaccess add ssh-keys user ddboost

Ingresa la tecla y luego presiona Control-D, o presiona Control-C para cancelar.

8. Pegue la clave pública SSH del sistema Avamar (ddr_key.pub) en este símbolo del sistema

9. Complete la entrada de la clave presionando Ctrl+D para guardarla. La utilidad agrega la clave pública al almacenamiento de claves en el sistema Data Domain.

10. Cierre sesión en el sistema Data Domain.

exit

11. De regreso a Avamar, cargue las claves de DDR.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. Escriba lo siguiente para probar que puede iniciar sesión en el sistema Data Domain sin proporcionar una contraseña:

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

Escenario 4
Los certificados de Avamar Server/gsan vencieron, lo que provoca que los respaldos fallen.
El certificado ddboost del host importado de Data Domain venció, lo que hace que los respaldos fallen.

Si los certificados de Avamar Server/gsan vencieron, debe volver a generar TODOS los certificados mediante el AVP de seguridad de sesión. Seleccionamos TODOS los certificados porque el avamar_keystore debe obtener nuevas claves raíz para crear nuevos certificados de servidor/gsan a partir de esas claves.

Utilice el siguiente artículo de la base de conocimientos para descargar e instalar el avp de seguridad de sesión a fin de volver a generar todos los certificados.
Artículo de la base de conocimientos 000067229 Avamar-IDPA: Los respaldos o las replicaciones fallan con el error de certificado.

Después de volver a generar los certificados, Data Domain debe obtener el nuevo imported-ca ddboost (Avamar chain.pem).

Escenario 5
Comuníquese con el soporte de Dell para obtener ayuda y mencione el ID de este artículo.