Integração entre Avamar e Data Domain: DD exibido em vermelho na AUI do Avamar e/ou no caminho de resolução da interface do usuário

Cenário 1
Data Domain exibido em vermelho na AUI e/ou na interface do usuário devido a problemas de certificado, que também podem estar causando falhas de backup e/ou replicação.
 
Cenário 2
O Data Domain está vermelho na AUI e/ou na interface do usuário devido à configuração incorreta do SNMP.

Cenário 3
O Data Domain está vermelho na AUI e/ou na interface do usuário devido a ddr_key ausentes e/ou incorretas.

Cenário 4
Certificados

expiradosCenário 5
A chave de entrada, "hfsaddr" no mcserver.xml é configurada como ip em vez de hostname, enquanto o assunto de imported-ca é hostname do Avamar.

Configuração incorreta de certificado, SNMP ou chave pública

Data Domain exibido em vermelho na AUI e/ou na interface do usuário devido a problemas de certificado, que também podem estar causando falhas de backup e/ou replicação.

Automação da ferramenta Goav

Os cenários detalhados neste artigo podem ser seguidos manualmente ou a ferramenta de linha de comando (CLI) do Goav pode ser usada para detectar problemas e resolvê-los automaticamente.
Consulte o artigo da base de conhecimento para obter mais detalhes sobre como usar o Goav para resolver os problemas descritos no artigo da KB 000215679, Avamar: Informações sobre o recurso Goav dd check-ssl 

Cenário 1
O procedimento para o cenário 1 só é relevante quando a segurança da sessão está habilitada.

Verifique se a segurança da sessão está ativada como usuário root:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="false"
"secure_agent_feature_on"                               ="false"
"session_ticket_feature_on"                             ="false"
"secure_agents_mode"                                    ="unsecure_only"
"secure_st_mode"                                        ="unsecure_only"
"secure_dd_feature_on"                                  ="false"
"verifypeer"                                            ="no"

Client and Server Communication set to Default (Workflow Re-Run) mode with No Authentication.
Client Agent and Management Server Communication set to unsecure_only mode.
Secure Data Domain Feature is Disabled.

O resultado acima mostra a segurança da sessão desativada.
Qualquer resultado diferente do mostrado acima indica que a segurança da sessão está ativada.
Exemplo:

enable_secure_config.sh --showconfig

Current Session Security Settings
----------------------------------
"encrypt_server_authenticate"                           ="true"
"secure_agent_feature_on"                               ="true"
"session_ticket_feature_on"                             ="true"
"secure_agents_mode"                                    ="secure_only"
"secure_st_mode"                                        ="secure_only"
"secure_dd_feature_on"                                  ="true"
"verifypeer"                                            ="yes"

Client and Server Communication set to Authenticated mode with Two-Way/Dual Authentication.
Client Agent and Management Server Communication set to secure_only mode.
Secure Data Domain Feature is Enabled.

Sintomas: código de resultado DDR:
5049, descrição: Arquivo não encontrado
Código de resultado do DDR: 5341, desc: Erro de biblioteca SSL "failed to import host or ca certificate automatically"
Código de resultado DDR: 5008, descrição: Causa do argumento

inválido:
todos esses códigos de resultado na falha no backup no Data Domain quando a segurança da sessão está habilitada estão relacionados a problemas de certificado.  

Resolução:
estas são as etapas para garantir que as importações de certificados sejam automáticas e corretas.  

Verifique se há uma frase secreta do sistema definida no Data Domain antes de continuar a verificar os certificados. Na interface do usuário do Data Domain Enterprise Manager, vá para Administration > Access Administrator Access > . O botão identificado como "CHANGE PASSPHRASE" mostra que a frase secreta do sistema está definida.



1. No Data Domain, verifique os certificados atuais.

ddboost51@fudge# adminaccess certificate show

Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net                imported-host   ddboost       Wed Jan 19 12:22:07 2022   Mon Jan 18 12:22:07 2027   63:50:81:4B:B3:9B:2A:29:38:57:62:A8:46:2E:A9:D7:EF:32:12:F5
fudge_av.com                  imported-ca     ddboost       Thu Jan  6 10:16:07 2022   Tue Jan  5 10:16:07 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

2. Exclua quaisquer certificados importados para o Avamar que estejam enfrentando falhas de backup, por exemplo: fudge_av.com que é o Avamar listado na saída do comando "adminaccess certificate show".

ddboost51@fudge# adminaccess certificate delete subject fudge_av.com

3. Exclua o certificado ddboost de host importado.

ddboost51@fudge# adminaccess certificate delete imported-host application ddboost

4. Verifique os certificados atuais após a exclusão.

ddboost51@fudge# adminaccess certificate show
Subject                               Type            Application   Valid From                 Valid Until                Fingerprint
-----------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net                host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net       ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A

5. Verifique mcserver.xml parâmetros.
 
No Avamar versão 19.3 e inferior:

admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i manual mcserver.xml
              <entry key="ddr_security_feature_manual" value="false" />

No Avamar versão 19.4:

grep -i "manual\|ddr_host" /usr/local/avamar/var/mc/server_data/prefs/mcserver.xml
 
admin@fudge_av.com:/usr/local/avamar/var/mc/server_data/prefs/>: grep -i "manual\|ddr_host" mcserver.xml
              <entry key="ddr_host_cert_auto_refresh" value="false" />
              <entry key="ddr_security_feature_manual" value="false" />

6. Certifique-se de que o recurso de segurança manual esteja definido como falso. Isso permite que os certificados sejam importados automaticamente para o Data Domain.
 
No Avamar 19.3 e versões anteriores, se estiver definido como true, defina-o como false e reinicie o MCS.

<entry key="ddr_security_feature_manual" value="false" />

No Avamar 19.4 e posterior, é possível definir ambos os indicadores como false e reiniciar o MCS.

<entry key="ddr_host_cert_auto_refresh" value="false" />
<entry key="ddr_security_feature_manual" value="false" />

7. Reinicie o MCS.

mcserver.sh --stop
mcserver.sh --start

8. No Data Domain, reinicie o ddboost.

ddboost disable
ddboost enable

9. Abra a interface do usuário do Avamar e/ou a AUI e atualize e/ou edite o sistema Data Domain.
Abra o servidor Data Doman no Avamar Administrator.
Na MCGUI do Avamar, vá para Server >Server Management, selecione o servidor DD, clique no ícone Edit Data Domain System e clique em OK na janela de exibição.
Um. No Avamar Administrator, clique no botão Server Launcher. A janela Server é exibida.
B. Clique na guia Server Management .
C. Selecione o sistema Data Domain a ser editado.
D. Selecione Actions >Edit Data Domain System. A caixa de diálogo Edit Data Domain System é exibida.
e. Clique em OK.
Nenhuma alteração é necessária para a configuração do Data Domain.
 
10. Depois que a edição for concluída, os certificados deverão ser importados automaticamente para o Data Domain.

ddboost51@fudge# adminaccess certificate show

Subject                           Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------
fudge_dd.net            host            https         Sun Nov  5 12:16:05 2017   Wed Oct 28 18:16:05 2048   5B:58:0A:83:C4:3E:06:91:51:C7:87:F2:45:82:48:95:99:E4:48:B5
fudge_dd.net   ca              trusted-ca    Tue Jun 26 16:36:14 2012   Fri Jun 19 16:36:14 2043   44:DD:C1:61:14:5B:54:BE:41:1F:BF:40:9C:2E:6F:A3:02:2F:18:9A
fudge_dd.net            imported-host   ddboost       Fri Feb 25 13:29:36 2022   Wed Feb 24 13:29:36 2027   4F:B3:68:1C:F7:EB:25:F5:F1:81:F1:38:3B:B7:06:6B:DD:04:C1:33
fudge_av.com              imported-ca     ddboost       Mon Feb  7 13:30:20 2022   Sat Feb  6 13:30:20 2027   FC:57:B7:1B:5B:F0:FA:79:54:B0:B4:52:1B:D8:15:2F:CE:9D:F5:10
-------------------------------   -------------   -----------   ------------------------   ------------------------   ------------------------------------------------------------

11. Lembre-se de retomar o agendador de backup no Avamar, se necessário.

dpnctl start sched

Cenário 2
O Data Domain está vermelho na AUI e/ou na interface do usuário devido à configuração incorreta do SNMP.
 
Sintomas: Na interface do usuário java e/ou AUI, o DD exibido em vermelho na tela

principal Causa:

a configuração incorreta de SNMP do DD também pode fazer com que o DD apresente vermelho ou 0s na interface do usuário e/ou na AUI. 
 
Resolução:
verificando e/ou corrigindo a configuração
 
de SNMP do DD A maneira mais fácil de verificar e/ou corrigir o SNMP do DD versão 2 é usando a interface Web do DD.

https://<data_domain_fqdn>

Navegue pela interface até Administration >Settings > SNMP SNMP >V2C Configuration.
 
1. Crie uma string de comunidade somente leitura ou use uma existente.
 
2. Crie um host de trap, que é o nome do host do Avamar, porta 163, e selecione a string de comunidade que deseja usar.
 
3. Vá para a interface do usuário do Avamar Java ou AUI e edite o sistema Data Domain, selecione a guia SNMP e atualize a string de comunidade SNMP que você configurou para o host de trap.
 
4. Talvez seja necessário reiniciar o serviço "mcddrnsmp" no Avamar como root:

mcddrsnmp restart

Artigos baseados em conhecimento relacionados ao Lightning para configuração do SNMP: artigo da KB 000063895, Data Domain:
Configuração comum de SNMP e problemas que fazem com que os serviços de monitoramento sejam desativados no software de backup integrado ou DPA

Cenário 3
O Data Domain está vermelho na AUI e/ou na interface do usuário devido a ddr_key ausentes e/ou incorretas.
 
Quando um sistema Avamar armazena backups em um sistema Data Domain, o Avamar Management Console Server (MCS) emite comandos para o sistema Data Domain usando o protocolo SSH. Esse protocolo fornece um canal de comunicação seguro para a execução remota de comandos. Para permitir a execução remota de comandos usando SSH, os sistemas Data Domain fornecem uma interface SSH chamada DDSSH. A interface DDSSH requer autenticação do sistema Avamar. A autenticação é realizada criando chaves públicas e privadas SSH no sistema Avamar e compartilhando a chave pública com o sistema Data Domain.

1. No Avamar, abra um shell de comando, faça log-in no Avamar e carregue as chaves.

ssh-agent bash
ssh-add ~admin/.ssh/admin_key

2. Verifique se o ddr_key e o ddr_key.pub já estão na pasta /home/admin/.ssh/:

ls -lh /home/admin/.ssh/ddr*

3. Abra o ddr_key.pub com cat e copie seu conteúdo. É útil colar no Data Domain mais tarde.

cat /home/admin/.ssh/ddr_key.pub

4. Copie todo o conteúdo do arquivo que será necessário mais tarde. Fica assim:

ssh-rsa AAAAB3NzaC1yc2EAAAOSDFkNBGH177bvYPHrAqW5nXEw6uZwV7q0k9SLHgirfv2AztJcCuJIW8LKN0MBTYArGhRJRWE9etR3hH[...]0NxtMIZyhIWKas+PJ0J/AgJhl admin@avamarhostname

5. Faça login no sistema Data Domain digitando:

ssh <ddboost>@<DataDomainHostname>

6. Verifique as teclas ssh

adminaccess show ssh-keys

7. Use o comando do Data Domain adminaccess add ssh-keys para abrir o keystore no sistema Data Domain:

adminaccess add ssh-keys user <ddboost>

Em que <ddboost> é o nome de usuário atribuído ao sistema Avamar no sistema Data Domain. O utilitário solicita a chave:

ddboost@datadomain# adminaccess add ssh-keys user ddboost

Digite a tecla e pressione Control-D ou pressione Control-C para cancelar.

8. Cole a chave pública SSH do sistema Avamar (ddr_key.pub) neste prompt

9. Conclua a entrada da tecla pressionando Ctrl+D para salvá-la. O utilitário adiciona a chave pública ao keystore no sistema Data Domain.

10. Faça logout do sistema Data Domain.

exit

11. De volta ao Avamar, carregue as chaves DDR.

ssh-agent bash
ssh-add ~/.ssh/ddr_key

12. Teste se você pode fazer log-in no sistema Data Domain sem fornecer uma senha digitando:

ssh <ddboost>@<DataDomainHostname>

admin@avamar:~/#: ssh ddboost@DataDomainHostname
EMC Data Domain Virtual Edition
Last login: Tue Dec  3 01:17:07 PST 2019 from 10.x.x.x on pts/1


Welcome to Data Domain OS 6.2.0.10-615548
-----------------------------------------

ddboost@DataDomainHostname#

Cenário 4
Os certificados do Avamar Server/GSAN expiraram, causando falha nos backups.
O certificado ddboost do host importado do Data Domain expirou, causando falha nos backups.

Se os certificados do servidor Avamar/GSAN tiverem expirado, você deverá gerar novamente TODOS os certificados usando o AVP de segurança da sessão. Selecionamos TODOS os certificados porque o avamar_keystore deve obter novas chaves raiz para criar novos certificados de servidor/GSAN a partir dessas chaves.

Use o seguinte artigo da base de conhecimento para fazer download e instalar a sessão de segurança avp para gerar novamente todos os certificados.
Artigo da KB 000067229 Avamar-IDPA: Falha nos backups ou replicações com erro de certificado.

Depois de regenerar os certificados, o Data Domain deve obter o novo ddboost imported-ca (Avamar chain.pem).

Cenário 5
Entre em contato com o Suporte Dell para obter assistência e mencione o ID deste artigo.