Data Domain:升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后无法访问 UI
Summary: 由于在 DDOS 或 DDMC 7.7.2.x、7.7.3.x、7.8.x 或 7.9.x 之后的 DD 和 DDMC UI 后端中执行更严格的安全检查,某些之前被接受的受信任 DD 主机的证书在升级后可能无法被接受,从而导致在 DDOS 升级后无法启动 UI。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
用户将 DDOS 或 DDMC 升级到版本 7.7.2.x、7.7.3.x、7.8.x 或 7.9.x,在升级完成后,发现无法访问 UI。从命令行重新启动 HTTP 或 HTTPS 服务也不起作用。使用浏览器访问 UI 时,以下错误页面显示:
Service Not Available The GUI Service is temporarily unavailable. Refresh browser to try again. If the problem persists, contact Dell EMC support for assistance.
Cause
UI 后端在基于 Java 的应用程序上运行。UI 后端未在运行。如果 DD 升级到任何提及的版本并且 UI 无法访问,如果 DD 与其他 DD 有信任关系,并且其中任何一个 DD 具有不正确的证书,那么这可能是 DD UI 未启动的原因。某些受信任的 DD 主机无法通过较新的捆绑 JDK 中更严格的检查。
Resolution
有关检查是否已连接 DLm 的帮助,请参阅戴尔知识库文章 207823:
Data Domain + DLM:升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后无法访问 UI。
https://www.dell.com/support/kbdoc/en-us/000207823 Data Domain + DLM:升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后无法访问 UI
您必须确定这是否确实是您正面临的问题。为此,以下所有条件都必须满足:
Data Domain + DLM:升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后无法访问 UI。
https://www.dell.com/support/kbdoc/en-us/000207823 Data Domain + DLM:升级到 DDOS 或 DDMC 6.2.1.90、7.2.0.95 或 7.7.2.x 或更高版本后无法访问 UI
注意:如果已连接 DLm,请勿执行本知识库文章的以下解决方法
您必须确定这是否确实是您正面临的问题。为此,以下所有条件都必须满足:
- UI 未启动的 DD 仅在升级到以下任一版本后才遇到 UI 问题:
- DDOS 7.7.2.x
- DDOS 7.7.3.x
- DDOS 7.8.x
- DDOS 7.9.x
- 此 DD 与其他 DD 具有信任关系,其中一个或多个 DD 过去具有 DDOS 4.7 - 5.4 版本。
- 此 DD 具有一组关于 UI 后端启动失败的特定日志。
项目 1 是不言自明的。
要确定项目 2 是否适用,请获取 DD 中的受信任主机列表:
# adminaccess trust show Subject Type Valid From Valid Until Fingerprint ---------------------- ---------- ------------------------ ------------------------ ----------------------------------------------------------- dd-upgraded-7.7.2.x trusted-ca Tue Jul 6 15:36:35 2021 Mon Jul 5 15:36:35 2027 BA:59:F0:6E:93:47:02:7C:6C:C1:39:71:46:6D:1F:2B:81:09:E9:46 dd-trusted-1 trusted-ca Mon Feb 7 10:26:48 2011 Thu Jan 30 10:26:48 2042 7B:96:6B:06:D9:A4:6A:B1:A0:3A:4C:E7:12:28:07:AD:29:F3:8E:F2 dd-trusted-2 trusted-ca Mon Aug 21 10:18:52 2017 Thu Aug 13 10:18:52 2048 16:BC:09:02:F5:39:CB:EC:C2:A8:9E:5D:21:90:19:38:2B:36:47:EA ---------------------- ---------- ------------------------ ------------------------ -----------------------------------------------------------
在此例中,“dd-upgraded-7.7.2.x”是 UI 出现故障的 DD,另外两个是受信任的 DD(因为它们具有使用本地 DD 设置的复制上下文)。除非稍后重新生成,否则用于信任的 DD 证书的“生效日期”为安装日期。在上面的输出中,最有可能运行旧 DDOS 4.7 - 5.4 版本的是“dd-trusted-1”。
登录到该 DD 并进行检查(或在 ASUP 中查找“System Upgrade History”部分):
# system upgrade history Version Partition State Time Package Number --------------- --------- ------- ----------------- ------------ 5.1.0.5-269447 1 INSTALL 12/29/11 01:02:59 5.1.0.9-282511 2 UPGRADE 02/07/12 13:31:42 ddr 5.4.5.0-477080 1 UPGRADE 05/04/15 10:22:42 ddr 5.5.4.10-536339 2 UPGRADE 04/17/18 08:51:19 ddr 5.7.5.0-569395 1 UPGRADE 04/17/18 09:41:17 ddr --------------- --------- ------- ----------------- ------------
在此输出中,“dd-trusted-1”与项目 2 匹配,并且可能具有不正确的证书,导致“dd-upgraded-7.7.2.x”DD 主机无法通过其信任关系加载 UI。
要确认项目 3(如果 DD UI 故障日志适用于此特定问题),请运行以下命令以打开“em.info”日志文件:
# log view debug/sm/em.info
搜索以下日志(使用正斜杠):
05 Jul 2022 13:57:38,737 INFO [main] Reloading the certificate stores for the system 05 Jul 2022 13:57:38,899 ERROR [main] Exception during command execution: java.security.cert.CertificateException - Invalid X.509 Certificate version., will retry, Attempt# 1 05 Jul 2022 13:57:39,001 ERROR [main] Exception during command execution: java.security.cert.CertificateException - Invalid X.509 Certificate version., will retry, Attempt# 2 05 Jul 2022 13:57:39,103 ERROR [main] Exception during command execution: java.security.cert.CertificateException - Invalid X.509 Certificate version., will retry, Attempt# 3
最直接的解决方法是删除对过去运行过 DDOS 4.7 - 5.4 的任何 DD 主机的信任,这样,如果它创建了错误的证书,将不会再导致本地 DD UI 加载失败。在本示例中,我们假设 dd-trusted-1 是唯一曾经运行 DDOS 5.7 - 5.4 的受信任 DD。要从有 UI 问题的 DD 中删除相互信任(此 DD 信任 dd-trusted-1,反之亦然),请执行以下步骤。
# adminaccess trust del host dd-trusted-1 type mutual
删除信任会导致在重新建立信任之前,使用现在不受信任的 DD 进行复制设置失败。如果删除信任由于远程 DD 不再可访问或不存在而失败,请重复此命令但不使用“mutual”选项,以仅在本地删除信任,因为这足以使用户界面恢复正常运行。
对于受信任 DD 仍在使用且我们必须保留信任关系的情况,必须创建新的 CA 证书:
- 在有问题的系统上,从 CLI 生成新的自签名 CA 证书:
# adminaccess certificate generate self-signed-cert regenerate-ca
- 修复此 DD 系统维护的与其他每个 DD 或 DDMC 系统的信任(相互“adminaccess trust del”,后跟每个设备的“adminaccess trust add”)
-
最后,在每个受影响的设备中重启 Web 服务:
# adminaccess disable https # adminaccess enable https
如果执行上述操作后,DD 用户界面还是无法正常运行,请联系 DELL Data Domain 支持。
要重新建立信任,您必须首先确保重新创建“dd-trusted-1”中的 DD CA 证书,并且不出现任何错误。在此主机命令行中,通过运行以下命令来执行此操作,并按照提示进行操作(如果有):
# adminaccess certificate generate self-signed-cert regenerate-ca
如果此 DD 已与其他 DD 或复制建立信任,则必须删除所有此类对等节点的信任,然后再重新添加信任。
最后,要在“dd-upgraded-7.7.2.x”和“dd-trusted-1”之间重新添加信任,请执行以下任一操作:
- 从“dd-upgraded-7.7.2.x”运行“adminaccess trust add host dd-trusted-1 type mutual”,或者
- 从“dd-trusted-1”运行“adminaccess trust add host dd-upgraded-7.7.2.x type mutual”
Affected Products
Data Domain, PowerProtect Data Domain Management CenterArticle Properties
Article Number: 000202177
Article Type: Solution
Last Modified: 16 Mar 2023
Version: 12
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.