Data Domain: Efter opgradering til DDOS/DDMC 7.1.x eller nyere er der ikke længere adgang til GUI

Summary: På grund af strengere sikkerhedskontroller i DD- og DDMC GUI-backends efter DDOS/DDMC 7.1.x og nyere vil nogle certifikater for pålidelige DD-værter, som blev accepteret tidligere, muligvis ikke efter opgraderingen, hvilket resulterer i manglende evne til at starte GUI'en efter DDOS-opgraderingen ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

En kunde opgraderer enten DDOS eller DDMC til version 7.1.x eller nyere (vi bruger DDOS fra nu af til at henvise til både DDOS og DDMC) for kortheds skyld og finder ud af, når opgraderingen er fuldført, at det ikke længere er muligt at få adgang til GUI'en. Genstart af HTTP / HTTPS-tjenesterne fra kommandolinjen får det heller ikke til at fungere. Når du bruger en browser til at få adgang til GUI , vil følgende fejlside vise : 
 

Tjenesten er ikke tilgængelig

GUI-tjenesten er midlertidigt utilgængelig. Opdater browseren for at prøve igen. Hvis problemet fortsætter, skal du kontakte Dell EMC Support for at få hjælp

Cause

GUI-backend kører fra et Java-baseret program. GUI-backend kører ikke. Hvis denne DD er blevet opgraderet til DDOS 7.1.x eller nyere, og GUI'en har været defekt siden, hvis DD har et tillidsforhold til andre DD'er, og nogen af dem har et certifikat med en offentlig nøgle, der er kortere end 2048-bit, kan det være årsagen til, at DD GUI ikke starter. da strengere kontroller i den nyere bundtede JDK ikke passerer for nogle af de betroede DD-værter.

Resolution

For det første er det nødvendigt at fastslå, at dette netop er det problem, vi står over for. For at dette kan være tilfældet, skal alle nedenstående betingelser være opfyldt:
  1. DD, hvor GUI ikke starter, oplever kun GUI-problemer efter opgradering til DDOS 7.1.x eller nyere
  2. Denne DD har et tillidsforhold til andre DD er, hvoraf en eller flere tidligere har kørt en DDOS 5.4.x-version (eller ældre) eller DDMC 1.1 (eller ældre)
  3. Denne DD har et bestemt sæt logfiler for manglende start af GUI-backend

Punkt 1 ovenfor er selvforklarende. For at afgøre, om 2 ovenfor gælder, skal du først få listen over betroede værter i DD:

# adminaccess tillid show

For hver af de værter, som denne har tillid til, skal du kontrollere deres opgraderingshistorik for at se, om nogen blev installeret med DDOS 5.4 (eller tidligere) eller DDMC 1.1 (eller tidligere): 

# Systemopgradering historie

Systemer, der er installeret med en af ovenstående versioner, har sandsynligvis haft et CA-selvsigneret certifikat genereret ved installation med offentlige nøgler, der kun er 1024 bit lange, som ikke længere accepteres af JDK efter opgradering til DDOS / DDMC 7.1. En mulig måde at finde ud af, om disse værter har certifikater med små offentlige nøgler, er ved at åbne GUI'en for dem og kontrollere certifikatoplysningerne fra en browser (måden at gøre det på varierer lidt på tværs af browsere).


For at bekræfte punkt 3 (hvis DD GUI-fejllogfilerne er til dette specifikke problem), skal du køre følgende kommando for at åbne logfilen "em.info":

# log se fejlfinding / sm / em.info


Og søg (brug en skråstreg) for at søge efter disse logfiler ("..." angiver, at nogle logfiler ikke er vist nedenfor for korthedens skyld):

 

+-----+-----+-----+ SYSTEM(GEN)START +-----+-----+-----+
...
26. feb. 2021 10:33:04,172 INFO [hoved] Indstilling af sessionscookienavnet til 'JSESSIONID-ddem___HTTPS'26
feb 2021 10:33:04,172 INFO [hoved] Indstilling af xsrf-cookienavnet til 'DD_SSO_TOKEN___HTTPS'26
. feb 2021 10:33:04,382 INFO [hoved] Injektion af SUN-udbyderens X.509-fabrik for at løse valideringsproblemer
...
26. feb. 2021 10:33:05,093 INFO [hoved] Geninitialisering af certifikaterne mellem klienten og serveren

26. feb. 2021 10:33:05,093 INFO [hoved] Genindlæsning af certifikatlagrene for systemet

26 feb 2021 10:33:05,097 INFO [main] Færdig med at genindlæse certifikatlagrene
26 Feb 2021 10:33:05,097 FEJL [main] Undtagelse under kommandoudførelse: javax.net.ssl.SSLException - Der opstod en fejl under oprettelse af premaster-hemmelighed. , vil prøve igen, Forsøg# 1
26 feb 2021 10:33:05,243 INFO [main] Geninitialisering af certifikaterne mellem klienten og serveren
26 feb 2021 10:33:05,243 INFO [main] Genindlæsning af certifikatlagrene for systemet
26 feb 2021 10:33:05,246 INFO [main] Færdig med at genindlæse certifikatlagrene

 Det ville indikere, at noget af det certifikat, som denne DD har importeret som betroet, har en kort nøgle, og derfor kan GUI'en ikke starte.

Selvom DDOS 7.1 eller nyere fortsat vil mislykkes med at indlæse GUI'en, når den præsenteres med certifikater med små offentlige nøgler, er problemet løst i koden for versionerne DDOS 6.2.1.40 og nyere og DDOS 7.2.0.50 og nyere, så hvis det lokale CA-certifikat har en lille offentlig nøgle ved opgradering til en sådan udgivelse, Certifikatet regenereres med en længere nøgle.
 

I skrivende stund (august 2022) understøttes ingen andre udgivelser end DDOS 6.2.1.x (kun for DD2200- og DD250-hardware) og DDOS 7.x længere, der findes ingen løsning, selvom du for de krænkende DD'er kan prøve at generere værten og CA-certifikatet igen med længere nøgler og derefter fjerne og tilføje tillid igen mellem de berørte enheder: 

# adminaccess tillid del vært dd-betroet-1 type gensidig
# adminaccess certifikat generere selvsigneret-cert regenerate-ca
# adminaccess trust tilføj vært dd-betroet-1 type gensidig


 

Affected Products

Data Domain
Article Properties
Article Number: 000202263
Article Type: Solution
Last Modified: 21 Mar 2023
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.