Data Domain: Van sommige nieuwere DD OS-versies kunnen CA-certificaatfouten worden gemeld bij het maken van replicatiecontexten vanuit DD CLI

De opdracht Data Domain CLI replication add kan ca-certificaatfouten melden in zowel bron- als doeldatadomeinen. Voorbeeld:

SE@ddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

De DD debug/sms.infologboek meldt ook de fout:

11/26 10:54:54.980028 [7f9eb99013e0] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve01.lab (Domain name not found)]
11/26 10:54:54.980091 [7f9eb99013e0] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve01.lab: could not resolve host.
11/26 10:54:55.032059 [7f9eb99013e0] completed job: 24337 for operation: sms_replication_add, duration: 62 msec, status: **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Deze fout kan worden gemeld voor een van de bron- of doeldatadomeinhosts die deel uitmaken van de replicatiecontext. In het onderstaande voorbeeld kunnen we ook zien dat de fout die is gemeld voor de bestemming:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Nogmaals, de Data Domain debug/sms.infologboek geeft ook de fout weer:

11/26 10:59:10.332885 [7f9eb9904a20] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve02.lab (Domain name not found)]
11/26 10:59:10.332935 [7f9eb9904a20] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: could not resolve host.
11/26 10:59:10.372900 [7f9eb9904a20] completed job: 24398 for operation: sms_replication_add, duration: 97 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Andere soortgelijke problemen kunnen optreden voor poort 3009 die niet open is tussen de datadomeinen. Voorbeeld hieronder:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Dat voorbeeld wordt weergegeven bij het sms-bericht.infologboek als:

11/26 11:33:23.403681 [1254ec80] CURL error: curl_easy_perform() returned 28 [Connection timed out after 30001 milliseconds]
11/26 11:33:23.403927 [1254ec80] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: the operation timed out.
11/26 11:33:23.474988 [1254ec80] completed job: 24741 for operation: sms_replication_add, duration: 30122 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Van sommige nieuwere DD OS-versies (7.7.4.0 > 7.7.5.11, 7.10.0.0 > 7.10.1.1) probeert de DD CLI "replication add" de Source and Destination Data Domain CA-certificaten te verkrijgen. Als dit niet lukt, wordt het probleem gemeld en wordt de replicatiecontext niet gemaakt.

Als eerste stap wordt bij het ophalen van de Source- of Destination Data Domain-certificaten de bron- of doelhostnamen opgelost. De bewerking mislukt als de datadomeinen de bron- of doelhostnamen niet kunnen worden opgelost.

Andere soortgelijke problemen kunnen ook optreden als de bron- of doeldatadomeinen niet kunnen communiceren via TCP-poort 3009. (Dit is de poort die wordt gebruikt voor bevestiging van het Data Domain CA-certificaat.)

Resolutie:
Upgrade de versie van het DD-besturingssysteem naar 7.7.5.20 of hoger, 7.10.1.10 of hoger, of naar 7.12 of hoger na het controleren van de compatibiliteit voor uw omgeving.

Oplossing: 
Zorg ervoor dat zowel bron- als doeldatadomeinen de hostnamen van partner Data Domain en hun eigen hostnamen kunnen oplossen (gebruik de opdracht # net lookup) via DNS of via lokale hostnaamresolutie (door ze handmatig toe te voegen). 

Elk Data Domain moet twee hostvermeldingen hebben, een vermelding voor de eigen hostnaam en een voor de replicatiepartner. 

Controleer de toewijzing van de hosts met de opdracht: 

# net hosts show
# net hosts add <target IP> <target FQDN> <target hostname>

Voorbeeld: 

# net hosts add 192.168.3.3 bkup20.yourcompany.com bkup20

Zorg ervoor dat zowel bron- als doeldatadomeinen het externe peer-datadomein kunnen bereiken via tcp-poort 3009, omdat dit de poort is die wordt gebruikt om de externe peer-CA-certificaten op te halen. U controleert in de SE-modus met de opdracht:

# se telnet <IP> 3009

Als poort 3009 niet kan worden geopend tussen Data Domains en een DD OS-versie-upgrade lange tijd niet mogelijk is, neemt u contact op met uw supportteam om u te helpen bij het configureren van een replicatie.