Data Domain: Bei einigen neueren DD OS-Versionen können CA-Zertifikatfehler gemeldet werden, wenn Replikationskontexte über die DD-CLI erstellt werden.

Der Befehl zum Hinzufügen der Data Domain-CLI-Replikation meldet möglicherweise CA-Zertifikatfehler sowohl bei Quell- als auch bei Ziel-Data-Domains. Beispiel:

SE@ddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Das DD-Debug-/SMS-Programm.Das Infoprotokoll meldet auch den Fehler:

11/26 10:54:54.980028 [7f9eb99013e0] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve01.lab (Domain name not found)]
11/26 10:54:54.980091 [7f9eb99013e0] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve01.lab: could not resolve host.
11/26 10:54:55.032059 [7f9eb99013e0] completed job: 24337 for operation: sms_replication_add, duration: 62 msec, status: **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Dieser Fehler kann für einen der Quell- oder Ziel-Data Domain-Hosts gemeldet werden, die Teil des Replikationskontexts sind. Im folgenden Beispiel sehen wir auch, dass der Fehler für das Ziel gemeldet wird:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Erneut das Data Domain-Debug-/SMS-Programm.Das Infoprotokoll zeigt auch den Fehler an:

11/26 10:59:10.332885 [7f9eb9904a20] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve02.lab (Domain name not found)]
11/26 10:59:10.332935 [7f9eb9904a20] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: could not resolve host.
11/26 10:59:10.372900 [7f9eb9904a20] completed job: 24398 for operation: sms_replication_add, duration: 97 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Andere ähnliche Probleme können auftreten, wenn Port 3009 zwischen den Data Domains nicht geöffnet ist. Beispiel unten:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Dieses Beispiel wird in der SMS gezeigt.Infoprotokoll als:

11/26 11:33:23.403681 [1254ec80] CURL error: curl_easy_perform() returned 28 [Connection timed out after 30001 milliseconds]
11/26 11:33:23.403927 [1254ec80] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: the operation timed out.
11/26 11:33:23.474988 [1254ec80] completed job: 24741 for operation: sms_replication_add, duration: 30122 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Von einigen neueren DD OS-Versionen (7.7.4.0 > 7.7.5.11, 7.10.0.0 > 7.10.1.1) versucht der DD CLI-Befehl "replication add", die Quell- und Ziel-Data Domain-CA-Zertifikate abzurufen. Wenn dies fehlschlägt, wird das Problem gemeldet und der Replikationskontext wird nicht erstellt.

Im ersten Schritt werden beim Abrufen der Quell- oder Ziel-Data Domain-Zertifikate die Quell- oder Zielhostnamen aufgelöst. Der Vorgang schlägt fehl, wenn die Data Domains die Quell- oder Zielhostnamen nicht auflösen können.

Andere ähnliche Probleme können auch auftreten, wenn die Quell- oder Zieldatendomänen nicht in der Lage sind, über TCP-Port 3009 zu kommunizieren. (Dies ist der Port, der für die Bestätigung des Data Domain-CA-Zertifikats verwendet wird.)

Auflösung:
Führen Sie ein Upgrade der DD OS-Version auf 7.7.5.20 oder höher, 7.10.1.10 oder höher oder 7.12 oder höher durch, nachdem Sie die Kompatibilität für Ihre Umgebung überprüft haben.

Problemumgehung: 
Stellen Sie sicher, dass sowohl Quell- als auch Ziel-Data-Domains die Data Domain-Hostnamen des Partners und ihre eigenen Hostnamen (verwenden Sie den Befehl # net lookup) über DNS oder über die lokale Hostname-Auflösung auflösen können (indem Sie sie manuell hinzufügen). 

Jede Data Domain sollte über zwei Hosteinträge verfügen, einen Eintrag für den eigenen Hostnamen und einen für den Replikationspartner. 

Überprüfen Sie die Hostzuordnung mit dem Befehl: 

# net hosts show
# net hosts add <target IP> <target FQDN> <target hostname>

Beispiel: 

# net hosts add 192.168.3.3 bkup20.yourcompany.com bkup20

Stellen Sie sicher, dass sowohl Quell- als auch Ziel-Data-Domains die Remote-Peer-Data Domain über tcp-Port 3009 erreichen können, da dies der Port ist, der zum Abrufen der Remote-Peer-CA-Zertifikate verwendet wird. Sie prüfen den SE-Modus mit dem folgenden Befehl:

# se telnet <IP> 3009

Wenn Port 3009 zwischen Data Domains nicht geöffnet werden kann und ein Upgrade der DD OS-Version für längere Zeit nicht möglich ist, wenden Sie sich an Ihr Supportteam, um Hilfe bei der Konfiguration einer Replikation zu erhalten.