Data Domain : À partir de certaines versions plus récentes de DD OS, des erreurs de certificat d’autorité de certification peuvent être signalées lors de la création de contextes de réplication à partir de la CLI DD

La commande Data Domain CLI replication add peut signaler des erreurs de certificat d’autorité de certification sur les data domains source et cible. Exemple :

SE@ddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Le débogage/sms DD.Le journal d’informations signale également l’erreur :

11/26 10:54:54.980028 [7f9eb99013e0] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve01.lab (Domain name not found)]
11/26 10:54:54.980091 [7f9eb99013e0] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve01.lab: could not resolve host.
11/26 10:54:55.032059 [7f9eb99013e0] completed job: 24337 for operation: sms_replication_add, duration: 62 msec, status: **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Cette erreur peut être signalée pour l’un des hôtes Data Domain source ou cible faisant partie du contexte de réplication. Dans l’exemple ci-dessous, nous pouvons également voir que l’erreur signalée pour la destination :

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Encore une fois, le débogage/SMS de Data Domain.le journal d’informations affiche également l’erreur :

11/26 10:59:10.332885 [7f9eb9904a20] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve02.lab (Domain name not found)]
11/26 10:59:10.332935 [7f9eb9904a20] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: could not resolve host.
11/26 10:59:10.372900 [7f9eb9904a20] completed job: 24398 for operation: sms_replication_add, duration: 97 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

D’autres problèmes similaires peuvent se produire pour le port 3009 qui n’est pas ouvert entre les systèmes Data Domain. Exemple ci-dessous :

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Cet exemple s’affiche au format SMS.log d’informations en tant que :

11/26 11:33:23.403681 [1254ec80] CURL error: curl_easy_perform() returned 28 [Connection timed out after 30001 milliseconds]
11/26 11:33:23.403927 [1254ec80] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: the operation timed out.
11/26 11:33:23.474988 [1254ec80] completed job: 24741 for operation: sms_replication_add, duration: 30122 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

À partir de certaines versions plus récentes de DD OS (7.7.4.0 > 7.7.5.11, 7.10.0.0 > 7.10.1.1), la commande DD CLI « replication add » tente d’obtenir les certificats d’autorité de certification Data Domain source et cible. En cas d’échec, il signale le problème et le contexte de réplication n’est pas créé.

En premier lieu, lors de l’obtention des certificats Data Domain source ou cible, elle résout les noms d’hôte Source ou Destination. L’opération échoue si les data domains ne peuvent pas être résolus les noms d’hôte Source ou Destination.

D’autres problèmes similaires peuvent également se produire si les data domains source ou cible ne sont pas en mesure de communiquer via le port TCP 3009. (Il s’agit du port utilisé pour la confirmation du certificat d’autorité de certification Data Domain.)

Résolution:
Mettez à niveau DD OS vers la version 7.7.5.20 ou ultérieure, 7.10.1.10 ou une version ultérieure, ou 7.12 ou une version ultérieure après avoir vérifié la compatibilité de votre environnement.

Contournement: 
Assurez-vous que les data domains source et de destination peuvent résoudre les noms d’hôte Data Domain partenaires et leurs propres noms d’hôte (utilisez la commande # net lookup) via DNS ou via la résolution locale du nom d’hôte (en les ajoutant manuellement). 

Chaque système Data Domain doit avoir deux entrées d’hôte : une entrée pour son propre nom d’hôte et une entrée pour le partenaire de réplication. 

Vérifiez le mappage des hôtes à l’aide de la commande : 

# net hosts show
# net hosts add <target IP> <target FQDN> <target hostname>

Exemple : 

# net hosts add 192.168.3.3 bkup20.yourcompany.com bkup20

Assurez-vous que les data domains source et de destination peuvent atteindre le système Data Domain homologue distant via le port tcp 3009, car il s’agit du port utilisé pour obtenir les certificats d’autorité de certification homologues distants. Vous vérifiez le mode SE à l’aide de la commande :

# se telnet <IP> 3009

Sinon, si le port 3009 ne peut pas être ouvert entre data domains et qu’une mise à niveau de la version de DD OS n’est pas possible pendant une longue période, contactez votre équipe de support pour vous aider à configurer une réplication.