Data Domain: Da alcune versioni più recenti di DD OS, è possibile che vengano segnalati errori del certificato CA durante la creazione di contesti di replica dalla CLI di DD

Il comando di aggiunta della replica nella CLI di Data Domain può segnalare errori del certificato CA sia nei Data Domain di origine che in quello di destinazione. Esempio:

SE@ddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Debug/sms di DD.il registro di informazioni segnala anche l'errore:

11/26 10:54:54.980028 [7f9eb99013e0] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve01.lab (Domain name not found)]
11/26 10:54:54.980091 [7f9eb99013e0] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve01.lab: could not resolve host.
11/26 10:54:55.032059 [7f9eb99013e0] completed job: 24337 for operation: sms_replication_add, duration: 62 msec, status: **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Questo errore può essere segnalato per qualsiasi host Data Domain di origine o di destinazione che fa parte del contesto di replica. Nell'esempio riportato di seguito possiamo anche notare che l'errore segnalato per la destinazione:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Anche in questo caso, il debug/sms di Data Domain.anche il registro di informazioni mostra l'errore:

11/26 10:59:10.332885 [7f9eb9904a20] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve02.lab (Domain name not found)]
11/26 10:59:10.332935 [7f9eb9904a20] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: could not resolve host.
11/26 10:59:10.372900 [7f9eb9904a20] completed job: 24398 for operation: sms_replication_add, duration: 97 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Altri problemi simili possono verificarsi per la porta 3009 non aperta tra i Data Domain. Esempio riportato di seguito:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Questo esempio viene visualizzato nell'sms.registro di informazioni come:

11/26 11:33:23.403681 [1254ec80] CURL error: curl_easy_perform() returned 28 [Connection timed out after 30001 milliseconds]
11/26 11:33:23.403927 [1254ec80] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: the operation timed out.
11/26 11:33:23.474988 [1254ec80] completed job: 24741 for operation: sms_replication_add, duration: 30122 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Da alcune versioni del sistema operativo DD più recenti (7.7.4.0 > 7.7.5.11, 7.10.0.0 > 7.10.1.1), il comando "replication add" della CLI di DD sta tentando di ottenere i certificati CA di Data Domain di origine e destinazione. In caso di esito negativo, viene segnalato il problema e il contesto di replica non viene creato.

Come primo passaggio, quando si ricevono i certificati Data Domain di origine o di destinazione, vengono risolti i nomi host di origine o di destinazione. L'operazione ha esito negativo se i Data Domain non sono in grado di essere risolti i nomi host di origine o di destinazione.

Anche altri problemi simili possono verificarsi se i data domain di origine o di destinazione non sono in grado di comunicare tramite la porta TCP 3009. (questa è la porta utilizzata per la conferma del certificato CA di Data Domain).

Risoluzione:
Aggiornare il sistema operativo DD alla versione 7.7.5.20 o successiva, 7.10.1.10 o successiva o 7.12 o successiva dopo aver verificato la compatibilità per l'ambiente.

Soluzione: 
Assicurarsi che sia i Data Domain di origine che di destinazione siano in grado di risolvere i nomi host Data Domain partner e i relativi nomi host (utilizzare il comando # net lookup) tramite DNS o tramite la risoluzione locale dei nomi host (aggiungendoli manualmente). 

Ogni Data Domain deve avere due voci host, una voce per il proprio hostname e una per il partner di replica. 

Controllare il mapping degli host con il comando: 

# net hosts show
# net hosts add <target IP> <target FQDN> <target hostname>

Esempio: 

# net hosts add 192.168.3.3 bkup20.yourcompany.com bkup20

Assicurarsi che sia i Data Domain di origine che di destinazione possano raggiungere il Data Domain peer remoto tramite la porta TCP 3009 in quanto questa è la porta utilizzata per ottenere i certificati CA peer remoti. È possibile eseguire il check-in in modalità SE con il comando:

# se telnet <IP> 3009

In alternativa, se non è possibile aprire a lungo la porta 3009 tra Data Domain e non è possibile aggiornare a lungo una versione di DD OS, contattare il team di supporto per assistenza nella configurazione di una replica.