Avamar: I backup dei client SQL hanno esito negativo in modo casuale con errore sslcontext::loadCert con sicurezza sessione abilitata

Summary: Nelle versioni di Avamar precedenti alla 19.8, i client SQL implementati in Microsoft Azure utilizzando Data Domain Virtual Edition (DDVE), i backup potrebbero non riuscire in modo casuale con la sicurezza della sessione abilitata. Gli errori si verificano a causa di errori di convalida del certificato SSL e della chiave privata causati da una selezione errata dell'indirizzo IP quando il client risolve l'indirizzo di loopback IPv6 anziché IPv4. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Quando la sicurezza della sessione è abilitata, i backup dei client SQL hanno esito negativo in modo intermittente con errori correlati a SSL. All'interno dello stesso processo di backup, alcuni thread vengono completati correttamente, mentre altri hanno esito negativo.

  • La colonna avsql I registri mostrano i seguenti errori:
2023-01-11 12:02:10.99399 [avsql] uflags::parsefile Printing flags from C:\Program Files\avs\var\avsql.cmd:
.cmd flag [1]: --debug=true
.cmd flag [2]: --verbose=1
.cmd flag [3]: --x14=32768

2023-01-11 12:02:10.99399 [avsql] sock::libinit(enc="tls", encrypt_strength="high", verify=0) socktype="sock_ssl"
2023-01-11 12:02:10.99399 [avsql] sockimpl::libinit(usessl=1, verify=0, encrypt_strength="high", pemdir="C:\Program Files\avs\etc")
2023-01-11 12:02:10.99399 [avsql] sslcontext::libinit
2023-01-11 12:02:10.99399 [avsql] sslcontext::libinit verifypeer=0, encrypt_strength="high", global_sslctx=0000000001950D90, global_sslctx->ctx=000000000119B630
2023-01-11 12:02:10.99399 [avsql] sslcontext::libinit load cert: C:\Program Files\avs\etc\cert.pem
2023-01-11 12:02:10.99399 [avsql] sslcontext::libinit load key: C:\Program Files\avs\etc\key.pem
2023-01-11 12:02:10.99399 [avsql] ERROR: <0001> sslcontext::loadCert certificate/key not found or invalid cert=C:\Program Files\avs\etc\cert.pem key=C:\Program Files\avs\etc\key.pem
2023-01-11 12:02:10 avsql Error <5664>: SSL certificate/key not found or invalid.
2023-01-11 12:02:10 avsql Error <16154>: Unable to initialize socket library

 

  • Nello stesso ordine di lavoro, alcuni avtar I thread vengono completati correttamente, mentre altri hanno esito negativo con errori di certificato.

Successo avtar Esempio di filettatura:

2023-01-11 12:02:11 avtar Info <5008>: Logging to C:\Program Files\avs\var\SCH-60-G-TLOG-SQL-60-1673449200555#2-3006-SQL.avtar.log
2023-01-11 12:02:11 avtar Info <5174>: - Reading C:\Program Files\avs\var\avtar.cmd
2023-01-11 12:02:11 avtar Info <5551>: Command Line: avtar --ddr-auth-enabled=false --ddr-encrypt-strength=none --ddr-auth-mode=3 --case_sensitive=false --max-streams=1 --backup-type=incremental --cacheprefix=avsql_t1 --ctlcallport=64502 --ctlinterface=3006-SCH-60-G-TLOG-SQL-60-1673449200555#2 --check-stdin-path=false --logfile="C:\Program Files\avs\var\SCH-60-G-TLOG-SQL-60-1673449200555#2-3006-SQL.avtar.log" --vardir="C:\Program Files\avs\var" --bindir="C:\Program Files\avs\bin" --sysdir="C:\Program Files\avs\etc" --account=/Azure/AZ-Prod/cldsrv1088.arcorgroup.com --id=backuponly --password=**************** --server=cldlnx0063.arcorgroup.com --ctlusessl=true
2023-01-11 12:02:11 avtar Info <7977>: Starting at 2023-01-11 12:02:11 Argentina Standard Time [avtar Oct 16 2020 15:51:11 19.4.100-116 Windows Server 2019 Datacenter Server Edition (No Service Pack) 64-bit-AMD64]
2023/01/11-15:02:11.03500 [avtar]  <1291> FIPS mode enabled
2023-01-11 12:02:11 avtar Info <10684>: Setting ctl message version to 3 (from 1)
2023-01-11 12:02:11 avtar Info <16136>: Setting ctl max message size to 268435456
2023-01-11 12:02:11 avtar Info <6767>: Successfully connected to 127.0.0.1:64502 

 

Failed avtar Esempio di filettatura: 
2023-01-11 12:02:30 avtar Info <5008>: Logging to C:\Program Files\avs\var\SCH-60-G-TLOG-SQL-60-1673449200555#0-3006-SQL.avtar.log
2023-01-11 12:02:30 avtar Info <5174>: - Reading C:\Program Files\avs\var\avtar.cmd
2023-01-11 12:02:30 avtar Info <5551>: Command Line: avtar --ddr-auth-enabled=false --ddr-encrypt-strength=none --ddr-auth-mode=3 --case_sensitive=false --max-streams=1 --backup-type=incremental_full --ctlcallport=64502 --ctlinterface=3006-SCH-60-G-TLOG-SQL-60-1673449200555 --check-stdin-path=false --logfile="C:\Program Files\avs\var\SCH-60-G-TLOG-SQL-60-1673449200555#0-3006-SQL.avtar.log" --vardir="C:\Program Files\avs\var" --bindir="C:\Program Files\avs\bin" --sysdir="C:\Program Files\avs\etc" --account=/Azure/AZ-Prod/cldsrv1088.arcorgroup.com --id=backuponly --password=**************** --server=cldlnx0063.arcorgroup.com --ctlusessl=true
2023-01-11 12:02:30 avtar Info <7977>: Starting at 2023-01-11 12:02:30 Argentina Standard Time [avtar Oct 16 2020 15:51:11 19.4.100-116 Windows Server 2019 Datacenter Server Edition (No Service Pack) 64-bit-AMD64]
2023/01/11-15:02:30.86500 [avtar]  <1291> FIPS mode enabled
2023/01/11-15:02:30.86500 [avtar]  ERROR: <0001> sslcontext::loadCert  certificate/key not found or invalid cert=C:\Program Files\avs\etc\cert.pem key=C:\Program Files\avs\etc\key.pem
2023-01-11 12:02:30 avtar Error <5664>: SSL certificate/key not found or invalid.
2023-01-11 12:02:30 avtar FATAL <19035>: Unable to initialize socket library for CTL. 

Il comportamento è incoerente, con errori che si verificano in modo casuale tra i thread di backup.

Cause

In scenari di errore, la chiave privata ricevuta dall'Avamar Server non è valida. Di conseguenza, la funzione OpenSSL SSL_CTX_use_PrivateKey_file() Ha esito negativo.

L'agent client Avamar seleziona il primo indirizzo host raggiungibile, che può essere l'indirizzo di loopback IPv6 (::1) perché è incluso nell'elenco dei nomi host. Sebbene il client invii un indirizzo IPv6 alla console di gestione (MC), MC archivia solo l'indirizzo IPv4. Questa mancata corrispondenza degli indirizzi causa errori di convalida dei certificati SSL.

Resolution

Aggiungere i seguenti flag in avagent.cmd sul client interessato e riavviare avagent Per aggirare questo problema:

--ipupdateinterval=43200             (Number of minutes between IP address update)
--addr-family=4                      (Force to use IPv4)
--netbind=10.x.x.x                   (Force association with this network address rather than OS autoselection)

Descrizioni dei parametri:

  • --ipupdateinterval specifica l'intervallo (in minuti) per l'aggiornamento dell'indirizzo IP del client.
  • --addr-family=4 forza il client a utilizzare IPv4.
  • --netbind associa l'agent a un indirizzo IPv4 specifico anziché alla selezione automatica del sistema operativo.

 Dopo aver applicato le modifiche, riavviare l'agent Avamar ed eseguire nuovamente il backup.

Correzione
permanenteQuesto problema è stato risolto nella V19.8. Sono state apportate modifiche al codice per ignorare l'indirizzo di paging di localhost.

Article Properties
Article Number: 000208390
Article Type: Solution
Last Modified: 26 Mar 2026
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.