NetWorker: AUTHC ei löydä kelvollista sertifiointipolkua pyydettyyn kohteeseen Round Robin DC -ympäristössä

概要: Yrität määrittää AD over LDAPS (SSL) -todennuksen NetWorker AUTHC :lla. Kun olet tuonut SSL:n vaatiman varmenteen Java/NRE cacerts -avaimiin, näyttöön tulee virhe luotaessa ulkoisen varmenteen resurssia: SSL-kättelyvirhe yritettäessä muodostaa yhteyttä LDAPS-palvelimeen: pyydettyyn kohteeseen ei löydy kelvollista sertifiointipolkua. Tämä tietämyskanta koskee sitä, milloin DNS/DC-määrityksessä käytetään Round Robin -toimintoa. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

HUOMAUTUS: CA-varmenne AD-palvelimesta on tuotava NetWorker JRE/NRE -palvelimeen. /lib/sercurity/cacerts-avaintore SSL-viestinnän muodostamiseksi AUTHC:n ja todennuspalvelimen välillä.
  • Määritys epäonnistuu seuraavasti:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
  • Käytät AD-palvelimessa aliasta, joka muodostaa yhteyden eri toimialueen ohjaimiin Round Robin -määrityksessä. 

原因

Tuotu varmenne liittyy round robin alias -tunnuksen FQDN-nimiin. Määritys yrittää kuitenkin sitoa SSL:n tiettyyn palvelimeen Round Robin -määrityksessä. 
Esimerkiksi ad-ldap.emclab.local on määritetty DNS:ssä round robin -aliakseksi, joka viittaa useisiin ympäristön DC-isäntiin. Kun sertifikaattia kerätään käyttämällä aliaksia, jonkin isännän varmenne ("dc1.emclab.local") palautetaan round robinin kautta saatavilla olevan varmenteen mukaisesti.

[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
   i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01

Jos varmenne tuodaan JRE/NRE cacerts -avainsäilön käyttämällä round robin -aliasta ad-ldap.emclab.local, kokoonpano ei voi vastata "dc1.emclab.local"-tiedostoa tai mitään muuta round robin -kokoonpanon palvelinta nimiristiriidan vuoksi.

解決方法

Round Robin -aliasta voi käyttää muissa kuin SSL (LDAP) -yhteyksissä, koska se ei käytä varmenteita eikä aiheuta SSL-virhettä.
 
HUOMAUTUS: Round Robin voidaan määrittää kuormituksentasauksen pyynnöille ympäristössä. Tässä määrityksessä käytetään useita DNS-kirjauksia, jotka käyttävät samaa FQDN-nimeä, mutta viittaavat useisiin eri isännän IP-osoitteisiin. Tällä on tavallisesti käyttötarkoitukset verkkopohjaisissa sovelluksissa, jotka saattavat käsitellä useiden pyytäjien pyyntöjä.

SSL-todennuksen käyttö edellyttää, että varmenteiden aliakset vastaavat isäntää, johon se muodostaa yhteyden. Tuo ca-varmenne yhteen tiettyyn round robin -määrityksessä määritettyyn toimialueen ohjauskoneen isäntään ja määritä NetWorker authc viittaamaan ainoastaan kyseiseen toimialueen ohjauskoneiden todennuspyyntöihin; Vaihtoehtoisesti voit tuoda kunkin isännän sertifikaatit Round Robin DC -kokoonpanossa. Jos isännässä on ongelma, joka on määritetty alun perin, voit päivittää määrityksen osoittamaan toiseen dc-palvelimeen, jolle varmenne on jo tuotu.

Katso: NetWorker: AD over SSL:n (LDAPS) määrittäminen NetWorker-verkkokäyttöliittymässä (NWUI)

その他の情報

NetWorker: LDAPS-integraatio epäonnistuu virheen "An SSL handshake error occurred while attempt to connect to LDAPS server: Unable to find valid certification path to requested target"

対象製品

NetWorker
文書のプロパティ
文書番号: 000187608
文書の種類: Solution
最終更新: 23 5月 2025
バージョン:  3
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。