Avamar: Bruk SessionSecurityConfiguration til å rette sertifikatfeil i sikkerhetskopiering eller replikering

avtar Error <41042>: Certificate issuer '/C=US/ST=California/L=Irvine/O=EMC Corp/OU=BRS Division/CN=011-avamar1.test.com' could not be validated.

Sikkerhetskopiloggen med avtar flags (--debug and --x25=-1) viser følgende SSL-relaterte feil:

2016/05/31-19:00:50.73300 [SessionMgr] [DDBoost]-INFO [10C0:B28] dd_async_clnttcp_enable_ssl fd: 56512
2016/05/31-19:00:50.74900 [SessionMgr] [DDBoost]-WARNING [10C0:B28] dd_async_clnttcp_enable_ssl: SSL_connect for socket 56512 failed: 1 [error:00000001:lib(0):func(0):reason(1)], errno: 2
2016/05/31-19:00:50.74900 [SessionMgr] [DDBoost]-WARNING [10C0:B28] ssl error: error:0407006A:rsa routines:RSA_padding_check_PKCS1_type_1:block type is not 01 2
2016/05/31-19:00:50.74900 [SessionMgr] [DDBoost]-WARNING [10C0:B28] ssl error: error:04067072:rsa routines:RSA_EAY_PUBLIC_DECRYPT:padding check failed 2
2016/05/31-19:00:50.76500 [SessionMgr] [DDBoost]-WARNING [10C0:B28] ssl error: error:0D0C5006:asn1 encoding routines:ASN1_item_verify:EVP lib 2
2016/05/31-19:00:50.76500 [SessionMgr] [DDBoost]-WARNING [10C0:B28] ssl error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed 2
2016/05/31-19:00:50.76500 [SessionMgr] [DDBoost]-ERROR [10C0:B28] ssl_enable_fail 1, error:SSL_connect returned 1

• Feil sertifikat på klienten, på Data Domain (DD)-systemet eller på en av Avamar-serverne
• Tiden på DD-systemet er ikke synkronisert med tiden på Avamar-serveren (mer enn 2 min)
• Passfrase er ikke angitt for DD
• Domenenavnsystemet (DNS) er ikke riktig for DD

1. Last ned Avamar SessionSecurityConfiguration Filen:

• Last ned riktig versjon av Avamar SessionSecurityConfiguration på Avamar-serveren. Først laster du ned arbeidsflyten til /home/admin/tmp, og flytt deretter arbeidsflyten til /data01/avamar/repo/packages/ -katalogen på Avamar-serveren. Pakken skal vises under Avamar Installation Manager-nettkonsollen.
• Avamar 19.9 og 19.10 SessionSecurityConfiguration er tilgjengelig på nettstedet for Dells kundestøtte. Last ned filen ved hjelp av denne artikkelen: Avamar: Slik finner og laster du ned en feilretting, oppdatering, installasjon eller oppgraderingspakke for produktet fra Dells nettsted for kundestøtte. 
• For 19.8 og eldre, kontakt Dells kundestøtte og referer til denne artikkelnummer 000067229 for å be om filen.
• Overfør filen til Avamar-serveren ved hjelp av denne artikkelen: Laste opp eller laste ned filer fra en Avamar-server.

2. Forhåndssjekk før du installerer Avamar SessionSecurityConfiguration:

• Kontroller at Avamar-vedlikeholdsoppgaver, sikkerhetskopieringer, gjenopprettingsjobber og replikeringsjobber ikke kjører.
• Kontroller om Avamar-serveren har et nylig sjekkpunkt tilgjengelig. 
• Arbeidsflyten starter Management Console Server-tjenesten (MCS) på nytt

3. Sett inn Avamar SessionSecurityConfiguration.
   1. Logg på Avamar Installation Manager (AVI) (https://<IP_address_or_FQDN>/avi) som rot.
   2. Klikk på fanen Vedlikehold og velg Økt – Sikkerhet – konfigurasjon.
   3. Klikk på Kjør.

• Velg Autentisert/Dobbel eller Blandet/Enkel
• Velg Deaktivert for å omgå kjente problemer

• Merk av for Vis avanserte innstillinger, og velg deretter Generer alle nye sertifikater (godta advarselen som vises):

4. Klikk på Lagre og fortsett:

5. Once the workflow completes, new certificates are created on the Avamar server. Certificates are automatically updated when a backup runs.

4. Oppdater det nye sertifikatet på Data Domain-systemet med følgende trinn:

1. Avamar Administratorconsole (MCGUI): Server>Serveradministrasjon (rediger Data Domain)
2. Avamar-brukergrensesnitt (AUI): Administrasjon >System>Data Domain (rediger Data Domain)

5. Start skjermen på nytt ddboost på Data Domain:

ddboost show connections
ddboost disable
ddboost enable

6. Hvis Avamar-proxyer er i bruk, må de registreres på nytt. Noen alternativer for å registrere på nytt:
   1. Start alle proxyer på nytt fra Avamar-serveren:

mccli mcs reboot-proxy --all=true

2. Logg på proxyen som admin og bytt til rot. Start på nytt manuelt Avagent service:

su - 
service avagent restart

3. Start proxyen på nytt ved hjelp av vSphere Web Client eller manuelt kjørende reboot.

7. For fysiske servere eller virtuell maskin (VM) som behandles som gjesteklienter:

8. Manuell prosess for å overføre de nye sertifikatene til klienter:
   1. Registrere klienten på nytt etter at de nye sertifikatene er opprettet på Avamar Server:

• Avamar Administrator console (MCGUI): Administrasjon >Søk og velg klienten > høyreklikk Inviter klient
• Avamar-brukergrensesnitt (AUI): Kapitalforvaltning> søk og velg Klient >Flere handlinger>Inviter klient

2. Registrer alle klienter på nytt ved hjelp av kommandoen:

mccli client re-register-all

3. Slett sertifikatfilene på klienten og start på nytt Avagent service:

• Windows: Slett sertifikatfilene under C:\Program Files\avs\etc. Start skjermen på nytt Avagent Backup Agent service på Windows-klienten. 
• Linux: Slett sertifikatfilene under /usr/local/avamar/etc. Start skjermen på nytt Avagent som rot service Avagent restart

4. Start gjesteklienten på nytt. 

9. Kjør en testsikkerhetskopiering og replikering, eller vent i 24 timer for å bekrefte om problemet er løst. Hvis sikkerhetskopiene eller replikasjonene ikke fungerer etter at du har fulgt denne artikkelen, kan du kontakte Dells kundestøtte.

• Avamar: Behandle sikkerhetsinnstillinger for økt fra CLI
• Avamar: Administrer øktsikkerhetsinnstillinger med Avinstaller Installasjonspakke (AVP)
• Avamar: Øktsikkerhet

• Klientmaskinen er bak en NAT-brannmurenhet (Network Address Translation).
• Klientvertsnavnet er et virtuelt navn som er forskjellig fra det fullstendige domenenavnet (FQDN) som løses fra IP-adressen
• Klientmaskinen har flere IP-grensesnitt og hver løser til en annen FQDN-forbedring, løst fra versjon 19.1 og nyere. Se artikkelen: Avamar: Sikkerhetskopiering til datadomenet mislyktes med meldingen "DDR_GET_AUTH_TOKEN" på grunn av for mange IP-adresser