Data Domain:一部の新しいDD OSバージョンから、DD CLIからレプリケーション コンテキストを作成するときにCA証明書エラーが報告される場合がある
摘要: 一部の新しいDD OSバージョン(7.7.4.0>7.7.5.11、7.10.0.0>7.10.1.1)から、DD CLIからレプリケーション コンテキストを作成するときにCA証明書エラーが報告されることがあります。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Data Domain CLIレプリケーションの追加コマンドは、ソースとデスティネーションの両方のData DomainでCA証明書エラーを報告する場合があります。Example:
SE@ddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11 **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).DD debug/sms。情報ログは、次のエラーも報告します。
11/26 10:54:54.980028 [7f9eb99013e0] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve01.lab (Domain name not found)] 11/26 10:54:54.980091 [7f9eb99013e0] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve01.lab: could not resolve host. 11/26 10:54:55.032059 [7f9eb99013e0] completed job: 24337 for operation: sms_replication_add, duration: 62 msec, status: **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).このエラーは、レプリケーション コンテキストの一部であるソースまたはデスティネーションData Domainホストのいずれかに対して報告される可能性があります。次の例では、デスティネーションに対して報告されたエラーも確認できます。
SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11 **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).繰り返しますが、Data Domain debug/smsです。情報ログにも次のエラーが表示されます。
11/26 10:59:10.332885 [7f9eb9904a20] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve02.lab (Domain name not found)] 11/26 10:59:10.332935 [7f9eb9904a20] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: could not resolve host. 11/26 10:59:10.372900 [7f9eb9904a20] completed job: 24398 for operation: sms_replication_add, duration: 97 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).ポート3009がData Domain間で開かない場合、他にも同様の問題が発生する可能性があります。次の例を参照してください。
SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11 **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).この例はsmsに表示されています。次のように情報ログに記録されます。
11/26 11:33:23.403681 [1254ec80] CURL error: curl_easy_perform() returned 28 [Connection timed out after 30001 milliseconds] 11/26 11:33:23.403927 [1254ec80] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: the operation timed out. 11/26 11:33:23.474988 [1254ec80] completed job: 24741 for operation: sms_replication_add, duration: 30122 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).
原因
一部の新しいDD OSバージョン(7.7.4.0 > 7.7.5.11、7.10.0.0 > 7.10.1.1)から、DD CLIの「replication add」コマンドがソースとデスティネーションのData Domain CA証明書を取得しようとしています。これが失敗すると、問題が報告され、レプリケーション コンテキストが作成されません。
最初のステップとして、ソースまたは宛先のData Domain証明書を取得すると、ソースまたはデスティネーションのホスト名が解決されます。Data Domainがソースまたはデスティネーションのホスト名を解決できない場合、操作は失敗します。
ソースまたはデスティネーションData DomainがTCPポート3009を介して通信できない場合も、同様の問題が発生する可能性があります。(これは、Data Domain CA証明書の確認に使用されるポートです)。
最初のステップとして、ソースまたは宛先のData Domain証明書を取得すると、ソースまたはデスティネーションのホスト名が解決されます。Data Domainがソースまたはデスティネーションのホスト名を解決できない場合、操作は失敗します。
ソースまたはデスティネーションData DomainがTCPポート3009を介して通信できない場合も、同様の問題が発生する可能性があります。(これは、Data Domain CA証明書の確認に使用されるポートです)。
解决方案
解像 度:
お使いの環境の互換性を確認した後、DD OSのバージョンを7.7.5.20以降、7.10.1.10以降、または7.12以降にアップグレードします。
回避 策:
ソースとデスティネーションの両方のData Domainが、DNSまたはホスト名のローカル解決(手動で追加)を介して、パートナーData Domainのホスト名と独自のホスト名(# net lookupコマンドを使用)を解決できることを確認します。
各Data Domainには、 独自 のホスト名のエントリーとレプリケーション パートナー用の2つのホスト エントリーが必要です。
次のコマンドを使用して、ホスト マッピングを確認します。
# net hosts show # net hosts add <target IP> <target FQDN> <target hostname>
Example:
# net hosts add 192.168.3.3 bkup20.yourcompany.com bkup20
これはリモート ピアCA証明書の取得に使用されるポートであるため、ソースとデスティネーションの両方のData Domainがtcpポート3009を介してリモート ピアData Domainに到達できることを確認します。次のコマンドを使用して、SEモードでチェックします。
# se telnet <IP> 3009
または、Data Domain間でポート3009を開くことができない場合や、DD OSバージョンのアップグレードを長時間実行できない場合は、サポート チームに連絡してレプリケーションの構成を支援してください。
受影响的产品
Data Domain产品
DD OS文章属性
文章编号: 000205800
文章类型: Solution
上次修改时间: 30 11月 2023
版本: 7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。