Data Domain: I vissa nyare DD OS-versioner kan ca-certifikatfel rapporteras när replikeringskontexter skapas från DD CLI

Tilläggskommandot för Cli-replikering i Data Domain kan rapportera ca-certifikatfel på både käll- och måldatadomänerna. Exempel:

SE@ddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

DD-felsökning/sms.Informationsloggen rapporterar även felet:

11/26 10:54:54.980028 [7f9eb99013e0] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve01.lab (Domain name not found)]
11/26 10:54:54.980091 [7f9eb99013e0] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve01.lab: could not resolve host.
11/26 10:54:55.032059 [7f9eb99013e0] completed job: 24337 for operation: sms_replication_add, duration: 62 msec, status: **** Error getting CA certificate for ddve01.lab (**** Error communicating with host ddve01.lab: could not resolve host.).

Det här felet kan rapporteras för de käll- eller målvärdar i Data Domain som är en del av replikeringskontexten. I exemplet nedan kan vi också se att felet rapporteras för destinationen:

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Även här felsöker/sms för Data Domain.informationsloggen visar felet också:

11/26 10:59:10.332885 [7f9eb9904a20] CURL error: curl_easy_perform() returned 6 [Could not resolve: ddve02.lab (Domain name not found)]
11/26 10:59:10.332935 [7f9eb9904a20] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: could not resolve host.
11/26 10:59:10.372900 [7f9eb9904a20] completed job: 24398 for operation: sms_replication_add, duration: 97 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: could not resolve host.).

Andra liknande problem kan uppstå för port 3009 som inte är öppen mellan Data Domain-domänerna. Exemplet nedan

SE@oscarddve01## replication add source mtree://ddve01.lab/data/col1/test_boost_11 destination mtree://ddve02.lab/data/col1/test_boost_11

**** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Det exemplet visas på sms.informationslogg som:

11/26 11:33:23.403681 [1254ec80] CURL error: curl_easy_perform() returned 28 [Connection timed out after 30001 milliseconds]
11/26 11:33:23.403927 [1254ec80] sms_trust_get_cert_targeted_do:(ddr/sm/sms/gen/ddr/sms_trust_data.c:527): **** Error communicating with host ddve02.lab: the operation timed out.
11/26 11:33:23.474988 [1254ec80] completed job: 24741 for operation: sms_replication_add, duration: 30122 msec, status: **** Error getting CA certificate for ddve02.lab (**** Error communicating with host ddve02.lab: the operation timed out.).

Från vissa nyare DD OS-versioner (7.7.4.0 > 7.7.5.11, 7.10.0.0 > 7.10.1.1) försöker DD CLI-kommandot "replication add" hämta certifikaten för Data Domains käll- och målcertifikat. Om det misslyckas rapporteras problemet och replikeringskontexten skapas inte.

Som det första steget, när du hämtar Data Domain-certifikatet för källa eller mål, löser det käll- eller målvärdnamnen. Åtgärden misslyckas om Data Domains inte kan matcha värdnamnen för käll- eller destinationen.

Andra liknande problem kan också uppstå om datadomänerna för källa eller mål inte kan kommunicera via TCP-port 3009. (Det här är den port som används för bekräftelse av Data Domain CA-certifikat.)

Upplösning:
Uppgradera DD OS-versionen till 7.7.5.20 eller senare, 7.10.1.10 eller senare, eller 7.12 eller senare efter att du har kontrollerat kompatibiliteten för din miljö.

Workaround: 
Se till att både Käll- och måldatadomänerna kan matcha partnerns Data Domain-värdnamn och deras egna värdnamn (använd kommandot # net lookup) via DNS eller via värdnamnets lokala upplösning (genom att lägga till dem manuellt). 

Varje Data Domain ska ha två värdposter, en post för sitt eget värdnamn och en för replikeringspartnern. 

Kontrollera värdmappningen med kommandot: 

# net hosts show
# net hosts add <target IP> <target FQDN> <target hostname>

Exempel: 

# net hosts add 192.168.3.3 bkup20.yourcompany.com bkup20

Se till att både Source- och Destination Data Domains kan nå fjärransluten peer Data Domain via tcp-port 3009 eftersom det är den port som används för att hämta certifikaten för fjärr peer CA. Du kontrollerar SE-läge med kommandot:

# se telnet <IP> 3009

Om port 3009 inte kan öppnas mellan Data Domains och en DD OS-versionsuppgradering på lång tid kan du också kontakta ditt supportteam för att få hjälp med att konfigurera en replikering.