Avamar：Data Domain 權杖驗證失敗，並出現存取權限不足的錯誤

使用 Data Domain Boost 權杖式驗證時備份失敗

觀察到的行為

• Avamar 用戶端嘗試使用權杖連線至 Data Domain 系統。
• 似乎已建立連線，但備份幾乎立即終止。
• 用戶端記錄包含結果代碼為 5075 的警告和訊息 "the user has insufficient access rights."
• 備份報告遺失 /ddr_files.xml 檔，並標記為“不完整”。
• 此問題可能只會影響用戶端的子集;如果每個用戶端都失敗，問題可能會有所不同。

失敗用戶端的記錄摘錄範例：

avtar Info <41236>: - Connecting to Data Domain Server name "test-dd-lab3.emc.com" with token:cc343af1edf716d3de8af0ede44cc9ab2285ebce
avtar Info <19156>: - Establishing a connection via token to the Data Domain system with encryption (Connection mode: A:3 E:2)

2018-02-05 08:55:44 avtar Warning <18125>: Calling DDR_OPEN_VIA_TOKEN returned result code:5075 message:the user has insufficient access rights
2018-02-05 08:55:44 avtar Error <10542>: Data Domain server "test-dd-lab3.emc.com" open failed DDR result code: 5075, desc: the user has insufficient access rights
2018-02-05 08:55:44 avtar Error <10509>: Problem logging into the DDR server:'', only GSAN communication was enabled.
2018-02-05 08:55:44 avtar FATAL <17964>: Backup is incomplete because file "/ddr_files.xml" is missing

由於 DNS 或網路位址轉換問題，權杖式身份驗證失敗

觸發錯誤的關鍵條件

• 權杖驗證需使用 Data Domain OS 版本 5.7.1.x 或更新版本。
• 備份客戶端必須使用可解析的完全限定功能變數名稱 （FQDN）。
• 正向 （主機名稱 → IP） 和反向 （IP →主機名稱） 用戶端的 DNS 查詢必須在用戶端、Avamar 伺服器和 Data Domain 系統上傳回相同的結果。
• 如果任何查找不同或失敗，用戶端將回退到傳統身份驗證;權杖式驗證會失敗，並顯示 error code 5075 ("the user has insufficient access rights").
• 位於重寫源IP位址的NAT設備後面的用戶端會破壞DNS一致性，從而導致相同的訪問不足錯誤。

相關錯誤指示器

2018-02-05 08:55:44 avtar Warning <18125>: Calling DDR_OPEN_VIA_TOKEN returned result code:5075 message:the user has insufficient access rights

修復 "the user has insufficient access rights" 權杖式驗證發生錯誤。

逐步解決方案

請遵循這些步驟，以確保權杖式驗證在 Avamar 和 Data Domain 之間有效運作。

• 確認備份用戶端、Avamar Server 和 Data Domain 系統可以解析用戶端的完整網域名稱 （FQDN），且正向和反向查詢會傳回相同的結果。
• 如果有任何不同的查閱方式，請修正 DNS 項目，或在受影響的主機上新增適當的 /etc/hosts 記錄。
• 驗證用戶端是否不在重寫其源IP位址的NAT設備後面。
• 修正 DNS 後，請重新執行備份以確認權杖認證成功。
• 如果問題仍然存在，請向 Dell 支援開立服務要求，並參考本 KB。

用戶端機器的 nslookup： 
 

@linux-testvm1 ~]$ nslookup linux-testvm1
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

@linux-testvm1 ~]$ nslookup linux-testvm1.emc.com
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

@linux-testvm1 ~]$ nslookup 10.46.18.11
...
Non-authoritative answer:
151.18.167.136.in-addr.arpa     name = linux-testvm1.emc.com.

從 Avamar Server 進行 nslookup： 
 

admin@test-av1:~#: nslookup linux-testvm1
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

admin@test-av1:~#: nslookup linux-testvm1.emc.com
...
Non-authoritative answer:
Name:   linux-testvm1.emc.com
Address: 10.46.18.11

admin@test-av1:~#: nslookup 10.46.18.11
...
Non-authoritative answer:
151.18.167.136.in-addr.arpa     name = linux-testvm1.emc.com.

從 Data Domain 系統進行 nslookup： 
 

SE@test-dd-lab3## net lookup linux-testvm1
linux-testvm1.emc.com has address 10.46.18.11

SE@test-dd-lab3## net lookup linux-testvm1.emc.com
linux-testvm1.emc.com has address 10.46.18.11

SE@test-dd-lab3## net lookup 10.46.18.11
151.18.167.136.in-addr.arpa domain name pointer linux-testvm1.emc.com.