Avamar：加密箱和金鑰存放區還原

MCS 無法啟動，並出現此訊息：

 MCS Preference has been decrypted failed: 

執行 mcrootca all 命令（可能使用會話安全配置工作流），出現以下失敗消息：

INFO: INFO: Executing mcrootca...
INFO: INFO: Initializing, may take a few moments...
INFO: INFO: Generating, saving and verifying MC EC root key and certificate...
INFO: ERROR: Failed to generate or save or verify MC EC root key and certificate.
INFO: ERROR: Error message: null
INFO: INFO: Generating, saving and verifying MC RSA root key and certificate...
INFO: ERROR: Failed to generate or save or verify MC RSA root key and certificate.
INFO: ERROR: Error message: null
INFO: INFO: mcrootca exited with return value = 1

/usr/local/avamar/var/mc/server_log/mcserver.log.0 檔案顯示例外或錯誤：

列出金鑰存放區 （ avamar_keystore 或 rmi_ssl_keystore），會出現下列錯誤：

root@hostname:/#: keytool -list -v -keystore /usr/local/avamar/lib/rmi_ssl_keystore
Enter keystore password:
keytool error: java.io.IOException: Could not decrypt data.
java.io.IOException: Could not decrypt data.
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.a(Unknown Source)
        at com.rsa.cryptoj.o.lu.engineLoad(Unknown Source)
        at java.security.KeyStore.load(Unknown Source)
        at sun.security.tools.keytool.Main.doCommands(Unknown Source)
        at sun.security.tools.keytool.Main.run(Unknown Source)
        at sun.security.tools.keytool.Main.main(Unknown Source)
Caused by: java.security.UnrecoverableKeyException: Invalid password.
        ... 12 more

注意：如果上述命令的金鑰存放區密碼未知，請執行下列命令：

/usr/local/avamar/bin/avlockbox.sh -r keystore_passphrase

也會出現類似的輸出：

admin@hostname:~/>: avtar --backups --path=/MC_BACKUPS --count=10
avtar Info <5551>: Command Line: /usr/local/avamar/bin/avtar.bin --flagfile=/usr/local/avamar/etc/usersettings.cfg --server=<*hostname*> --vardir=/usr/local/avamar/var --bindir=/usr/local/avamar/bin --id=root --password=**************** --vardir=/usr/local/avamar/var --bindir=/usr/local/avamar/bin --sysdir=/usr/local/avamar/etc --backups --account=/MC_BACKUPS --count=10
avtar Info <7977>: Starting at 2021-01-13 11:29:04 EST [avtar May 20 2020 08:10:00 19.3.100-149 Linux-x86_64]
avtar Info <6555>: Initializing connection
2021/01/13-16:29:05.00542 [avtar]  ERROR: <0001> sslcontext::loadCert  certificate/key not found or invalid cert=/usr/local/avamar/etc/cert.pem key=/usr/local/avamar/etc/key.pem
avtar Error <5664>: SSL certificate/key not found or invalid.
avtar FATAL <8606>: GComMgr::init() Unable to initialize socket library.
avtar FATAL <8604>: Fatal server connection problem, aborting initialization. Verify correct server address and login credentials.
avtar FATAL <5308>: Failed to initiate session with server
avtar Info <6149>: Error summary: 5 errors: 8606, 5308, 8604, 1, 5664
avtar Info <5314>: Command failed (5 errors, exit code 10008: cannot establish connection with server (possible network or DNS failure))

1. 下載 lockbox_restore.pl 指令檔。使用本文將檔案傳輸到 Avamar 伺服器：如何從 Avamar Server 上傳或下載檔案。
2. 上傳 lockbox_restore.pl 至 /home/admin 目錄中的單一節點或 Avamar 工具節點。
3. 以系統管理員身分登入 Avamar，然後切換至 root。
4. [選用]跑：

ls -al /usr/local/avamar/var/mc/server_data/lockbox_backup/

產量：

root@example:/usr/local/avamar/var/mc/server_data/lockbox_backup/#: ls -l
total 0
drwxrwxr-x 2 admin admin 281 Dec 16 16:17 2020-12-16-16_17
root@example:/usr/local/avamar/var/mc/server_data/lockbox_backup/#:

5. 將目錄變更為 /home/admin。
6. 設定執行指令檔的權限：

chmod 755 lockbox_restore.pl

7. 執行指令檔 （若為 Avamar 19.10，請前往本解決方案區段的結尾）：

perl lockbox_restore.pl 

8. 如果出現下列訊息：

11:24:54 lockbox_restore.pl Version 1.01-181972 on AVE or Physical box
Selected Restored subdir=/usr/local/avamar/var/mc/server_data/lockbox_backup/2020-12-16-16_17 .. starting restore.

WARNING: Selected 'Restore lockbox dir' appears to be 28.0 days old.
Enter `yes`<enter> to proceed, `q` to quit : 

9. 輸入 yes<enter>以執行加密箱還原。 

10. 在 Avamar 上，使用 dpnctl start mcs 命令為貴組織設定主要和次要 IT 連絡人。
11. 接著執行以下命令，以建立加密箱備份： avlockbox.sh -b 
12. [選用]然後執行 ls -al 並且有兩個加密箱備份：

root@example:/usr/local/avamar/var/mc/server_data/lockbox_backup/#: ls -l
total 0
drwxrwxr-x 2 admin admin 281 Dec 16 16:17 2020-12-16-16_17
drwxrwxr-x 2 admin admin 217 Jan 13 11:41 2021-01-13-11_41
root@example:/usr/local/avamar/var/mc/server_data/lockbox_backup/#:

本文的主要使用個案為 Avamar Cyber Recovery。本文著重說明實體隔離 （存放庫） Avamar 必須從 DD 檢查點備份修復資料的情況。

以下是所涉及的步驟：

1. 檢查點修復：

   • 實體隔離的 Avamar 會從 DD 檢查點備份還原檢查點。
   • 全球存儲區域網路 （GSAN） 將回滾到此檢查點。

2. MCS 修復並啟動：

   • 資料已成功修復，但加密箱和金鑰存放區未成功修復。
   • 在初始還原時，Avamar 存放庫可能沒有目前的加密箱或金鑰存放區。
   • 嘗試在此情況下啟動管理主控台伺服器 （MCS） 失敗。

3. 修復 Lockbox 和 Keystore：

   • 若要解決此問題，請執行 avlockbox.pl 還原 MCS 資料後的指令檔。
   • 此指令檔可確保將加密箱和金鑰存放區放置在正確的位置。
   • 完成此步驟後，MCS 便可成功啟動。

4. 根對根複寫案例：

   • 在目標系統上進行根對根複寫 MCS 還原期間，也會出現類似的使用案例。
   • 在這種情況下，所需的加密箱和金鑰庫可能與系統的當前狀態不匹配。
   • 若要解決此問題，請使用 lockbox_restore.pl 腳本。

5. 後續還原：

   • 執行後 lockbox_restore.pl 只要後續還原就能運作，而不必再進行一次。

6. 憑證與密碼：

   • 請記住，如果證書或密碼自上次運行以來已更改，請使用 lockbox_restore.pl 再。

請記住要使這些步驟適應您的特定 Avamar 環境。妥善管理鎖箱和金鑰存放區，是 Cyber Recovery 作業成功的關鍵。