NetWorker: Identifikujte klienty, kteří vyžadují vymazání informací partnera "Error-SSL protocol failure"

V některých situacích může být daemon.raw může být zahlcena chybami ověřovacího připojení Generic Security Service (GSS) mezi dvěma systémy NetWorker:

MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host. 

Nebo

MM/DD/YYYY HH:mm:SS 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: CLIENT_ID; peer hostname: CLIENT_NAME 
MM/DD/YYYY HH:mm:SS 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information. 

V serveru NetWorker spusťte jako uživatel root nebo Administrator příkaz:

nsradmin -C -y -p nsrexecd "nsr peer information"

Viz: NetWorker: Jak automaticky vymazat neshody informací partnera NSR pomocí nsradmin -C

Tento příkaz zkontroluje každý prostředek partnerského certifikátu v nástroji serveru NetWorker nsrladb a pokouší se to napravit. Tato operace musí být spuštěna také na klientech, kteří hlásí tento problém. K tomu může docházet u mnoha klientů a je obtížné izolovat všechny různé hostitele, kteří vyžadují opravu.

Následující proces lze použít k určení, které systémy vyžadují spuštění nsradmin -C -y nebo může vyžadovat ruční odstranění informací o partnerském vztahu.

Hostitelé s Linuxem:

1. Vykreslování daemon.raw:

nsr_render_log -S "1 weeks ago" /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

2. Vytvořte soubor obsahující pouze chyby připojení ověřování GSS:

cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Nebo:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out

3. Z výstupního souboru GSS vytvořte soubor obsahující pouze jména klientů:

cat GSS_error.out | awk {'print $24'} | sort > client.out

Tento příkaz používá linuxové příkazy awk a print pouze k tisku column obsahující název klienta z úplné chybové zprávy připojení SSL. V závislosti na filter number Upravte číslo tisku tak, aby se názvy klientů vytiskly správně, pokud výše uvedený příklad nevrátí očekávané výsledky.

4. Zkontrolujte soubor pomocí unikátního příkazu, který ve výstupu zobrazí pouze jednu isntanci každého klienta s daným problémem:

cat client.out | uniq

Příklad:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Výše uvedené názvy hostitelů byly změněny; Namísto stovek záznamů v daemon.raw, toto chování hlásí pouze jeden záznam pro každého klienta.

5. Připojte se ke klientským systémům hlášeným pomocí SSH nebo protokolu RDP (Remote Desktop Protocol) a spusťte příkazový řádek uživatele root nebo správce:

nsradmin -C -y -p nsrexecd "nsr peer information"

Spuštění tohoto příkazu na serveru i klientovi by mělo zajistit, že nsrladb v každém systému obsahuje správné informace o partnerském certifikátu. Pokud je zjištěna neshoda, certifikát je odstraněn a další pokus o připojení mezi serverem a klientem by měl vygenerovat nový.

Ten nsradmin Příkaz ukazuje, u kterých hostitelů došlo k neshodě a jaká akce byla provedena ve výstupu.

Ruční odstranění informací partnera je podrobně popsáno v článku NetWorker: Oprava nekonzistentních informací partnerů NSR

6. Výstupní soubory lze odstranit, jakmile již nejsou potřeba:

rm -rf filename

Hostitelé Windows:

1. Otevřete příkazový řádek Windows PowerShell jako správce.
2. Změňte adresáře na adresář protokolu NetWorker:

cd "C:\Program Files\EMC NetWorker\nsr\logs"

V příkladu se předpokládá, že se použije výchozí umístění instalace. Pokud jste nainstalovali NetWorker do jiného umístění, upravte odpovídajícím způsobem příkaz.

3. Vykreslování daemon.raw:

nsr_render_log -S "1 weeks ago" daemon.raw > daemon.out 

4. Vytvořte soubor obsahující pouze chyby připojení ověřování GSS:

elect-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Nebo:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out

5. Vygenerujte výstup zobrazující jedinečné systémy, které hlásí chyby ověřování GSS:

Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique

PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local

6. Připojte se ke klientským systémům nahlášeným pomocí SSH nebo RDP a spusťte příkazový řádek uživatele root nebo správce:

nsradmin -C -y -p nsrexecd "nsr peer information"

Spuštění tohoto příkazu na serveru i klientovi by mělo zajistit, že nsrladb v každém systému obsahuje správné informace o partnerském certifikátu. Pokud je zjištěna neshoda, certifikát je odstraněn a další pokus o připojení mezi serverem a klientem by měl vygenerovat nový.

Ten nsradmin Příkaz ukazuje, u kterých hostitelů došlo k neshodě a jaká akce byla provedena ve výstupu.

Ruční odstranění informací partnera je podrobně popsáno v článku NetWorker: Oprava nekonzistentních informací partnerů NSR

7. Výstupní soubory lze odstranit, jakmile již nejsou potřeba.