Avamar：由于 DNS 查询花费的时间过多，备份失败 — avtar 严重 <8941>：严重的服务器连接问题，导致初始化中止。

版本：3

文章类型：中断修复

目标受众：级别 30 = 客户

上次发布时间：2019 年 7 月 9 日（星期二），22:34:38 GMT

摘要：

本篇知识库文章旨在说明

avtar 握手失败但 ping 正常工作并且所需 TCP 端口号

也开放的特殊情况。

问题：

在此情景下，我们发现，一些客户端受到影响，而其他的一些客户端则不受影响。
对于受影响的客户端，Win FS 备份和 VSS 备份均会出现此问题。

在 avtar 日志中，我们可以看到以下错误消息：

avtar FATAL <8941>: Fatal server connection problem, aborting initialization. Verify correct server address and login credentials.

avtar Info <5694>: - Failed initial handshake, trying again

avtar Info <5562>: - - Connect: Trying 10.xx.xx.xx:29000

通过添加日志调试，我们可以在日志中看到额外的信息：

[avtar]  sslcertificate::verify_certificate_ip CN Name='Avamar Server RSA TLS'

    [avtar]  sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS

    [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

    [avtar]  sslcertificate::verify_certificate_ip CN Name=' '

    [avtar]  sslcertificate::verify_cnname Performing CN Name validation for

    [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

    [avtar]  sslcertificate::verify_certificate_ip CN Name field did not match Hostname - Checking SA Names

    [avtar]  sslcertificate::verify_certificate_ip rawIPAddrLen = 4

    [avtar]  sslcertificate::verify_certificate_ip Comparing 10.xx.xx.xx with 10.xx.xx.xx

    [avtar]  sslcertificate::verify_certificate_ip Certificate successfully verified

    [avtar]  <-- SSL

    [avtar]  <-- TLS 1.2 Handshake, ServerHelloDone

    [avtar]  --> SSL

    [avtar]  --> TLS 1.2 Handshake, ClientKeyExchange

    [avtar]  --> SSL

    [avtar]  --> TLS 1.2 ChangeCipherSpec

    [avtar]  --> SSL

    [avtar]  --> TLS 1.2 Handshake, Finished

>[avtar]  sslsockimpl::open  connect failure  (setrslt 1)  (conrslt 0)

>[avtar]  Printing ssl error stack

    [avtar]  certlock::~certlock() success to remove SSL cert lock 'C:\Program Files\avs\etc\.tmp\.certlock'

    [avtar]  sslsockimpl::save_server_cert saving cert='C:\Program Files\avs\etc\servercert.pem'

    [avtar]  sslsockimpl::save_server_cert cipher='AES256-SHA'

>[avtar]  sslsockimpl::open  failure

> avtar Info <5694>: - Failed initial handshake, trying again

出于故障排除的目的，我们检查并确认 TCP 端口 28001、28002、27000 和 29000 全部开放，并且根据 Avamar 安全指南，这些端口均在正确的 TCP 方向中，ping 和 DNS 解析也正常工作。

原因：

此问题是由于 DNS 查询中的响应时间较长而引起的，事实上，我们可以看到“DnsQuery(dns) returned”每次花费的时间超过 10 秒，请注意，握手过程在完全失败前会运行多次查询尝试。

按照示例：

2019/03/05-10:22:41.39299 [avtar]  sslcertificate::verify_cnname Performing CN Name validation for Avamar Server RSA TLS

2019/03/05-10:22:53.30100 [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

整个握手过程需要大约 50 秒才能完成和失败：

2019/03/05-10:22:14.89800 [avtar]  sslsockimpl::open  initclient success

....

2019/03/05-10:23:05.41599 [avtar]  sslsockimpl::open  failure

为了进行比较，下面提供一个来自正常工作的客户端的示例，在该示例中，我们看到“DnsQuery”在 1 秒之内返回：

2019/03/05-11:56:06.97600 [avtar]  sslcertificate::verify_cnname Performing CN Name validation for

2019/03/05-11:56:07.79600 [avtar]  uwrapper::gethostbyaddr DnsQuery(dns)  returned (9002) for 10.xx.xx.xx

整个握手过程将在大约 13 秒内完成：

2019/03/05-11:55:54.12400 [avtar]  sslsockimpl::open  initclient success

...

2019/03/05-11:56:07.82899 [avtar]  sslsockimpl::open  initclient success, cipher: AES256-SHA

在摘要中，根本原因是 DnsQuery 在受影响的客户端计算机上花费了过多时间。

解决方法：

为了解决此类型问题，系统管理员需要在 DNS 服务器上采取操作以解决此延迟。

由于该问题超出 Avamar 备份产品的范围，因此系统管理员需要参与进来。

注意：

如果您遇到相同的错误，但 DNS 在一秒之内做出响应，则您可能会遇到其他类型的问题。
请先检查 Dell EMC 知识库，以了解是否有任何其他知识库文章可帮助您解决此问题，如果没有，请与 Avamar 支持团队联系。

主要产品：

Avamar

产品：

Avamar、Avamar Client for Windows