Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

NetWorker: So ermitteln Sie, auf welchen Clients Sie Peer-Informationen löschen müssen: „An error occurred as a SSL protocol failure“ (Ein Fehler ist aufgrund eines SSL-Protokollfehlers aufgetreten)

Summary: Die Datei /nsr/logs/daemon.raw des NetWorker-Servers wird überflutet mit dem Fehler „Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a SSL protocol failure“. Abgesehen von einem möglichen Verbindungsproblem erschwert dies die Analyse der Protokolle für andere Fehlerbehebungen. In diesem Wissensdatenbank-Artikel werden die Schritte erläutert, die befolgt werden können, um dieses Problem sowohl über die server- als auch über die clientseitige Verbindung zu beheben. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

In einigen Situationen kann das daemon.raw des NetWorker-Servers mit GSS-Authentifizierungsverbindungsfehlern zwischen zwei NetWorker-Systemen überflutet werden:
106320 MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host. 

Oder 

89879 MM/DD/YYYY HH:mm:SS PM  5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME 
71193 MM/DD/YYYY HH:mm:SS PM  0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information. 


Führen Sie auf dem NetWorker-Server als Root- oder Administrator-Nutzer über die Eingabeaufforderung Folgendes aus:

nsradmin -C -y -p nsrexecd "nsr peer information"

Siehe: NetWorker: Automatisches Löschen von nicht übereinstimmenden NSR-Peer-Informationen mit nsradmin -C

Mit diesem Befehl werden alle Peer-Zertifikatressourcen in nsrladb des NetWorker-Servers überprüft und versucht, sie zu korrigieren. Dieser Vorgang muss möglicherweise auch auf den Clients ausgeführt werden, die dieses Problem melden. Dies kann bei vielen Clients der Fall sein, und es wird schwierig, all die verschiedenen Hosts zu isolieren, die korrigiert werden müssen.

Mit dem folgenden Prozess kann ermittelt werden, welche Systeme die Ausführung von "nsradmin -C -y .." erfordern oder bei denen das manuelle Löschen von Peer-Informationen erforderlich ist.
 

Linux-Hosts:

1. Rendern Sie daemon.raw:

nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

NetWorker: Verwenden von nsr_render_log

2. Erstellen Sie eine Datei, die nur die GSS-Authentifizierungsverbindungsfehler enthält:

cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Oder:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
HINWEIS: Abhängig von dem spezifischen GSS-Authentifizierungsfehler, den Sie beobachten, müssen Sie möglicherweise den "Filter" ändern, der von grep verwendet wird, um die erforderliche Ausgabe zu sammeln.

3. Erstellen Sie eine Datei, die nur die Clientnamen aus der GSS-Ausgabedatei enthält:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Dieser Befehl verwendet die Linux-Befehle awk und print, um nur die Spalte zu drucken, die den Clientnamen aus der vollständigen SSL-Verbindungsfehlermeldung enthält. Abhängig von der verwendeten Filternummer müssen Sie möglicherweise die Drucknummer ändern, um die Clientnamen korrekt auszugeben.

4. Überprüfen Sie die Datei mithilfe des eindeutigen Befehls, um nur eine Instanz jedes Clients auszugeben, der dieses Problem meldet:

cat client.out | uniq

Beispiel:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Die Hostnamen in der obigen Ausgabe wurden geändert. Im Vergleich zur daemon.raw die Hunderte von Einträgen für eine Handvoll Clients auflistet, sehen wir jetzt jedoch nur einen Eintrag für jeden Client, der dieses Verhalten gemeldet hat.


5. Stellen Sie eine Verbindung zu den Client-Systemen her, die über SSH oder RDP gemeldet wurden, und verwenden Sie eine Root-/Administrator-Eingabeaufforderung, um Folgendes auszuführen:

nsradmin -C -y -p nsrexecd "nsr peer information"

Wenn Sie diesen Befehl sowohl auf dem Server als auch auf dem Client ausführen, sollte sichergestellt werden, dass die nsrladb auf jedem System die korrekten Peer-Zertifikatinformationen enthält. Wenn eine Nichtübereinstimmung festgestellt wird, wird das Zertifikat gelöscht und beim nächsten Verbindungsversuch zwischen dem Server und dem Client sollte ein neues erzeugt werden.

Der angezeigte nsradmin-Befehl zeigt, welche Hosts eine Nichtübereinstimmung aufweisen und welche Aktion in der Ausgabe durchgeführt wurde.

Informationen zum manuellen Löschen von Peerinformationen finden Sie unter: NetWorker: Korrigieren inkonsistenter NSR-Peerinformationen


6. Die Ausgabedateien können einmalig gelöscht werden, wenn sie nicht mehr benötigt werden:

rm -rf filename

 

Windows-Hosts:

1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung als Administrator.
2. Ändern Sie die Verzeichnisse in das NetWorker-Protokollverzeichnis:

cd "C:\Program Files\EMC NetWorker\nsr\logs"

Im Beispiel wird davon ausgegangen, dass das Standardinstallationsverzeichnis verwendet wird. Wenn Sie NetWorker an einem anderen Speicherort installiert haben, ändern Sie den Befehl entsprechend.

3. Rendern Sie daemon.raw:

nsr_render_log daemon.raw > daemon.out 

NetWorker: Verwenden von nsr_render_log

4. Erstellen Sie eine Datei, die nur die GSS-Authentifizierungsverbindungsfehler enthält:

Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Oder:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
HINWEIS: Abhängig von dem spezifischen GSS-Authentifizierungsfehler, den Sie beobachten, müssen Sie möglicherweise den "Filter" ändern, der von grep verwendet wird, um die erforderliche Ausgabe zu sammeln.

5. Erzeugen einer Ausgabe mit eindeutigen Systemen, die GSS-Authentifizierungsfehler melden:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Dieser Befehl teilt die Ausgabe durch Leerzeichen auf und druckt nur die Spalte mit dem Clientnamen aus den vollständigen GSS-Verbindungsfehlermeldungen. Möglicherweise werden weitere Informationen in dieser Spalte angezeigt. NetWorker-Hosts sollten jedoch identifizierbar sein. Abhängig von der verwendeten Filternummer müssen Sie möglicherweise die Drucknummer ändern, um die Clientnamen korrekt auszugeben.

Beispiel:
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local

6. Stellen Sie eine Verbindung zu den Client-Systemen her, die über SSH oder RDP gemeldet wurden, und verwenden Sie eine Root-/Administrator-Eingabeaufforderung, um Folgendes auszuführen:

nsradmin -C -y -p nsrexecd "nsr peer information"

Wenn Sie diesen Befehl sowohl auf dem Server als auch auf dem Client ausführen, sollte sichergestellt werden, dass die nsrladb auf jedem System die korrekten Peer-Zertifikatinformationen enthält. Wenn eine Nichtübereinstimmung festgestellt wird, wird das Zertifikat gelöscht und beim nächsten Verbindungsversuch zwischen dem Server und dem Client sollte ein neues erzeugt werden.

Der angezeigte nsradmin-Befehl zeigt, welche Hosts eine Nichtübereinstimmung aufweisen und welche Aktion in der Ausgabe durchgeführt wurde.

Informationen zum manuellen Löschen von Peerinformationen finden Sie unter: NetWorker: Korrigieren inkonsistenter NSR-Peerinformationen


7. Die Ausgabedateien können einmal gelöscht werden, wenn sie nicht mehr benötigt werden.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 16 Oct 2023
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.