Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

NetWorker: Sådan identificerer du, hvilke klienter der kræver rydning af peer-oplysninger "Der opstod en fejl som følge af en SSL-protokolfejl"

Summary: NetWorker-serverens /nsr/logs/daemon.raw oversvømmes med "Kan ikke fuldføre SSL-handshake med nsrexecd på værten 'CLIENT_NAME": Der opstod en fejl som følge af en SSL-protokolfejl". Bortset fra et muligt forbindelsesproblem gør dette parsing af logfilerne til enhver anden fejlfinding vanskelig. Denne KB fremhæver trin, der kan følges for at løse dette problem fra både serveren og klientsiden. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

I nogle situationer kan NetWorker-serverens daemon.raw blive oversvømmet med GSS-godkendelsesforbindelsesfejl mellem to NetWorker-systemer:
106320 MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host. 

Eller 

89879 MM/DD/YYYY HH:mm:SS PM  5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME 
71193 MM/DD/YYYY HH:mm:SS PM  0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information. 


Fra NetWorker-serveren, når rod- eller administratorkommandoprompten køres:

nsradmin -C -y -p nsrexecd "nsr peer information"

Se: NetWorker: Sådan rydder du NSR peer information, der ikke stemmer overens automatisk ved hjælp af nsradmin -C

Denne kommando kontrollerer hver peer-certifikatressource i NetWorker-serverens nsrladb og forsøger at rette den. Denne handling skal muligvis også køres på de klienter, der rapporterer dette problem. Dette kan forekomme for mange klienter, og det bliver svært at isolere alle de forskellige værter, der kræver korrektion.

Følgende proces kan bruges til at bestemme, hvilke systemer der kræver kørsel af "nsradmin -C -y .." eller kan kræve manuel sletning af peer-oplysninger.
 

Linux-værter:

1. Gengiv daemon.raw:

nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

NetWorker: Sådan bruger du nsr_render_log

2. Opret en fil, der kun indeholder GSS-godkendelsesforbindelsesfejl:

cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Eller:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
BEMÆRK: Afhængigt af den specifikke GSS-godkendelsesfejl, du observerer, skal du muligvis ændre det "filter", der bruges af grep til at indsamle det nødvendige output.

3. Opret en fil, der kun indeholder klientnavnene fra GSS-outputfilen:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Denne kommando bruger Linux' awk- og print-kommandoer til kun at udskrive den kolonne , der indeholder klientnavnet, fra den fulde SSL-forbindelsesfejlmeddelelse. Afhængigt af det anvendte filternummer skal du muligvis ændre udskriftsnummeret for at få vist klientnavnene korrekt.

4. Gennemse filen ved hjælp af den unikke kommando for kun at sende én forekomst af hver af de klienter, der rapporterer dette problem:

cat client.out | uniq

Eksempel:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

Værtsnavnene i ovenstående output er blevet ændret; Men sammenlignet med de daemon.raw, der kan vise hundredvis af poster for en håndfuld klienter, ser vi nu kun én post for hver klient, der har rapporteret denne adfærd.


5. Opret forbindelse til de klientsystemer, der er rapporteret ved brug af SSH eller RDP, og brug en rod-/administrativ kommandoprompt til at køre:

nsradmin -C -y -p nsrexecd "nsr peer information"

Kørsel af denne kommando på både serveren og klienten bør sikre, at nsrladb på hvert system indeholder de korrekte peer-certifikatoplysninger. Hvis der registreres en uoverensstemmelse, slettes certifikatet, og det næste forsøg på at oprette forbindelse mellem serveren og klienten bør generere et nyt.

Den viste nsradmin-kommando viser, hvilke værter der har en uoverensstemmelse, og hvilken handling der blev udført i outputtet.

Manuel sletning af peer-oplysninger er beskrevet i: NetWorker: Rettelse af inkonsistente NSR-peeroplysninger


6. Outputfilerne kan slettes, når der ikke længere er brug for dem:

rm -rf filename

 

Windows-værter:

1. Åbn en Windows PowerShell-prompt som administrator.
2. Skift mapper til NetWorker-mappen "logfiler":

cd "C:\Program Files\EMC NetWorker\nsr\logs"

I eksemplet antages det, at standardinstallationsplaceringen bruges. Hvis du har installeret NetWorker et andet sted, skal du ændre kommandoen i overensstemmelse hermed.

3. Gengiv daemon.raw:

nsr_render_log daemon.raw > daemon.out 

NetWorker: Sådan bruger du nsr_render_log

4. Opret en fil, der kun indeholder GSS-godkendelsesforbindelsesfejl:

Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Eller:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
BEMÆRK: Afhængigt af den specifikke GSS-godkendelsesfejl, du observerer, skal du muligvis ændre det "filter", der bruges af grep til at indsamle det nødvendige output.

5. Generer output, der viser unikke systemer, der rapporterer GSS-godkendelsesfejl:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Denne kommando opdeler outputtet efter mellemrum og udskriver kun den kolonne , der indeholder klientnavnet, fra de fulde GSS-forbindelsesfejlmeddelelser. Andre oplysninger i denne kolonne kan forekomme; NetWorker-værter skal dog kunne identificeres. Afhængigt af det anvendte filternummer skal du muligvis ændre udskriftsnummeret for at få vist klientnavnene korrekt.

Eksempel:
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local

6. Opret forbindelse til de klientsystemer, der er rapporteret ved brug af SSH eller RDP, og brug en rod-/administrativ kommandoprompt til at køre:

nsradmin -C -y -p nsrexecd "nsr peer information"

Kørsel af denne kommando på både serveren og klienten bør sikre, at nsrladb på hvert system indeholder de korrekte peer-certifikatoplysninger. Hvis der registreres en uoverensstemmelse, slettes certifikatet, og det næste forsøg på at oprette forbindelse mellem serveren og klienten bør generere et nyt.

Den viste nsradmin-kommando viser, hvilke værter der har en uoverensstemmelse, og hvilken handling der blev udført i outputtet.

Manuel sletning af peer-oplysninger er beskrevet i: NetWorker: Rettelse af inkonsistente NSR-peeroplysninger


7. Outputfilerne kan slettes, når der ikke længere er brug for dem.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 16 Oct 2023
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.