Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

NetWorker: come identificare i client che richiedono la cancellazione delle informazioni peer "An error occurred as a result of an SSL protocol failure" (in inglese)

Summary: Nel file /nsr/logs/daemon.raw del server NetWorker sono presenti numerosi errori di tipo "Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure". Oltre a un possibile problema di connessione, questa condizione complica l'analisi dei registri per la risoluzione di altri problemi. Questo articolo della Knowledge Base illustra la procedura che è possibile seguire per risolvere questo problema dalla connessione lato server e lato client. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

In alcune situazioni la daemon.raw del server NetWorker potrebbe essere inondata da errori di connessione dell'autenticazione GSS tra due sistemi NetWorker:
106320 MM/DD/YYYY HH:MM:SS  5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host. 

Oppure 

89879 MM/DD/YYYY HH:mm:SS PM  5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME 
71193 MM/DD/YYYY HH:mm:SS PM  0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information. 


Dal server NetWorker, a un prompt dei comandi come utente root o amministratore, eseguire:

nsradmin -C -y -p nsrexecd "nsr peer information"

Vedere: NetWorker: come cancellare automaticamente le mancate corrispondenze delle risorse "NSR peer information" mediante nsradmin -C

Questo comando controlla ogni risorsa del certificato peer nel database nsrladb del server NetWorker e tenta di correggerla. Questa operazione può essere eseguita anche sui client che segnalano questo problema. Ciò può verificarsi per molti client e diventa difficile isolare tutti i diversi host che richiedono una correzione.

Il seguente processo può essere utilizzato per determinare quali sistemi richiedono l'esecuzione di "nsradmin -C -y .." o potrebbero richiedere l'eliminazione manuale delle informazioni peer.
 

Host Linux:

1. Eseguire il rendering di daemon.raw:

nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1

NetWorker: Come utilizzare nsr_render_log (in inglese)

2. Creare un file contenente solo gli errori di connessione dell'autenticazione GSS:

cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out

Oppure:

cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
NOTA: A seconda dell'errore di autenticazione GSS specifico che si sta osservando, potrebbe essere necessario modificare il "filtro" utilizzato da grep per raccogliere l'output richiesto.

3. Creare un file contenente solo i nomi dei client dal file di output GSS:
cat GSS_error.out | awk {'print $24'} | sort > client.out

Questo comando utilizza i comandi awk e print di Linux per stampare solo la colonna contenente il nome del client dal messaggio di errore di connessione SSL completo. A seconda del numero di filtro utilizzato, potrebbe essere necessario modificare il numero di stampa per visualizzare correttamente i nomi dei client.

4. Esaminare il file utilizzando il comando univoco per generare solo un'istanza di ciascuno dei client che riportano questo problema:

cat client.out | uniq

Esempio:

[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out                
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq                              
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':

I nomi host nell'output precedente sono stati modificati; Tuttavia, rispetto al daemon.raw che poteva elencare centinaia di voci per una manciata di client, ora viene visualizzata una sola voce per ogni client che ha segnalato questo comportamento.


5. Connettersi ai sistemi client segnalati tramite SSH o RDP e utilizzare un prompt dei comandi root/amministrativo per eseguire:

nsradmin -C -y -p nsrexecd "nsr peer information"

L'esecuzione di questo comando sia sul server che sul client consente di verificare che il database nsrladb in ogni sistema contenga le informazioni del certificato peer corrette. Se viene rilevata una mancata corrispondenza, il certificato viene eliminato e il successivo tentativo di connessione tra il server e il client dovrebbe generarne uno nuovo.

Il comando nsradmin mostrato mostrerà quali host presentano una mancata corrispondenza e quale azione è stata intrapresa nell'output.

L'eliminazione manuale delle informazioni sui peer è descritta in dettaglio in: NetWorker: Correzione di informazioni NSR peer incoerenti


6. I file di output possono essere eliminati quando non sono più necessari:

rm -rf filename

 

Host Windows:

1. Aprire un prompt di Windows PowerShell come amministratore.
2. Passare alla directory "logs" di NetWorker:

cd "C:\Program Files\EMC NetWorker\nsr\logs"

Nell'esempio si presuppone che venga utilizzato il percorso di installazione predefinito. Se NetWorker è stato installato in un'altra posizione, modificare il comando di conseguenza.

3. Eseguire il rendering di daemon.raw:

nsr_render_log daemon.raw > daemon.out 

NetWorker: Come utilizzare nsr_render_log (in inglese)

4. Creare un file contenente solo gli errori di connessione dell'autenticazione GSS:

Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out

Oppure:

Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
NOTA: A seconda dell'errore di autenticazione GSS specifico che si sta osservando, potrebbe essere necessario modificare il "filtro" utilizzato da grep per raccogliere l'output richiesto.

5. Generare un output che mostra i sistemi univoci che segnalano gli errori di autenticazione GSS:
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Questo comando suddivide l'output in base a spazi e stampa solo la colonna contenente il nome del client dai messaggi di errore di connessione GSS completi. Potrebbero essere visualizzate altre informazioni in questa colonna; tuttavia, gli host NetWorker devono essere identificabili. A seconda del numero di filtro utilizzato, potrebbe essere necessario modificare il numero di stampa per visualizzare correttamente i nomi dei client.

Esempio:
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local

6. Connettersi ai sistemi client segnalati tramite SSH o RDP e utilizzare un prompt dei comandi root/amministrativo per eseguire:

nsradmin -C -y -p nsrexecd "nsr peer information"

L'esecuzione di questo comando sia sul server che sul client consente di verificare che il database nsrladb in ogni sistema contenga le informazioni del certificato peer corrette. Se viene rilevata una mancata corrispondenza, il certificato viene eliminato e il successivo tentativo di connessione tra il server e il client dovrebbe generarne uno nuovo.

Il comando nsradmin mostrato mostrerà quali host presentano una mancata corrispondenza e quale azione è stata intrapresa nell'output.

L'eliminazione manuale delle informazioni sui peer è descritta in dettaglio in: NetWorker: Correzione di informazioni NSR peer incoerenti


7. I file di output possono essere eliminati quando non sono più necessari.

Affected Products

NetWorker
Article Properties
Article Number: 000190453
Article Type: How To
Last Modified: 16 Oct 2023
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.