106320 MM/DD/YYYY HH:MM:SS 5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.
Ou
89879 MM/DD/YYYY HH:mm:SS PM 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME
71193 MM/DD/YYYY HH:mm:SS PM 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.
No servidor do NetWorker, em um prompt de comando de usuário root ou Administrador, execute:
nsradmin -C -y -p nsrexecd "nsr peer information"
Consulte: NetWorker: Como limpar automaticamente as disparidades de NSR peer information usando nsradmin -C
Esse comando verifica cada recurso de certificado de par no nsrladb do servidor NetWorker e tenta corrigi-lo. Essa operação também pode ser executada nos clientes que relatam esse problema. Isso pode estar ocorrendo para muitos clients e fica difícil isolar todos os diferentes hosts que precisam de correção.
O processo a seguir pode ser usado para determinar quais sistemas exigem a execução de "nsradmin -C -y .." ou podem exigir a exclusão manual de informações de par.
1. Renderize o daemon.raw:
nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1
NetWorker: Como usar nsr_render_log
2. Crie um arquivo que contenha apenas os erros de conexão de autenticação do GSS:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out
Ou:
cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
cat GSS_error.out | awk {'print $24'} | sort > client.out
Esse comando usa os comandos awk e print do Linux para imprimir somente a coluna que contém o nome do cliente da mensagem de erro completa da conexão SSL. Dependendo do número do filtro usado, talvez seja necessário modificar o número de impressão para exibir os nomes dos clientes corretamente.
4. Analise o arquivo usando o comando exclusivo para gerar apenas uma instância de cada um dos clients que relatam esse problema:
cat client.out | uniq
Exemplo:
[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':
Os nomes de host na saída acima foram alterados; No entanto, em comparação com o daemon.raw que pode listar centenas de entradas para um punhado de clientes, agora vemos apenas uma entrada para cada cliente que relatou esse comportamento.
5. Conecte-se aos sistemas client relatados usando SSH ou RDP e use um prompt de comando administrativo/raiz para executar:
nsradmin -C -y -p nsrexecd "nsr peer information"
A execução desse comando no servidor e no client deve garantir que o nsrladb de cada sistema contenha as informações corretas do certificado par. Se uma disparidade for detectada, o certificado será excluído e a próxima tentativa de conexão entre o servidor e o client deverá gerar um novo.
O comando nsradmin mostrado mostrará quais hosts têm uma disparidade e qual ação foi tomada no resultado.
A exclusão manual de informações de par é detalhada em: NetWorker: Corrigindo informações inconsistentes de pares do NSR
6. Os arquivos de saída podem ser excluídos quando não forem mais necessários:
rm -rf filename
1. Abra um prompt do Windows PowerShell como Administrador.
2. Altere os diretórios para o diretório "logs" do NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"
O exemplo pressupõe que o local de instalação padrão é usado. Se você instalou o NetWorker em outro local, modifique o comando adequadamente.
3. Renderize o daemon.raw:
nsr_render_log daemon.raw > daemon.out
NetWorker: Como usar nsr_render_log
4. Crie um arquivo que contenha apenas os erros de conexão de autenticação do GSS:
Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out
Ou:
Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique Esse comando divide a saída por espaços e imprime apenas a coluna que contém o nome do cliente das mensagens de erro de conexão completas do GSS. Outras informações nesta coluna podem aparecer; no entanto, os hosts do NetWorker devem ser identificáveis. Dependendo do número do filtro usado, talvez seja necessário modificar o número de impressão para exibir os nomes dos clientes corretamente.
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
6. Conecte-se aos sistemas client relatados usando SSH ou RDP e use um prompt de comando administrativo/raiz para executar:
nsradmin -C -y -p nsrexecd "nsr peer information"
A execução desse comando no servidor e no client deve garantir que o nsrladb de cada sistema contenha as informações corretas do certificado par. Se uma disparidade for detectada, o certificado será excluído e a próxima tentativa de conexão entre o servidor e o client deverá gerar um novo.
O comando nsradmin mostrado mostrará quais hosts têm uma disparidade e qual ação foi tomada no resultado.
A exclusão manual de informações de par é detalhada em: NetWorker: Corrigindo informações inconsistentes de pares do NSR
7. Os arquivos de saída podem ser excluídos uma vez que não são mais necessários.