106320 MM/DD/YYYY HH:MM:SS 5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.
Oder
89879 MM/DD/YYYY HH:mm:SS PM 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME
71193 MM/DD/YYYY HH:mm:SS PM 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.
Führen Sie auf dem NetWorker-Server als Root- oder Administrator-Nutzer über die Eingabeaufforderung Folgendes aus:
nsradmin -C -y -p nsrexecd "nsr peer information"
Siehe: NetWorker: Automatisches Löschen von nicht übereinstimmenden NSR-Peer-Informationen mit nsradmin -C
Mit diesem Befehl werden alle Peer-Zertifikatressourcen in nsrladb des NetWorker-Servers überprüft und versucht, sie zu korrigieren. Dieser Vorgang muss möglicherweise auch auf den Clients ausgeführt werden, die dieses Problem melden. Dies kann bei vielen Clients der Fall sein, und es wird schwierig, all die verschiedenen Hosts zu isolieren, die korrigiert werden müssen.
Mit dem folgenden Prozess kann ermittelt werden, welche Systeme die Ausführung von "nsradmin -C -y .." erfordern oder bei denen das manuelle Löschen von Peer-Informationen erforderlich ist.
1. Rendern Sie daemon.raw:
nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1
NetWorker: Verwenden von nsr_render_log
2. Erstellen Sie eine Datei, die nur die GSS-Authentifizierungsverbindungsfehler enthält:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out
Oder:
cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
cat GSS_error.out | awk {'print $24'} | sort > client.out
Dieser Befehl verwendet die Linux-Befehle awk und print, um nur die Spalte zu drucken, die den Clientnamen aus der vollständigen SSL-Verbindungsfehlermeldung enthält. Abhängig von der verwendeten Filternummer müssen Sie möglicherweise die Drucknummer ändern, um die Clientnamen korrekt auszugeben.
4. Überprüfen Sie die Datei mithilfe des eindeutigen Befehls, um nur eine Instanz jedes Clients auszugeben, der dieses Problem meldet:
cat client.out | uniq
Beispiel:
[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':
Die Hostnamen in der obigen Ausgabe wurden geändert. Im Vergleich zur daemon.raw die Hunderte von Einträgen für eine Handvoll Clients auflistet, sehen wir jetzt jedoch nur einen Eintrag für jeden Client, der dieses Verhalten gemeldet hat.
5. Stellen Sie eine Verbindung zu den Client-Systemen her, die über SSH oder RDP gemeldet wurden, und verwenden Sie eine Root-/Administrator-Eingabeaufforderung, um Folgendes auszuführen:
nsradmin -C -y -p nsrexecd "nsr peer information"
Wenn Sie diesen Befehl sowohl auf dem Server als auch auf dem Client ausführen, sollte sichergestellt werden, dass die nsrladb auf jedem System die korrekten Peer-Zertifikatinformationen enthält. Wenn eine Nichtübereinstimmung festgestellt wird, wird das Zertifikat gelöscht und beim nächsten Verbindungsversuch zwischen dem Server und dem Client sollte ein neues erzeugt werden.
Der angezeigte nsradmin-Befehl zeigt, welche Hosts eine Nichtübereinstimmung aufweisen und welche Aktion in der Ausgabe durchgeführt wurde.
Informationen zum manuellen Löschen von Peerinformationen finden Sie unter: NetWorker: Korrigieren inkonsistenter NSR-Peerinformationen
6. Die Ausgabedateien können einmalig gelöscht werden, wenn sie nicht mehr benötigt werden:
rm -rf filename
1. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung als Administrator.
2. Ändern Sie die Verzeichnisse in das NetWorker-Protokollverzeichnis:
cd "C:\Program Files\EMC NetWorker\nsr\logs"
Im Beispiel wird davon ausgegangen, dass das Standardinstallationsverzeichnis verwendet wird. Wenn Sie NetWorker an einem anderen Speicherort installiert haben, ändern Sie den Befehl entsprechend.
3. Rendern Sie daemon.raw:
nsr_render_log daemon.raw > daemon.out
NetWorker: Verwenden von nsr_render_log
4. Erstellen Sie eine Datei, die nur die GSS-Authentifizierungsverbindungsfehler enthält:
Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out
Oder:
Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique Dieser Befehl teilt die Ausgabe durch Leerzeichen auf und druckt nur die Spalte mit dem Clientnamen aus den vollständigen GSS-Verbindungsfehlermeldungen. Möglicherweise werden weitere Informationen in dieser Spalte angezeigt. NetWorker-Hosts sollten jedoch identifizierbar sein. Abhängig von der verwendeten Filternummer müssen Sie möglicherweise die Drucknummer ändern, um die Clientnamen korrekt auszugeben.
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
6. Stellen Sie eine Verbindung zu den Client-Systemen her, die über SSH oder RDP gemeldet wurden, und verwenden Sie eine Root-/Administrator-Eingabeaufforderung, um Folgendes auszuführen:
nsradmin -C -y -p nsrexecd "nsr peer information"
Wenn Sie diesen Befehl sowohl auf dem Server als auch auf dem Client ausführen, sollte sichergestellt werden, dass die nsrladb auf jedem System die korrekten Peer-Zertifikatinformationen enthält. Wenn eine Nichtübereinstimmung festgestellt wird, wird das Zertifikat gelöscht und beim nächsten Verbindungsversuch zwischen dem Server und dem Client sollte ein neues erzeugt werden.
Der angezeigte nsradmin-Befehl zeigt, welche Hosts eine Nichtübereinstimmung aufweisen und welche Aktion in der Ausgabe durchgeführt wurde.
Informationen zum manuellen Löschen von Peerinformationen finden Sie unter: NetWorker: Korrigieren inkonsistenter NSR-Peerinformationen
7. Die Ausgabedateien können einmal gelöscht werden, wenn sie nicht mehr benötigt werden.