106320 MM/DD/YYYY HH:MM:SS 5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.
Of
89879 MM/DD/YYYY HH:mm:SS PM 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME
71193 MM/DD/YYYY HH:mm:SS PM 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.
Voer vanaf de NetWorker-server de volgende opdracht uit als root- of administrator-opdrachtprompt:
nsradmin -C -y -p nsrexecd "nsr peer information"
Zie: NetWorker: NSR peer-informatieverschillen automatisch wissen met behulp van nsradmin -C
Met deze opdracht wordt elke peercertificaatbron in de nsrladb van de NetWorker-server gecontroleerd en wordt geprobeerd deze te corrigeren. Deze bewerking moet mogelijk ook worden uitgevoerd op de clients die dit probleem melden. Dit kan voor veel cliënten voorkomen en het wordt moeilijk om alle verschillende hosts te isoleren die correctie vereisen.
Het volgende proces kan worden gebruikt om te bepalen op welke systemen "nsradmin -C -y .." moet worden uitgevoerd of moet informatie handmatig worden verwijderd.
1. Render de daemon.raw:
nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1
NetWorker: Hoe nsr_render_log te gebruiken
2. Maak een bestand met alleen de GSS-authenticatieverbindingsfouten:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out
Of:
cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
cat GSS_error.out | awk {'print $24'} | sort > client.out
Met deze opdracht worden de opdrachten Linux awk en print gebruikt om alleen de kolom met de clientnaam uit de foutmelding over de volledige SSL-verbinding af te drukken. Afhankelijk van het gebruikte filternummer moet u mogelijk het afdruknummer wijzigen om de namen van de klanten correct weer te geven.
4. Controleer het bestand met de unieke opdracht om slechts één exemplaar uit te voeren van elk van de clients die dit probleem melden:
cat client.out | uniq
Voorbeeld:
[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':
De hostnamen in de bovenstaande uitvoer zijn gewijzigd; Vergeleken met de daemon.raw die honderden vermeldingen voor een handvol klanten kan vermelden, zien we nu echter slechts één vermelding voor elke klant die dit gedrag heeft gemeld.
5. Maak verbinding met de clientsystemen die zijn gerapporteerd met behulp van SSH of RDP en gebruik een root-/beheeropdrachtprompt om het volgende uit te voeren:
nsradmin -C -y -p nsrexecd "nsr peer information"
Als u deze opdracht uitvoert op zowel de server als de client, moet u ervoor zorgen dat de nsrladb op elk systeem de juiste informatie over het peer-certificaat bevat. Als een niet-overeenkomende combinatie wordt gedetecteerd, wordt het certificaat verwijderd en wordt bij de volgende verbindingspoging tussen de server en de client een nieuwe certificaat gegenereerd.
De getoonde opdracht nsradmin laat zien welke hosts een niet-overeenkomende combinatie hebben en welke actie er is ondernomen in de output.
Het handmatig verwijderen van peer-informatie wordt beschreven in: NetWorker: Inconsistente NSR-peerinformatie corrigeren
6. De uitvoerbestanden kunnen worden verwijderd zodra ze niet meer nodig zijn:
rm -rf filename
1. Open een Windows Powershell-prompt als beheerder.
2. Wijzig de directory's in de NetWorker-directory "logs":
cd "C:\Program Files\EMC NetWorker\nsr\logs"
In het voorbeeld wordt ervan uitgegaan dat de standaardinstallatielocatie wordt gebruikt. Als u NetWorker op een andere locatie hebt geïnstalleerd, wijzigt u de opdracht dienovereenkomstig.
3. Render de daemon.raw:
nsr_render_log daemon.raw > daemon.out
NetWorker: Hoe nsr_render_log te gebruiken
4. Maak een bestand met alleen de GSS-authenticatieverbindingsfouten:
Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out
Of:
Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
Met deze opdracht wordt de uitvoer opgesplitst in spaties en wordt alleen de kolom met de clientnaam afgedrukt uit de volledige foutmeldingen van de GSS-verbindingsfout. Andere informatie in deze kolom kan worden weergegeven; NetWorker-hosts moeten echter identificeerbaar zijn. Afhankelijk van het gebruikte filternummer moet u mogelijk het afdruknummer wijzigen om de namen van de klanten correct weer te geven.
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
6. Maak verbinding met de clientsystemen die zijn gerapporteerd met behulp van SSH of RDP en gebruik een root-/beheeropdrachtprompt om het volgende uit te voeren:
nsradmin -C -y -p nsrexecd "nsr peer information"
Als u deze opdracht uitvoert op zowel de server als de client, moet u ervoor zorgen dat de nsrladb op elk systeem de juiste informatie over het peer-certificaat bevat. Als een niet-overeenkomende combinatie wordt gedetecteerd, wordt het certificaat verwijderd en wordt bij de volgende verbindingspoging tussen de server en de client een nieuwe certificaat gegenereerd.
De getoonde opdracht nsradmin laat zien welke hosts een niet-overeenkomende combinatie hebben en welke actie er is ondernomen in de output.
Het handmatig verwijderen van peer-informatie wordt beschreven in: NetWorker: Inconsistente NSR-peerinformatie corrigeren
7. De uitvoerbestanden kunnen worden verwijderd zodra ze niet meer nodig zijn.