106320 MM/DD/YYYY HH:MM:SS 5 13 9 3635926784 26586 0 NSR_HOSTNAME nsrexecd SSL critical Unable to complete SSL handshake with nsrexecd on host 'CLIENT_NAME': An error occurred as a result of an SSL protocol failure. To complete this request, ensure that the certificate attributes for CLIENT_NAME and NSR_NAME match in the NSRLA database on each host.
Oppure
89879 MM/DD/YYYY HH:mm:SS PM 5 12 10 11256 2900 0 NSR_NAME nsrexecd GSS critical An authentication request from CLIENT_NAME was denied. The 'NSR peer information' provided did not match the one stored by NSR_NAME. To accept this request, delete the 'NSR peer information' resource with the following attributes from NSR_NAME's NSRLA database: name: CLIENT_NAME; NW instance ID: e801c494-00000004-250789f1-63efbfdf-00015000-bc5da456; peer hostname: CLIENT_NAME
71193 MM/DD/YYYY HH:mm:SS PM 0 0 0 6384 6380 0 NSR_NAME nsrd NSR info Authentication Warning: Conflicting NSR peer information resources detected for host 'CLIENT_NAME'. Please check server daemon log for more information.
Dal server NetWorker, a un prompt dei comandi come utente root o amministratore, eseguire:
nsradmin -C -y -p nsrexecd "nsr peer information"
Questo comando controlla ogni risorsa del certificato peer nel database nsrladb del server NetWorker e tenta di correggerla. Questa operazione può essere eseguita anche sui client che segnalano questo problema. Ciò può verificarsi per molti client e diventa difficile isolare tutti i diversi host che richiedono una correzione.
Il seguente processo può essere utilizzato per determinare quali sistemi richiedono l'esecuzione di "nsradmin -C -y .." o potrebbero richiedere l'eliminazione manuale delle informazioni peer.
1. Eseguire il rendering di daemon.raw:
nsr_render_log /nsr/logs/daemon.raw > /nsr/logs/daemon.out 2<&1
NetWorker: Come utilizzare nsr_render_log (in inglese)
2. Creare un file contenente solo gli errori di connessione dell'autenticazione GSS:
cat /nsr/logs/daemon.out | grep "SSL handshake" > GSS_error.out
Oppure:
cat /nsr/logs/daemon.out | grep "NSR peer information" > GSS_error.out
cat GSS_error.out | awk {'print $24'} | sort > client.out
Questo comando utilizza i comandi awk e print di Linux per stampare solo la colonna contenente il nome del client dal messaggio di errore di connessione SSL completo. A seconda del numero di filtro utilizzato, potrebbe essere necessario modificare il numero di stampa per visualizzare correttamente i nomi dei client.
4. Esaminare il file utilizzando il comando univoco per generare solo un'istanza di ciascuno dei client che riportano questo problema:
cat client.out | uniq
Esempio:
[root@nsrserver logs]# nsr_render_log daemon.raw > daemon.out 2<&1
[root@nsrserver logs]# cat daemon.out | grep "SSL handshake" > GSS_error.out
[root@nsrserver logs]# cat GSS_error.out | awk {'print $24'} | sort > client.out
[root@nsrserver logs]# cat client.out | uniq
'client1':
'client2':
'client3':
'client4':
'client5':
'client6':
I nomi host nell'output precedente sono stati modificati; Tuttavia, rispetto al daemon.raw che poteva elencare centinaia di voci per una manciata di client, ora viene visualizzata una sola voce per ogni client che ha segnalato questo comportamento.
5. Connettersi ai sistemi client segnalati tramite SSH o RDP e utilizzare un prompt dei comandi root/amministrativo per eseguire:
nsradmin -C -y -p nsrexecd "nsr peer information"
L'esecuzione di questo comando sia sul server che sul client consente di verificare che il database nsrladb in ogni sistema contenga le informazioni del certificato peer corrette. Se viene rilevata una mancata corrispondenza, il certificato viene eliminato e il successivo tentativo di connessione tra il server e il client dovrebbe generarne uno nuovo.
Il comando nsradmin mostrato mostrerà quali host presentano una mancata corrispondenza e quale azione è stata intrapresa nell'output.
L'eliminazione manuale delle informazioni sui peer è descritta in dettaglio in: NetWorker: Correzione di informazioni NSR peer incoerenti
6. I file di output possono essere eliminati quando non sono più necessari:
rm -rf filename
1. Aprire un prompt di Windows PowerShell come amministratore.
2. Passare alla directory "logs" di NetWorker:
cd "C:\Program Files\EMC NetWorker\nsr\logs"
Nell'esempio si presuppone che venga utilizzato il percorso di installazione predefinito. Se NetWorker è stato installato in un'altra posizione, modificare il comando di conseguenza.
3. Eseguire il rendering di daemon.raw:
nsr_render_log daemon.raw > daemon.out
NetWorker: Come utilizzare nsr_render_log (in inglese)
4. Creare un file contenente solo gli errori di connessione dell'autenticazione GSS:
Select-String -Path .\daemon.out -pattern "SSL handshake" > GSS_error.out
Oppure:
Select-String -Path .\daemon.out -pattern "NSR peer information" > GSS_error.out
Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique Questo comando suddivide l'output in base a spazi e stampa solo la colonna contenente il nome del client dai messaggi di errore di connessione GSS completi. Potrebbero essere visualizzate altre informazioni in questa colonna; tuttavia, gli host NetWorker devono essere identificabili. A seconda del numero di filtro utilizzato, potrebbe essere necessario modificare il numero di stampa per visualizzare correttamente i nomi dei client.
PS C:\Program Files\EMC NetWorker\nsr\logs> Get-Content .\GSS_error.out | %{ $_.Split(' ')[9]; } | Sort | Unique
13120
13932
2808
2828
2856
2900
2920
2956
5716
6088
6328
6380
6772
6852
8196
9388
networker-mc.emclab.local
redhat.emclab.local
winsrvr.emclab.local
6. Connettersi ai sistemi client segnalati tramite SSH o RDP e utilizzare un prompt dei comandi root/amministrativo per eseguire:
nsradmin -C -y -p nsrexecd "nsr peer information"
L'esecuzione di questo comando sia sul server che sul client consente di verificare che il database nsrladb in ogni sistema contenga le informazioni del certificato peer corrette. Se viene rilevata una mancata corrispondenza, il certificato viene eliminato e il successivo tentativo di connessione tra il server e il client dovrebbe generarne uno nuovo.
Il comando nsradmin mostrato mostrerà quali host presentano una mancata corrispondenza e quale azione è stata intrapresa nell'output.
L'eliminazione manuale delle informazioni sui peer è descritta in dettaglio in: NetWorker: Correzione di informazioni NSR peer incoerenti
7. I file di output possono essere eliminati quando non sono più necessari.