Data Domain: Po uaktualnieniu do wersji DDOS / DDMC 7.1.x lub nowszej nie można już uzyskać dostępu do GUI

Klient uaktualnia DDOS lub DDMC do wersji 7.1.x lub nowszej (odtąd będziemy używać DDOS w odniesieniu do DDOS i DDMC), a po zakończeniu aktualizacji dowiaduje się, że nie jest już możliwy dostęp do graficznego interfejsu użytkownika. Ponowne uruchomienie usług HTTP/HTTPS z wiersza poleceń również nie działa. Podczas korzystania z przeglądarki w celu uzyskania dostępu do graficznego interfejsu użytkownika zostanie wyświetlona następująca strona błędu: 
 

Usługa jest niedostępna

Usługa graficznego interfejsu użytkownika jest tymczasowo niedostępna. Odśwież przeglądarkę, aby spróbować ponownie. Jeśli problem będzie się powtarzał, skontaktuj się z pomocą techniczną firmy Dell EMC, aby uzyskać pomoc

Backend GUI uruchamia aplikację opartą na języku Java. Backend GUI nie jest uruchomiony. Jeśli ten DD został uaktualniony do wersji DDOS 7.1.x lub nowszej i od tego czasu interfejs GUI nie działa, jeśli DD ma relację zaufania z innymi systemami DD i którykolwiek z nich ma certyfikat z kluczem publicznym krótszym niż 2048 bitów, może to być przyczyną nieuruchamiania się graficznego interfejsu użytkownika systemu DD. ponieważ bardziej rygorystyczne kontrole w nowszym pakiecie JDK nie kończą się powodzeniem dla niektórych zaufanych hostów DD.

Po pierwsze, należy upewnić się, że jest to dokładnie problem, z którym mamy do czynienia. Aby tak było, muszą być spełnione wszystkie poniższe warunki:

1. System DD, w którym interfejs graficzny się nie uruchamia, napotyka problemy z graficznym interfejsem użytkownika tylko od czasu uaktualnienia do wersji DDOS 7.1.x lub nowszej
2. Ten system DD ma relację zaufania z innymi systemami DD, z których co najmniej jeden korzystał w przeszłości z wersją DDOS 5.4.x (lub starszą) lub DDMC 1.1 (lub starszym)
3. Ten DD zawiera określony zestaw dzienników dla awarii w celu uruchomienia backendu GUI

Punkt 1 powyżej nie wymaga wyjaśnień. Aby ustalić, czy 2 powyższe ma zastosowanie, najpierw uzyskaj listę zaufanych hostów w DD :

# adminaccess trust show

Dla każdego z hostów, do których ten host ma zaufanie, sprawdź ich historię aktualizacji, aby zobaczyć, czy któryś z nich został zainstalowany z DDOS 5.4 (lub wcześniejszym) lub DDMC 1.1 (lub wcześniejszym): 

# Historia aktualizacji systemu

Systemy zainstalowane z którąkolwiek z powyższych wersji prawdopodobnie miały certyfikat z podpisem własnym instytucji certyfikującej wygenerowany podczas instalacji z kluczami publicznymi o długości zaledwie 1024 bitów, które nie są już akceptowane przez JDK po uaktualnieniu do DDOS / DDMC 7.1. Możliwym sposobem, aby dowiedzieć się, czy te hosty mają certyfikaty z małymi kluczami publicznymi, jest otwarcie dla nich graficznego interfejsu użytkownika i sprawdzenie szczegółów certyfikatu z przeglądarki (sposób ten różni się nieznacznie w zależności od przeglądarki).

Aby potwierdzić punkt 3 (jeśli dzienniki błędów graficznego interfejsu użytkownika DD dotyczą tego konkretnego problemu), uruchom następujące polecenie, aby otworzyć plik dziennika "em.info":

# log view debug/sm/em.info

I wyszukaj (użyj ukośnika), aby wyszukać te dzienniki ("..." wskazuje, że niektóre dzienniki nie są pokazane poniżej dla zwięzłości) :

 

+-----+-----+-----+ PONOWNE URUCHOMIENIE SYSTEMU +-----+-----+-----+
...
26 lut 2021 10:33:04,172 INFO [główne] Ustawienie nazwy pliku cookie sesji na "JSESSIONID-ddem___HTTPS'26
lut 2021 10:33:04,172 INFO [główne] Ustawienie nazwy pliku cookie xsrf na "DD_SSO_TOKEN___HTTPS"
26 lut 2021 10:33:04,382 INFO [główne] Wstrzykiwanie fabryki X.509 dostawcy SUN w celu rozwiązania problemów z walidacją
...
26 lut 2021 10:33:05,093 INFO [główne] Ponowne inicjowanie certyfikatów między klientem a serwerem

26 lut 2021 10:33:05,093 INFO [główne] Ponowne ładowanie magazynów certyfikatów dla systemu

26 lut 2021 10:33:05,097 INFO [main] Zakończono przeładowywanie magazynów
certyfikatów26 lut 2021 10:33:05,097 BŁĄD [main] Wyjątek podczas wykonywania polecenia: javax.net.ssl.SSLException - Błąd podczas tworzenia klucza tajnego premastera. , spróbuje ponownie, Próba# 1
26 lut 2021 10:33:05,243 INFO [główne] Ponowne inicjalizowanie certyfikatów między klientem a serwerem
26 lut 2021 10:33:05,243 INFO [główne] Ponowne ładowanie magazynów certyfikatów dla systemu
26 lut 2021 10:33:05,246 INFO [główne] Zakończono ponowne ładowanie magazynów certyfikatów

 Oznaczałoby to, że niektóre certyfikaty zaimportowane przez ten DD jako zaufane mają krótki klucz, a zatem nie można uruchomić graficznego interfejsu użytkownika.

Mimo że DDOS 7.1 lub nowszy będzie nadal nie ładować graficznego interfejsu użytkownika po wyświetleniu certyfikatów z małymi kluczami publicznymi, problem został rozwiązany w kodzie dla wersji DDOS 6.2.1.40 i nowszych oraz DDOS 7.2.0.50 i nowszych, dzięki czemu jeśli podczas uaktualniania do takiej wersji certyfikat lokalnego urzędu certyfikacji będzie miał mały klucz publiczny, Certyfikat zostanie wygenerowany ponownie z dłuższym kluczem.
 

Biorąc pod uwagę, że w chwili pisania tego tekstu (sierpień 2022 r.) nie są już obsługiwane żadne wersje inne niż DDOS 6.2.1.x (tylko dla sprzętu DD2200 i DD250) i DDOS 7.x, obejście nie jest zapewnione, chociaż w przypadku obraźliwych DD można spróbować ponownie wygenerować certyfikat hosta i CA z dłuższymi kluczami, a następnie usunąć i ponownie dodać zaufanie między urządzeniami, których dotyczy problem: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual