Data Domain: Po uaktualnieniu do DDOS / DDMC w wersji 7.1.x lub nowszej nie można uzyskać dostępu do interfejsu GUI

Klient uaktualnia DDOS lub DDMC do wersji 7.1.x lub nowszej (będziemy używać DDOS od teraz w celu zapoznania się z DDOS i DDMC), w celu zwięzłości i stwierdzi po zakończeniu aktualizacji, że nie można już uzyskać dostępu do graficznego interfejsu użytkownika. Ponowne uruchomienie usług HTTP/HTTPS z wiersza poleceń również nie działa. W przypadku korzystania z przeglądarki w celu uzyskania dostępu do graficznego interfejsu użytkownika zostanie wyświetlona następująca strona błędu: 
 

Usługa niedostępna

Usługa GRAFICZNEGO interfejsu użytkownika jest tymczasowo niedostępna. Odśwież przeglądarkę, aby spróbować ponownie. Jeśli problem nie ustąpi, skontaktuj się z działem pomocy technicznej firmy Dell EMC, aby uzyskać pomoc

Zaplecze GUI działa z aplikacji opartej na języku Java. Zaplecze GUI nie jest uruchomione. Jeśli ten identyfikator DD został uaktualniony do DDOS 7.1.x lub nowszego, a interfejs GUI uległ awarii od tego czasu, jeśli DD ma relację zaufania z innymi dyskami DD, a dowolny z nich ma certyfikat z kluczem publicznym krótszym niż 2048 bitów, może to być przyczyną tego, że graficzny interfejs użytkownika DD nie uruchamia się, ponieważ bardziej rygorystyczne kontrole w nowszym pakiecie JDK nie przechodzą dla niektórych zaufanych hostów DD.

Najpierw należy ustalić, że jest to dokładnie problem, z którym się mierzymy. Aby tak było, muszą być spełnione wszystkie poniższe warunki:

1. W aplikacji DD, w której graficzny interfejs użytkownika nie uruchamia się, występują problemy z graficznym interfejsem użytkownika tylko od aktualizacji do wersji DDOS 7.1.x lub nowszej
2. Ten DD ma relację zaufania z innymi dyskami DD, z których co najmniej jedna obsługiwała w przeszłości wersję DDOS 5.4.x (lub starszą) lub DDMC 1.1 (lub starszą)
3. Ten DD ma określony zestaw dzienników w celu niemożności uruchomienia zaplecza GUI

Poz. 1 powyżej jest samoobsługowy. Aby sprawdzić, czy 2 powyżej mają zastosowanie, najpierw pobierz listę zaufanych hostów w DD:

# adminaccess trust show

Dla każdego z hostów, którym ten ma zaufanie, sprawdź historię uaktualnień, aby sprawdzić, czy zainstalowano jakikolwiek program DDOS 5.4 (lub wcześniejszy) lub DDMC 1.1 (lub wcześniejszy): 

# historia uaktualnień systemu

Systemy zainstalowane z dowolną z powyższych wersji prawdopodobnie miały certyfikat z podpisem urzędu certyfikacji wygenerowany podczas instalacji z kluczami publicznymi o długości tylko 1024 bitów, które nie są już akceptowane przez JDK po uaktualnieniu do DDOS / DDMC 7.1. Sposobem na sprawdzenie, czy te hosty mają certyfikaty z małymi kluczami publicznymi, jest otwarcie graficznego interfejsu użytkownika i sprawdzenie szczegółów certyfikatu w przeglądarce (sposób na to różni się nieco w zależności od przeglądarki).

Aby potwierdzić element 3 (jeśli dzienniki błędów interfejsu GUI DD dotyczą tego konkretnego problemu), uruchom następujące polecenie, aby otworzyć plik dziennika "em.info":

# debugowanie widoku dziennika/sm/em.info

I wyszukaj (użyj ukośnika do przodu), aby wyszukać te dzienniki ("..." wskazuje, że niektóre dzienniki nie są wyświetlane poniżej dla zwięzłości):

 

+----- + ----- + ----- + SYSTEM (RE) URUCHOM +----- + ----- + ----- +
...
26 lutego 2021 r. 10:33:04,172 INFO [main] Ustawianie nazwy pliku cookie sesji na "JSESSIONID-ddem___HTTPS",
26 lutego 2021 r. 10:33:04, 26 lutego 2021 r. 10:33:04, INFO172 [main] Ustawienie nazwy pliku cookie xsrf na "DD_SSO_TOKEN___HTTPS'26
Feb 2021 10:33:04,382 INFO [main] Injecting the SUN provider's X.509 factory to fix validation issues
...
26 lutego 2021 r. 10:33:05,093 INFO [main] Ponowne inicjowanie certyfikatów między klientem a serwerem

26 lutego 2021 r. 10:33:05,093 INFO [main] Ponowne ładowanie magazynów certyfikatów dla systemu

26 lutego 2021 r. 10:33:05,097 INFO [main] Finished reloading the certificate stores
26 Feb 2021 10:33:05,097 ERROR [main] Exception during command execution: javax.net.ssl.SSLException - Error creating premaster secret. , ponów próbę, nr 1
26 lutego 2021 r. 10:33:05,243 INFO [main] Ponowne inicjowanie certyfikatów między klientem a serwerem
26 lutego 2021 r. 10:33:0 5,243 INFO [main] Ponowne załadowanie magazynów certyfikatów dla systemu
26 lutego 2021 r. 10:33:05,246 INFO [main] Finished reloading the certificate stores

 Oznacza to, że niektóre certyfikaty zaimportowane przez ten DD jako zaufane mają krótki klucz, dlatego graficzny interfejs użytkownika nie może się uruchomić.

Mimo że program DDOS w wersji 7.1 lub nowszej nadal nie ładuje graficznego interfejsu użytkownika w przypadku wyświetlenia z małymi kluczami publicznymi, problem został rozwiązany w kodzie dla wersji DDOS 6.2.1.40 i nowszych oraz DDOS 7.2.0.50 i nowszych, tak aby w przypadku uaktualnienia do takiej wersji certyfikat lokalnego urzędu certyfikacji miał mały klucz publiczny, certyfikat zostanie wygenerowany ponownie przy użyciu dłuższego klucza.
 

Biorąc pod uwagę ten zapis (sierpień 2022 r.) żadne wersje inne niż DDOS 6.2.1.x (tylko dla sprzętu DD2200 i DD250) i DDOS 7.x nie są już obsługiwane, nie jest już dostępne żadne obejście problemu, chociaż w przypadku problematycznych dysków DD można spróbować ponownie wygenerować certyfikat hosta i urzędu certyfikacji z dłuższymi kluczami, a następnie usunąć i ponownie dodać zaufanie między urządzeniami, których dotyczy problem: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual