Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Data Domain: Na het upgraden naar DDOS/DDMC 7.1.x of hoger, kan de GUI niet meer worden geopend

Summary: Als gevolg van strengere beveiligingscontroles in de DD- en DDMC GUI-backends na DDOS/DDMC 7.1.x en hoger, kunnen sommige certificaten voor vertrouwde DD-hosts die eerder zijn geaccepteerd, niet na de upgrade worden geaccepteerd, wat resulteert in het niet kunnen opstarten van de GUI na de DDOS-upgrade ...

This article applies to   This article does not apply to 
Check out resources for

Symptoms

Een klant voert upgrades van DDOS of DDMC uit naar versie 7.1.x of hoger (we gebruiken DDOS vanaf nu om zowel DDOS als DDMC te raadplegen) en ontdekt nadat de upgrade is voltooid dat het niet meer mogelijk is om toegang te krijgen tot de GUI. Het opnieuw opstarten van de HTTP/HTTPS-services vanaf de opdrachtregel zorgt er ook niet voor dat deze werken. Wanneer u een browser gebruikt om toegang te krijgen tot de GUI, wordt de volgende foutpagina weergegeven: 
 

Service niet beschikbaar

De GUI-service is tijdelijk niet beschikbaar. Vernieuw de browser om het opnieuw te proberen. Als het probleem zich blijft voordoen, neemt u contact op met Dell EMC Support voor hulp

Cause

De GUI-backend wordt uitgevoerd op een Java-applicatie. GUI-backend wordt niet uitgevoerd. Als deze DD is geüpgraded naar DDOS 7.1.x of hoger en de GUI mislukt sinds, als de DD een vertrouwensrelatie heeft met andere DD's en een van deze een cerificate heeft met een openbare sleutel korter dan 2048 bits, kan dit de oorzaak zijn waarom de DD GUI niet wordt opgestart, omdat striktere controles in de nieuwere gebundelde JDK niet slagen voor sommige van de vertrouwde DD-hosts.

Resolution

Eerst moet u nagaan of dit precies het probleem is waarmee u wordt geconfronteerd. Om dit te kunnen doen, moeten alle onderstaande voorwaarden voldoen aan:
  1. DD waarbij de GUI niet wordt opgestart, ondervindt alleen problemen met de GUI sinds een upgrade naar DDOS 7.1.x of hoger
  2. Deze DD heeft een vertrouwensrelatie met andere DD's waarvan een of meer in het verleden een DDOS 5.4.x-versie (of ouder) of DDMC 1.1 (of ouder) hadden uitgevoerd
  3. Deze DD heeft een bepaalde set logboeken voor het niet starten van de GUI-backend

Item 1 hierboven spreekt voor zich. Om te bepalen of bovenstaande 2 van toepassing is, krijgt u eerst de lijst met vertrouwde hosts in de DD:

# adminaccess trust show

Voor elk van de hosts waarmee deze is vertrouwd, controleert u hun upgradegeschiedenis om te zien of er een is geïnstalleerd met DDOS 5.4 (of eerder) of DDMC 1.1 (of eerder): 

# geschiedenis van systeemupgrade

Systemen die zijn geïnstalleerd met een van de bovenstaande versies hebben waarschijnlijk een zelfondertekend CA-certificaat gegenereerd bij installatie met openbare sleutels, slechts 1024 bits lang, die niet langer worden geaccepteerd door JDK na een upgrade naar DDOS/DDMC 7.1. Een mogelijke manier om te leren of deze hosts certificaten hebben met kleine openbare sleutels, is door de GUI te openen en de certificaatgegevens van een browser te controleren (de manier om dit te doen varieert enigszins in browsers).


Om item 3 te bevestigen (als de DD GUI-foutlogboeken voor dit specifieke probleem zijn), voert u de volgende opdracht uit om het logboekbestand "em.info" te openen:

# logboekweergave foutopsporing/sm/em.info


En zoek (gebruik een schuine streep) om naar deze logboeken te zoeken ("..." geeft aan dat sommige logboeken hieronder niet worden weergegeven voor beknoptheid):

 

+-----+-----+-----+ SYSTEEM (RE)START +-----+-----+-----+
...
26 feb 2021 10:33:04,172 INFO [main] De cookienaam van de sessie instellen op 'JSESSIONID-ddem___HTTPS'26
feb 2021 10:33:04,172 INFO [main] De xsrf-cookienaam instellen op 'DD_SSO_TOKEN___HTTPS'26
feb 2021 10:33:04,382 INFO [main] De X.509 fabriek van de SUN provider injecteren om validatieproblemen
op te lossen...
26 feb 2021 10:33:05.093 INFO [main] De certificaten tussen de client en de server opnieuw initialiseren

26 feb 2021 10:33:05.093 INFO [main] De certificaatstores voor het systeem opnieuw laden

26 feb 2021 10:33:05,097 INFO [main] Finished reloading the certificate stores
26 feb 2021 10:33:05,097 ERROR [main] Exception during command execution: javax.net.ssl.SSLException - Error creating premaster secret. , zal het opnieuw proberen, Poging# 1
26 feb 2021 10:33:05,243 INFO [main] De certificaten tussen de client en de server
opnieuw initialiseren 26 feb 2021 10:33:05.243 INFO [main] De certificaatstores voor het systeem
opnieuw laden 26 feb 2021 10:33:05,246 INFO [main] Klaar met het opnieuw laden van de certificaatstores

 Dat zou duiden op een deel van het certificaat dat deze DD heeft geïmporteerd als vertrouwd, heeft een korte sleutel en daarom kan de GUI niet starten.

Hoewel DDOS 7.1 of hoger het laden van de GUI blijft mislukken bij het laden van certificeringen met kleine openbare sleutels, is het probleem opgelost in de code voor versies DDOS 6.2.1.40 en hoger, en DDOS 7.2.0.50 en hoger, zodat als bij het upgraden naar een dergelijke release het lokale CA-certificaat een kleine openbare sleutel heeft, het certificaat wordt opnieuw gegenereerd met een langere sleutel.
 

Aangezien vanaf dit schrijven (augustus 2022) geen andere releases dan DDOS 6.2.1.x (alleen voor DD2200- en DD250-hardware) en DDOS 7.x worden ondersteund, wordt er geen tijdelijke oplossing geboden, hoewel u voor de beledigende DD's het host- en CA-certificaat opnieuw kunt genereren met langere toetsen, en vervolgens het vertrouwen tussen de betreffende apparaten verwijdert en opnieuw toevoegt: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert generatee-ca
# adminaccess trust voeg host dd-trusted-1 type mutual toe


 

Affected Products

Data Domain