Data Domain: Nach dem Upgrade auf DDOS/DDMC 7.1.x oder höher kann auf die GUI nicht mehr zugegriffen werden.

Ein Kunde führt ein Upgrade von DDOS oder DDMC auf Version 7.1.x oder höher durch (wir verwenden ab sofort DD OS, um DDOS und DDMC zu verwenden), und findet nach Abschluss des Upgrades heraus, dass es nicht mehr möglich ist, auf die GUI zuzugreifen. Der Neustart der HTTP-/HTTPS-Services über die Befehlszeile funktioniert auch nicht. Wenn Sie einen Browser für den Zugriff auf die GUI verwenden, wird die folgende Fehlerseite angezeigt: 
 

Service nicht verfügbar

Der GUI-Service ist vorübergehend nicht verfügbar. Aktualisieren Sie den Browser, um es erneut zu versuchen. Wenn das Problem weiterhin besteht, wenden Sie sich an den Dell EMC Support, um Unterstützung zu erhalten.

Das GUI-Back-end wird von einer Java-basierten Anwendung ausgeführt. Das GUI-Back-end wird nicht ausgeführt. Wenn dieses DD auf DDOS 7.1.x oder höher aktualisiert wurde und die GUI seitdem fehlschlägt, wenn die DD eine Vertrauensbeziehung zu anderen DDs hat und eine von ihnen ein Zertifikat mit einem öffentlichen Schlüssel hat, der kürzer als 2048 Bit ist, kann dies der Grund sein, warum die DD GUI nicht gestartet wird. da strengere Prüfungen im neueren gebündelten JDK für einige der vertrauenswürdigen DD-Hosts nicht erfolgreich sind.

Zunächst muss festgestellt werden, dass dies genau das Problem ist, mit dem es konfrontiert ist. Damit dies der Fall ist, müssen alle unten aufgeführten Bedingungen folgende Bedingungen erfüllen:

1. Bei DD, bei dem die GUI nicht gestartet wird, treten die GUI-Probleme erst seit dem Upgrade auf DDOS 7.1.x oder höher auf.
2. Diese DD hat eine Vertrauensbeziehung zu anderen DDs, von denen eine oder mehrere in der Vergangenheit eine DDOS 5.4.x-Version (oder älter) oder DDMC 1.1 (oder älter) ausgeführt haben.
3. Dieser DD verfügt über einen bestimmten Satz von Protokollen für den Fehler beim Starten des GUI-Back-end.

Element 1 oben ist selbsterklärend. Um festzustellen, ob 2 oben gilt, rufen Sie zunächst die Liste der vertrauenswürdigen Hosts in DD ab:

# adminaccess trust show

Überprüfen Sie für jeden Host, dem dieser vertraut, den Upgradeverlauf, um festzustellen, ob DDOS 5.4 (oder früher) oder DDMC 1.1 (oder früher) installiert wurde: 

# Systemupgradeverlauf

Bei Systemen, die mit einer der oben genannten Versionen installiert sind, wurde bei der Installation wahrscheinlich ein selbstsigniertes Zertifikat der Zertifizierungsstelle mit nur 1024 Bit langen öffentlichen Schlüsseln erzeugt, das von JDK nach dem Upgrade auf DDOS/DDMC 7.1 nicht mehr akzeptiert wird. Eine Möglichkeit, zu erfahren, ob diese Hosts Zertifikate mit kleinen öffentlichen Schlüsseln haben, besteht darin, die GUI für sie zu öffnen und die Zertifikatdetails von einem Browser aus zu überprüfen (dies variiert je nach Browser leicht).

Um Element 3 zu bestätigen (wenn die DD GUI-Fehlerprotokolle für dieses spezifische Problem gelten), führen Sie den folgenden Befehl aus, um die Protokolldatei "em.info" zu öffnen:

# Protokollansicht debug/sm/em.info

Und suchen Sie nach diesen Protokollen (verwenden Sie einen Schrägstrich), um nach diesen Protokollen zu suchen ("..." gibt an, dass einige Protokolle aus Kürze nicht unten angezeigt werden):

 

+-----+-----+-----+ SYSTEM (RE)START +-----+-----+-----+
...
26. Februar 2021 10:33:04,172 INFO [Main] Festlegen des Sitzungscookienamens auf "JSESSIONID-ddem___HTTPS"
26. Februar 2021 10:33:04,172 INFO [main] Festlegen des xsrf-Cookie-Namens auf "DD_SSO_TOKEN___HTTPS"
26. Februar 2021 10:33:04,382 INFO [main] Injizieren des X.509-Werks des SUN-Anbieters zur Behebung von Validierungsproblemen
...
26. Februar 2021 10:33:05.093 INFO [Main] Erneutes Initialisieren der Zertifikate zwischen dem Client und dem Server

26. Februar 2021 10:33:05.093 INFO [Main] Erneutes Laden der Zertifikatspeicher für das System

26 Februar 2021 10:33:05,097 INFO [Main] Finished reloading the certificate stores
26 Feb 2021 10:33:05,097 ERROR [main] Exception during command execution: javax.net.ssl.SSLException - Error creating premaster secret. , wird erneut versuchen, Versuch Nr. 1
26. Februar 2021 10:33:05.243 INFO [Main] Erneute Initialisierung der Zertifikate zwischen dem Client und dem Server
26. Februar 2021 10:33:0 243 INFO [Main] Erneutes Laden der Zertifikatspeicher für das System
26. Februar 2021 10:33:05,246 INFO [Main] Abschluss des erneuten Ladens der Zertifikatspeicher

 Dies würde darauf hinweisen, dass ein Teil des Zertifikats, das DD importiert hat, als vertrauenswürdig einen kurzen Schlüssel hat, und daher kann die GUI nicht gestartet werden.

Obwohl DDOS 7.1 oder höher weiterhin das Laden der GUI fehlschlägt, wenn Zertifikate mit kleinen öffentlichen Schlüsseln angezeigt werden, wurde das Problem im Code für die Versionen DDOS 6.2.1.40 und höher und DDOS 7.2.0.50 und höher behoben, sodass beim Upgrade auf eine solche Version das lokale CA-Zertifikat über einen kleinen öffentlichen Schlüssel verfügt, wird das Zertifikat mit einem längeren Schlüssel neu erzeugt.
 

Ab diesem Schreiben (August 2022) werden keine anderen Versionen als DDOS 6.2.1.x (nur für DD2200- und DD250-Hardware) und DDOS 7.x unterstützt. Es wird kein Workaround bereitgestellt, obwohl Sie bei den fehlerhaften DDs versuchen können, das Host- und CA-Zertifikat mit längeren Schlüsseln neu zu erzeugen, und entfernen Sie dann das Vertrauen zwischen den betroffenen Geräten erneut und fügen Sie es erneut hinzu: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual