Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Data Domain: Depois de fazer upgrade para o DDOS/DDMC 7.1.x ou posterior, a GUI não pode mais ser acessada

Summary: Devido a verificações de segurança mais rigorosas nos back-ends da GUI do DD e do DDMC após o DDOS/DDMC 7.1.x e posteriores, alguns certificados para hosts confiáveis do DD que foram aceitos anteriormente, talvez não após o upgrade, resultando na incapacidade de iniciar a GUI após o upgrade do DDOS ...

This article applies to   This article does not apply to 
Check out resources for

Symptoms

Um cliente faz upgrade do DDOS ou DDMC para a versão 7.1.x ou posterior (a partir de agora, vamos usar o DDOS para consultar o DDOS e o DDMC), para fins de brevidade, e descobre que, após a conclusão do upgrade, não é mais possível acessar a GUI. Reiniciar os serviços HTTP/HTTPS a partir da linha de comando também não faz com que funcione. Ao usar um navegador para acessar a GUI, a seguinte página de erro mostraria: 
 

Serviço indisponível

O serviço da GUI está temporariamente indisponível. Atualize o navegador para tentar novamente. Se o problema persistir, entre em contato com o suporte da Dell EMC para obter assistência

Cause

O back-end da GUI está sendo executado em um aplicativo baseado em Java. O back-end da GUI não está em execução. Se esse DD tiver sido atualizado para o DDOS 7.1.x ou posterior e a GUI estiver falhando desde então, se o DD tiver uma relação de confiança com outros DDs e qualquer um deles tiver um certificado com uma chave pública menor que 2.048 bits, pode ser a causa pela qual a GUI do DD não está inicializando, à medida que as verificações mais rigorosas no JDK agrupado mais recente não são aprovadas para alguns dos hosts confiáveis do DD.

Resolution

Primeiro, é necessário determinar se esse é exatamente o problema que está sendo enfrentado. Para que isso seja o caso, todas as condições abaixo devem conter:
  1. O DD em que a GUI não está iniciando está enfrentando problemas de GUI apenas desde o upgrade para o DDOS 7.1.x ou posterior
  2. Esse DD tem uma relação de confiança com outros DDs, um ou mais dos quais executam uma versão do DDOS 5.4.x (ou mais antiga) ou DDMC 1.1 (ou mais antiga) no passado
  3. Esse DD tem um conjunto específico de registros para a falha ao iniciar o back-end da GUI

O item 1 acima é autoexplicativo. Para determinar se os 2 acima se aplicam, obtenha primeiro a lista de hosts confiáveis no DD:

# adminaccess trust show

Para cada um dos hosts em que ele tem confiança, verifique seu histórico de upgrade para ver se algum foi instalado com o DDOS 5.4 (ou anterior) ou o DDMC 1.1 (ou anterior) : 

Nº histórico de upgrade do sistema

Os sistemas instalados com qualquer uma das versões acima provavelmente tiveram um certificado autoassinado de CA gerado na instalação com chaves públicas de apenas 1.024 bits de comprimento, que não são mais aceitos pelo JDK após o upgrade para o DDOS/DDMC 7.1. Uma maneira possível de saber se esses hosts têm certificados com pequenas chaves públicas é abrindo a GUI para eles e verificando os detalhes do certificado em um navegador (a maneira de fazer isso varia ligeiramente entre os navegadores).


Para confirmar o item 3 (se os registros de falha da GUI do DD forem para esse problema específico), execute o seguinte comando para abrir o arquivo de log "em.info":

# depuração de visualização de registro/sm/em.info


E pesquise (use uma barra direta) para pesquisar esses registros ("..." indica que alguns registros não são mostrados abaixo para fins de brevidade) :

 

+-----+-----+-----+ SYSTEM (RE)START +-----+-----+-----+
...
26 fev 2021 10:33:04,172 INFO [main] Definindo o nome do cookie da sessão como 'JSESSIONID-ddem___HTTPS'26
fev 2021 10:33:04,1 72 INFO [main] Definindo o nome do cookie xsrf como 'DD_SSO_TOKEN___HTTPS'26 fev 2021 10:33:04.382 INFO [main] Injecting the SUN provider's
X.509 factory to fix validation issues
...
26 fev 2021 10:33:05.093 INFO [main] Reinicialização dos certificados entre o client e o servidor

26 fev 2021 10:33:05.093 INFO [main] Reloading the certificate stores for the system

26 fev 2021 10:33:05.097 INFO [main] Finished reloading the certificate stores
26 Fev 2021 10:33:05.097 ERROR [main] Exceção durante a execução do comando: javax.net.ssl.SSLException - Error creating premaster secret. , repetirá, Tentativa nº 1
26 fev 2021 10:33:05.243 INFO [main] Re-initializing the certificates between the client and the server
26 Fev 2021 10:33:: 05.243 INFO [main] Reloading the certificate stores for the system
26 Fev 2021 10:33:05.246 INFO [main] Finished reloading the certificate stores

 Isso indica que alguns dos certificados que esse DD importou como confiável têm uma chave curta e, portanto, a GUI não pode iniciar.

Embora o DDOS 7.1 ou posterior continue falhando ao carregar a GUI quando apresentado com certificados com pequenas chaves públicas, o problema foi resolvido no código para as versões DDOS 6.2.1.40 e posteriores, e DDOS 7.2.0.50 e posteriores, de modo que, se ao fazer upgrade para qualquer versão, o certificado ca local tiver uma pequena chave pública, o certificado será gerado novamente com uma chave mais longa.
 

Considerando-se que, a partir deste documento (agosto de 2022), não há mais suporte para versões diferentes do DDOS 6.2.1.x (somente para hardware DD2200 e DD250) e DDOS 7.x, nenhuma solução temporária é fornecida. No entanto, para os DDs com defeito, você pode tentar gerar novamente o host e o certificado ca com chaves mais longos e, em seguida, remover e adicionar novamente a confiança entre os dispositivos afetados: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual


 

Affected Products

Data Domain