Data Domain: Po upgradu na verzi DDOS/DDMC 7.1.x nebo novější již není přístup k grafickému uživatelskému rozhraní

Zákazník provede upgrade systému DDOS nebo DDMC na verzi 7.1.x nebo novější (od této chvíle budeme DDOS používat pro označení DDOS i DDMC) a po dokončení upgradu zjistí, že již není možné přistupovat ke grafickému uživatelskému rozhraní. Nefunguje ani restartování služeb HTTP / HTTPS z příkazového řádku. Při použití prohlížeče pro přístup ke grafickému uživatelskému rozhraní se zobrazí následující chybová stránka: 
 

Služba není k dispozici.

Služba GUI je dočasně nedostupná. Obnovte prohlížeč a zkuste to znovu. Pokud problém přetrvává, obraťte se s žádostí o pomoc na podporu společnosti Dell EMC

Back-end grafického uživatelského rozhraní využívá aplikaci založenou na jazyce Java. Backend GUI není spuštěn. Pokud byl tento systém DD upgradován na verzi DDOS 7.1.x nebo novější a grafické uživatelské rozhraní od té doby selhává, pokud má systém DD vztah důvěryhodnosti s jinými systémy DD a některý z nich má certifikát s veřejným klíčem kratším než 2048 bitů, může to být příčinou, proč se grafické uživatelské rozhraní systému DD nespouští. protože přísnější kontroly v novějším balíčku JDK neprojdou pro některé důvěryhodné hostitele DD.

Nejprve je nutné zjistit, že to je přesně ten problém, kterému čelíme. Aby tomu tak bylo, musí být splněny všechny níže uvedené podmínky:

1. DD, kde se nespouští grafické uživatelské rozhraní, má problémy s grafickým uživatelským rozhraním pouze od upgradu na systém DDOS 7.1.x nebo novější
2. Tento systém DD má vztah důvěryhodnosti s jinými systémy DD, z nichž jeden nebo více v minulosti používal verzi DDOS 5.4.x (nebo starší) nebo DDMC 1.1 (nebo starší)
3. Tento systém DD obsahuje konkrétní sadu protokolů pro případ selhání spuštění backendu s grafickým uživatelským rozhraním.

Bod 1 výše je samozřejmý. Chcete-li zjistit, zda platí výše uvedená hodnota, nejprve získejte seznam důvěryhodných hostitelů v systému DD:

# adminaccess trust show

U každého hostitele, ke kterému má tento hostitel důvěru, zkontrolujte historii upgradů a zjistěte, zda některý z nich nebyl nainstalován se systémem DDOS 5.4 (nebo starším) nebo DDMC 1.1 (nebo starším): 

# historie upgradu systému

U systémů s nainstalovanou některou z výše uvedených verzí byl pravděpodobně při instalaci vygenerován certifikát CA podepsaný držitelem s veřejnými klíči dlouhými pouze 1024 bitů, které sada JDK po upgradu na systém DDOS / DDMC 7.1 již nepřijímá. Možným způsobem, jak zjistit, zda tito hostitelé mají certifikáty s malými veřejnými klíči, je otevřít jim GUI a zkontrolovat podrobnosti o certifikátu z prohlížeče (způsob, jak to udělat, se v různých prohlížečích mírně liší).

Položku 3 potvrďte (pokud se protokoly selhání grafického uživatelského rozhraní systému DD týkají tohoto konkrétního problému) spuštěním následujícího příkazu otevřete soubor protokolu "em.info":

# zobrazení logu debug/sm/em.info

A vyhledejte (použijte lomítko) pro vyhledání těchto protokolů ("..." indikuje, že některé protokoly nejsou z důvodu stručnosti níže uvedeny) :

 

+-----+-----+-----+ START SYSTÉMU +-----+-----+-----+
...
26. února 2021 10:33:04,172 INFO [hlavní] Nastavení názvu souboru cookie relace na 'JSESSIONID-ddem___HTTPS'26
. února 2021 10:33:04,172 INFO [main] Nastavení názvu souboru cookie xsrf na 'DD_SSO_TOKEN___HTTPS'26
. února 2021 10:33:04,382 INFO [hlavní] Vložení továrny X.509 poskytovatele SUN k opravě problémů
s ověřováním...
26. února 2021 10:33:05,093 INFO [hlavní] Opětovná inicializace certifikátů mezi klientem a serverem

26. února 2021 10:33:05,093 INFO [hlavní] Opětovné načtení úložišť certifikátů pro systém

26. února 2021 10:33:05,097 INFO [main] Opětovné načítání úložišť
certifikátů bylo dokončeno. 26. února 2021 10:33:05,097 ERROR [main] Výjimka během provádění příkazu: javax.net.ssl.SSLException – Chyba při vytváření tajného klíče premaster. , zkusí to znovu, Pokus# 1
26. února 2021 10:33:05,243 INFO [hlavní] Opětovná inicializace certifikátů mezi klientem a serverem
26. února 2021 10:33:05,243 INFO [hlavní] Opětovné načtení úložišť certifikátů pro systém
26. února 2021 10:33:05,246 INFO [hlavní] Opětovné načítání úložišť certifikátů bylo dokončeno.

 To by znamenalo, že část certifikátu, který tento systém DD importoval jako důvěryhodný, má krátký klíč, a proto nelze spustit grafické uživatelské rozhraní.

Přestože systém DDOS 7.1 nebo novější i nadále selhává při načítání grafického uživatelského rozhraní, i když jsou předloženy certifikáty s malými veřejnými klíči, problém byl vyřešen v kódu pro verze DDOS 6.2.1.40 a novější a DDOS 7.2.0.50 a novější, takže pokud má místní certifikát CA při upgradu na jakoukoli takovou verzi malý veřejný klíč, Certifikát se znovu vygeneruje s delším klíčem.
 

Vzhledem k tomu, že v době psaní tohoto článku (srpen 2022) již nejsou podporovány žádné jiné verze než DDOS 6.2.1.x (pouze pro hardware DD2200 a DD250) a DDOS 7.x, není k dispozici žádné řešení, i když pro problematické DD můžete zkusit znovu vygenerovat hostitele a certifikát CA s delšími klíči, poté odebrat a znovu přidat důvěru mezi dotčená zařízení: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess certificate generate self-signed-cert regenerate-ca
# adminaccess trust add host dd-trusted-1 type mutual