Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Data Domain:升級至 DDOS/DDMC 7.1.x 或更新版本後,無法再存取 GUI

Summary: 由於在 DDOS/DDMC 7.1.x 及更新版本之後的 DD 和 DDMC GUI 後端有更嚴格的安全性檢查,因此某些先前接受的受信任 DD 主機憑證在升級後可能無法執行,導致 DDOS 升級後無法啟動 GUI

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

為了方便起見,客戶將 DDOS 或 DDMC 升級到版本 7.1.x 或更新版本 (我們從現在開始將使用 DDOS 來指代 DDOS 和 DDMC),並在升級完成後發現無法再存取 GUI。從命令列重新啟動 HTTP/HTTPS 服務無法使其正常運作。使用瀏覽器存取 GUI 時,會顯示以下錯誤頁面: 
 

服務無法使用

GUI 服務暫時無法使用。請重新整理瀏覽器以再試一次。如果問題仍然存在,請聯絡 Dell EMC 支援以取得協助

Cause

GUI 後端正在 Java 型應用程式上執行。GUI 後端未執行。如果此 DD 已升級至 DDOS 7.1.x 或更新版本,且 GUI 此後一直失敗,如果 DD 與其他 DD 有信任關係,且其中任何一個 DD 具有短於 2048 位元的公鑰憑證,這便可能是 DD GUI 無法啟動的原因, 因為較新捆綁的 JDK 中更嚴格的檢查無法通過某些受信任的 DD 主機。

Resolution

首先,有必要確定這正是面臨的問題。為此,必須滿足以下所有條件:
  1. 只有在升級至 DDOS 7.1.x 或更新版本後,GUI 無法啟動的 DD 才會遇到 GUI 問題
  2. 此 DD 與其他 DD 具有信任關係,其中一或多個過去曾執行 DDOS 5.4.x 版本 (或較舊版本) 或 DDMC 1.1 (或較舊版本)
  3. 此 DD 有一組特定的無法啟動 GUI 後端記錄

上述第 1 項不言自明。若要判斷以上 2 是否適用,請先取得 DD 中受信任的主機清單:

# 管理員存取信任顯示

對於此主機信任的每個主機,請檢查其升級歷程記錄,查看是否有任何主機已安裝 DDOS 5.4 (或更舊版本) 或 DDMC 1.1 (或更早版本): 

# 系統升級歷程記錄

安裝上述任何版本的系統很可能在安裝時產生了 CA 自我簽署憑證,其中公鑰長度只有 1024 位元,在升級至 DDOS/DDMC 7.1 後,JDK 不再接受該憑證。了解這些主機是否具有帶有小型公鑰的證書的一種可能方法是向它們打開 GUI,然後從瀏覽器檢查證書詳細資訊(執行此操作的方法因瀏覽器而異)。


若要確認項目 3 (如果 DD GUI 失敗記錄是針對此特定問題),請執行下列命令以開啟「em.info」記錄檔:

# 紀錄檢視除錯/SM/em.info


並搜尋 (使用正斜線) 以搜尋這些紀錄 (“...”表示為簡潔起見,下面未顯示某些日誌):

 

+-----+-----+-----+ 系統 (重新) 啟動 +-----+-----+-----+
...
26 2月 2021 10:33:04,172 資訊 [主要] 將會話 cookie 名稱設置為“JSESSIONID-ddem___HTTPS”
26 Feb 2021 10:33:04,172 INFO [主要] 將 xsrf cookie 名稱設置為“DD_SSO_TOKEN___HTTPS”
26 Feb 2021 10:33:04,382 INFO [主要] 注入 SUN 提供程式的 X.509 工廠以修復驗證問題
...
26 2月 2021 10:33:05,093 資訊 [主要] 重新初始化客戶端和伺服器之間的憑證

26 2月 2021 10:33:05,093 資訊 [主要] 重新載入系統的憑證儲存

26 2月 2021 10:33:05,097 資訊 [主要] 完成重新載入憑證儲存
26 Feb 2021 10:33:05,097 錯誤 [main] 命令執行期間發生例外:javax.net.ssl.SSLException - 建立預主密碼時發生錯誤。,將重試,嘗試 # 1
26 2月 2021 10:33:05,243 資訊 [主要] 重新初始化用戶端和伺服器
之間的憑證 26 2月 2021 10:33:05,243 資訊 [主要] 重新載入系統的
憑證儲存 26 2月 2021 10:33:05,246 資訊 [主要] 完成重新載入憑證儲存

 這表示此 DD 匯入為受信任的部分憑證具有短金鑰,因此 GUI 無法啟動。

雖然 DDOS 7.1 或更新版本在提供帶有小型公鑰的認證時仍會無法載入 GUI,但此問題已在 DDOS 6.2.1.40 及更新版本以及 DDOS 7.2.0.50 及更新版本的程式碼中解決,因此,如果在升級至任何此類版本時,本機 CA 憑證具有小型公鑰, 系統會以較長的金鑰重新產生憑證。
 

考慮到在撰寫本文時(2022 年 8 月),不再支援 DDOS 6.2.1.x (僅適用於 DD2200 和 DD250 硬體) 和 DDOS 7.x 以外的版本,沒有提供任何因應措施,儘管對於有問題的 DD,您可以嘗試使用較長的金鑰重新產生主機和 CA 證書,然後刪除並重新添加受影響設備之間的信任: 

# adminaccess trust del host dd-trusted-1 type mutual
# adminaccess 憑證產生 self-signed-cert regenerate-ca
# adminaccess trust 新增主機 dd-trusted-1 類型相互


 

Affected Products

Data Domain
Article Properties
Article Number: 000202263
Article Type: Solution
Last Modified: 21 Mar 2023
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.