NetWorker : Pratiques d’excellence en matière de résolution de noms

NetWorker dépend de la résolution des noms. Si la résolution des noms n’est pas correcte et entièrement cohérente, des problèmes peuvent survenir dans de nombreuses opérations de NetWorker. Étant donné que NetWorker gère les données potentiellement sensibles, il doit garantir les identités des hôtes avec lesquels il interagit de différentes manières.
 
Un certain nombre de symptômes dans NetWorker peuvent être le résultat des problèmes de résolution de noms dans NetWorker :

• Messages d’erreur indiquant des problèmes de recherche de noms directe et inversée.
• Impossibilité de sonder les clients pendant la sauvegarde.
• Impossibilité pour les clients d’enregistrer manuellement sur le serveur ou de restaurer.
• Problèmes de clonage ou d’accès aux périphériques de nœud de stockage.
• Problèmes de navigation ou d’enregistrement dans la base de données des médias.
• Le serveur ou le nœud de stockage cesse de répondre au démarrage ou pendant le fonctionnement normal.
• Répertoires d’index mal nommés ou imbriqués.
• Erreurs de client mal configuré.

La résolution des noms s’effectue par différents mécanismes et à différents niveaux :

• Cache de nom NetWorker
• Cache du résolveur d’hôte local
• Entrées de fichier des hôtes locaux
• Recherches de serveurs DNS

Méthodologie de résolution de noms

1. Mise en cache NetWorker : NetWorker conserve un cache de noms interne et ne reflète pas toujours les modifications environnementales apportées pour corriger les problèmes de résolution de noms sans redémarrer les services. NetWorker dispose également d’un champ configurable global pour toutes les instances client appelées « Alias ». Il doit refléter tous les noms pouvant être résolus pour cette instance client afin d’éviter plusieurs types de problèmes. Si un nom requis est présent dans le cache interne de NetWorker, il est utilisé à partir de là et le cache du résolveur hôte n’est pas consulté. Le processus du serveur NetWorker (nsrd) a la possibilité de vider son cache de noms résolus dans le fichier daemon.raw, de vider le cache ou de vider et de résoudre à nouveau les noms :

• dbgcommand -n nsrd PrintDnsCache=1 (vider dans daemon.raw)
• dbgcommand -n nsrd FlushDnsCache=1 (vider)
• dbgcommand -n nsrd FlushDnsCache=9 (vider et résoudre)
• Pour les commandes ci-dessus, vous pouvez utiliser « nom de processus -n » ou « PID -p ». Pour utiliser le PID, vous devez d’abord exécuter d’autres commandes afin d’obtenir le PID. par exemple, « ps -ef | grep nsr » (Linux) ou « tasklist | findstr nsr » (Windows) 

2. Cache du résolveur : tous les hôtes et systèmes d’exploitation disposent d’un cache de résolveur local pour faciliter la résolution et la vitesse de l’hôte sans dépendre des fichiers hôtes ou des serveurs DNS. Ce cache est ensuite vérifié selon les règles normales de résolution des noms du système d’exploitation et, si l’enregistrement de l’hôte existe (même s’il est ancien ou incorrect), il est utilisé avant d’interroger toute autre source de données. Les entrées du cache du résolveur sont saisies dans le cache lors de la première tentative de résolution « réussie » et restent pendant une durée prédéterminée. Certains systèmes d’exploitation peuvent afficher le contenu du cache du résolveur (par exemple, les hôtes Windows peuvent exécuter ipconfig /displaydns), et tous disposent d’un mécanisme permettant de l’effacer ou de le vider de manière forcée :

• Le vidage du DNS sur Linux peut varier en fonction de la distribution Linux et des packages installés. Reportez-vous à la documentation du fournisseur. 
• Windows : ipconfig /flushdns

3. Fichiers d’hôtes : L’ancien mécanisme de résolution d’hôte consiste à saisir explicitement l’adresse IP, suivie de tous les noms que vous souhaitez résoudre pour cette adresse, sur des lignes séparées, délimitées par des espaces blancs. Cette option est vérifiée avant le DNS par défaut sous Windows. Sous Linux, l’ordre des sources de résolution peut généralement être configuré dans /etc/nsswitch.conf ou /etc/netsvc.conf. Les fichiers d’hôtes ne sont analysés que pour la première entrée correspondante interrogée. Ainsi, toute deuxième instance d’une adresse IP ou d’un nom d’hôte, courte ou longue, ne sera jamais trouvée lors d’une tentative de résolution de noms. Chaque nom ou adresse IP ne doit s’afficher qu’une seule fois, car tous les noms doivent être saisis sur la même ligne que l’adresse IP correspondante.

• Unix/Linux : /etc/hosts
• Windows : %systemroot%\System32\drivers\etc\hosts

4. Résolution directe : pour communiquer avec un hôte étranger lorsque le nom est fourni, un hôte doit trouver l’adresse IP de cet hôte étranger pour que les communications TCP/IP puissent avoir lieu. Lors de l’utilisation de DNS, la requête doit être effectuée pour ce nom d’hôte dans la zone de recherche directe, afin de récupérer l’adresse IP. Plusieurs hôtes DNS peuvent être configurés pour qu’un client puisse les utiliser ; sur les systèmes Windows, utilisez ipconfig /all pour obtenir des noms DNS ; sur les systèmes d’exploitation Linux/UNIX, /etc/resolv.conf contient généralement l’ordre des serveurs DNS. nslookup est l’outil le plus courant utilisé pour interroger le DNS. Il existe sur toutes les plateformes, mais il est souvent mal utilisé ; pour interroger la zone directe :

• Exécutez nslookup sans arguments pour accéder à l’invite interactive.
• Saisissez l’itération de nom à rechercher, puis appuyez sur Entrée pour récupérer l’enregistrement direct à partir du serveur DNS auquel vous êtes connecté.
• Saisissez le même nom deux fois de plus pour voir si l’enregistrement de nom est en permutation circulaire en mode silencieux entre différents hôtes ou renvoie les mêmes données.
• Répétez le même processus pour toute instance de n’importe quel nom pouvant être donné à l’hôte par d’autres hôtes ou qu’il considère lui-même pour la même adresse IP.
• Répétez le même processus pour n’importe quel autre serveur DNS que l’hôte est configuré pour utiliser potentiellement en saisissant server next_dns_server.

 5. Résolution inversée : pour communiquer avec un hôte étranger lorsque l’adresse IP est fournie, l’hôte peut avoir besoin de trouver le nom de l’hôte. Lors de l’utilisation de DNS, la requête est exécutée par rapport à la zone de recherche inversée pour trouver le nom d’hôte de l’adresse IP en question. Encore une fois, cette fonction est souvent mal utilisée, car la saisie de nslookup IP_Address ou même la saisie de l’adresse IP dans nslookup ne permet pas d’interroger la zone de recherche inversée :

• Exécutez nslookup sans arguments pour accéder à l’invite interactive.
• Saisissez set q=ptr pour définir le type de requête sur la zone inversée.
• Saisissez l’adresse IP pour la résolution inversée, puis appuyez sur Entrée.
• Assurez-vous que le nom renvoyé dans l’enregistrement inversé correspond au nom/à l’adresse IP de l’enregistrement direct.

[root@linux_a~]# nslookup linux_a
Server:         1.2.3.4
Address:        1.2.3.4#53
Name:   linux_a.domain.com
Address: 5.6.7.8
         
[root@linux_a~]# nslookup 5.6.7.8
Server:         1.2.3.4
Address:        1.2.3.4#53
Name:   linux_a.domain.com
Address: 5.6.7.8
         
[root@linux_a~]# nslookup
> set q=ptr
> 5.6.7.8
Server:         1.2.3.4
Address:        1.2.3.4#53
Non-authoritative answer:
8.7.6.5.in-addr.arpa        name = linux_a.domain.com.

Dans l’exemple ci-dessus, il est évident que l’exécution de nslookup n’interroge jamais la zone de recherche inversée.

Résolution

Tous les hôtes NetWorker doivent disposer d’une résolution de noms cohérente, à la fois directe et inversée, pour tous les hôtes avec lesquels ils communiquent (ce qui varie en fonction du rôle de zone de données). Les administrateurs NetWorker doivent impérativement s’assurer que tous les problèmes de résolution des hôtes sont résolus immédiatement et complètement.
Lors du dépannage des problèmes de résolution de noms ou pour les exclure de votre zone de données NetWorker :
    1. Recherchez tous les hôtes impliqués dans l’opération en échec : serveur, clients et éventuellement nœuds de stockage, etc.
    2. Pour chacun d’eux, déterminez les adresses IP configurées localement et tous les noms pouvant être résolus pour ces adresses IP.
    3. Configurez tous les hôtes pour qu’ils utilisent le fichier d’hôtes avant DNS dans la résolution des hôtes.
    4. Au début du fichier d’hôtes d’un hôte, configurez une entrée unique pour chaque adresse IP, avec chaque nom correspondant sur la même ligne.
    5. Copiez ces lignes de manière exacte à partir du premier hôte vers les fichiers hôtes des autres hôtes concernés.
    6. Modifiez les objets du client NetWorker pour qu’ils aient des alias correspondant correctement aux adresses IP souhaitées.
    7. Arrêtez NetWorker sur tous les hôtes concernés
8. Effacez le cache du résolveur sur chaque hôte à l’aide du mécanisme de système d’exploitation approprié
    9. Redémarrez NetWorker et relancez l’opération problématique

Pour prouver que le nom est résolu par un hôte donné, utilisez ce test :
    1. À partir du premier hôte NetWorker (par exemple, le client), connectez-vous au deuxième (par exemple, le serveur) à l’aide de nsradmin -s remote_host -p nsrexec - laissez la session ouverte
    2. Sur le même hôte, déterminez le processus pour nsradmin (par exemple, Windows, tasklist | findstr nsradmin)
    3. Exécutez netstat pour afficher le socket associé à ce processus (par exemple, Windows, netstat -ao | findstr process_id)
    4. Déterminez le socket de connexion de cet hôte (l’appariement IP:port le plus à gauche dans la sortie)
    5. Sur l’hôte distant, exécutez - run netstat -a et findstr/grep pour :calling_port_from_first_host (il s’affiche désormais à droite)
    6. Le nom d’hôte qui s’affiche sur le côté gauche de ses deux-points est le nom du premier hôte sur lequel le second hôte résout la connexion entrante en tant que
    7. Exécutez à nouveau avec le commutateur -n ajouté à la commande netstat pour vérifier l’adresse IP du même socket, et vous assurer que l’adresse IP/la route est attendue
    8. Inversez le même test pour vous assurer que le deuxième hôte résout le premier dans les paramètres prévus.

De nombreuses opérations NetWorker, telles qu’un groupe de sauvegarde, utilisent plusieurs sockets TCP distincts. Dans l’exemple du groupe de sauvegarde, un pour la session de contrôle, un pour les données et un pour la mise à jour de l’index. Si une session utilise un nom incohérent (bien que techniquement correct), l’opération risque d’échouer.

• La permutation circulaire est parfois délibérément utilisée et configurée, mais elle est généralement inattendue et doit être évitée
• netstat -a révèle les sockets TCP ouverts/actifs, ce qui permet de connaître le nom de l’hôte étranger résolu par le système d’exploitation et peut être utilisé pour identifier les problèmes
• Le routage statique peut parfois être nécessaire lorsque le trafic réseau utilise un adaptateur inattendu/indésirable, ce qui peut ensuite entraîner des problèmes de résolution de noms.

Voir également
la base de connaissances 463606 : Dépannage des problèmes de résolution DNS et de noms