NetWorker зависит от разрешения имен. Если разрешение имен выполняется неправильно и не полностью согласованно, во многих операциях NetWorker могут возникнуть проблемы. Поскольку NetWorker управляет потенциально конфиденциальными данными, он должен проверять идентификационные данные хостов, с которыми он взаимодействует, различными способами.
Любое количество признаков в NetWorker может быть результатом дефектов разрешения имен в NetWorker.
- Сообщения об ошибках, указывающие на проблемы с поиском имен в прямом или обратном направлении.
- Невозможность проверки клиентов во время резервного копирования.
- Невозможность клиентов вручную сохранить данные на сервере или восстановить.
- Проблемы с клонированием или доступом к устройствам узла хранения.
- Проблемы с просмотром или записью в базу данных носителей.
- Сервер или узел хранения перестает отвечать при запуске или во время обычной работы.
- Неправильно проименованные или вложенные каталоги индексов.
- Ошибки неправильно настроенного клиента.
Разрешение имен происходит с помощью различных механизмов и на различных уровнях.
- Кэш имен NetWorker
- Кэш преобразователя локального хоста
- Записи файлов локальных хостов
- Поиск DNS-серверов
Методология разрешения имен
1. Кэширование NetWorker. NetWorker поддерживает внутренний кэш имен и иногда не отражает изменения среды, внесенные для исправления проблем с разрешением имен, без перезапуска служб. В NetWorker также имеется настраиваемое поле «Aliases», которое является глобальным для всех экземпляров клиента и должно отражать все имена, разрешаемые для этого экземпляра клиента, чтобы избежать проблем нескольких типов. Если требуемое имя присутствует во внутреннем кэше NetWorker, оно берется оттуда, и кэш преобразователя хоста не используется. Управляющая программа сервера NetWorker (nsrd) может сохранять кэш разрешенных имен в daemon.raw, выполнять очистку кэша или сброс и повторное разрешение имен.
- dbgcommand -n nsrd PrintDnsCache=1 (сохранение дампа в daemon.raw)
- dbgcommand -n nsrd FlushDnsCache=1 (сброс)
- dbgcommand -n nsrd FlushDnsCache=9 (сброс и разрешение)
- Для указанных выше команд можно использовать «-n process name» или «-p PID». Для использования PID необходимо сначала выполнить другие команды, чтобы получить PID, например «ps -ef | grep nsr» (Linux) или «tasklist | findstr nsr» (Windows).
2. Кэш преобразователя. Все хосты и операционные системы имеют локальный кэш преобразователя, который помогает в разрешении хостов и улучшает скорость, не полагаясь ни на файлы хостов, ни на серверы DNS. Этот кэш затем проверяется в соответствии с обычными правилами разрешения имен операционной системы. Если запись хоста существует (даже если она устарела или неверна), она используется перед запросом любого другого источника данных. Записи кэша преобразователя вводятся в кэш при первой успешной попытке разрешения и хранятся в течение заданного периода времени. Некоторые операционные системы могут отображать содержимое кэша преобразователя (например, хосты Windows могут запускать ipconfig /displaydns), и все они имеют механизм принудительной очистки или сброса.
- Сброс DNS в Linux может различаться в зависимости от установленного дистрибутива Linux и пакетов. См. документацию поставщика.
- Windows: ipconfig /flushdns
3. Файлы hosts. Устаревший механизм разрешения хоста заключается в явном вводе IP-адреса с последующим указанием имен, которые необходимо разрешить по этому адресу, в отдельных строках, разделенных пробелом. Эта информация проверяется перед DNS по умолчанию в Windows. В Linux порядок источников разрешения обычно можно настроить в /etc/nsswitch.conf или /etc/netsvc.conf. Файлы hosts анализируются только для первой запрашиваемой соответствующей записи, поэтому при попытке разрешения имен любой второй экземпляр IP-адреса или имени хоста, короткий или длинный, не будет найден. Каждое имя или IP-адрес должно отображаться только один раз, поскольку все имена должны вводиться в одной строке соответствующего IP-адреса.
- Unix/Linux: /etc/hosts
- Windows: %systemroot%\System32\drivers\etc\hosts
ПРИМЕЧАНИЕ. Файлы hosts могут быть повреждены, как и любой другой файл. При возникновении сомнений переименуйте существующий файл hosts, создайте новый файл, очистите кэш преобразователя и повторите попытку.
4. Прямое разрешение. Для связи с внешним хостом, если предоставлено имя, хост должен найти IP-адрес внешнего хоста для обмена данными по TCP/IP. При использовании DNS необходимо выполнить запрос для этого имени хоста в зоне прямого просмотра, чтобы получить IP-адрес. Можно настроить несколько хостов DNS для использования клиентом. В системах Windows для получения имен DNS используйте команду ipconfig /all; в операционных системах Linux/UNIX команда /etc/resolv.conf обычно выводит порядок DNS-серверов. nslookup — это наиболее распространенный инструмент для запроса DNS, который существует на всех платформах, но часто используется неправильно. Для запроса зоны прямого просмотра выполните следующие действия.
- Запустите nslookup без аргументов для ввода интерактивного запроса.
- Введите итерацию имени для поиска и нажмите клавишу Enter для получения прямой записи с сервера DNS, к которому вы подключены.
- Введите то же имя еще два раза, чтобы увидеть, происходит ли автоматический циклический перебор имени записи между разными хостами, или возвращаются одни и те же данные.
- Повторите этот процесс для любого экземпляра любого имени, которое хост может использовать в качестве своего или по которому его могут вызывать другие хосты, или же для того же IP-адреса.
- Повторите этот же процесс для любого другого DNS-сервера, который настроен для использования хостом, введя server next_dns_server.
ПРИМЕЧАНИЕ. Все возвращенные записи должны быть согласованными между собой и соответствовать критериям правильности, известным администратору. Все известные имена должны быть учтены и проверены.
5. Обратное разрешение. Для связи с внешним узлом, если предоставлен IP-адрес, хосту может потребоваться найти имя хоста. При использовании DNS выполняется запрос по зоне обратного просмотра, чтобы найти имя хоста для рассматриваемого IP-адреса. Повторим, эта функция часто используется неправильно, так как при вводе nslookup IP_Address или даже при вводе IP-адреса в nslookup запрос зоны обратного просмотра не выполняется.
- Запустите nslookup без аргументов для ввода интерактивного запроса.
- Введите set q=ptr, чтобы изменить тип запроса на зону обратного просмотра.
- Введите IP-адрес для обратного разрешения и нажмите клавишу Enter.
- Убедитесь, что имя, возвращаемое в обратной записи, совпадает с именем/IP-адресом прямой записи.
[root@linux_a~]# nslookup linux_a
Server: 1.2.3.4
Address: 1.2.3.4#53
Name: linux_a.domain.com
Address: 5.6.7.8
[root@linux_a~]# nslookup 5.6.7.8
Server: 1.2.3.4
Address: 1.2.3.4#53
Name: linux_a.domain.com
Address: 5.6.7.8
[root@linux_a~]# nslookup
> set q=ptr
> 5.6.7.8
Server: 1.2.3.4
Address: 1.2.3.4#53
Non-authoritative answer:
8.7.6.5.in-addr.arpa name = linux_a.domain.com.
В приведенном выше примере видно, что при неинтерактивном запуске nslookup никогда не запрашивается зона обратного поиска.
ПРИМЕЧАНИЕ. NetWorker в значительной степени зависит от идеального и согласованного обратного разрешения, а также от стандартного прямого разрешения — это часть процесса авторизации, который специально разработан для предотвращения подделывания IP-адресов или других атак, направленных на кражу данных резервного копирования.
Разрешение
Все хосты NetWorker должны иметь согласованное разрешение имен, как в прямом, так и в обратном направлении, для любого хоста, с которым они взаимодействуют (зависит от роли зоны данных). Администраторам NetWorker крайне важно обеспечить немедленное и полное устранение любых проблем, связанных с разрешением хостов.
При устранении проблем с разрешением имен или для их исключения выполните следующие действия в зоне данных NetWorker.
1. Найдите все хосты, участвующие в неисправной операции — сервер, клиент(ы), а также, возможно, узлы хранения и т. д.
2. Для каждого из них определите IP-адреса, настроенные локально, и все ожидаемые разрешаемые имена для этих IP-адресов.
3. Настройте использование файла hosts перед DNS для разрешения хоста на всех хостах.
4. В начале файла hosts одного из хостов добавьте одну запись для каждого IP-адреса со всеми именами, соответствующими этому файлу, в одной строке.
5. Скопируйте эти строки из первого хоста в файлы hosts других задействованных хостов.
6. Отредактируйте объекты клиента NetWorker, чтобы псевдонимы соответствовали желаемых IP-адресам.
7. Завершите работу NetWorker на всех задействованных хостах.
8. Очистите кэш преобразователя на каждом хосте с помощью соответствующего механизма операционной системы.
9. Перезапустите NetWorker и повторно выполните проблемную операцию.
Чтобы подтвердить, что имя разрешается данным хостом, используйте следующий тест.
1. С первого хоста NetWorker (например, клиента) подключитесь ко второму (например, серверу), используя
nsradmin -s remote_host -p nsrexec — не закрывайте сеанс.
2. На том же хосте определите процесс для nsradmin (например, в Windows:
tasklist | findstr nsradmin).
3. Запустите netstat, чтобы отобразить сокет, связанный с этим процессом (например, в Windows:
netstat -ao | findstr process_id).
4. Определите сокет подключения от этого хоста (самая левая пара IP-адрес:порт в выходных данных).
5. На удаленном хосте запустите netstat -a и findstr/grep для :calling_port_from_first_host (теперь данные появятся с правой стороны).
6. Имя хоста, которое отображается слева от двоеточия, — это имя первого хоста, которое второй хост разрешает как входящее соединение.
7. Выполните команду netstat еще раз с аргументом -n, чтобы проверить IP-адрес того же сокета и убедиться, что ожидается IP-адрес/маршрут.
8. Выполните этот же тест в обратном порядке, чтобы убедиться, что второй хост разрешает первый хост в пределах ожидаемых параметров.