Veritas NetBackup™ 故障排除指南
- 介绍
- 故障排除过程
- 关于故障排除过程
- 对 NetBackup 问题进行故障排除
- 对安装问题进行故障排除
- 对配置问题进行故障排除
- 设备配置问题解决方法
- 测试主服务器和客户端
- 测试介质服务器和客户端
- 解决与 UNIX 客户端相关的网络通信问题
- 解决与 Windows 客户端相关的网络通信问题
- vnetd 代理连接故障排除
- 安全证书吊销故障排除
- 关于网络和主机名故障排除
- 验证 NetBackup 中的主机名和服务条目
- 关于 bpclntcmd 实用程序
- 使用“主机属性”窗口访问配置设置
- 解决磁盘已满的问题
- 冻结的介质故障排除注意事项
- 对 NetBackup Web 服务问题进行故障排除
- 对 NetBackup Web 服务器证书问题进行故障排除
- 解决 PBX 问题
- 远程主机验证问题故障排除
- 自动映像复制故障排除
- 对网络接口卡性能进行故障排除
- 关于 bp.conf 文件中的 SERVER 条目
- 关于存储单元不可用的问题
- 解决 Windows 上的 NetBackup 管理操作失败
- 在 UNIX 计算机上解析 NetBackup 管理控制台中显示的乱码文本
- 对 NetBackup 管理控制台中的错误消息进行故障排除
- “NetBackup 管理控制台”需要有额外的磁盘空间来存储日志和临时文件
- 在配置外部 CA 后,无法登录 NetBackup 管理控制台
- 基于文件的外部证书问题故障排除
- Windows 证书存储库问题故障排除
- 备份失败故障排除
- 对 NAT 客户端或 NAT 服务器的备份失败问题进行故障排除
- 对 NetBackup Messaging Broker(或 nbmqbroker)服务问题进行故障排除
- Windows 系统的电子邮件通知出现问题
- KMS 配置问题
- 由于密钥较大而导致启动 NetBackup CA 迁移时出现的问题
- 非特权用户(服务用户)帐户的相关问题
- auth.conf 文件中的组名称格式问题
- 使用 NetBackup 实用程序
- 灾难恢复
- 关于灾难恢复
- 关于灾难恢复要求
- 灾难恢复软件包
- 关于灾难恢复设置
- 推荐的备份方法
- 关于适用于 UNIX 和 Linux 的磁盘恢复过程
- 关于 UNIX 和 Linux 上的群集 NetBackup 服务器恢复
- 关于适用于 Windows 的磁盘恢复过程
- 关于 Windows 上的群集 NetBackup 服务器恢复
- 灾难恢复安装后在群集主服务器上生成证书
- 关于还原灾难恢复软件包
- 关于 DR_PKG_MARKER_FILE 环境变量
- 在 Windows 上还原灾难恢复软件包
- 在 UNIX 上还原灾难恢复软件包
- 关于恢复 NetBackup 目录库
- 关于在 Windows 计算机上执行 NetBackup 目录库恢复
- 关于从磁盘设备执行 NetBackup 目录库恢复
- 关于 NetBackup 目录库恢复和符号链接
- 关于 NetBackup 目录库恢复和 OpsCenter
- NetBackup 灾难恢复电子邮件示例
- 关于恢复整个 NetBackup 目录库
- 在目录库恢复之前建立与 NAT 介质服务器的连接
- 关于恢复 NetBackup 目录库映像文件
- 关于恢复 NetBackup 关系数据库
- 在配置 NetBackup Access Control 时恢复 NetBackup 目录库
- 从目录库备份的非主副本恢复 NetBackup 目录库
- 不使用灾难恢复文件恢复 NetBackup 目录库
- 从命令行恢复 NetBackup 用户控制的联机目录库备份
- 从 NetBackup 联机目录库备份还原文件
- 取消冻结 NetBackup 联机目录库恢复介质
- 在目录库恢复期间出现退出状态 5988 时要执行的步骤
- 索引
基于文件的外部证书问题故障排除
此问题可能是由以下任一原因导致的:
未正确配置用于通信的 Web 服务证书。
某些 NetBackup 核心服务未启动。
未满足外部证书所需的先决条件。
未正确配置外部证书配置路径 (ECA_CERT_PATH)。
证书吊销检查失败。
要解决该问题,请查看以下原因,然后运行以下命令以确定该问题的当前状态。
Install_Path/bin/nbcertcmd -enrollCertificate -preCheck -server server_name
Install_Path 是指以下路径:
在 Windows 上:VERITAS\NetBackup\bin
在 UNIX 上:/usr/openv/netbackup/bin
NetBackup Web 服务器未配置为使用外部证书。
显示以下错误:
退出状态 26: 客户端/服务器握手失败。
在主服务器上运行以下命令,以检查是否配置了外部 CA (ON/OFF)。
Install_Path/nbcertcmd -getSecConfig -caUsage
在 Windows 上:C:\Program Files\ VERITAS\NetBackup\bin\nbcertcmd -getSecConfig -caUsage
在 Unix 上:/usr/openv/netbackup/bin/netbackup/bin/nbcertcmd -getSecConfig -caUsage
例如:C:\Program Files\Veritas\NetBackup\bin>nbcertcmd -getSecConfig -caUsage
输出:
NBCA:OFF ECA:ON
如果未配置外部 CA,则在 Web 服务器上运行 configureWebServerCerts 命令。
在某些情况下,如果未在 Web 服务器上配置外部 CA,可能还会出现以下错误。
退出状态 5982: 证书吊销列表不可用。
在这种情况下,请先检查 ECA 参数的值。如果它为 OFF,请运行 configureWebServerCerts 命令。
用于通信的 Web 服务证书不受证书颁发机构信任。
检查证书路径(configureWebServerCert -certPath 选项)是否具有包含整个 CA 证书链(信任定位点(根 CA)除外)的分支证书。
运行以下命令以列出为 Web 服务器配置的证书。
nbcertcmd -listallcertificates -jks
在 Windows 上:C:\Program Files\ VERITAS\NetBackup\bin\nbcertcmd -listallcertificates -jks
在 Unix 上:/usr/openv/netbackup/bin/netbackup/bin/nbcertcmd -listallcertificates -jks
运行以下命令以列出 NetBackup 主服务器的主机证书详细信息。
Install_Path/goodies/vxsslcmd x509 -in certificate_path -noout -text -purpose
在 Windows 上:C:\Program Files\ VERITAS\NetBackup\bin\goodies\vxsslcmd x509 -in certificate_path -noout -text -purpose
在 Unix 上:/usr/openv/netbackup/bin/netbackup/bin/goodies/vxsslcmd x509 -in certificate_path -noout -text -purpose
验证主服务器的主机证书是否由 Web 服务器证书的同一根 CA 颁发。
如果主机证书不是由 Web 服务器证书的同一根 CA 颁发,则通过该 CA 为 NetBackup 主服务器颁发新证书,并重新注册证书。
Web 服务证书中未找到指定的服务器名称。
服务器名称与服务器证书中列出的任何主机名都不匹配。
服务器证书中列出的名称为:
DNS: nb-master _ext
DNS: nb-master .some.domain.com
DNS: nb-master _web_svr EXIT STATUS 8509:
在 NetBackup 主机上更新配置,以使其使用 Web 服务器证书中存在的名称之一指代主服务器,或者在证书中包括 NetBackup 域已知的所有主服务器名称。
有关更多信息,请参考以下文章:
https://www.veritas.com/support/en_US/article.000126751
某些 NetBackup 核心服务未启动。
执行以下过程以解决该问题:
通过从 NetBackup/bin 目录运行 bpps 命令检查以下服务的状态:
nbsl
vnetd -standalone
NB_dbsrv(在 UNIX 上)或 dbsrv16(在 Windows 上)
有关 NetBackup 命令的更多详细信息,请参考《NetBackup 命令参考指南》。
启动 nbsl 和 vnetd 服务(如果未运行)。
启动 NB_dbsrv(在 Unix 上)服务或 dbsrv16(在 Windows 上)服务(如果未运行)。
重新启动 nbsl、vnetd 和 NB_dbsrv(或 dbsrv16)服务,如下所示:
在 Windows 上:
Install_Path\bin\bpdown -e "NetBackup Service Layer" -f -v
Install_Path\bin\bpup -e "NetBackup Service Layer" -f -v
Install_Path\bin\bpdown -e "NetBackup Legacy Network Service" -f -v
Install_Path\bin\bpup -e "NetBackup Legacy Network Service" -f -v
Install_Path\bin\bpdown -e "SQLANYs_VERITAS_NB" -f -v
Install_Path\bin\bpup -e "SQLANYs_VERITAS_NB" -f -v
或者,您可以使用服务控制管理器重新启动 NetBackup 服务层 (NBSL)、NetBackup 传统网络服务 (vnetd) 和 SQLANYs_VERITAS_NB 服务。
例如:
C:\Program Files\Veritas\NetBackup\bin\bpdown -e "NetBackup Service Layer" -f -v
C:\Program Files\Veritas\NetBackup\bin\bpup -e "NetBackup Service Layer" -f -v
C:\Program Files\Veritas\NetBackup\bin\bpdown -e "NetBackup Legacy Network Service" -f -v
C:\Program Files\Veritas\NetBackup\bin\bpup -e "NetBackup Legacy Network Service" -f -v
C:\Program Files\Veritas\NetBackup\bin\bpdown -e "SQLANYs_VERITAS_NB" -f -v
C:\Program Files\Veritas\NetBackup\bin\bpup -e "SQLANYs_VERITAS_NB" -f -v
在 UNIX 上:
Install_Path/netbackup/bin/nbsl -terminate
Install_Path/netbackup/bin/nbsl
要停止 vnetd 和 NB_dbsrv,请参考以下示例:
要启动 vnetd 和 NB_dbsrv,请运行以下命令:
install_path/netbackup/bin/vnetd -standalone install_path/db/bin/NB_dbsrv
例如:
/usr/openv/netbackup/bin/nbsl -terminate
/usr/openv/netbackup/bin/nbsl
# ps -fed | grep vnetd | grep standalone
root 16018 1 4 08:47:35 ? 0:01 ./vnetd -standalone
# kill 16018
# ps -fed |grep NB_dbsrv
root 11959 1 4 08:47:35 ? 0:01 ./NB_dbsrv
root 16174 16011 0 08:47:39 pts/2 0:00 grep ./NB_dbsrv
# kill 11959
/usr/openv/netbackup/bin/vnetd -standalone
/usr/openv/db/bin/NB_dbsrv
如果此问题仍然存在,请与技术支持团队联系。
未满足外部证书所需的先决条件。
请查看以下先决条件:
对于每个主机,使用者 DN 应唯一且保持稳定。它不应超过 255 个字符且不应为空。
证书使用者 DN 和 X509v3 使用者备用名称仅支持 ASCII 7 字符。
应在证书中设置服务器和客户端身份验证属性(SSL 服务器和 SSL 客户端)(或这些属性应为 true)。
证书为 PEM 格式。
只有 HTTP/HTTPS 支持 CRL 分发点 (CDP)。
运行以下命令,以验证是否满足先决条件。
Install_Path/goodies/vxsslcmd x509 -in certificate_path -noout -text -purpose
注意:
为 configureWebServerCert -certPath 选项和 ECA_CERT_PATH 选项提供的证书路径必须具有包含整个 CA 证书链(信任定位点(根 CA)除外)的分支证书。
所需条件:
用于证书注册的主机名 (CLIENT_NAME) 应属于 DNS 类型的 X509v3 使用者备用名称。
使用者名称的公用名称 (CN) 不应为空。
注意:
vxsslcmd 命令运行时会生成以下警告,可以放心忽略此警告:
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
未正确配置外部证书配置路径。
请确保正确配置了以下外部证书配置选项:
ECA_CERT_PATH
ECA_TRUST_STORE_PATH
ECA_PRIVATE_KEY_PATH
ECA_CRL_PATH
ECA_CRL_CHECK
请确保满足以下条件:
对等主机证书包含 CRL 分发点 (CDP)。
如果未指定 ECA_CRL_PATH,NetBackup 将使用对等主机证书 CDP 中指定的 URL 中的 CRL。
ECA_CRL_PATH 不是 Windows 上的 volumeID 路径。
运行以下命令,并验证外部证书配置参数。
在 UNIX 上:Install_Path/bin/nbgetconfig | grep ECA
在 Windows 上:Install_Path/bin/nbgetconfig | findstr ECA
。
有关配置选项的更多信息,请参考《NetBackup 安全和加密指南》。
未满足“原因 3”中提到的要求。
用于证书注册的主机名 (CLIENT_NAME) 不属于 DNS 类型的 X509v3 使用者备用名称。
如果注册失败并显示此错误,请执行以下操作之一:
生成证书的使用者备用名称中包含主机名的新证书。
在主服务器上的外部证书数据库中添加或更新(先删除,然后添加)证书的使用者名称(符合 RFC 2253 标准)。
运行以下命令,在 NetBackup 证书数据库中为主机和关联的使用者名称添加条目(只有管理员可以执行此操作):
Install_Path/bin/nbcertcmd -createECACertEntry -host host_name | -hostId host_id -subject subject name of external cert [-server master_server_name]
或者,运行以下命令,从 NetBackup 证书数据库中删除主机和关联的使用者名称对应的条目,然后使用 -createECACertEntry 命令添加条目(只有管理员可以执行此操作):
Install_Path/bin/nbcertcmd -deleteECACertEntry -subject subject name of external cert [-server master_server_name]
证书中不存在使用者名称的公用名称 (CN)。
如果证书注册失败并显示此错误,请执行以下操作之一:
生成证书中包含公用名称的新证书。
生成证书的使用者备用名称中包含主机名的新证书。
在 NetBackup 主机数据库中添加主机,并在 NetBackup 证书数据库中为主机和关联的使用者名称添加条目。
运行以下命令,在 NetBackup 主机数据库中添加主机(只有管理员可以执行此操作):
Install_Path/bin/admincmd/nbhostmgmt -addhost -host host_name | -hostId host_id [-server master_server_name]
运行以下命令,在 NetBackup 证书数据库中为主机和关联的使用者名称添加条目。
Install_Path/bin/nbcertcmd -createECACertEntry -host host_name | -hostId host_id -subject subject name of external cert [-server master_server_name]
外部证书的使用者名称应符合 RFC 2253 标准。
证书吊销检查失败。
外部证书注册失败并显示证书吊销错误的可能原因如下:
外部证书已吊销。
Web 服务器证书已吊销。
CRL 在主机或主服务器上不可用。
有关在 NetBackup 中注册外部证书的更多详细信息,请参考《NetBackup 安全和加密指南》。