安全 EMC NetWorker - Dell...01 2014 年 6 月 18 日本文档第一版，针对 EMC NetWorker 8.2。相关文档以下 EMC 出版物提供了详细信息： l 《 NetWorker 联机版软件兼容性指南》

EMC® NetWorker®版本 8.2

配置指南302-000-703

02

安全

版权所有 © 2014 EMC Corporation。保留所有权利。中国印刷。

发布日期: 2014 年 10 月

EMC 确信本出版物在发布之日内容准确无误。本出版物中的信息可随时更改而不另行通知。

本出版物的内容按“原样”提供。EMC CORPORATION 对本出版物的内容不提供任何形式的陈述或担保，明确拒绝对有特定目的的适销性或适用性进行默示担保。

EMC²、EMC 和 EMC 徽标是 EMC Corporation 在美国和其他国家/地区的注册商标或商标。此处使用的所有其他商标均为其各自所有者的资产。

有关产品系列的新法规文档，请访问 EMC 在线支持 (https://support.emc.com)。

易安信电脑系统（中国）有限公司中国北京朝阳区霄云路 38 号现代汽车大厦 15 层邮编：100027电话：（8610）8438 6000传真：（8610）8453 8174售前服务热线：400 650 6006网站：http://china.EMC.com

2 EMC NetWorker Security 8.2 配置指南

5

7

9

简介 13

访问控制设置 15

用户身份认证............................................................................................... 16配置 NMC 服务器和默认用户...........................................................16配置 NetWorker 服务器管理员列表..................................................17在 NMC 中配置 NetWorker 服务器的用户访问权限.......................... 17

用户授权.......................................................................................................36NMC 服务器授权..............................................................................36服务器授权......................................................................................37对授权错误和 NetWorker 服务器访问问题进行故障排除.................47

组件访问控制............................................................................................... 47组件身份验证.................................................................................. 47组件授权......................................................................................... 61

日志设置 65

NetWorker 日志文件..................................................................................... 66查看日志文件............................................................................................... 70

手动呈现原始文件...........................................................................70运行时呈现原始日志文件................................................................71

原始日志文件管理........................................................................................ 72管理 daemon.raw、networkr.raw 和 gstd.raw 文件的原始日志文件大小.................................................................................................... 74

监视对 NetWorker 服务器资源所做的更改....................................................75配置日志记录级别........................................................................................ 76

为 NetWorker 守护程序设置调试级别 ............................................. 76在调试模式下运行定时备份............................................................ 79从命令行以调试模式运行客户端启动的备份...................................81以调试模式运行恢复....................................................................... 81

通信安全设置 87

端口使用和防火墙支持.................................................................................88服务端口......................................................................................... 88连接端口......................................................................................... 88

针对防火墙环境的特殊考虑事项.................................................................. 88在操作系统级别配置 TCP 保持活动................................................. 89

确定服务端口需求........................................................................................ 90NetWorker 客户端服务端口需求...................................................... 90NetWorker 存储节点的服务端口需求...............................................91

图

表

前言

第 1 章

第 2 章

第 3 章

第 4 章

目录

EMC NetWorker Security 8.2 配置指南 3

NetWorker 服务器的服务端口需求.................................................. 92NMC 服务器的服务端口需求........................................................... 93

在 NetWorker 中配置服务端口范围...............................................................94确定可用端口号.............................................................................. 94在 NetWorker 中配置端口范围 ........................................................ 94

在防火墙上配置服务端口............................................................................. 96如何确认 NMC 服务器服务端口.......................................................99

确定服务端口需求的示例 .......................................................................... 100故障排查.....................................................................................................105

数据安全设置 107

对备份数据进行加密.................................................................................. 108修改锁定框资源............................................................................ 108定义 AES 密码................................................................................109将客户端资源配置为使用 AES 加密...............................................109配置客户端启动的备份的加密.......................................................109恢复加密数据................................................................................ 111联邦信息处理标准合规性..............................................................112

数据完整性.................................................................................................114验证备份数据的完整性................................................................. 114验证 NetWorker 服务器介质数据和客户端文件索引的完整性....... 115

数据擦除.....................................................................................................116NetWorker 服务器介质数据库和索引数据管理.............................. 116手动擦除磁带和 VTL 卷上的数据................................................... 117手动擦除 AFTD 中的数据................................................................117

安全警报系统设置......................................................................................118监视 NetWorker 服务器资源更改................................................... 118安全审核日志记录.........................................................................118

131

第 5 章

索引

目录


LDAP 用户容器.............................................................................................................. 25LDAP 组容器..................................................................................................................26管理 LDAP 配置的身份认证权限值 ............................................................................... 26适用于用户容器的 ADSI Edit ........................................................................................ 26ADSI Edit 组容器 ...........................................................................................................28管理适用于 AD 配置的身份认证权限值 ........................................................................ 29单向防火墙与存储节点 .............................................................................................. 100单向防火墙与存储节点 .............................................................................................. 102双向防火墙与 Data Domain 应用装置 ........................................................................ 103审核日志服务器管理单个数据区................................................................................ 120NMC 服务器是多个数据区的审核日志服务器............................................................. 121数据区中的每台 NetWorker 服务器都是审核日志服务器............................................ 122安全审核日志资源 ..................................................................................................... 129

12345678910111213

图


图


修订历史记录..................................................................................................................9权限配置参数 ...............................................................................................................22“配置登录身份认证”向导中的分层结构错误 ............................................................30NMC 用户角色和关联权限.............................................................................................36每个 NetWorker 权限允许的操作 .................................................................................. 39与每个 NetWorker 用户组关联的权限............................................................................42NetWorker 日志文件......................................................................................................66管理日志文件大小的原始日志文件属性........................................................................73管理日志文件裁剪机制的原始日志文件属性................................................................ 73设置每个操作系统的 TCP 参数...................................................................................... 89标准 NetWorker 客户端到 NetWorker 服务器的端口需求...............................................91快照客户端的附加服务端口需求.................................................................................. 91存储节点的服务端口需求 .............................................................................................92NetWorker 服务器程序端口需求....................................................................................92NMC 服务器到每个 NetWorker 客户端的端口需求 ........................................................93nsrports 选项.................................................................................................................96NetWorker 与第三方应用程序通信的端口需求 .............................................................97包含 RSA BSAFE FIPS 合规加密技术的 NetWorker 受支持平台.....................................112可用于 nsrck 进程的级别............................................................................................ 115安全审核日志互操作性列表 .......................................................................................125

1234567891011121314151617181920

表


表


前言

作为改进其产品线的一项措施，EMC 会定期发布其软件和硬件产品的修订版。因此，本文档中介绍的一些功能可能不被当前使用的软件或硬件的所有版本支持。产品发行说明提供了有关产品功能的新信息。

如果某产品不能正常运作或其功能与本文档的描述不符，请与您的 EMC 技术支持专业人员联系。

本文档在发布时准确无误。请访问 EMC 在线支持网站 (https://support.emc.com) 以确

保您使用的是本文档的新版本。

用途

本文档概述了 NetWorker 产品中的安全设置。

目标受众

本文档是 EMC NetWorker 文档资料集的一部分，供负责设置和维护 NetWorker 以及管理安全网络的系统管理员使用。

修订历史记录

下表介绍了本文档的修订历史记录。

表 1 修订历史记录

修订本日期说明

03 2014 年 10 月 14日

更新了以下部分：

l 将本地主机凭据导入 NSR 对等主机信息资源。

l 将本地主机凭据导出到 NSR 对等主机信息资源。

02 2014 年 8 月 29 日本文档是针对 EMC NetWorker 8.2 的正式发布版，新增

了有关常见审核日志错误消息的新信息。

01 2014 年 6 月 18 日本文档第一版，针对 EMC NetWorker 8.2。

相关文档

以下 EMC 出版物提供了详细信息：

l 《 NetWorker 联机版软件兼容性指南》

提供了 EMC 信息保护软件各版本支持的客户端、服务器和存储节点操作系统的列表。您可以访问 EMC 在线支持网站 (support.emc.com) 上的联机版软件兼容性指南。在“支持（按产品）”页中，使用“查找产品”来搜索 NetWorker，然后选择“安装、许可和配置”链接。

l 《EMC NetWorker 管理指南》

介绍如何配置和维护 NetWorker 软件。

l 《EMC NetWorker 群集集成指南》

包含与在群集服务器和客户端上配置 NetWorker 软件相关的信息。

l 《NetWorker 8.0 安装指南》

提供有关如何在所有支持的操作系统上针对客户端、存储节点和服务器安装、卸载和更新 NetWorker 软件的信息。


https://support.emc.com/

https://support.emc.com/

l 《从先前版本进行 EMC NetWorker 更新的指南》

介绍了如何从先前安装的版本更新 NetWorker 软件。

l 《NetWorker 8.0 发行指南》

包含有关新 NetWorker 软件版本的新功能和变更、已修复问题、已知限制、环境和系统要求的信息。

l 《EMC NetWorker Avamar 设备集成指南》

提供有关如何在 NetWorker 环境中使用 Avamar 设备的规划和配置信息。

l 《NetWorker 8.0 命令参考指南》

提供有关 NetWorker 命令和选项的参考信息。

l 《NetWorker Data Domain 重复数据消除设备集成指南》提供有关如何在 NetWorker 环境中使用 Data Domain 设备进行重复数据消除备份和存储的规划和配置信息。

l 《EMC NetWorker 灾难恢复指南》

包含有关做好灾难准备和恢复 NetWorker 服务器、存储节点和客户端的信息。

l 《EMC NetWorker 错误消息指南》

提供有关常见 NetWorker 错误消息的信息。

l 《EMC NetWorker 许可指南》

提供有关如何许可 NetWorker 产品和功能的信息。

l 《NetWorker 8.0 性能优化规划指南》

包含 NetWorker 环境的基本性能调整、规划和优化信息。

l 《EMC NetWorker Management Console 联机帮助》

介绍在 NetWorker Management Console 和 NetWorker“管理”窗口中执行的日常管理任务。要查看帮助，请单击主菜单中的“帮助”。

l 《EMC NetWorker User 联机帮助》

介绍如何使用 NetWorker User 程序（连接到 NetWorker 服务器的 Windows 客户端界面）通过网络备份、恢复、归档和检索文件。

l 《技术说明/白皮书》

技术说明和白皮书从技术角度深入介绍可解决关键业务问题或满足相关要求的产品。技术说明和白皮书的类型包括技术和业务注意事项、应用的技术、详细评述以及佳做法规划。

本文档中使用的特殊注意事项约定

EMC 对特殊注意事项使用下列约定。

论述不会造成人身伤害的实践。

提供重要但不会造成危险的信息。

印刷约定

EMC 在本文档中使用以下字体样式约定：

“粗体” 用于界面元素的名称，如窗口名称、对话框名称、按钮名称、字段名

称、选项卡名称、键名称和菜单路径（用户具体选择或单击的项）

《斜体》用于文本中引用的出版物的完整标题

Monospace 用于表示：

l 系统代码

l 系统输出，例如错误消息或脚本

前言


l 路径名称、文件名、提示和语法

l 命令和选项

“等宽字体斜体” 用于变量

等宽字体粗体用于用户输入

[ ] 方括号内是可选值

| 竖线表示备用选项，即竖线表示“或”

{ } 大括号括起用户必须指定的内容，如 x 或 y 或 z

... 省略号表示示例中省略的不重要的信息

从何处获取帮助

可以按如下方式获取 EMC 支持、产品和许可信息：

产品信息

有关文档、发行说明、软件更新或关于 EMC 产品的信息，请访问 EMC 在线支持，网址为：https://support.emc.com。

技术支持

访问 EMC 在线支持并单击“服务中心”。您将看到多个用于联系 EMC 技术支持的选项。请注意，要创建服务请求，您必须具有有效的支持协议。有关如何获取有效支持协议或如何解决您的帐户问题的详细信息，请与 EMC 销售代表联系。

在线社区

访问 EMC 社区网络 (https://community.emc.com)，了解有关产品支持和解决方案的对等联系人、对话和内容。针对所有 EMC 产品，与客户、合作伙伴和经认证的专家进行交互式在线讨论。

客户意见和建议

您的意见和建议可以帮助我们继续提高用户出版物的准确性、组织结构和整体质量。请将对本文档的意见发送到 [email protected]

前言


https://support.emc.com

https://community.emc.com

mailto:[email protected]

前言


第 1 章

简介

EMC® NetWorker

® 是可解决数据保护难题的异构备份应用程序。NetWorker 的集中管理

功能可向各种目标设备提供文件系统、企业应用程序、存储阵列和 NAS 文件服务器的有效数据保护。

本指南概述了 NetWorker 中可用的安全配置设置、安全部署和所需的物理安全控制，以确保产品的安全操作。

本指南分为以下部分：

访问控制设置访问控制设置可保护资源，防止未经授权的访问。本章概述了产品中可用的设置，以确保产品的安全操作，并且介绍了如何限制终端用户或外部产品组件的产品访问权限。

日志设置日志是按时间顺序列出的记录，它可帮助您从始至终检查环境中活动的顺序或导致某项操作的活动的顺序、活动过程的顺序或安全相关的事务中事件的顺序。本章介绍如何访问和管理 NetWorker 中可用的日志文件。

通信安全设置通信安全设置可在 NetWorker 组件之间、NetWorker 组件与外部系统之间以及NetWorker 组件和外部组件之间建立安全的通信通道。本章介绍如何确保NetWorker 将安全通道用于通信，以及如何在防火墙环境中配置 NetWorker。

数据安全设置数据安全设置让您可定义控制来防止未经授权的访问和披露 NetWorker 永久存储的数据。本章介绍可用于确保 NetWorker 处理的数据受保护的设置。

简介 13

简介


第 2 章

访问控制设置

访问控制设置可保护资源，防止未经授权的访问。本章节介绍可用于按终端用户或按外部产品组件限制访问的设置。

l 用户身份认证....................................................................................................... 16l 用户授权...............................................................................................................36l 组件访问控制....................................................................................................... 47

访问控制设置 15

用户身份认证用户身份认证设置控制 NetWorker Management Console (NMC) 和 NetWorker 软件应用程序用于验证用户所声明身份和确定允许的用户访问级别的进程。

当您在主机（NMC 客户端）上使用 Web 浏览器连接到 NMC 服务器时，NMC 服务器上的 http 守护程序会将 Java 客户端下载到 NMC 客户端。您无需使用安全 http (https) 连接，因为只有 Java 客户端会在 NMC 服务器和 NMC 客户端之间传输信息并执行身份认证。NMC 服务器使用 SSL 对您在登录窗口指定的用户名和密码进行加密，并认证您的凭据。NMC 客户端首次连接到 NMC 服务器时，NMC 服务器使用基于本机 NMC 的身份认证来认证用户凭据。首次连接到 NMC 服务器后，可以继续使用基于 NMC 的身份认证，也可以配置 NMC 服务器访问权限，方法是使用外部身份认证机构，如 LDAP 或AD。

如果 NetWorker 服务器和 NMC 服务器位于不同的主机上，则确保在连接到 NetWorker服务器之前，NetWorker 服务器上的管理员列表属性包括合适的 NMC 用户帐户。配置管理员列表（第 17 页）提供了详细信息。

配置 NMC 服务器和默认用户

NMC 服务器具有一个默认管理员帐户。首次使用 NMC 客户端连接到 NMC 服务器时，配置向导将提示您设置密码。

准备工作

下列步骤假设 NetWorker 软件已安装，并且将访问 NMC 服务器的计算机满足所有软件和硬件要求。EMC 在线支持网站上的《NetWorker 安装指南》提供了详细信息。

过程

1. 从支持的 Web 浏览器中，键入 NMC 服务器的 URL：http://“服务器名称:http 服务端口 ”

其中：

l “服务器名称” 是 NMC 服务器的名称。

l “http 服务端口” 是嵌入的 HTTP 服务器的端口。默认的 HTTP 端口是 9000。

例如：http://houston:9000

2. 在“欢迎”窗口上，单击“启动”。

3. 在“安全警告”窗口上，单击“启动”以安装和运行 NetWorker Console。

4. 在“许可协议”窗口中，选择“接受”。

5. 如果系统中尚未安装相应的 JRE 版本，则系统将提示安装 JRE。按照屏幕上的说明安装 JRE。

6. 在“欢迎使用控制台配置向导”窗口中，单击“下一步”。

7. 在“设置管理员密码”窗口中，键入 NMC 密码，然后单击“下一步”。

8. 在“设置数据库备份服务器”窗口中，指定将备份 NMC 服务器数据库的 NetWorker服务器的名称，然后单击“下一步”。

9. 在“添加 NetWorker 服务器”窗口中，指定 NMC 服务器将管理的 NetWorker 服务器的名称。指定多个 NetWorker 服务器时，每行添加一个名称。使默认选项“捕获事件”和“收集报告数据”保持启用状态。

l 启用“捕捉事件”选项，以使 NMC 服务器可以监视和记录发生在 NetWorker 服务器上的事件的警报。

访问控制设置


l 启用“收集报告数据”选项，以使 NMC 服务器可以自动收集有关 NetWorker 服务器的数据并生成报告。EMC 在线支持网站上的《NetWorker 管理指南》介绍了报告运行方式并显示了可用报告。

10.单击“完成”。

结果

“控制台”窗口显示有 NetWorker 服务器列表。

配置 NetWorker 服务器管理员列表

NetWorker 服务器软件默认情况下会向 Unix NetWorker 服务器上的 root 用户和Windows NetWorker 服务器上的 Windows 管理员组成员提供管理员访问权限。管理员访问权限将向用户提供更改 NetWorker 服务器配置所需的所有 NetWorker 权限。

准备工作

以 administrator 身份（在 Windows 上）或 root 用户身份（在 UNIX 上）登录 NetWorker服务器。

NMC 服务器和 NetWorker 服务器位于同一主机时，NetWorker 服务器安装会自动将gstd 进程的所有者和 NMC 管理员用户添加到 NetWorker 服务器的管理员列表。如果

NMC 服务器和 NetWorker 服务器位于不同的主机上，必须将 gstd 进程的所有者和

NMC 管理员用户添加到 NetWorker 服务器上的管理员列表。将 NMC 管理员帐户添加到管理员列表属性，将让 NMC 管理员用户可管理和监视NetWorker 服务器。gstd 进程的所有者是在 UNIX 上启动 gstd 守护程序或者在

Windows 上启动 EMC GST 服务的用户。默认情况下，该进程所有者是 Windows 上的系统用户和 UNIX 上的 root 用户。

过程

1. 从命令提示符处，使用 nsraddadmin 命令将 gstd 进程所有者添加到 NetWorker服务器的“管理员列表”属性。

在 Windows 上，键入： nsraddadmin -u "user=SYSTEM, host=“NMC 主机 ”"在 UNIX 上，键入： nsraddadmin -u "user=root, host=“NMC 主机 ”"

2. 将 NMC 管理员用户添加到 NetWorker 服务器上的“管理员列表”属性：

nsraddadmin -u "user=administrator, host=“ NMC 主机 ”"其中，“NMC 主机 ” 是 NMC 服务器主机名。

在 NMC 中配置 NetWorker 服务器的用户访问权限

NMC 服务器允许您根据 NMC 用户名限制或授予 NetWorker 服务器访问权限。通过“NetWorker 管理”窗口的 NetWorker 服务器请求总是来自 NMC 服务器。为 NetWorker服务器上的 NMC 用户分配的权限取决于 NetWorker 服务器上“用户组”资源的“用户”属性中显示的项。

NMC 服务器控制 NMC 用户如何访问托管 NetWorker 服务器。在 NMC 服务器上启用“NetWorker 的用户身份认证”系统选项时，可以将 NetWorker 服务器访问权限和权限授予和限制为单个 NMC 用户帐户。禁用“NetWorker 的用户身份认证”选项时，显示的 NetWorker 服务器访问请求来自 NMC 服务器上的 gstd 进程所有者。可访问

NetWorker 服务器的所有 NMC 用户都将被授予分配给 gstd 进程所有者帐户的相同访

问权限和权限。默认情况下，NMC 服务器启用“NetWorker 的用户身份认证”系统选项。启用此选项时，NMC 服务器软件将为每个在该服务器上打开“管理”窗口的 NMC用户，创建从 NMC 服务器到 NetWorker 服务器的单独网络连接。附加网络连接可能需要访问附加防火墙服务端口。

未设置“NetWorker 的用户身份认证”系统选项时，，则从 NMC 服务器到托管NetWorker 服务器只有一个网络连接。

访问控制设置

配置 NetWorker 服务器管理员列表 17

NetWorker 支持使用基于本机 NMC 的身份认证或 LDAP/AD 身份认证，限制或授予 NMC服务器和 NetWorker 服务器的访问权限。

修改“NetWorker 的用户身份认证”系统选项

使用下列步骤定义 NMC 服务器如何控制请求 NetWorker 服务器访问权限的用户帐户。

过程

1. 在 “Console” 窗口中，单击“设置”。

2. 在“设置”菜单中，选择“系统选项”。

3. 设置“NetWorker 的用户身份认证”选项。

l 启用时，NMC 用户名确定 NetWorker 服务器的用户访问权限级别。

l 禁用时，gstd 进程所有者的用户 ID 确定 NetWorker 服务器的用户访问权限级

别。

4. 单击“OK”。

配置基于本机 NMC 的身份认证

基于本机 NMC 的身份认证使用 NMC 服务器主机上的数据存储区来验证 NMC 用户。NMC 服务器维护 NMC 用户名和密码。首次登录 NMC Console 时，NMC 配置向导将创建 NMC 管理员帐户。

无需附加设置即可启用基于本机 NMC 的身份认证，但您可以添加新 NMC 用户帐户、更改 Console 角色分配，以及管理现有 NMC 用户。

添加 NMC 用户

在 NMC 服务器使用本机 NMC 登录身份认证时，请执行以下步骤以添加其他 NMC 用户。

准备工作

以 Console 安全管理员身份登录到 NMC 服务器。管理员帐户即是 Console 安全管理员。

过程


2. 在左窗格中，右键单击“用户”，然后选择“新建”。

将显示“创建用户”对话框。

3. 输入一个用户名。

用户名不能：

l 超过 64 个字符。

l 使用空格或以下字符：:< > /

l 使用 ASCII 值小于或等于 32 的字符。

l 用户名以下划线 (_) 开头。

4. （可选）输入用户的全名以及用户说明。

5. 选择“Console 用户角色”。

6. 输入用户密码。

确保指定符合以下要求的密码：

l 少八个字符长

访问控制设置


l 与用户名不同

如果您从以前不强制实施这些密码要求的早期版本的 NetWorker 进行升级，则在尝试更改密码时，NetWorker 将会强制实施这些要求。

7. 在“确认密码”属性中，重新输入密码。

8. 单击“确定”。

修改 NMC 用户

您可以修改现有 NMC 用户帐户的密码、描述性信息和角色。

准备工作


过程


2. 在左窗格中，选择“用户”。

3. 右键单击用户，然后选择“属性”。

4. 在“标识”选项卡中，根据需要修改属性。

删除 NMC 用户

本节介绍如何删除 NMC 用户。不能删除管理员用户。

过程

1. 以 Console 安全管理员身份登录 Console 服务器。

NMC 用户管理员是 Console 安全管理员。



4. 右键单击用户，然后选择“删除”。

5. 单击“是”以确认删除。

如果用户已保存了自定义报告，则将出现一个对话框，提示输入用户名以将报告重新分配给该用户。也可以删除这些报告。

重置 NMC 管理员密码

使用 “GST_RESET_PW” 环境变量重置 NMC 管理员帐户的密码。

在 Windows 上重置 NMC 服务器的管理员密码使用“控制面板”中的系统小程序来添加“ GST_RESET_PW” 变量和重置管理员密码。

过程

1. 在系统小程序的“高级”选项卡中，选择“环境变量”。

2. 创建新的系统变量。

a. 在“变量名称”字段中，指定 GST_RESET_PW。

b. 在“变量值”字段中，指定 1。3. 重新启动 EMC GST 服务。

启动 EMC GST 服务后，将重置 NMC 服务器管理员密码。

4. 使用 Web 浏览器连接到 NMC 服务器。出现提示时，请在“用户名”和“密码”字段中键入 administrator。

访问控制设置

在 NMC 中配置 NetWorker 服务器的用户访问权限 19

5. 返回到“系统”小程序中的“环境变量”窗口，然后删除 “GST_RESET_PW” 环境变量。

本步骤将阻止每次 EMC GST 服务启动时都重置密码。

在 UNIX 上重置 NMC 服务器的管理员密码使用 “GST_RESET_PW” 环境变量将丢失或忘记的管理员密码重置为默认值。

准备工作

以 root 用户身份执行以下步骤。

过程

1. 使用相应的 shell 命令将 “GST_RESET_PW” 设置为非空值。

例如，在 “ksh ”shell 中，键入以下命令：

“export GST_RESET_PW=” “non_null_value”2. 使用以下命令之一来停止 NMC 服务器守护程序：

l Solaris 和 Linux: /etc/init.d/gst stopl AIX：/etc/rc.gst stop

3. 使用以下命令之一来启动 NMC 服务器守护程序：

l Solaris 和 Linux: /etc/init.d/gst startl AIX：/etc/rc.gst start

启动 EMC GST 服务后，将重置 NMC 服务器管理员密码。

4. 使用 Web 浏览器连接到 NMC 服务器。出现提示时，请在“用户名”和“密码”字段中键入 administrator。

5. 使用相应的 shell 命令将 “GST_RESET_PW” 重新设置为空值。

例如，在 “ksh ”shell 中，键入以下命令：

“export GST_RESET_PW=”

本步骤将阻止每次 EMC GST 服务启动时都重置密码。

配置 LDAP 或 AD 身份认证权限

将 NMC 服务器配置为使用外部身份认证权限认证用户时，您可使用轻型目录访问协议(LDAP)、SSL 轻型目录访问协议 (LDAPS) 或 Microsoft Active Directory 服务器 (AD) 维护的用户名和密码登录 NMC 服务器。通过将 LDAP 或 AD 用户角色或用户名映射到 NMC用户角色，可控制用户权限。您无需在 NMC 服务器中手动添加用户名和密码。

NetWorker 软件会自动将 LDAP 或 AD 配置文件从 NMC 服务器分发到选定 NetWorker 服务器。这会自动将托管 NetWorker 服务器置于 LDAP 或 AD 模式。

当 LDAP 或 AD 用户登录 NMC 服务器并连接到 NetWorker 服务器时：

l NetWorker 服务器将以外部权限执行查找，以获取操作系统认证的用户所属的 LDAP或 AD 组。NetWorker 服务器不会针对 LDAP 权限对用户进行身份验证。

l 为 NetWorker 服务器上的用户分配的权限取决于 NetWorker 服务器上“用户组”资源的外部角色属性中显示的 LDAP 用户或组项。用户组管理（第 43 页）提供了有关用户组资源的详细信息。

访问控制设置


为 LDAPS 准备 NMC 服务器和 NetWorker 服务器

在将 NMC 和 NetWorker 服务器配置为使用 LDAPS 之前，确保 CA 证书、客户端证书和客户端密钥的本地拷贝在每台 NMC 和 NetWorker 服务器上均位于相同的文件系统路径。

准备工作

确保 LDAPS 证书使用 PEM 格式。

NMC 服务器和任何 NetWorker 服务器的操作系统不同时，执行以下步骤以确保每个主机均可与 LDAP 服务器成功通信。

过程

1. 在 NMC 服务器上创建存储证书文件的目录：

l 在 UNIX NMC 服务器上，在 “NMC_installation_directory”/cst 目录

中为证书创建子目录。例如，在 Solaris NMC 服务器上，在 /opt/LGTOnmc/cst 目录中创建名为 corpldap 的子目录。

l 在 UNIX NetWorker 服务器上，在 /opt/nsr/cst 目录中为证书创建子目录。

例如，在 /opt/nsr/cst 目录中创建名为 corpldap 的子目录。

l 在 Windows NMC 服务器上，在 “NMC_installation_directory”\cst目录中为证书创建子目录。例如，在 C:\Program Files\EMC NetWorker\Management\GST\cst 目录中创建名为 corpldap 的子目录。

l 在 Windows NetWorker 服务器上，在“NetWorker_installation_directory”\cst 目录中为证书创建子目

录。例如，在 C:\Program Files\EMC NetWorker\nsr\cst 中创建名为

corpldap 的子目录。

2. 将 CA 证书拷贝到每个将使用 LDAPS 的主机上的新子目录。如果 LDAPS 配置需要客户端的证书，则将客户端证书和客户端密钥拷贝到每个主机上的新目录。

3. （可选）要保护子目录，可以限制目录的访问。

对于 UNIX 主机，确保 UNIX 上的 root 帐户可访问该目录。对于 Windows 主机，确保管理员和本地系统帐户可访问该目录。

配置 LDAP 或 AD 身份认证

首次连接到 Console 服务器并配置基于本机 NMC 身份认证的管理员帐户后，可将 NMC服务器配置为使用 LDAP、LDAPS 或 AD 身份认证。

准备工作

使用具有 Console 安全管理员角色的用户帐户登录 NMC 服务器。默认情况下，将为NMC 用户管理员分配 Console 安全管理员角色。

过程

1. 在“设置”菜单中，选择“配置登录身份验证”。

2. 在“选择身份认证方法”窗口中，选择“外部存储库”。

3. 单击“添加”按钮以添加新的外部身份认证权限。

4. 为“参数”部分中的配置定义 LDAP 属性。下表汇总并定义了每个属性。

访问控制设置


表 2 权限配置参数

参数名参数定义配置信息

权限名称 LDAP 或 AD 服务器的描述性名

称。

必需。

这是用户定义的字段。如果配

置了 LDAPS 证书目录，确保权

限名称与您在 NMC 服务器和

NetWorker 服务器上创建的子目

录名称匹配。

例如，corpldap

提供程序服务器名称 LDAP 或 AD 服务器的主机名或 IP地址。

必需。

对于 LDAPS，确保指定的主机

名与 ca.cert 文件中显示的名

称完全相同。例如，如果

ca.cert 文件包含 LDAPS 服务

器的 FQDN，必须在“提供程

序服务器名称”字段中指定

FQDN。

可分辨名称用于执行诸如搜索 LDAP 或 AD 分层结构中的用户和组的 LDAP 或AD 的 dn。

必需。

在 LDAP 或 AD 服务器上指定一

个帐户，使该帐户对 LDAP 或AD 服务器从中访问其数据的目

录具有完整的读访问权限。

密码 LDAP 或 AD 帐户的密码。必需。

用户搜索路径要在 LDAP 或 AD 服务器上搜索用

户时使用的 dn。必需。

Group search path 要在 LDAP 或 AD 服务器上搜索组

时使用的 dn。必需。

组名称属性在“用户搜索路径”dn 中标识

LDAP 或 AD 组名。

必需。

默认值：“cn”

LDAP 超时（毫秒） LDAP 或 AD 调用超时。必需。

范围为 0 到

2 000 000 000 毫秒。

值 0 表示调用永不超时。

默认值：30,000

用户 ID 属性与用户搜索路径 dn 中的用户相关

联的用户 ID。

必需。

对于 LDAP，该属性通常为

“uid”。

对于 AD，该属性通常为

“cn”。

默认值：“uid”

用户对象类标识“用户搜索路径”中定义的

dn 中的用户的对象类。

必需。

访问控制设置


表 2 权限配置参数（续）


组对象类标识“用户搜索路径”中定义的

dn 的 LDAP 或 AD 分层结构中的组

的对象类。

必需。

对于 LDAP，根据配置使用

“groupOfNames” 或“groupOfUniqueNames”。

对于 AD，使用 group。

默认值：

“groupOfUniqueNames”。

组成员属性位于“用户搜索路径”中定义的

dn 中的用户的组成员身份。

必需。

对于 LDAP：

l 如果“组对象类”为

“groupOfNames”，则属性

通常为 member。

l 如果“组对象类”为

“groupOfUniqueNames”，

则属性通常为

“uniquemember”。

对于 AD，值通常为 member。

默认值为 “uniquemember”。

Networker 无法验证“组成

员”属性。确保在“组成

员”属性中指定正确值。

LDAP 调试级别将要记录到 gstd.raw 文件中的

调试消息的级别。

默认值为 0。

仅针对故障排除目的将此值更

改为 1。

协议 NetWorker 服务器和身份认证服务

器之间的通信协议。

对于 LDAP 或 AD，选择 LDAP。

对于安全通信，选择 LDAPS。

服务器证书（仅限

LDAPS）CA 证书在 NMC 服务器上的完整路

径。

LDAPS 需要。NMC 服务器和

NetWorker 服务器位于不同平台

时，使用正斜杠指定路径。

例如：C:/ProgramFiles/EMC NetWorker/Management/GST/cst/corpldap/ca.cert

客户端证书（仅限

LDAPS）客户端证书在 NMC 服务器上的完

整路径。

LDAPS 服务器需要客户端证书

时，LDAPS 需要。

NMC 服务器和 NetWorker 服务

器位于不同平台时，使用正斜

杠指定路径。

访问控制设置


表 2 权限配置参数（续）


例如： C:/ProgramFiles/EMC NetWorker/Management/GST/cst/corpldap/client.cert

客户端密钥（仅限

LDAPS）客户端密钥在 NMC 服务器上的完

整路径。

LDAPS 服务器需要客户端证书

时，LDAPS 需要。

NMC 服务器为 Windows 主机

时，使用双斜杠指定路径。

例如： C:/ProgramFiles/EMC NetWorker/Management/GST/cst/corpldap/client.key

端口值 LDAP 服务器的端口号。必需。

默认值：389

5. 单击 “Next”。

解决身份认证错误（第 29 页）描述了可能出现的常见错误消息。

6. 在“外部角色”字段中，指定 LDAP 或 AD 用户和组，以将其分配给 NMC Console 安全管理员角色。

7. 单击“下一步”。

如果指定的用户或组在 LDAP 或 AD 服务器上无效，将显示以下消息：

External role <用户或组> is invalid（外部角色 <用户或组> 无效）

8. 在“已分发的权限配置文件”窗口中，选择将使用 LDAP 或 AD 的 NetWorker 服务器。这会将 LDAP 配置文件从 NMC 服务器拷贝到 Windows NetWorker 服务器上的“NetWorker_install_path”\nsr\cst 目录中或 UNIX NetWorker 服务器上的

“NetWorker_install_path”/nsr/cst 文件夹中。默认情况下选择 NMC 服务器。

9. 单击“分发”。“”

如果“可分辨名称”字段中指定的值无效，则将显示以下错误消息：

Failed to validate authority option.Error code:-8, message:Search for user name failed.（无法验证权限选项。错误代码：-8，消息：搜索用户名失败。）

要解决该问题，请返回“权限配置”窗口，纠正“可分辨名称”字段中的值，然后再次尝试分发权限配置文件。

10.在“监视分发进度”窗口中，查看配置文件分发进度。确保所有 NetWorker 服务器的权限配置文件分发成功。

11.单击 “Ok”。

访问控制设置


在 LDAP 或 AD 配置后登录到 NMC 服务器下次使用 NMC 客户端连接到 NMC 服务器时，您必须指定相应的 LDAP 或 AD 用户。如果无法登录到 NMC 服务器，则可以退回到本机 NMC 身份认证模式并重新配置 AD/LDAP 身份认证。

《NetWorker 安装指南》提供了详细信息。请考虑以下情况：

l 当向导分发权限文件时，进程会将具有 NMC Console 安全管理员角色且经过 LDAP和 AD 认证的每个 NMC 用户添加到 NMC 服务器有权管理的每个 NetWorker 服务器上的安全管理员用户组中。

安全管理员用户组的成员只有修改审核日志服务器和用户组资源的权限。“修改用

户组权限（第 43 页）”介绍了如何将手动创建的 LDAP 或 AD 用户添加到

NetWorker 服务器上的用户组中。

l 当 LDAP 或 AD 用户首次登录时，登录进程会自动为用户创建 NMC 用户帐户。

l 当 LDAP 或 AD 用户首次登录到 NMC 服务器时，NMC 服务器会自动为用户创建 NMC用户帐户，并将 NMC 用户分配给与 LDAP 或 AD 组相同的 NMC 角色。

l LDAP 和 AD 身份认证不支持使用管理员用户名。

l NMC 服务器无法执行 LDAP 和 AD 管理功能。请使用合适的 LDAP 和 AD 工具执行LDAP 和 AD 管理功能，如创建新域用户和组。

l 在 LDAP 或 AD 用户首次登录之前，将不填充安全管理员用户组的“外部角色”字段。

l 对登录错误进行故障排除（第 33 页）提供了对常见登录错误消息进行故障排除的详细信息。

示例：配置 LDAP 权限在本示例中，第三方 LDAP 管理工具 LDAP Admin 用于查看 LDAP 配置的属性。

下图提供了指定以下属性所需的值的示例：

l 提供程序服务器名称

l 可分辨名称

l 用户 ID 属性

l 用户搜索路径 — AD 可分辨名称和用户容器名称的组合。

l 用户对象类

图 1 LDAP 用户容器

下图提供了与以下 LDAP 组属性关联的值的示例：

l 组搜索路径 — 可分辨名称和组容器名称的组合。

访问控制设置


l 组成员属性

l 组对象类

图 2 LDAP 组容器

下图提供了“管理身份认证权限”屏幕的示例，其中包含与属性字段中指定的 LDAP 服务器安装相关的配置详细信息。

图 3 管理 LDAP 配置的身份认证权限值

示例：配置 AD 权限在本示例中，Active Directory Services Interfaces Editor（ADSI 编辑）程序用于查看 AD配置的属性。

下列图像提供了指定以下属性字段所需的值的示例：

l 可分辨名称 — AD 可分辨名称、用户容器和用户 ID 属性的组合。

l 用户搜索路径 — 可分辨名称和用户容器名称的组合。

l 用户对象类

l 用户 ID 属性

图 4 适用于用户容器的 ADSI Edit

访问控制设置


下图提供了与以下 AD 组属性关联的值的示例：

l 提供程序服务名称

l 组容器

l 组成员属性

l 组对象类

l 组搜索路径 — 可分辨名称和组容器名称的组合。

访问控制设置


图 5 ADSI Edit 组容器

下图提供了“管理身份认证权限”屏幕的示例，其中包含与属性字段中指定的 AD 服务器安装相关的配置详细信息。

访问控制设置


图 6 管理适用于 AD 配置的身份认证权限值

身份认证配置错误消息故障排除

本节提供了身份认证配置错误消息的可能原因和解决方案的列表。

Authority definition must specify external authority attribute name（权限定义必须指定

外部权限属性名称）

当“授权名称”字段为空时，将在“配置登录身份认证”向导中显示。

LDAP bind failed due to invalid credentials（LDAP 绑定因凭据无效而失败）

当出现以下情况时，将在“配置登录身份认证”向导中显示：

l “可分辨名称”字段中指定的 LDAP 或 AD 用户不正确。

l 为 LDAP 或 AD 用户指定的密码不正确。

Failed to propagate external roles to NetWorker server（无法将外部角色传播到

NetWorker 服务器）

当 NetWorker 服务器的权限文件分发失败时将显示，因为用于分发文件的 NMC 用户不是 NetWorker 服务器上应用程序管理员用户组的成员。

要解决此问题，请执行下列操作：

1. 关闭“配置登录身份认证”向导。

2. 使用具有安全管理员用户组成员身份的 NMC 用户连接到 NetWorker 服务器。

3. 向应用程序管理员用户组添加合适的 LDAP 或 AD 组。

4. 启动“配置登录身份认证”向导并配置新的 LDAP 或 AD 权限。

访问控制设置


No entry in hierarchy ‘ou=“组织名称”, dc=“域组件 1 ”, dc=“域组件 2 ” dc=“域组

件 3” ...（分层结构 ‘ou=组织名称, dc=域组件 1 , dc=域组件 2 dc=域组件 3 ...中不存

在任何项）

错误消息中引用的属性值不正确或者 LDAP 或 AD 权限无法验证属性值时，将在“配置登录身份认证”窗口中显示这些错误消息。下表描述了显示的消息和要更正的属性。

表 3 “配置登录身份认证”向导中的分层结构错误

No entry in hierarchy ‘ou=“orgname”,dc=“domain_component1”,dc=“domain_component2”dc=“domain_component3” ..（分层结构‘ou=组织名称, dc=域组件 1, dc=域组件 2 dc=域组件 3 ..中不存在任何项 ..）

满足如下条件时，此错误消息将显示在“配置登录身份认证”向导中...

...属于用户对象类“用户对象类” ...在“用户对象类”属性中定义的值对

于在“用户搜索路径”属性中定义的值

无效。

...具有组名属性 “组名” ...在“组名属性”字段中定义的值在

LDAP 或 AD 服务器上无效。

...具有用户 ID 属性“用户 ID” ...在“用户 ID 属性”字段中定义的值在


...属于对象类“组对象类” ...在“组对象类”字段中定义的值在


...具有组成员属性“组成员属性” ...在“组成员属性”字段中定义的值在


User Search Path hierarchyou=“orgname”,dc=“domain_component1 ”,dc=“domain_component2 ”’

dc=“domain_component3 ”’ does not exist or is empty（用户搜索路径分层结构 ou=组织名称,dc=域组件 1 ,dc=域组件 2 ’ dc=域组件 3 ’ 不存在或为空）

如果“用户搜索路径”属性中定义的值在 LDAP 或 AD 服务器上无效，将在“配置登录身份认证”向导中显示。

No ldap search path for usernames（用户名没有 LDAP 搜索路径）

如果“用户搜索路径”属性中定义的值在 LDAP 或 AD 服务器上无效，将在“配置登录身份认证”向导中显示。

Group Search Path hierarchyou=“orgname”,dc=“domain_component1”,dc=“domain_component2”’

dc=“domain_component3”’ does not exist or is empty（组搜索路径分层结构 ou=组织名称,dc=域组件 1,dc=域组件 2’ dc=域组件 3’ 不存在或为空）

如果“组搜索路径”属性中定义的值在 LDAP 或 AD 服务器上无效，将在“配置登录身份认证”向导中显示。

查询用户组时出错

如果“组搜索路径”属性中定义的值在 LDAP 或 AD 服务器上无效，将在“配置登录身份认证”向导中显示。

LDAP bind failed because the server is down（LDAP 绑定失败，因为服务器已关闭）

当出现以下情况时，将在“配置登录身份认证”向导中显示：

l 为 LDAP、LDAPS 或 AD 服务器定义的端口号无效。

访问控制设置


l “提供程序服务器名称”字段中指定的主机名不正确，或主机名不可解析。

l LDAPS 服务器需要证书但服务器但服务器证书文件或客户端证书文件字段为空时。

NetWorker 服务器 (Permission denied, user 'LDAP_user' on 'NMC_server' does not have'Configure NetWorker' OR 'Change Application Settings' privilege to configure thisresource) - NSR（NetWorker 服务器（权限被拒绝，“NMC 服务器”上的用户“LDAP 用户”不具有配置该资源的“配置 NetWorker”或“更改应用程序设置”权限）— NSR）该错误将在以下两种情况下显示：

l 向新的 NetWorker 服务器分发权限配置文件时，新的 NetWorker 服务器无法验证LDAP 用户帐户。

要解决该问题，请配置 NMC 服务器以使用基于本机 NMC 的身份认证，然后重新配置 LDAP 或 AD 权限并将其分发给所有必要的服务器。

例如：

1. 在“分发权限配置文件”窗口中，单击“完成”。

2. 再次启动“配置登录身份认证”向导。

3. 在“选择身份认证方法”窗口中，单击“下一步”。

4. 记录已配置的 LDAP 或 AD 权限的每个属性字段中的值；单击“上一步”。

5. 在“选择身份认证方法”窗口中，选择“本机 NetWorker ManagementConsole”，然后单击“下一步”。

6. 选择具有“需要更新”状态的所有服务器，然后单击“分发”。

7. 单击“完成”。

8. 再次启动“配置登录身份认证”向导，并重新创建 LDAP 或 AD 权限配置。

l 当不是应用程序管理员用户组或安全管理员用户组成员的 LDAP 或 AD 用户尝试修改 NetWorker 服务器上的服务器资源 (NSR) 时。要解决此问题，请执行下列操作：

1. 关闭 NetWorker 服务器和 NMC 服务器浏览器窗口。

2. 使用是应用程序管理员用户组或安全管理员用户组成员的 LDAP 或 AD 帐户登录NMC 服务器。

Failed to retrieve authentication control attributes from NetWorker server[“NetWorker_server”]（无法从 NetWorker 服务器 [NetWorker 服务器] 检索身份验证控

制属性）

在不是 NetWorker 服务器上的安全管理员用户组成员的 LDAP 或 AD 用户尝试向NetWorker 服务器分发权限配置文件时显示。



2. 关闭“NMC 服务器浏览器”窗口。

3. 使用是 NetWorker 服务器上安全管理员用户组成员的 LDAP 或 AD 用户登录 NMC 服务器。默认情况下，分配有 NMC 服务器上 Console 安全管理员角色的 LDAP 或 AD用户是 NetWorker 服务器上安全管理员用户组的成员。

NetWorker 服务器上的安全管理员用户组成员只有修改安全审核日志服务器和用户

组资源的权限。修改用户组权限（第 43 页）介绍了如何修改 NetWorker 服务器

上的用户组成员关系。

Could not validate external authority.Failed to get status of file (clientCertificate)'“full_path_to_client_certificate”':No such file or directory.Provide valid path or copy the

访问控制设置


certificates/key to the specified path（无法验证外部权限。无法获取文件

(clientCertificate) 'full_path_to_client_certificate' 的状态：无此类文件或目录。提供有

效路径或将证书/密钥拷贝到指定路径）

向导尝试分发权限配置文件给 NetWorker 服务器，但您指定的证书文件路径错误时，将显示此消息。



2. 再次启动“配置登录身份认证”向导。

3. 在“选择身份认证方法”窗口中，单击“下一步”。

4. 更正证书字段中的路径名并重试分发。

对于 Windows 路径，在路径中使用正斜杠 (/)。例如， c:/my_ldap_server。

NSR Could not validate external authority LDAP bind failed because the server is down（NSR 无法验证外部权限 LDAP 绑定失败，因为服务器已关闭）

LDAPS 证书存在问题时，将出现此消息。

要解决 LDAPS 证书问题，请使用 openssl程序。默认情况下，Windows 主机不包含

openssl 程序。http://www.openssl.org 介绍了如何从第三方提供商获取 openssl 程序。

1. 确认您可以使用证书文件的本地拷贝建立到 LDAPS 服务器的 SSL 连接：openssl s_client -connect “LDAPS 服务器名称:SSL 端口 ” -CAfile“ 服务器证书完整路径 ” -cert “客户端证书完整路径 ” -key“客户端密钥文件完整路

径”“ ”

其中：

l “证书完整路径” 是服务器证书文件在本地主机上的完整路径。如果环境具有CA 权限层次结构，则指定包含所有 CA 权限证书的 root CA 或证书文件。

l “客户端证书文件完整路径” 指定客户端证书文件在本地主机上的完整路径。仅当 LDAPS 需要客户端证书时，才需要此选项。

l “客户端密钥文件完整路径” 指定客户端密钥文件在本地主机上的完整路径。仅当 LDAPS 需要客户端密钥时，才需要此选项。

在另一个示例中，LDAPS 服务器 “myldaps.emc.com” 仅需要 CA 证书。证书文件ca.cert位于 Windows NMC 服务器的 cst目录。在此示例中，键入以下命令：

openssl s_client -connect myldaps.emc.com:636 -CAfile “C:\Program Files\EMC NetWorker\Management\GST\cst\ca.cert”

连接成功时，命令返回以下消息：

Verify return code:0 (ok)（验证返回代码：0（正常））

例如：LDAPS 服务器 “myldaps.emc.com” 需要客户端证书和客户端密钥。证书文件和密钥文件位于 Windows NMC 服务器的 cst目录。在此示例中，键入以下命

令：

openssl s_client -connect myldaps.emc.com:636 -CAfile “C:\Program Files\EMC NetWorker\Management\GST\cst\ca.cert” -cert

访问控制设置


HTTP://WWW.OPENSSL.ORG/RELATED/BINARIES.HTML

“C:\Program Files\EMC NetWorker\Management\GST\cst\client.cert” -key “C:\Program Files\EMC NetWorker\Management\GST\cst\client.key”

连接成功时，命令返回以下消息：

Verify return code:0 (ok)（验证返回代码：0（正常））

2. 如果连接不成功，请联系 LDAPS 管理员，以请求证书文件的新拷贝。要手动从LDAP 服务器拷贝 CA 证书，请执行以下步骤：

a. 连接到 LDAPS 服务器以显示服务器证书 (ca.cert) 文件：

openssl s_client -showcerts -connect “ldaps_server_name:ssl_port ”

openssl命令可能会显示两个证书。第二个证书通常是 CA 证书。

b. 确保您收到的证书与 LDAPS 服务器上的 CA 证书匹配。

解决登录错误

本节提供了 NMC 登录错误消息的可能原因和解决方案的列表。

You do not have privileges to use NetWorker Management Console（您没有使用

NetWorker Management Console 的权限）

当有效的 LDAP 或 AD 帐户尝试登录到 NMC 服务器但该帐户在 NMC 服务器上不存在或未指定控制台角色时显示。

要解决此问题，请手动创建 LDAP 或 AD 帐户并再次尝试登录。将 LDAP 或 AD 用户手动添加到 NMC 服务器（第 34 页）介绍了如何手动创建 LDAP 和 AD 用户帐户。

Could not authenticate this user name and password, try again（无法验证此用户名和密

码，请重试）

使用以下项登录 NMC 服务器时显示：

l 用户名无法识别或密码错误。要解决此问题，请确保为已配置的 NMC 服务器身份认证方法使用正确的用户名和密码组合。

l AD 用户启用了“用户在下次登录时必须更改密码”选项。要解决此问题，请在尝试登录 NMC 服务器前更改密码。

The specified user name is restricted and cannot be used to log into the system（指定的

用户名受限，不能用于登录系统）

当您使用 Administrator 用户名登录 NMC 服务器而 NMC 服务器身份认证是 LDAP 或 AD时显示。使用 AD 或 LDAP 身份认证的 NMC 服务器不支持 Administrator 用户名。

要解决此问题，请使用不同的 LDAP 或 AD 用户名登录 NMC 服务器。

访问控制设置


在 NMC 中管理 LDAP 和 AD 用户

使用 NMC Console 手动添加、删除和管理 LDAP 及 AD 用户。

将 LDAP 和 AD 用户和组添加到 NMC 服务器

您可以手动或使用“配置登录身份认证”向导，将新的 LDAP 和 AD 用户和组添加到NMC 服务器。

通过使用“配置登录身份验证”向导添加 LDAP 或 AD 用户使用此方法可将需要成员身份的 LDAP 和 AD 用户添加到所有托管 NetWorker 服务器上的安全管理员用户组。

准备工作

使用具有 Console 安全管理员角色的用户登录 NMC 服务器。

“配置登录身份认证”向导会自动将新 LDAP 或 AD 用户和组分配给：

l NMC 服务器上的 Console 安全管理员角色。

l 每个托管 NetWorker 服务器上的安全管理员用户组。

过程


2. 在“设置”菜单中，选择“配置登录身份验证”。

3. 在“选择身份认证方法”窗口中，选择“外部存储库”。

4. 选择合适的 LDAP 或 AD“授权名称“，然后单击“下一步”。

5. 在“外部角色”字段中，指定新的 LDAP 或 AD 用户和组，然后单击“下一步”。

6. 在“分发权限配置”窗口中，选择具有“需要更新”状态的 NetWorker 服务器，然后单击“分发”。

7. 在“监视分发进度”窗口中，查看配置文件分发进度。确保所有 NetWorker 服务器的配置文件分发成功。

8. 注销 NMC 服务器并以新组中的用户帐户登录。解决 LDAP 和 AD 登录错误（第 33页）介绍了如何解决登录错误。

安全管理员组的成员只有修改安全审核日志服务器和用户组资源的权限。修改用户

组权限（第 43 页）介绍了如何将手动创建的 LDAP 或 AD 用户添加到 NetWorker服务器的用户组中。

将 LDAP 或 AD 用户手动添加到 NMC 服务器使用此方法可添加 LDAP 或 AD 用户来管理 NMC 服务器，但会限制 NetWorker 服务器访问。

准备工作

以具有 Console 安全管理员角色的用户身份登录到 NMC 服务器。

过程

1. 在“Console”窗口中，单击“设置”。

2. 在左窗格中，右键单击“用户”，然后选择“新建”。

3. 在“用户名”属性中，输入 LDAP 或 AD 用户名。

4. 在剩余的属性中输入 LDAP 或 AD 用户的全名和一般描述（可选）。


访问控制设置


以下图像提供了“创建用户”窗口的示例。

当您将用户或组手动分配给 Console 安全管理员角色时，NMC 服务器不会自动将用

户分配给托管 NetWorker 服务器上的安全管理员用户组。修改用户组权限（第 43页）介绍了如何将手动创建的 LDAP 或 AD 用户添加到 NetWorker 服务器上的用户组

中。

修改 LDAP 或 AD NMC 用户

创建 LDAP 或 AD 用户并将其分配给 NMC Console 角色后，您可以在 NMC Console 中修改有关该用户的描述性信息。

准备工作


过程



3. 右键单击用户，然后选择“属性”。

4. 在“身份”选项卡中，根据需要修改属性。


访问控制设置


删除 LDAP 或 AD NMC 用户

在创建 LDAP 或 AD 用户并将 NMC Console 角色分配给该用户后，您可以在 NMCConsole 中删除该用户。

准备工作


过程


2. 在左窗格中，单击“用户”。

3. 右键单击某个用户名，然后选择“删除”。

4. 单击“是”以确认删除。

5. 如果用户已保存自定义报告，则将出现一个对话框，提示输入要向其重新分配这些报告的用户的名称。否则，将删除报告。

6. 如果需要，请通过 LDAP 服务器上的 LDAP 用户角色删除该用户以及任何 NetWorker用户组。

用户授权用户授权设置可控制授予用户且支持访问 NetWorker 管理的资源的权限。

NMC 服务器授权

用于连接到 NMC 服务器的用户确定 NMC 服务器的访问级别。

Console 服务器根据三种授权角色限制用户权限。您不能删除角色或更改分配给每个角色的权限。

表 4 NMC 用户角色和关联权限

用户角色权限

控制台安全管理员 l 添加、删除和修改 NMC 用户。

l 配置登录身份验证，如将 NMC 服务器配置为：

n 使用 LDAP 身份认证，而非本机 NMC 身份认证。

n 使用本机 NMC 身份认证，而非 LDAP 身份认证。

l 控制用户对受管理的应用程序（如 NetWorker 服务器）的访问。

控制台应用程序管理

员l 配置 Console 系统选项。

l 设置报告的保留策略。

l 查看自定义报告。

l 指定要备份 NMC 数据库的 NetWorker 服务器。

l 指定 NetWorker License Manager 服务器。

l 运行 Console 配置向导。

l 对于“Console 用户”角色可用的所有任务。

访问控制设置


表 4 NMC 用户角色和关联权限（续）

控制台用户除了明确提到仅 Console 安全管理员和 Console 应用程序管理员可以执

行的任务以外的所有任务。

任务包括：

l 添加和删除主机及文件夹。

l 添加和删除 NetWorker、Data Domain 和 Avamar 管理的应用程序。

l 创建和删除其自身的报告。

l 设置受管理应用程序的功能。

l 使用合适的权限级别管理 NetWorker 服务器。

l 消除事件。

默认情况下，NMC 服务器将 Console 安全管理员的成员用户添加到由 Console 服务器管理的每台 NetWorker 服务器上的预配置安全管理员用户组中。“安全管理员”用户组成员只有修改审核日志服务器和 Console 服务器可管理的“用户组”资源的权限。用户组权限（第 39 页）汇总了分配给每个用户组中的用户的权限。

服务器授权

NetWorker 服务器提供了一种机制，可为从命令提示符和 NMC GUI 执行操作的用户授权。

使用 NMC 修改管理员列表

NetWorker 服务器软件默认情况下会向 Unix NetWorker 服务器上的 root 用户和Windows NetWorker 服务器上的 Windows 管理员组成员提供管理员访问权限。管理员访问权限将向用户提供更改 NetWorker 服务器配置所需的所有 NetWorker 权限。NetWorker 将管理员列表存储在 NetWorker 服务器上的 NSR 资源中。使用 NMC 控制台修改管理员列表。

准备工作

以应用程序管理员或数据库管理员用户组成员用户身份使用 NMC 连接到 NetWorker 服务器。

过程

1. 从“管理”窗口中，选择“配置”：

2. 从“查看”菜单中，选择“诊断模式”。

3. 在左导航窗格中右键单击 NetWorker 服务器名称，然后选择“属性”。

4. 在“管理员”属性中，采用以下一种格式指定需要 NetWorker 服务器的管理访问权限的用户帐户。

l “用户名”@“主机名”

l “组”@“主机名”

l user=“用户名”, host=“主机名”

l group=“组名”, host=“主机名”


访问控制设置

服务器授权 37

限制用户的托管服务器视图

默认情况下，NMC 服务器将 Console 安全管理员的成员添加到由 NMC 服务器管理的每台 NetWorker 服务器上的安全管理员用户组中。

准备工作

使用具有 Console 安全管理员角色的帐户登录 NMC 服务器。

要限制用户可以查看和管理的 NetWorker 服务器，请在用户对象上修改权限。

过程

1. 在“Console”窗口中，单击“设置”。

2. 在左窗格中，单击“用户”。

3. 右键单击某个用户名，然后选择“权限”。此时将显示“编辑用户”对话框，其中显示有“权限”选项卡。

4. 要授予用户查看各种主机的权限，请使用箭头键选择允许的主机。


结果

显示用户的视图时，将产生以下关联：

l 在“事件”窗口中：用户只能看到来自允许的 NetWorker 服务器的事件。

l 在“企业”窗口中：用户可以看到所有分层结构文件夹，但是这些文件夹中只显示允许的 NetWorker 服务器。

l 在“库”窗口中：用户仅能查看由允许的 NetWorker 服务器控制的设备。

l 在“报告”窗口中：用户只能看到来自允许的 NetWorker 服务器的报告数据。

l 在“设置”窗口中：

n 用户可以看到所有用户的属性及其各自的属性和权限。

n 用户可以修改各自的属性，但不能修改权限。只有 Console 安全管理员才能查看和修改用户权限。

每个用户均可以查看和管理不同的 NetWorker 服务器集，因此各用户的报告内容可能会有所不同。例如，在用户的权限包括不同的 NetWorker 服务器时，则名为“Building CBackups”的共享备份摘要报告将对不同用户显示不同的数据（即使每个用户同时运行该报告也是如此）。此规则适用于所有报告类型，无论是默认报告还是自定义报告、是专用报告还是共享报告。

如果特定服务器中没有任何数据，则无论用户的权限如何，该服务器都不会出现在任何列表或报告中。

NetWorker 用户组

通过用户组，可为一组本机 NMC、LDAP 和 AD 用户分配权限，以便在 NetWorker 服务器上执行操作。

用户可在 NetWorker 服务器上执行的任务取决于用户组成员身份和分配给用户组的权限。

当您在 NMC 服务器上使用 LDAP 或 AD 身份认证时，请使用用户组资源中的“外部角色”属性来为用户组定义 LDAP 或 AD 成员身份。

当您在 NMC 服务器上使用本机 NMC 身份认证时，请使用“用户”属性来为用户组定义本机 NMC 成员身份。

当您在 NetWorker 服务器上从命令提示符本地运行命令时，请使用“用户”属性来为用户组定义 OS 用户或组成员身份。

访问控制设置


用户组权限

用户权限定义了 NMC、AD 和 LDAP 用户可在 NetWorker 服务器上执行的 NetWorker 操作和任务。除了“应用程序管理员”用户组和“安全管理员”用户组外，您可修改与用户组关联的权限。下表提供了可用权限以及每个权限为用户启用的操作的摘要。

表 5 每个 NetWorker 权限允许的操作

NetWorker 权限

允许的操作

更改安全设置可以修改：

l 用户组

l 安全审核日志资源

l 服务器资源

“更改安全设置”权限还需要设置以下先决权限：查看安全设置、创建安全

设置以及删除安全设置。

查看安全设置可以查看：

l 用户组

l 审核日志资源

l 服务器资源

创建安全设置可以创建新用户组资源。

“创建安全设置”权限还需要设置以下先决权限：查看安全设置、更改安全


删除安全设置可以删除用户创建的用户组。预配置的用户组不可删除。

“删除安全设置”权限还需要设置以下先决权限：查看安全设置、更改安全


远程访问所有客

户机

可以：

l 远程浏览和恢复与任何客户端相关联的数据。

l 查看所有客户端资源的配置。执行“定向恢复”要求使用此权限。

此权限会取代客户端资源的“远程访问”属性中定义的用户。

“远程访问所有客户端”权限还需要设置以下先决权限：运行 NetWorker、监视 NetWorker、操作设备和光盘机、备份本地数据以及恢复本地数据。

配置 NetWorker 可以配置与 NetWorker 服务器、存储节点和客户端相关联的资源。这包含创

建、编辑和删除资源。

具有此权限的用户不能配置"用户组"资源。

访问控制设置

服务器授权 39

表 5 每个 NetWorker 权限允许的操作（续）

NetWorker 权限

允许的操作

“配置 NetWorker”权限还需要设置以下先决权限：运行 NetWorker、监视

NetWorker、操作设备和光盘机、备份本地数据以及恢复本地数据。

运行 NetWorker 可以执行 NetWorker 操作。例如，成员可以：

l 回收客户端文件索引中的空间。

l 设置卷位置或卷模式。

l 启动或停止存储组。

l 查询媒体数据库和客户端文件索引。

“运行 NetWorker”权限还需要设置以下先决权限：监视 NetWorker、操作

设备和光盘机、备份本地数据以及恢复本地数据。

监视 NetWorker 可以：

l 监视 NetWorker 操作，包括设备状态、存储组状态和消息。

l 查看介质数据库信息。

l 查看 NetWorker 配置信息（“更改安全设置”权限中描述的安全设置除

外）。

备份和恢复本地数据并不需要此权限，尽管它可能有助于用户监视消息和其

他信息。

操作设备和光盘

机

可以执行设备和自动转换器操作，例如，装载、卸载和标记。拥有此权限的

用户还可以查看设备状态和待执行消息，以及查看媒体数据库中的信息。

“操作设备和光盘机”权限还需要设置“监视 NetWorker”权限。

恢复本地数据可以：

l 将数据从 NetWorker 服务器恢复到本地客户端。

l 查看大多数客户端配置属性。

l 查询客户端存储集以及浏览客户端文件索引。

此权限不提供查看其他客户端信息的权限，也不覆盖基于文件的权限。

用户只有具有该操作系统的适当用户权限才能恢复文件。要执行存储集或

NDMP 恢复，具有相应权限的用户必须以 root (UNIX) 或管理员 (Windows) 身份登录本地主机。

备份本地数据可以：

l 手动将数据从其本地客户端备份到 NetWorker 服务器。

l 查看客户端配置中的大多数属性。

l 查询客户端存储集以及浏览客户端文件索引。

此权限不提供查看其他客户端信息的权限，也不覆盖基于文件的权限。

用户只有具有该操作系统的适当用户权限才能备份文件。要运行

savegroup命令或执行 NDMP 备份，具有此权限的用户必须以 root (UNIX)

访问控制设置



NetWorker 权限

允许的操作

或管理员 (Windows) 身份登录本地主机。为使定时备份正确运行，客户端的

root 用户 (UNIX) 或管理员 (Windows) 将自动获得此权限。

查看应用程序设

置

可以查看 NetWorker 资源，包括：归档请求、客户端资源、设备资源、指

令、组、光盘机、标签、许可证、通知、策略、池、时间表、转移以及存储

节点。

“查看应用程序设置”权限：

l 允许用户组成员查看操作的状态。

l 不允许用户组成员查看服务器、用户组或安全审核日志资源。

“查看应用程序设置”权限还需要设置以下先决权限：更改应用程序设置、

创建应用程序设置以及删除应用程序设置。

更改应用程序设

置

可以更改 NetWorker 资源，包括：归档请求、客户端资源、设备资源、指


节点。

“更改应用程序设置”权限：


l 不允许用户组成员更改服务器、用户组或安全审核日志资源。

“更改应用程序设置”权限还需要设置以下先决权限：更改应用程序设置、


创建应用程序设

置

可以创建 NetWorker 资源，包括：归档请求、客户端资源、设备资源、指


节点。

“创建应用程序设置”权限：



“创建应用程序设置”权限还需要设置以下先决权限：更改应用程序设置、


删除应用程序设

置

可以删除 NetWorker 资源，包括：归档请求、客户端资源、设备资源、指


节点。

“删除应用程序设置”权限：



访问控制设置

服务器授权 41


NetWorker 权限

允许的操作

“删除应用程序设置”权限还需要设置以下先决权限：更改应用程序设置、


归档数据可以归档数据。NetWorker 应用程序管理员必须为具有此权限的用户配置

NetWorker 才能执行该操作。只能查看与发布归档命令的客户端相关的客户

端资源。

备份远程数据允许用户远程备份数据。

恢复远程数据允许用户恢复在其他计算机上执行的备份的数据。

预配置的用户组

默认情况下，NetWorker 为预配置的用户组提供特定权限。您不能删除预配置的用户组。

下表概述了预配置的用户组以及与每个用户组关联的默认权限。

默认情况下，具有 NMC Console 安全管理员角色的 NMC、LDAP 和 AD 用户将自动添加

到每个他们有权管理的 NetWorker 服务器上的预配置“安全管理员”用户组中。

表 6 与每个 NetWorker 用户组关联的权限

NetWorker 用户组关联权限

安全管理员 l 查看安全设置

l 更改安全设置

l 创建安全设置

l 删除安全设置

应用程序管理员 l 远程访问所有客户机

l 配置 NetWorker

l Operate NetWorker

l Monitor NetWorker

l Operate Devices and Jukeboxes

l 恢复本地数据

l 恢复远程数据

l 备份本地数据

l 备份远程数据

l 创建应用程序设置

l 查看应用程序设置

l 更改应用程序设置

l 删除应用程序设置

l 归档数据

监视器 l Monitor NetWorker






l 创建应用程序设置


访问控制设置


表 6 与每个 NetWorker 用户组关联的权限（续）

NetWorker 用户组关联权限

l 归档数据

操作员 l 远程访问所有客户机


l Operate NetWorker

l Monitor NetWorker






l 归档数据

审计员 l 查看安全设置

用户 l Monitor NetWorker



数据库操作员 l 远程访问所有客户机

l Operate NetWorker

l Monitor NetWorker






l 归档数据

数据库管理员 l 远程访问所有客户机

l 配置 NetWorker

l Operate NetWorker

l Monitor NetWorker






l 归档数据

用户组管理

分配有配置 NetWorker 权限的用户可以管理和修改用户组。

默认情况下，“应用程序管理员”和“数据库管理员”用户组包含了配置 NetWorker 权限。

修改用户组权限除了“应用程序管理员”和“安全管理员”用户组外，您可以更改与其他用户组关联的权限。

准备工作


过程

1. 在“管理”窗口中，单击“配置”。

2. 单击“用户组”。

3. 右键单击要编辑的用户组，然后选择“属性”。

访问控制设置

服务器授权 43

此时将显示“属性”对话框。

4. 在“权限”字段中，选择或取消选择所需的权限。


如果您选择某个权限，但未选择相关权限，则将会显示错误消息。

创建用户组使用 NMC GUI 来创建用户组资源。

准备工作


过程



3. 右键单击“用户组”，然后选择“创建”。

此时将显示“创建用户组”对话框。

4. 在“名称”属性中，输入用户组的名称。

5. 仅限于本机控制台身份认证，在“用户”属性中指定用户名。

6. 仅限于 LDAP 与 AD 用户和组身份认证，在“外部角色”属性中指定用户和组。

7. 在“权限”属性中，选择分配到用户组的权限。


拷贝用户组使用 NMC 来拷贝用户组。

准备工作


过程



3. 右键单击要编辑的用户组，然后选择“拷贝”。

此时将显示“创建用户组”对话框，其中包含的信息与拷贝的用户组相同，但“名称”属性除外。

4. 在“名称”属性中，输入新用户组的名称。

5. 根据需要相应地编辑其他属性，然后单击“确定”。

删除用户组使用 NMC GUI 来删除用户组。

准备工作


过程



访问控制设置


3. 右键单击要编辑的用户组，然后选择“删除”。

4. 出现提示时，单击“是”确认删除。

不能删除预配置的用户组。

修改用户组成员身份使用“外部角色”字段来管理 LDAP/AD 用户和组成员身份，或使用“用户”字段来管理 OS 与 NMC 用户和组成员身份。

如果用户隶属于大量的组，则所有组名称的总字符数可能超过 NetWorker 用于存储组名

称的缓冲区大小。NetWorker 将排除已超过缓冲区大小的字符和组名称。如果您将组添

加到未处于用户 ID 的缓冲区中的“外部角色”字段或用户文件，则 NetWorker 不会将

该用户视为用户组的成员。

修改 LDAP/AD 用户和组的用户组成员资格权限文件分发进程会将在 Console 服务器上具有 Console 安全管理员角色且经过 LDAP和 AD 认证的 NMC 用户将添加到用户具有管理权限的所有 NetWorker 服务器上的安全管理员用户组中。这些用户只能修改审核日志服务器和用户组资源，而不能监视备份或管理其他 NetWorker 资源。使用用户组资源中的“外部角色”字段管理 NetWorker 服务器的 LDAP/AD 用户和组访问权限。

准备工作


过程



3. 右键单击用户组，然后选择“属性”。

4. 修改“外部角色”属性。添加用户或组时，使用以下一种格式：

l “用户名”

l “组名”

l Group@“LDAP 或 AD 主机名”

l username@“LDAP 或 AD 主机名”

l host=LDAP 或 AD 主机名

l role=“角色”,host=“LDAP 或 AD 主机名”

如果对象的格式无效或在 LDAP 或 AD 授权中未找到对象，将显示一个错误：

Cannot find group or user object in any configured authority（在任何配置的机构中都找不到组或用户对象）

用户帐户是大量组的成员时，EMC 建议指定用户名。

访问控制设置

服务器授权 45

修改 OS 用户和组的用户组成员资格使用用户组资源中的“用户”字段管理 NetWorker 服务器的 NMC 和 OS 用户和组访问权限。

准备工作


过程



3. 右键单击用户组，然后选择“属性”。

4. 在“用户”字段中，指定 NMC 用户。使用以下语法指定用户名：名称=值[,名称=值, ...]其中名称可以是以下某一项：

l 用户

l 组

l 主机

l domain

l domainsid

l 域类型（NIS 或 WINDOMAIN）

例如，要在名为 jupiter 的主机上指定一个名为 patrick 的用户，请在“用户”属性中输入此行：

user=patrick,host=jupiter

格式用户@主机、主机和用户以及类似的格式不能明确表示是主机还是域。EMC 建议您使用“名称=值”的格式。

本示例显示了为以下对象提供 NetWorker 管理权限需要输入的内容：

l 来自任何主机的用户 “root”。

l 来自 “mars” 和 “jupiter” 主机的“操作员” 用户。

l “netadmins” 网络组中包括的任意用户、用户的有效主机以及用户和主机的有效域。

在“用户”字段中，键入以下信息：

用户=rootuser=operator,host=jupiteruser=operator,host=mars网络管理(&N)考虑以下信息：

l 如果该值有空格，则使用引号将值括起来，例如：domain="Domain Admins"l 指定网络组名称时，在名称前面附加 &。

l 您可以使用通配符代替值。但是，使用通配符时应小心，因为这样会威胁到企业的安全。

访问控制设置


l 您可以指定本地和全局 Windows 域名和组。例如，管理员组和域管理员组。

l 使用域帐户登录 NetWorker 服务器时，只能指定全局组。

l 本地登录 NetWorker 服务器时，只能指定本地组。

l 使用域帐户登录 Networker 服务器但 NetWorker 服务器无法联系 AD 服务器来验证用户名时，使用多个名称和值来确保 NetWorker 向正确的用户或组分配相应的权限。例如，user=meghan, domain=Engineering 或 group=development,domainsid=S-1-5-32-323121-123

用户帐户是大量组的成员时，EMC 建议指定用户名。

对授权错误和 NetWorker 服务器访问问题进行故障排除

本节提供了与 NetWorker 服务器授权问题相关的错误消息的可能原因和解决方案的列表。

权限不足

如果您尝试执行 NetWorker 操作，并且用于登录到 NMC 服务器的用户 ID 隶属于大量操作系统组，则会出现此消息。

如果用户隶属于大量的组，则组名称中的总字符数可能超过 NetWorker 用于存储组名称的缓冲区大小。NetWorker 将排除已超过缓冲区大小的字符和组名称。如果您将组添加到未处于用户 ID 的缓冲区的向导中的“配置日志”中的“外部角色”字段，则该用户ID 的登录尝试会失败。

要解决此问题，请编辑用户 ID 所隶属的用户组资源，然后执行以下步骤之一：

l 如果您使用 LDAP/AD 身份认证，则在“外部角色”字段中指定用户 ID。

l 如果您使用本机 NMC 身份认证，则在“用户”字段中指定用户 ID。

当您使用“配置登录身份认证”向导来配置 LDAP/AD 身份认证时，在“外部角色”字

段中指定隶属于大量组的用户 ID。

组件访问控制组件访问控制设置定义如何控制产品的外部和内部系统或组件访问权限。

组件身份验证

NetWorker 主机和守护程序使用 nsrauth 机制认证组件和用户，以及防止用户和主机模拟。nsrauth 身份认证机制是基于安全套接字层 (SSL) 协议的强身份认证。对于Windows 和大多数 UNIX 主机，nsrauth 使用 RSA BSAFE SSL 提供的 SSL 协议。对于某些 UNIX 主机，如 Darwin、HP-UX、Linux ppc64、Linux390，nsrauth 使用 OpenSSL 库提供的 SSL 协议。

每个 NetWorker 主机上的 nsrexecd 服务均提供组件身份认证服务。首次在主机上启

动 nsrexecd 进程时，进程将为主机创建以下唯一凭据：

l 1024 位 RSA 私钥

l 自签名证书或公钥

l NW 实例 ID

l 我的主机名

访问控制设置

对授权错误和 NetWorker 服务器访问问题进行故障排除 47

NetWorker 将这些凭据存储在本地 NetWorker 客户端数据库 nsrexec 中找到的 NSRLA 资源中。这些凭证称为本地主机验证凭证。NetWorker 使用本地主机身份认证凭据来向数据区中的其他 NetWorker 主机唯一标识该主机。

某个 NetWorker 主机与其他 NetWorker 主机通信时，nsrauth 进程将在包含启动主机的本地主机身份认证凭据的目标主机 nsrexec 数据库中，创建 NSR 对等主机信息资源。NetWorker 主机启动与其他主机的会话连接时，将执行以下步骤：

1. 启动主机上的 nsrexecd 守护程序联系目标主机上的 nsrexecd 守护程序。

2. 启动主机上的 nsrexecd 守护程序将本地主机身份认证凭据发送给目标主机。

3. 目标主机将本地主机身份认证凭据与本地 NSR 对等主机信息资源中存储的信息进行比较。

l 如果启动主机提供的信息与远程主机的“NSR 对等主机信息”资源中存储的信息匹配，则 nsrexecd 守护程序将创建会话密钥，并且在两个主机之间建立 SSL连接。NetWorker 使用 AES-128 位加密来加密两个主机之间交换的数据。

l 如果启动主机提供的信息与远程主机的“NSR 对等主机信息”资源中存储的信息不匹配，则远程主机会向启动主机请求证书。

n 如果启动主机提供的证书与远程主机上存储的证书匹配，则 nsrexecd 守护程序将创建会话密钥，并且在两个主机之间建立 SSL 连接。NetWorker 使用AES-128 位加密来加密两个主机之间交换的数据。

n 如果启动主机提供的证书与远程主机上存储的证书不匹配，NetWorker 将丢弃两个主机之间的连接。

l 如果远程主机不包含启动主机的“NSR 对等主机信息”资源，远程主机将使用启动主机提供的信息创建新的“NSR 对等主机信息”资源。NetWorker 使用会话密钥在两个主机之间建立 SSL 连接。组件身份认证使用 AES-128 位加密方法。

为了与早期 NetWorker 版本实现兼容性，NetWorker 支持 oldauth 身份认证。在两个主

机无法使用 nsrauth 认证时，EMC 建议您使用 nsrauth 身份认证且仅启用 oldauth 身份

认证。

配置 NetWorker 客户端数据库的访问权限

要修改客户端数据库 (nsrexec) 的访问权限，请使用 nsradmin 程序编辑管理员列表。

准备工作

在 UNIX 主机上以 root 用户身份或在 Windows 主机上以管理员用户身份，在目标主机上执行以下步骤。

默认情况下，管理员属性向以下用户提供访问权限：

l 在 UNIX 主机上，任何主机上的任何 root 用户均可修改 nsrexec 数据库属性。

l 在 Windows 主机上，管理员组中的任何用户均可修改 nsrexec 数据库属性。

要使用 NMC GUI 中的“本地主机”资源修改主机的属性，目标主机的管理员属性必须包含在 NMC 服务器上启动 gstd 服务的帐户。

过程

1. 连接到 nsrexec 数据库：

nsradmin -p nsrexec2. 将查询设置为 NSRLA 资源：

.type:NSRLA

访问控制设置


3. 显示 NSRLA 资源并查看“管理员” 属性的当前设置：

print4. 将管理员属性的值更新为包括 NMC 服务器上 gstd 进程的所有者：

append administrator:"user=“gstd_owner”,host=“NMC_host”"

其中：

l “gstd 所有者” 是在 UNIX 上启动 gstd 守护程序或者在 Windows 上启动 EMCGST 服务的用户帐户。默认情况下，该进程所有者是 Windows 上的系统用户和UNIX 上的 root 用户。

l “NMC 主机” 是 NMC 服务器的主机名。

例如，要将名为 “win.emc.com” 的 Windows NMC 服务器上的 “SYSTEM” 帐户添加到名为 “unix.emc.com” 的 UNIX NetWorker 客户端，请键入：

update administrator:root, "user=root,host=unix.emc.com","user=SYSTEM,host=win.emc.com"

5. 键入“Yes”以确认更改。

6. 键入“Quit”以退出 nsradmin 程序。

修改 NetWorker 主机所使用的身份认证方法

NetWorker 使您能够限制可用于 NetWorker 主机之间通信的身份认证方法，并定义NetWorker 主机所使用的身份认证方法的优先级。使用 NMC 中的“配置本地代理”选项或 nsradmin 命令来修改 NetWorker 主机所使用的身份认证方法。

使用 NMC 管理身份认证方法

使用 NMC 中的“配置本地代理”选项管理主机使用的身份认证方法。

准备工作

gstd 进程所有者必须具有更新目标主机上的 nsrexec 数据库的权限。配置 NetWorker 客户端数据库访问权限（第 48 页）提供了详细信息。

过程

1. 在“管理”窗口中，选择“配置”。

2. 在左导航窗格中，展开 NetWorker 服务器，然后站卡“本地主机”资源。

3. 右键单击目标主机，然后选择“配置本地代理”。

4. 在“高级”选项卡的“身份认证方法”属性中，指定启动连接时其他 NetWorker 主机（对等主机）可使用的身份认证方法。

使用以下格式指定“身份认证方法”值：

“IP_Address[mask]”, “authentication_method[/authentication_method]”...

其中：

l “IP 地址[掩码]” 是单个 IP 地址、单个主机名或 IP 地址和子网掩码范围。您可以指定掩码值的位数或使用完整子网掩码地址。

l “身份认证方法” 是 “nsrauth”（对于强身份认证）或 “oldauth”（对于传统身份认证）。

访问控制设置

组件身份验证 49

指定多个身份认证方法时，NetWorker 会尝试使用列表中的首个方法通信。如果

首个方法失败，则 NetWorker 将尝试使用列表中的第二个方法通信。

例如：

l 要将主机 mnd.emc.com 配置为在与主机通信时仅使用 nsrauth，请键入：

mnd.emc.com,nsrauthl 要将 137.69.168.0 子网上的所有主机均配置为在与主机通信时仅使用 nsrauth，

请键入：

137.69.160.0/24, nsrauthl 要将数据区中的所有主机均配置为在与主机通信时使用 nsrauth，但 IP 地址为

137.69.160.10 的主机除外，因为它应先尝试 oldauth，请键入下面两行：

137.69.160.10, oldauth/nsrauth

0.0.0.0, nsrauth




6. 在目标主机上重启 NetWorker 服务或守护程序。

使用 nsradmin 来管理身份认证方法

使用 nsradmin 程序来管理主机所使用的身份认证方法。

准备工作

使用具有 nsrexec 数据库的管理员访问权限的帐户连接到目标主机。配置 NetWorker 客户端数据库访问权限（第 48 页）介绍了如何更新 NetWorker 客户端数据库中的管理员列表。

过程


nsradmin -p nsrexec2. 将查询类型设置为“NSR 对等主机信息”资源：

.type:nsr peer information3. 显示“身份认证方法”属性的当前值：

show auth methods

print4. 使用以下格式更新“身份认证方法”属性：

update auth methods:“IP_Address[mask]”,“authentication_method[/authentication_method]”

地点：

访问控制设置


l “IP 地址[掩码]” 是单个 IP 地址、单个主机名或 IP 地址和子网掩码范围。您可以指定掩码值的位数或使用完整子网掩码地址。

l “身份认证方法” 是 “nsrauth”（对于强身份认证）或 “oldauth”（对于传统身份认证）。



例如：

l 要在与主机通信时将主机 mnd.emc.com 配置为仅使用 nsrauth，请键入：

update auth methods:mnd.emc.com,nsrauthl 要在与主机通信时将 137.69.168.0 子网上的所有主机配置为仅使用 nsrauth，请

键入：

update auth methods:137.69.160.0/24,nsrauthl 要在与除了 IP 地址为 137.69.160.10 的主机（应该先尝试 oldauth）之外的主机

通信时将数据区中的所有主机配置为使用 nsrauth，请键入以下两行：

update auth methods:137.69.160.10,oldauth/nsrauth 0.0.0.0,nsrauth

维护 NSRLA 资源

nsrexec 数据库中的 NSRLA 资源包含可识别 NetWorker 主机的唯一信息。

使用 NMC 或 nsradmin 命令来导出和导入 NSRLA 资源。使用 nwinstcreate 程序来

创建自定义的私钥和证书。

导出本地主机凭据

导出主机的本地主机凭据，以确保具有唯一的凭据信息拷贝。如果 NSRLA 资源的数据丢失或损坏，您可以导入本地主机凭据，然后将原始的本地主机凭据恢复到 NSRLA 资源。

使用 NMC 导出本地主机凭据使用 NMC 连接到 NetWorker 服务器并导出本地主机凭据。

准备工作


对于未在 NetWorker 服务器上配置现有客户端资源的 NetWorker 主机，无法使用 NMC导出本地主机凭据。过程




4.在“高级”选项卡的“NW 实例信息操作”属性中，选择“导出”。

5. 在“NW 实例信息文件”属性中，指定将包含导出的信息的文件的路径和名称。

对于 Windows 修补程序，指定路径时使用正斜杠 (/)。例如，mnd_credentials.txt文件位于 c:\users时，指定： c:/users/mnd_credentials.txt。

访问控制设置



结果

NetWorker 会将本地主机凭据信息导出到您在目标主机上指定的文件。

如果未指定文件路径，NetWorker 将在 Windows 主机上的 C:\Windows\system32 目

录和 UNIX 主机上的 /nsr/cores/nsrexecd 目录中创建导出文件。

使用 nsradmin 导出本地主机凭据使用 nsradmin程序导出本地主机凭据。

准备工作


过程


nsradmin -p nsrexec2. 将查询类型设置为 NSRLA：

.type:NSRLA3. 配置“NW 实例信息操作”属性和“NW 实例信息文件”属性，以导出资源信息：

update "NW instance info operations:export", "NW instance info file:pathname_filename"

例如，要将信息导出到 UNIX 主机上的 /home/root/export.txt文件，请键

入：

update NW instance info operations:export; NW instance info file:/home/root/export.txt


结果

NetWorker 会将本地主机凭据信息导出到您在目标主机上指定的文件。

为主机创建自定义证书和私钥

NetWorker 会自动为每个 NetWorker 主机创建证书和私钥。但您也可以为主机手动创建证书和私钥。

您在特殊情况下可能会想要这么做（例如，当公司策略规定主机必须使用可信的随机数生成应用工具创建的证书和私钥时）。您可以将新的证书和密钥信息导入主机的NSRLA 资源，然后将该信息导入企业中每个主机上的 NSR 对等主机信息资源。

创建自定义证书和私钥使用 nwinstcreate 命令创建自定义证书和私钥。

在将使用自定义证书和私钥的主机上，从命令提示符处执行以下步骤。您可以将自定义文件导入本地主机上的 NSRLA 资源，也可以为主机将自定义文件导入数据区中其他主机上的 NSR 对等主机信息资源。

访问控制设置


过程

1. 启动 nwinstcreate 程序：

nwinstcreate -ix2. 在 Enter the file name to save NetWorker identify information

into 提示符处，指定保存自定义证书和私钥的文件的名称，或者接受默认文件名

和位置。

3. 在 Enter a unique NetWorker instance name to identify yourmachine 提示符处，指定实例名称或接受默认值（计算机的主机名）。

默认情况下，NetWorker 使用“我的主机名” 属性中的指定值。

4. 在 Enter the NetWorker instance id 提示符处，指定唯一值来标识主机或

接受默认值。

5. 在 Enter the file containing the private key提示符处，指定包含此

主机私钥的 PEM 格式化文件的路径和文件名。如果贵组织没有私钥，请将提示符留空，NetWorker 将为主机生成私钥。

6. 仅在 Windows 主机上，确保 Windows 本地系统帐户 (System) 具有包含自定义证书和密钥的文件的读取、写入和修改权限。

导入本地主机凭证

如果您已使用 nwinstcreate 程序导出主机的本地主机凭据或创建自定义凭据，则可

以使用 NMC 或 nsradmin 将信息导入主机上的 NSRLA 资源。

当发生 NSRLA 损坏且 nsrexecd 程序在主机上创建新的本地主机凭据时，nsrauth 进程将拒绝主机与数据区中在损坏发生前与主机通信的所有其他主机之间的全部连接尝试。nsrauth 进程拒绝连接，这是因为主机的 NSR 对等主机信息资源中的信息与主机尝试建立连接时将提供的新的本地主机凭据不同。要解决此问题，将主机的本地主机凭据的拷贝导入本地 NSRLA 资源。这可确保主机的本地主机凭据与数据区中所有其他主机上 NSR 对等主机信息资源中存储的信息相匹配。解决 NSR 对等主机信息冲突（第57 页）介绍了在导出的本地主机凭据信息拷贝不可用时如何解决此问题。

使用 NMC 导入本地主机凭据使用 NMC 连接到 NetWorker 服务器并导入本地主机凭据。

准备工作


过程

1. 将包含导出的本地主机凭据的文件拷贝到目标主机。

2. 在 UNIX 平台上，确保 root 用户具有凭据文件的读写权限。

例如：chmod 600 “export_file_name”3. 在“管理”窗口中，选择“配置”。



6. 在“高级”选项卡的“NW 实例信息操作”属性中，选择“导入”。

7. 在“NW 实例信息文件”属性中，指定包含导出的信息的文件的路径和名称。


访问控制设置



结果

NetWorker 会将本地主机凭据信息导入目标主机。使用 nsradmin 导入本地主机凭据使用 nsradmin程序将文件中的本地主机凭据导入主机的 NSRLA 资源。

准备工作


过程


2. 在 UNIX 平台上，确保 root 用户具有凭据文件的读写权限。

例如：chmod 600 “export_file_name”3. 连接到 nsrexec 数据库：

nsradmin -p nsrexec4. 将查询类型设置为 NSRLA：

.type:NSRLA5. 配置“NW 实例信息操作”属性和“NW 实例信息文件”属性，以导入资源信息：

update NW instance info operations:import; NW instance info file:pathname_filename

例如，要将信息导入到 UNIX 主机上的/home/root/mnd_credentials.txt文

件，请键入：

update NW instance info operations:import; NW instance infofile:/home/root/mnd_credentials.txt

对于 Windows 修补程序，指定路径时使用正斜杠 (/)。例如，mnd_credentials.txt文件位于 c:\users时，指定： c:/users/mnd_credentials.txt。例如，mnd_credentials.txt文件位于 c:\users时，指定： c:/users/mnd_credentials.txt。

6. 在系统提示更新资源时，输入 Yes。7. 退出 nsradmin程序：

quit

维护 nsrauth 身份认证凭据

本节介绍了如何维护本地主机凭据和 NSR 对等主机信息资源。

手动创建 NSR 对等主机信息资源

当 NetWorker 主机首次与另一主机相连接时，NetWorker 会在目标主机上的 nsrexec 数据库中自动为启动主机创建 NSR 对等主机信息资源。在后续的身份认证尝试中，NetWorker 将使用 NSR 对等主机信息资源中包含的信息来验证启动主机的身份。在两个

访问控制设置


主机首次通信之前，在目标客户端上手动创建 NSR 对等主机信息资源，以消除攻击者损害此进程的可能性。

使用 NMC 手动创建 NSR 对等主机信息资源使用 NMC 连接到 NetWorker 服务器，以为主机创建新 NSR 对等主机资源。

准备工作


查看包含主机导出的本地主机凭据的文件的内容，然后记下“名称”、“我的主机名”和“NW 实例 ID”属性中的值。过程


2. 在“查看”菜单上，选择“诊断模式”。


4. 右键单击目标主机，然后选择“新建”。

5. 在“创建证书”窗口的“更改证书”下拉菜单中，选择“从文件加载证书”。

6. 在“名称”属性中，输入凭据文件中的“名称”值。

7. 在“实例 ID”属性中，输入凭据文件中的“NW 实例 ID”值。

8. 在“平级主机主机名”属性中，输入凭据文件中的“我的主机名”值

9. 在“更改证书”下拉菜单中，选择“从文件加载证书”。

10.在“要加载的证书文件”属性中，指定包含导出的本地主机凭据的文件的路径和名称。


11.在 UNIX 平台上，确保 root 用户具有凭据文件的读写权限。

例如：chmod 600 “export_file_name”12.单击“确定”。

使用 nsradmin 创建 NSR 对等主机信息在主机上使用 nsradmin 程序来为主机创建 NSR 对等主机信息资源。

准备工作


过程



nsradmin -p nsrexecd3. 创建“NSR 对等主机信息”资源：

create type:NSR Peer Information; name:“hostname”; NW Instance:“nw_instance_id”; peer hostname:“my_hostname”

其中：

访问控制设置


l “hostname ”是出现在凭据文件的“名称”属性中的值。

l “NW_instance_id ”是出现在凭据文件的“NW 实例 ID”属性中的值。

l “my_hostname ”是出现在凭据文件的“我的主机名”属性中的值。

4. 在系统提示创建资源时，键入 Yes。5. 将当前查询设置为新的“NSR 对等主机信息”资源：

.type:NSR Peer Information; name:“hostname”6. 更新新的“NSR 对等主机信息”资源以使用导出的证书：

update:change certificate:load certificate from file; certificate file to load:“pathname_filname”


7. 在系统提示更新资源时，输入 Yes。8. 显示隐藏的属性：

option hidden9. 显示新的“NSR 对等主机信息”资源：

print .type:NSR Peer Information;name:“hostname”

删除 NSR 对等主机信息资源

当 NetWorker 主机的本地主机凭据更改时，针对其他主机的身份认证尝试将失败，这是因为目标主机中存储的凭据信息与启动主机提供的本地主机凭据信息不匹配。

使用 nsradmin 或 NMC 中的“本地主机”窗口，以便在目标主机上删除启动主机的

NSR 对等主机信息资源。下次启动主机尝试连接到目标主机时，nsrauth 身份认证进程将使用当前的本地主机凭据，为启动主机创建新的 NSR 对等主机信息资源。

使用 NMC 删除 NSR 对等主机信息资源使用 NMC 连接到 NetWorker 服务器并删除 NetWorker 主机的 NSR 对等主机信息资源。

准备工作


对于未在 NSR 服务器上配置现有客户端资源的 NetWorker 主机，无法使用 NMC 删除

NSR 对等主机信息资源。

过程



3. 选择含要删除的“NSR 对等主机信息”资源的 NetWorker 主机。

NetWorker 服务器上不存在客户端资源时，NetWorker 主机不会显示在“本地主机”

部分中。

访问控制设置


“证书”窗口将显示存储在主机上 nsrexec 数据库中的 NSR 对等主机信息资源列表。

4. 在“证书”窗口中，右键单击要删除的证书，然后选择“删除”。

5. 系统提示确认删除操作时，选择“是”。

如果收到错误 User username on machine hostname is not onadministrator list（计算机主机名上的用户名不在管理员列表中），您在目

标主机上配置 NSRLA 访问权限之前无法修改资源。配置 NSRLA 访问权限（第 48页）提供了详细信息。

结果

下次启动主机尝试与目标主机建立连接时，目标主机将为启动主机创建新的 NSR 对等主机信息资源。使用 nsradmin 删除 NSR 对等主机信息资源在目标主机上使用 nsradmin 程序删除启动主机的 NSR 对等主机信息资源。

准备工作


过程


nsradmin -p nsrexec2. 将查询类型设置为启动主机的“NSR 对等主机信息”资源：

.type:nsr peer information;name:initiating_host_name

例如，如果启动主机的主机名是 pwd.emc.com，请键入：

.type:nsr peer information;name:pwd.emc.com3. 显示“NSR 对等主机信息”资源的所有属性：

show4. 打印“NSR 对等主机信息”资源的属性，然后确认名称和对等主机名属性与启动主

机的主机名匹配：

print5. 删除 NSR Peer Information 资源：

delete6. 系统提示确认删除操作时，输入 y。7. 退出 nsradmin 程序：

quit结果

下次启动主机尝试与目标主机建立连接时，目标主机将为启动主机创建新的 NSR 对等主机信息资源。

解决本地主机凭据与 NSR 对等主机信息资源之间的冲突

在两个 NetWorker 主机成功认证对方后，目标主机会创建 NSR 对等主机信息资源，以存储启动主机的本地主机凭据。目标主机使用已存储在 NSR 对等主机信息资源中的属

访问控制设置


性来验证出自目标主机的连接请求。当启动主机的 NSRLA 资源中意外地发生数据丢失或损坏时，nsrexecd 进程会创建新的本地主机凭据。当具有新的本地主机凭据的主机尝试连接另一主机时，如果启动主机的 NSR 对等主机信息资源存在，则会因为凭据与NSR 对等主机信息资源的内容不匹配，导致目标主机拒绝该连接请求。

当主机的本地主机凭据更改时，先前与该主机建立连接的所有目标主机将会拒绝连接尝试。您可以采用以下其中一种方法来解决此问题：

l 为每个目标主机的 NetWorker 客户端数据库中的启动主机手动删除 NSR 对等主机信息资源。

如果 NetWorker 服务器是启动主机，您必须删除数据区中每个主机上的 NSR 对等主

机信息资源。

l 导入启动主机上的本地主机凭据的备份拷贝。

删除 NSR 对等主机信息资源

当 NetWorker 主机的本地主机凭据更改时，针对其他主机的身份认证尝试将失败，这是因为目标主机中存储的凭据信息与启动主机提供的本地主机凭据信息不匹配。

使用 nsradmin 或 NMC 中的“本地主机”窗口，以便在目标主机上删除启动主机的

NSR 对等主机信息资源。下次启动主机尝试连接到目标主机时，nsrauth 身份认证进程将使用当前的本地主机凭据，为启动主机创建新的 NSR 对等主机信息资源。

使用 NMC 删除 NSR 对等主机信息资源使用 NMC 连接到 NetWorker 服务器并删除 NetWorker 主机的 NSR 对等主机信息资源。

准备工作


对于未在 NSR 服务器上配置现有客户端资源的 NetWorker 主机，无法使用 NMC 删除

NSR 对等主机信息资源。

过程



3. 选择含要删除的“NSR 对等主机信息”资源的 NetWorker 主机。

NetWorker 服务器上不存在客户端资源时，NetWorker 主机不会显示在“本地主机”

部分中。

“证书”窗口将显示存储在主机上 nsrexec 数据库中的 NSR 对等主机信息资源列表。

4. 在“证书”窗口中，右键单击要删除的证书，然后选择“删除”。

5. 系统提示确认删除操作时，选择“是”。



访问控制设置


结果

下次启动主机尝试与目标主机建立连接时，目标主机将为启动主机创建新的 NSR 对等主机信息资源。使用 nsradmin 删除 NSR 对等主机信息资源在目标主机上使用 nsradmin 程序删除启动主机的 NSR 对等主机信息资源。

准备工作


过程





.type:nsr peer information;name:pwd.emc.com3. 显示“NSR 对等主机信息”资源的所有属性：

show4. 打印“NSR 对等主机信息”资源的属性，然后确认名称和对等主机名属性与启动主


print5. 删除 NSR Peer Information 资源：

delete6. 系统提示确认删除操作时，输入 y。7. 退出 nsradmin 程序：

quit结果

下次启动主机尝试与目标主机建立连接时，目标主机将为启动主机创建新的 NSR 对等主机信息资源。

将本地主机凭据导入 NSR 对等主机信息资源

使用 nsradmin 程序或 NMC 中的“本地主机”窗口将私钥和证书导入启动主机在目标

主机上的 NSR 对等主机信息资源。

下次启动主机尝试连接到目标主机时，nsrauth 身份认证进程将使用导入的本地主机凭据，为启动主机创建新 NSR 对等主机信息资源。

使用 NMC 导入本地主机凭据使用 NMC 连接到 NetWorker 服务器并将证书和私钥导入 NetWorker 主机的 NSR 对等主机信息资源。

准备工作


访问控制设置


过程




4. 选择含要修改的“NSR 对等主机信息”资源的 NetWorker 主机。

5. 在“证书”窗口中，右键单击要删除的证书，然后选择 Properties。6. 在“创建证书”窗口的“更改证书”下拉菜单中，选择“从文件加载证书”。

7. 在“要加载的证书文件”属性中，指定包含导出的本地主机凭据的文件的路径和名称。




使用 nsradmin 导入本地主机凭据使用 nsradmin 将证书和私钥导入 NetWorker 主机的 NSR 对等主机信息资源。

准备工作


过程





.type:nsr peer information;name:pwd.emc.com3. 显示隐藏的资源：

option hidden4. 打印“NSR 对等主机信息”资源的属性，然后确认名称和对等主机名属性与启动主


print5. 更新新的“NSR 对等主机信息”资源以使用导出的证书：

update:change certificate:load certificate from file; certificate file to load:“pathname_filname”


6. 在系统提示更新资源时，输入 Yes。

访问控制设置


7. 显示隐藏的属性：

option hidden8. 显示新的“NSR 对等主机信息”资源：

print .type:NSR Peer Information;name:“hostname”

生成新的主机证书密钥

使用 NMC 为 NetWorker 主机创建新的主机证书密钥。

准备工作


过程




4. 选择 “Advanced” 选项卡。

5. 在 “NW 实例信息操作”属性列表中，选择“新建密钥”。

6. 单击确定。

结果

NetWorker 为 NetWorker 主机生成新的证书。您必须在其他 NetWorker 主机上删除该主机的所有现有对等主机信息资源。删除对等主机信息资源（第 56 页）介绍了如何删除该资源。

组件授权

NetWorker 为您提供在 NetWorker 主机上限制远程程序执行或客户端任务执行权限的能力。

此外，您还可以：

l 定义可访问 NetWorker 主机数据以及将该数据恢复到另一 NetWorker 主机的用户。

l 限制客户端启动的 NetWorker 服务器备份。

l 配置 NetWorker 服务器以防止启动新的保存和恢复会话。

限制远程程序执行和客户端任务执行权限

NetWorker 主机请求在其他 NetWorker 主机上执行任务的权限时，目标主机会将请求主机的名称与在目标 NetWorker 主机的服务器文件中指定主机名列表进行比较。如果请求主机的主机名未在服务器文件中，则请求主机没有客户端任务执行权限，因此目标主机将拒绝请求。

下表提供了需要客户端任务执行权限的任务的列表。

操作客户端服务器文件中必需的条目

归档请求添加 NetWorker 服务器的长名称和短名称。

定时备份添加 NetWorker 服务器的长名称和短名称。

对于群集的 NetWorker 服务器，添加虚拟 NetWorker 与所有物理节点的长名称

和短名称。

访问控制设置

组件授权 61

操作客户端服务器文件中必需的条目

远程定向恢复将管理客户端的长名称和短名称添加到目标客户端上的服务器文件。

NDMP DSA 备份添加可启动备份的 NetWorker 客户端的长名称和短名称。

Windows 和 Solaris 上的软件安装进程允许您指定要添加到服务器文件的主机列表。要在安装完成后更改服务器文件或在不允许您在安装进程期间配置文件的操作系统上指定主机，请使用文本编辑器编辑服务器文件。服务器文件位于以下位置：

l 在 UNIX 和 Mac NetWorker 主机上： /nsr/resl 在 Windows NetWorker 主机上：“ NetWorker_installation_path”\res将 NetWorker 主机添加到服务器文件时，确保执行以下任务：

l 同时指定主机的短名称和 FQDN。

l 每行指定一个主机名。

l 保存文件后在主机上重启 nsrexecd 服务。

如果服务器文件为空或不存在，则任何 NetWorker 主机均具有该主机的客户端任务执行

权限。

在 UNIX 计算机上，您可以使用 “-s servername” 选项启动 nsrexecd守护程序，以将

客户端任务执行权限分配给主机。使用 “-s” 选项来启动 nsrexecd守护程序将取代

使用服务器文件来限制客户端任务执行权限。

配置远程恢复访问权限

可通过“客户机”资源来控制客户机恢复访问。“远程访问”属性显示可将存储集从NetWorker 主机恢复到不同 NetWorker 主机的用户帐户。根据文件所需的安全级别来添加或删除用户名。

准备工作


仅在“远程访问”属性中指定的用户和以下用户帐户可执行目标客户端数据的远程或定向恢复：

l 目标 UNIX 主机上的 root 用户。

l 目标 Windows 主机上本地“管理员”组的成员。

l NetWorker 服务器上“应用程序管理员”用户组的成员。

l 具有“更改安全设置”权限的 NetWorker 服务器用户组的成员。

《NetWorker 管理指南》介绍了如何配置和执行远程和定向恢复。

过程


2. 在左侧导航窗格中，选择“客户端”。

3. 右键单击客户端，然后选择“属性”

4. 在“全局（第 2 个，共 2 个）”选项卡的远程访问属性中，采用下列格式之一指定要具有客户端远程恢复访问权限的用户帐户：

l user=“用户名”

访问控制设置



l “hostname”

l host=“hostname”

l user=“用户名”, host=“主机名”

如果在“远程访问”属性中输入“主机名” 或 “host=主机名”，则指定主机上的任

何用户均可恢复客户端的文件。要输入用户名而不指定主机，请输入 user=“用户

名”。


限制对 NetWorker 服务器的备份和恢复访问权限

您可以将 NetWorker 服务器配置为允许或防止手动存储操作，接受或拒绝新存储会话，以及接受或拒绝新恢复会话。

限制手动存储操作

使用 NSR 资源中的手动存储属性允许或防止客户端启动的到 NetWorker 服务器的备份。默认情况下，此选项处于启用状态。

准备工作

以应用程序管理员或数据库管理员用户组成员用户身份连接到 NetWorker 服务器。

过程


2. 在左导航窗格中，右键单击 NetWorker 服务器，然后选择“属性”。

3. 在“设置”选项卡中，清除“手动存储”。

结果

用户无法使用 save 命令或 NetWorker User 应用程序（仅限 Windows 客户端），执行

从任何 NetWorker 主机到 NetWorker 服务器的备份。

拒绝新存储会话

NetWorker 8.0 和更高版本允许您将 NetWorker 服务器配置为拒绝正在进行和手动或计划备份中的新存储会话。例如，NetWorker 服务器可以拒绝新存储会话，在未取消关闭过程中正在进行的备份操作的情况下，允许日常的 NetWorker 服务器维护，如服务器重新启动。默认情况下，配置 NetWorker 服务器以接受新存储会话。执行以下步骤，以防止 NetWorker 服务器接受新存储会话。

准备工作


过程



3. 在“其他”选项卡中，清除“接受新会话”。

拒绝新恢复和克隆会话

NetWorker 8.0 和更高版本允许您将 NetWorker 服务器配置为拒绝新恢复和克隆会话。例如，NetWorker 可以拒绝恢复会话，在未取消关闭过程中正在进行的恢复操作的情况

访问控制设置

组件授权 63

下，允许日常的 NetWorker 服务器维护，如服务器重新启动。默认情况下，配置NetWorker 服务器以接受新恢复会话。执行以下步骤，以防止 NetWorker 服务器接受新恢复会话。

准备工作


过程



3. 在“其他”选项卡中，清除“接受恢复会话”。

访问控制设置


第 3 章

日志设置

本章介绍如何访问和管理 NetWorker 中可用的日志文件。

l NetWorker 日志文件..............................................................................................66l 查看日志文件....................................................................................................... 70l 原始日志文件管理................................................................................................ 72l 监视对 NetWorker 服务器资源所做的更改............................................................75l 配置日志记录级别................................................................................................ 76

日志设置 65

NetWorker 日志文件本节提供 NetWorker 主机上可用的日志文件和日志文件管理的摘要。

表 7 NetWorker 日志文件

组件文件名和默认位置说明

NetWorker 服务器及客户

端守护程序

UNIX：/nsr/logs/daemon.rawWindows：C:\Program Files\EMC NetWorker\nsr\logs\daemon.raw

主要 NetWorker 日志文件。

使用 nsr_render_log程序

查看日志文件的内容。

NetWorker 服务器生成的

syslog 消息和

daemon.notice

UNIX：系统日志配置文件定义的

OS 日志文件。

Windows：C:\Program Files\EMC NetWorker\nsr\logs\messages

NetWorker 服务器生成的

系统日志

消息 local0.notice 和local0.alert

按系统日志配置文件定义的日志文

件名和位置。

仅 UNIX，OS 日志文件。

与之前的 NetWorker 软件版本

不同，NetWorker 8.0 和更高

版本不会修改 syslog.conf文件来配置 local0.notice和 local0.alert。特定于

供应商的文档介绍了如何配置

local0.notice 和local0.alert

NetWorker 服务器灾难恢

复命令行向导，nsrdr程

序

UNIX： /nsr/logs/nsrdr.logWindows：C:\Program Files\EMC NetWorker\nsr\logs\nsrdr.log

包含有关 nsrdr程序执行的

内部操作的详细信息。

NetWorker 每次运行 nsrdr程

序时都将覆盖此文件。

克隆 UNIX：/nsr/logs/clone.logWindows：C:\Program Files\EMC NetWorker\nsr\logs\clone.log

包含有关计划克隆操作的完成

信息。默认情况下，

NetWorker 服务器上的“计划

的克隆完成”和“计划的克

隆失败”通知会发送信息到

日志文件。

索引日志 UNIX：/nsr/logs/index.logWindows：C:\Program Files\EMC NetWorker\nsr\logs\index.log

包含有关包含索引文件的文件

系统上的客户端文件索引大小

和磁盘空间不足的警告。默认

情况下，NetWorker 服务器上

的“索引大小”通知会发送

信息到日志文件。

Report Home UNIX：/nsr/logs/report_home/DefaultReportHome_YYMMDDxxxxxx

包含有关将 Report Home 输出

文件交付给 EMC 支持的状态

信息。

日志设置


表 7 NetWorker 日志文件（续）


Windows：C:\Program Files\EMC NetWorker\nsr\logs\DefaultReportHome_YYMMDDxxxxxx

虚拟机管理程序 UNIX：/nsr/logs/Hypervisor/Windows： C:\Program Files\EMC NetWorker\nsr\logs\Hypervisor\

VMware 保护策略 UNIX: /nsr/logs/Policy/

“VMware 保护策略名称”

Windows：C:\Program Files\EMC NetWorker\nsr\logs\Policy\“VMware 保护策略名

称”“ ”

包含有关 VMware 保护策略操

作的状态信息。NetWorker 为每个操作创建一个单独日志文

件。

策略 UNIX：/nsr/logs/policy.logWindows：C:\Program Files\EMC NetWorker\nsr\logs\policy.log

包含有关 VMware 保护策略的

完成信息。默认情况下，

NetWorker 服务器上的

“VMware 保护策略失败”通知会发送信息到日志文件。

快照管理 UNIX：/nsr/logs/nwsnap.rawWindows： C:\Program Files\EMC NetWorker\nsr\logs\nwsnap.raw

包含与快照管理操作相关的消

息。例如，快照创建、装载、

删除和转储操作。使用

nsr_render_log程序查看

日志文件的内容。

介质管理 UNIX：/nsr/logs/media.logWindows：C:\Program Files\EMC NetWorker\nsr\logs\media.log

包含设备相关消息。默认情况

下，NetWorker 服务器上的设

备通知会将设备相关消息发送

到 NetWorker 服务器和每个存

储节点上的 media.log文

件。

Windows 裸机恢复 (BMR) X:\Program Files\EMCNetWorker\nsr\logs\目录中

的以下文件：

ossr_director.raw

包含 DISASTER_RECOVERY:\ 的恢复工作流，以及与恢复存储

集文件或 Windows ASR 编写器

错误有关的任何错误。使用



recover.log 包含 NetWorkerrecover.exe 程序生成的输

出，以及与重要卷数据恢复相

关的错误消息。

winPE_wizard.log 包含与 NetWorker BMR 向导用

户界面相关的工作流信息。

日志设置

NetWorker 日志文件 67



winpe_nw_support.raw 包含

winpe_nw_support.dll库

中的输出。该输出提供有关

NetWorker BMR 向导与

NetWorker 服务器之间通信的

信息。



winpe_os_support.log 包含与 Microsoft 本机 API 调用相关的输出信息。

恢复向导 UNIX：/nsr/logs/recovery/“恢复配置名称

_YYYYMMDDHHMMSS”

Windows：C:\Program Files\EMC NetWorker\nsr\logs\recovery\“恢复配置名

称”_YYYYMMDDHHMMSS

包含有助于解决恢复故障的信

息。NetWorker 在 NetWorker服务器为每个恢复作业创建一

个日志文件。

NMC 服务器日志文件 AIX 和 Linux： /opt/lgtonmc/management/logs/gstd.rawSolaris： /opt/LGTOnmc/management/logs/gstd.rawWindows： C:\Program Files\EMC NetWorker\Management\logs\gstd.raw

包含与 NMC 服务器操作和管

理有关的信息。使用



NMC 服务器数据库转换 Solaris： /opt/LGTOnmc/logs/gstdbupgrade.logAIX 和 Linux： /opt/lgtonmc/logs/gstdbupgrade.logWindows：C:\Program Files\EMC NetWorker\Management\logs\gstdbupgrade.log

包含 7.6.x 和更低 NMC 服务器

升级期间执行的 NMC 服务器

数据库转换的结果。

NMC Web 服务器 AIX 和 Linux：/opt/lgtonmc/management/logs/web_outputSolaris：/opt/LGTOnmc/management/logs/web_outputWindows：C:\Program Files\EMC NetWorker\Management\logs\web_output

包含 NMC 服务器上嵌入式数

据库服务器的消息。

日志设置




NMC 服务器数据库日志文

件

AIX 和 Linux：/opt/lgtonmc/management/logs/db_outputSolaris： /opt/LGTOnmc/management/logs/web_outputWindows： C:\Program Files\EMC NetWorker\Management\logs\web_output

包含 NMC 服务器上嵌入式

Apache httpd Web 服务器的消

息。

客户端推送日志 UNIX： /nsr/logs/nsrcpd.rawWindows：C:\Program Files\EMC NetWorker\logs\nsrcpd.raw

包含与“客户端推送”向导和

nsrpush命令相关的信息。



计划组/存储组日志 UNIX：/nsr/logs/sg/groupnameWindows： C:\Program Files\EMC NetWorker\logs\sg\groupname

包含有关服务器启动的备份的

完成信息。默认情况下，

NetWorker 服务器上的“存储

组完成”和“存储组失败”通知会发送信息到日志文件。

Rap 日志 UNIX： /nsr/logs/rap.logWindows：C:\Program Files\EMC NetWorker\logs\rap.log

记录对 NetWorker 服务器资源

数据库所做的配置更改。

安全审核日志 UNIX： /nsr/logs/“NetWorker_server”_sec_audit.rawWindows：C:\Program Files\EMC NetWorker\logs\“Networker_server”_sec_audit.raw

包含安全审核相关消息。

用户日志 C:\Program Files\EMCNetWorker\logs\networkr.raw

仅限 Windows，包含属于

NetWorker User 程序启动的尝

试性手动备份或恢复操作的每

个文件的记录。后续手动备份

或恢复操作将覆盖文件。使用



《EMC NetWorker 管理指南》介绍了如何配置日志文件通知。

日志设置

NetWorker 日志文件 69

查看日志文件NetWorker 将消息发送给两类日志。以 .log 扩展名保存的普通文本日志文件以及

以 .raw 扩展名保存的未呈现的日志文件。

.log 文件以及出现在 NMC 中的消息使用可生成日志消息的服务的语言环境设置。要

查看 .log 文件的内容，请使用任何文本编辑器。在文本编辑器中查看 .raw 文件之

前，请将 .raw 文件呈现为本地计算机的语言环境。您可以手动呈现原始日志文件或配

置 NetWorker 以便在运行时呈现日志文件。

手动呈现原始文件

nsr_render_log程序是一种非交互式程序。当使用 nsr_render_log 程序

将 .raw 文件的内容呈现到运行该命令的主机区域时，nsr_render_log 将输出打印

到 stdout。您可以将输出重定向到一个文件中，并在文本编辑器中查看输出。

准备工作

NetWorker 安装目录中的 bin子目录包含 nsr_render_log 程序。如果 bin目录未

在运行命令的主机的搜索路径中，使用 nsr_render_log程序时包括完整路径。如果

未从包含.raw文件的目录运行 nsr_render_log命令，包括.raw文件的路径。

nsr_render_log程序支持的许多选项允许您筛选.raw文件的内容，以及以易于读

取的格式呈现内容。

过程

l 要以类似于 .log 文件的格式呈现原始文件并将输出重定向到文本文件，请键入：nsr_render_log -c -meapthy “ 原始文件名” 1>“输出文件名” 2>&1

其中：

n “原始文件名”是未呈现文件的名称。例如， daemon.rawn “输出文件名”是将输出定向到的文件的名称。

n -c 禁止显示类别

n -m 禁止显示消息 ID

n -e 禁止显示错误编号

n -a 禁止显示活动 ID

n -p 禁止显示进程 ID

n -t 禁止显示线程 ID

n -h 禁止显示主机名

n -y 禁止显示消息严重性

l 要从远程计算机呈现.raw文件，请键入：nsr_render_log -c -meapthy -R“主机名”“原始文件名”1>“输出文件名 ” 2>&1

其中：

n “主机名”是包含.raw文件的主机的名称。

n “原始文件名”是未呈现文件的名称。例如， daemon.rawn “输出文件名”是将输出定向到的文件的名称。

日志设置


n -c 禁止显示类别

n -e 禁止显示错误编号

n -m 禁止显示消息 ID

n -p 禁止显示进程 ID

n -a 禁止显示活动 ID

n -t 禁止显示线程 ID

n -h 禁止显示主机名

n -y 禁止显示消息严重性

l 要呈现.raw文件并仅查看特定设备的日志文件消息，请键入：nsr_render_log -c -meapthy -F “设备名称”“原始文件名”1>“输出文件名 ” 2>&1

其中：“设备名”是设备的名称。《EMC 命令参考指南》提供了有关 nsr_render_log程序和可用选项的详细信息。

l 要仅呈现近记录的消息，请键入：nsr_render_log -c -meapthy -B “编号”

“原始文件名”1>“输出文件名 ” 2>&1

其中：“数字”是要呈现的行数。《EMC 命令参考指南》提供了有关 nsr_render_log程序和可用选项的详细信息。

运行时呈现原始日志文件

除了创建与语言环境无关的日志文件之外，您还可以指示 NetWorker 软件使用运行时主机的语言环境呈现 daemon.raw和 gstd.raw文件。这将允许您在文本编辑器中查看

日志文件，而不先使用 nsr_render_log程序呈现文件。

准备工作

使用 root (UNIX) 或管理员 (Windows) 用户帐户登录 NetWorker 主机。

要指示 NetWorker 软件以托管文件的计算机的语言环境呈现日志，请设置 NSRLA 数据库中的“运行时呈现的日志文件”属性。为了实现与之前版本的 NetWorker 软件的向后兼容性，运行时呈现的日志文件包含以下属性：

l 消息 ID

l 消息的日期和时间

l 呈现的消息

过程

1. 从命令提示符处，使用 nsradmin程序访问 NSRLA 数据库：

nsradmin -p nsrexec2. 将资源类型设置为 NSR 日志：

.type:NSR log3. 显示所有日志文件资源的列表：

print

例如，在 Windows NMC 服务器上，将显示如下输出：

nsradmin> print type:NSR log;

日志设置

运行时呈现原始日志文件 71

administrator:Administrators,"group=Administrators,host=bu-iddnwserver.iddlab.local"; owner:NMC Log File; maximum size MB:2; maximum versions:10; runtime rendered log:; runtime rollover by size:Disabled; runtime rollover by time:; name:gstd.raw; log path:\"C:\\Program Files\\EMC NetWorker\\Management\\GST\\logs\\gstd.raw";

type:NSR log; administrator:Administrators,"group=Administrators,host=bu-iddnwserver.iddlab.local"; owner:NetWorker; maximum size MB:2; maximum versions:10; runtime rendered log:; runtime rollover by size:Disabled; runtime rollover by time:; name:daemon.raw; log path:\"C:\\Program Files\\EMC NetWorker\\nsr\\logs\\daemon.raw";

4. 定义要编辑的日志资源：

.type:NSR log; name:log_file_name

例如，要选择 daemon.raw 文件，请键入以下命令：

.type:NSR log; name:daemon.raw 5. 使用“运行时呈现的日志”属性定义呈现的日志文件的路径和文件名。

例如，要将呈现的消息保存到 Windows 主机上默认 NetWorker 日志中的rendered.log文件，请键入：

update runtime rendered log:"C:\\Program Files\\EMC NetWorker\\nsr\\logs\\rendered.log"

6. 系统提示确认更新时，请键入：y7. 验证属性值更新成功：

nsradmin> print

type:NSR log;administrator:root, "user=administrator,host=bu-iddnwserver.iddlab.local";owner:NetWorker;maximum size MB:2;maximum versions:10;runtime rendered log:C:\\Program Files\\EMC NetWorker\\nsr\\logs\\daemon.log ;runtime rollover by size:Disabled;runtime rollover by time:;name:daemon.raw;log path:C:\\Program Files\\EMC NetWorker\\Management\\GST\\logs\\daemon.raw;

8. 退出 nsradmin程序。

原始日志文件管理NetWorker 软件将管理原始日志文件的大小和转储。

NetWorker 会采用以下方式自动管理 nwsnap.raw 和 nsrcpd.raw 文件：

日志设置


l nwsnap.raw：在某个进程将消息写入 nwsnap.raw 文件之前，该进程将检

查 .raw 文件的大小。日志文件大小为 100 MB 或更大时，该进程将调用裁剪机

制。快照管理多支持 10 个 .raw 文件版本。

l nsrcpd.raw：NetWorker 守护程序在计算机上启动时，启动进程将检查原始文件

的大小。日志文件大小为 2 MB 或更大时，启动进程将调用裁剪机制。客户端推送支持 10 个原始文件版本。

NetWorker 让您可自定义 daemon.raw、 gstd.raw、networkr.raw 和“Networker_server”_sec_audit.raw 文件的大文件大小、大文件版本数

和运行时转储。使用 nsradmin 程序访问 NSRLA 数据库，然后修改定义在 NetWorker裁剪或重命名日志文件之前日志文件变为多大的属性。

下表介绍了管理日志文件大小的资源属性。

表 8 管理日志文件大小的原始日志文件属性

属性信息

大大小

(MB)定义日志文件的大大小。

默认：2 MB

大版本数定义已保存日志文件的大数量。

如果拷贝的日志文件数量达到大版本值，则在创建新的日志文件拷贝时，

NetWorker 将会删除旧的日志。

默认：10

运行时按大小

转储

设置后，该属性将调用每小时自动执行的日志文件大小检查。

配置“运行时呈现的日志”属性时，NetWorker 会同时裁减运行时呈现的日志

文件和关联的 .raw 文件。

默认：已禁用

运行时按时间

转储

设置后，该属性将调用在定义的时间执行的日志文件自动调整（不考虑文件大

小）。变量格式为 HH:MM （小时:分钟）。

配置“运行时呈现的日志”属性时，NetWorker 会同时裁减运行时呈现的日志

文件和关联的 .raw 文件。

默认：undefined

裁减机制裁减日志文件的方式各不相同，具体取决于您定义日志文件大小管理属性的方式。下表汇总了裁剪行为。

表 9 管理日志文件裁剪机制的原始日志文件属性

属性配置裁减行为

配置运行时

按时间转储

或运行时按

大小转储时

l NetWorker 将现有日志文件的内容拷贝到采用命名惯例的新文件：

“daemondate_time.raw ”l NetWorker 将现有 daemon.raw 截断为 0 MB。

如果在负载繁重的 NetWorker 服务器上启动此机制，则此过程可能需要较长时间

才能完成。

日志设置

原始日志文件管理 73

表 9 管理日志文件裁剪机制的原始日志文件属性（续）

属性配置裁减行为

未配置运行

时按时间转

储或运行时

按大小转储

时

l 当计算机上启动 nsrexecd 进程时，NetWorker 会检查日志文件大小。

l 如果日志文件大小超过了大大小 MB 属性定义的大小时，NetWorker 会将

现有日志文件重命名为 “log_file_name_date_time.raw”，然后创

建一个新的空日志文件。

如果 nsrd 守护程序或 NetWorker 备份和恢复服务器服务运行了很长一段时间，

则日志文件的大小可能会远远超过大大小 MB 定义的值。

管理 daemon.raw、networkr.raw 和 gstd.raw 文件的原始日志文件大小

要将 NetWorker 软件配置为按时间转储 .raw 文件，请执行以下步骤。

过程

1. 以 root 用户身份（在 UNIX 上）或管理员身份（在 Windows 上）登录 NetWorker 主机。

2. 使用 nsradmin 程序访问 NSRLA 数据库：

nsradmin -p nsrexec3. 将资源类型设置为 NSR 日志：

.type:NSR log4. 显示所有日志文件资源的列表：

print

例如，在 Windows NMC 服务器上，将显示如下输出：

nsradmin> print type:NSR log; administrator:Administrators,"group=Administrators,host=bu-iddnwserver.iddlab.local"; owner:NMC Log File; maximum size MB:2; maximum versions:10; runtime rendered log:; runtime rollover by size:Disabled; runtime rollover by time:; name:gstd.raw; log path:\"C:\\Program Files\\EMC NetWorker\\Management\\GST\\logs\\gstd.raw";

type:NSR log; administrator:Administrators,"group=Administrators,host=bu-iddnwserver.iddlab.local"; owner:NetWorker; maximum size MB:2; maximum versions:10; runtime rendered log:; runtime rollover by size:Disabled; runtime rollover by time:; name:daemon.raw;

日志设置


log path:\"C:\\Program Files\\EMC NetWorker\\nsr\\logs\\daemon.raw";

5. 定义要编辑的日志资源：

.type:NSR log; name:log_file_name

例如，要选择 gstd.raw 文件，请键入以下命令：

.type:NSR log; name:gstd.raw 6. 使用要转储日志文件的时间更新“运行时按时间转储”属性。

例如，要将 gstd.raw 文件配置为在上午 12:34 转储，请键入：

update runtime rollover by time:"00:34"7. 系统提示确认更新时，请键入：y8. 验证属性值更新成功：

nsradmin> print

type:NSR log;administrator:root, "user=administrator,host=bu-iddnwserver.iddlab.local";owner:NMC Log File;maximum size MB:2;maximum versions:10;runtime rendered log:;runtime rollover by size:Disabled;runtime rollover by time:"00:34";name:gstd.raw;log path:C:\\Program Files\\EMC NetWorker\\Management\\GST\\logs\\gstd.raw;

9. 退出 nsradmin 程序。

监视对 NetWorker 服务器资源所做的更改NSR 资源中的“监视 RAP（资源分配协议）”属性使您能够跟踪对 NetWorker 服务器资源和属性所做的配置修改。NetWorker 服务器将这些更改记录在位于“NetWorker_install_dir”\logs 目录的 rap.log 文件中。rap.log 文件中

的每个条目均包含用户操作、执行操作的用户的名称、源计算机的名称以及更改时间。NetWorker 在 rap.log 文件中记录了足够多的信息，使管理员能够撤销任何更

改。默认情况下，已启用“监视 RAP”属性。要禁用该属性设置，请执行以下步骤。

准备工作


在 NetWorker 8.0 和更高版本中，安全审核日志功能为 NetWorker 服务器和 NMC 服务器

提供了记录与其操作相关的特定安全审核事件的能力。

过程


2. 从“查看”菜单中选择“诊断模式”。

3. 在左导航窗格中右键单击 NetWorker 服务器名，然后选择“属性”。

日志设置

监视对 NetWorker 服务器资源所做的更改 75

4. 在“设置”选项卡中，为“监视 RAP”属性选择“禁用”按钮。

配置日志记录级别本节介绍了如何修改 NetWorker 和 NMC 进程的日志记录级别以便对问题进行故障排除。

为 NetWorker 守护程序设置调试级别

将 NetWorker 守护程序配置为在调试模式下运行的方法取决于该守护程序。

在 NetWorker 服务器上，您可以将 nsrd 和 nsrexecd 配置为在调试模式下启动。nsrd守护程序会根据需要启动其他守护程序。要捕获 nsrd 守护程序启动的守护程序调试输

出，请使用 dbgcommand。在 NMC 服务器上，您可以在调试模式下启动 gstd 守护程序。

在调试模式下启动 nsrd 和 nsrexecd 守护程序（在 UNIX 上）

nsrd 守护程序是 NetWorker 服务器的主要进程。要对 NetWorker 服务器进程的问题进行调试，请在调试模式下启动 nsrd 进程。nsrexecd 进程是 NetWorker 客户端功能的主要进程。要对 NetWorker 客户端功能的相关问题进行调试，请在调试模式下启动nsrexecd 进程。

过程

1. 使用 root 用户帐户登录到 NetWorker 主机，然后停止 NetWorker 进程：

nsr_shutdown2. 从命令提示符启动守护程序，然后指定调试级别。

例如：

l 要在调试模式下启动 nsrexecd 守护程序，请键入：nsrexecd -D91>“filename ”2>&1

l 要在调试模式下启动 nsrd 守护程序，请键入：nsrd -D91>“filename ”2>&1

其中，“filename ”是 NetWorker 用于存储调试消息的文本文件的名称。

3. 在您收集必要的调试信息后，请执行以下步骤：

a. 使用 nsr_shutdown 命令来停止 NetWorker 进程。

b. 使用 NetWorker 启动脚本来重新启动进程：

l 在 Solaris 和 Linux 上，键入：/etc/init.d/networker startl 在 HP-UX 上，键入： /sbin/init.d/networker startl 在 AIX 上，键入： /etc/rc.nsr

在调试模式下启动 NetWorker 守护程序（在 Windows 上）

NetWorker 备份和恢复服务启动 nsrd 进程，此进程是 NetWorker 服务器的主要进程。要对 NetWorker 服务器进程的问题进行调试，请在调试模式下启动 nsrd 进程。NetWorker 远程执行服务启动 nsrexecd 进程，此进程是 NetWorker 客户端功能的主要进程。要对 NetWorker 客户端功能的相关问题进行调试，请在调试模式下启动 nsrexecd进程。

日志设置


过程

1. 打开服务小程序“services.msc”。

2. 停止 NetWorker Remote Exec 服务。

在 NetWorker 服务器上，这也会停止“NetWorker 备份和恢复”服务。

3. 要将 nsrexecd 进程置于调试模式，请执行以下操作：

a. 右键单击“NetWorker 远程执行”服务并选择“属性”。

b. 在“启动参数”字段中，键入 -D“x”

其中，x 是介于 1 和 99 之间的数字。

c. 单击“启动”按钮。

4. 要将 nsrd 进程置于调试模式，请执行以下操作：

a. 右键单击 NetWorker 备份和恢复服务并选择“属性”。

b. 在“启动参数”字段中，键入 -D“x”

其中，“x” 是介于 1 和 99 之间的数字。

c. 单击“启动”按钮。

结果

NetWorker 将调试信息存储在 daemon.raw 文件中。

后续工作

在您捕获调试信息后，请停止 NetWorker 服务，删除 “-D” 参数，然后重新启动服务。

在调试模式下启动 NMC 服务器守护程序

当您可以访问 NMC GUI 时，请使用“系统选项”窗口中的“调试级别”属性，以便在调试模式下启动 gstd 守护程序。

当您无法访问 NMC GUI 时，请使用环境变量，以便在调试模式下启动 gstd 守护程

序。

使用 NMC 以调试模式启动 NMC 服务器守护程序

gstd 守护程序是主要 NMC 服务器进程。要解决 NMC GUI 问题，请以调试模式启动 gstd守护程序。

准备工作

以管理员帐户登录 NMC 服务器。

过程

1. 在 NMC Console 中，选择“设置”。

2. 在“设置”菜单中，选择“系统选项”。

3. 在“调试级别”字段中，选择介于 1 和 20 之间的数字。

结果

NMC 将调试信息存储在 gstd.raw 文件中。

后续工作

捕获调试信息后，停止 NetWorker 服务，将调试级别设置为 0，然后重启服务。

日志设置

为 NetWorker 守护程序设置调试级别 77

使用环境变量以调试模式启动 NMC 服务器守护程序

无法访问 NMC GUI 时，使用环境变量将 gstd 守护程序置于调试模式。

在 Windows 上设置 GST 调试环境变量要在 Windows 上设置 GST 调试环境变量，请使用 NMC 服务器上的“控制面板”系统小程序。

过程

1. 浏览到“控制面板” > “系统和安全性” > “系统” > “高级设置”。

2. 在“常规”选项卡中，单击“环境变量”。

3. 在“系统变量”部分中，单击“新建”。

4. 在“变量名”字段中，键入：GST_DEBUG5. 在“变量值”字段中，键入介于 1 和 20 之间的数字。

6. 停止并启动“EMC gstd”服务。

结果


后续工作

捕获调试信息后，停止“EMC gstd”服务，从启动文件删除环境变量，然后重启“EMCgstd”服务。

在 UNIX 上设置 GST 调试环境变量使用产生的 shell 脚本将 gstd 守护程序置于调试模式。

过程

1. 修改 gst 启动文件的文件权限。默认情况下，该文件为只读文件。

文件位置因操作系统而异：

l Solaris 和 Linux: /etc/init.d/gstl AIX： /etc/rc.gst

2. 编辑文件并在文件开头指定以下内容：

GST_DEBUG=“x”

export GST_DEBUG其中 “x” 是介于 1 和 20 之间的数字。

3. 停止并重启 gstd 守护程序：

l Solaris 和 Linux:输入： /etc/init.d/gst stop 然后 /etc/init.d/gststart

l AIX：输入： /etc/rc.gst start 然后 /etc/rc.gst stop结果


后续工作

捕获调试信息后，停止 gstd 守护程序，从启动文件删除环境变量，然后重启 gstd 守护程序。

日志设置


使用 dbgcommand 程序将 NetWorker 进程置于调试模式

使用 dbgcommand程序生成 NetWorker 守护程序和进程的调试消息，而未停止和启动

NetWorker 守护程序。您还可以使用 dbgcommand程序生成其他进程启动的进程的调

试信息。例如，使用 dbgcommand将 nsrmmd进程置于调试模式。

过程

1. 从 NetWorker 主机上的命令提示符处，确定要调试的守护程序或进程的进程 ID(PID)。

l Windows 使用“任务管理器”确定 PID。

如果未在“进程”选项卡上看到每个进程的 PID，则导航到“查看” > “选择

列”，然后选择“PID（进程标识符）”

l 在 UNIX 上，使用 ps命令。例如，键入 ps -ef | grep nsr以获取以 nsr 开头的所有 NetWorker 进程的列表。

2. 在命令提示符下，键入：

dbgcommand -p “PID” -Debug “ x ”

其中：

l “PID”是进程的进程 ID。

l 是介于 0 和 9 之间的数字。

0 关闭调试。

结果

NetWorker 将进程调试信息记录在 daemon.raw文件中。

后续工作

要关闭调试，请键入：

dbgcommand -p “PID” -Debug=0

在调试模式下运行定时备份

您可以配置 NetWorker，以便记录定时组中的所有客户端备份的详细输出。此外，您还可以配置定时组中的单个客户端以便在调试模式下运行。

以详细模式运行组中的所有客户端备份

针对组中的所有客户端修改组资源的属性，以将详细备份信息发送到 daemon.raw 文件。

准备工作


日志设置

在调试模式下运行定时备份 79

“x”

过程


2. 单击左导航窗格中的“组”。

3. 右键单击组并选择“属性”。

4. 在“高级”选项卡的“选项”部分中，选择“详细”。

5. 单击 “Ok”。

结果

在计划时间，NetWorker 会将每个备份的调试信息记录在 daemon.raw 文件中。

后续工作

组备份操作完成时，编辑组的属性并清除“详细”选项。

以调试模式运行组中的单个客户端

针对组中的单个客户端修改客户端资源的备份命令属性，以将备份信息发送到daemon.raw 文件。

准备工作


过程


2. 单击左导航窗格中的“客户端”。

3. 右键单击该客户端并选择“修改客户端属性”。

4. 在“应用程序和模块”选项卡的“备份命令”属性中，键入：

save -D“x”

其中 “x” 是介于 1 和 99 之间的数字。


结果

在计划时间，NetWorker 会将客户端备份的调试信息记录在 daemon.raw 中。

后续工作

组备份操作完成时，编辑客户端的属性并清除“备份命令”字段。

从命令行以调试模式手动运行组备份

使用 savegrp 命令以调试模式从命令行手动运行组备份，并且将输出发送到日志文

件。

过程

1. 在 NetWorker 服务器上的命令提示符处键入：

savegrp -D“x 组名 ” 1>“文件名 ” 2>&1

其中：

l “x” 是介于 1 和 99 之间的数字。

l “ 组名” 是备份组的名称。

l “文件名” 是存储调试信息的文件的名称。

日志设置


从命令行以调试模式运行客户端启动的备份

使用 save 程序从命令行执行客户端启动的备份。

在要备份的主机上，键入以下命令：

save -D“x 文件系统对象 ”1>“文件名 ” 2>&1其中：


l “文件系统对象” 是要备份的文件或目录的名称。


《NetWorker 命令参考指南》提供了有关所有可用备份选项和如何使用 save 命令的详细

信息。

以调试模式运行恢复

在使用恢复向导执行 Windows 灾难恢复和使用 recover 命令时，可将 NetWorker 配置

为记录恢复的详细输出。

以调试模式运行恢复向导恢复作业

您可使用 nsrtask 程序从命令行，运行在恢复向导中创建的恢复作业。

在调试模式下运行恢复作业

要将详细恢复信息发送到恢复日志文件，请设置恢复作业的调试级别。

准备工作


过程

1. 在“管理”窗口中，单击“恢复”。

2. 在“选择恢复选项”窗口中，选择“高级选项”。

l 要修改定时恢复作业，请在“已配置的恢复”部分中选择该作业，然后选择“属性”。

l 要配置新的恢复作业，请选择“新建”。

您无法修改过期或失败的恢复作业。

3. 在“选择恢复选项”窗口的“调试级别”属性中，请选择调试级别。

4. 完成恢复向导中的其余步骤。

结果

NetWorker 将调试恢复信息记录到恢复日志文件中。

日志设置

从命令行以调试模式运行客户端启动的备份 81

通过使用 nsrtask 在调试模式下运行恢复作业

从命令提示符使用 nsrtask 命令来运行由恢复向导创建的恢复作业。

过程

1. 在 NetWorker 服务器上，键入：nsradmin。2. 从 nsradmin 提示符：

a. 将资源属性设置为恢复资源：

.type:nsr recover

b. 显示要进行故障排除的恢复资源的属性：

print name: recover_resource_name

其中，recover_resource_name 是恢复资源的名称。

c. 记下“recover”、“recovery options”和“recover stdin”属性的值。例如：

recover command:recover;recover options:-a -s nw_server.emc.com -c mnd.emc.com -I - -i R;recover stdin:“<xml><browsetime>May 30, 2013 4:49:57 PM GMT -0400</browsetime><recoverpath>C:</recoverpath></xml>”;

其中：

l nw_server.emc.com 是 NetWorker 服务器的名称。

l mnd.emc.com 是源 NetWorker 客户端的名称。

3. 确认 nsrd 进程能够计划恢复作业：

a. 更新恢复资源以启动恢复作业：

update:name:“recover_resource_name ”;start time:now其中，“recover_resource_name” 是恢复资源的名称。

b. 退出 nsradmin 应用程序

c. 确认 nsrtask 进程启动。

如果 nsrtask 进程未启动，请查看 NetWorker 服务器上的 daemon.raw 文件是

否报告错误。

4. 要确认 NetWorker 服务器能够在远程主机上运行 recover 命令，请在 NetWorker 服务器上键入以下命令：

nsrtask -D3 -t ‘NSR Recover’ “recover_resource_name ”

其中，“recover_resource_name” 是恢复资源的名称。

5. 当 nsrtask 命令完成时，请查看 nsrtask 输出是否报告错误。

6. 要确认 Recovery UI 向 recover 进程发送了正确的恢复参数，请执行以下操作：

日志设置


a. 在目标客户端上打开命令提示符。

b. 结合运行 recover 命令与恢复资源所使用的恢复选项。

例如：

recover -a -s nw_server.emc.com -c mnd_emc.com -I - -i R

c. 在 Recover 提示符处，在 recover stdin 属性中指定值。不要包括随 recoverstdin 属性显示的“,”或“;”。

如果 recover 命令显示为挂起，请查看 daemon.raw 文件是否报告错误。

d. 当 recover 命令完成时，请查看 recover 输出是否报告错误。如果 recover 命令失败，请查看恢复资源中指定的值是否有错误。

7. 使用 jobquery 命令查看恢复作业的详细信息。在 NetWorker 服务器上的命令提示

符处键入：jobquery8. 从 jobquery 提示符，执行以下步骤之一：

l 将查询设置为恢复资源，并显示恢复资源的所有恢复作业的结果：

print name: “recover_resource_name”

其中，“recover_resource_name” 是恢复资源的名称。

l 将查询设置为特定的作业 ID，并显示该作业的结果。

print job id:“jobid”

其中，“jobid” 是您要查看的恢复作业的作业 ID。

查看 NetWorker 服务器上的 daemon.raw 文件，以获得恢复操作的作业 ID。

以调试模式运行 Windows BMR 恢复

使用 WinPE 注册表调试使用 BMR 恢复向导执行的恢复。

过程

1. 在命令提示符下，键入： regedit

日志设置

以调试模式运行恢复 83

2. 在注册表编辑器中，导航到 HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Prefs\com\networker\win/P/E/Wizard

3. 将“调试模式” 属性中的数据值从 0 更改为 1。4. 启动 BMR 恢复向导。

结果

该向导将在 X:\Program Files\EMC NetWorker\nsr\logs\WinPE_Wizard.log 文件中记录与下列项相关的调试信息。

收集调试信息后，要关闭调试模式，请将“调试模式” 属性的数据值从 1 修改为 0。

从命令行以调试模式运行客户端启动的恢复

使用 recover 程序和 “-D” 选项从命令行执行客户端启动的恢复。

例如，在要将数据恢复到的主机上，键入以下命令：

recover -D“x file_sytem_objects” 1>“filename” 2>&1

其中：


l “文件系统对象” 是要恢复的文件或目录的名称。


日志设置


《NetWorker 命令参考指南》提供了有关所有可用恢复选项和如何使用 recover 命令的

详细信息。

日志设置

以调试模式运行恢复 85

日志设置


第 4 章

通信安全设置

本章介绍如何确保 NetWorker 将安全通道用于通信，以及如何在防火墙环境中配置NetWorker。

l 端口使用和防火墙支持.........................................................................................88l 针对防火墙环境的特殊考虑事项.......................................................................... 88l 确定服务端口需求................................................................................................ 90l 在 NetWorker 中配置服务端口范围.......................................................................94l 在防火墙上配置服务端口..................................................................................... 96l 确定服务端口需求的示例 .................................................................................. 100l 故障排查.............................................................................................................105

通信安全设置 87

端口使用和防火墙支持NetWorker 使用直接套接字连接以小的开销进行通信以及通过网络将数据移动到需要的服务。虽然 NetWorker 针对 TCP 和 UDP 开放了一些端口，但 NetWorker 只需要 TCP端口。UDP 端口是可选端口。NetWorker 使用两种类型的端口，即服务端口和连接端口。

服务端口

在每个 NetWorker 主机上运行的 TCP 服务器进程均使用服务端口来进行入站连接侦听。服务端口也称为侦听端口或目标端口。

NetWorker 使用两种类型的服务端口：

l 固定端口 — NetWorker 使用两个固定端口：TCP/7937 和 TCP/7938。您必须在每个NetWorker 主机的服务端口范围内包括这些端口。NetWorker 使用这些端口发起连接。

l 可变端口 — NetWorker 会动态打开端口。默认情况下，NetWorker 主机可以分配定义的服务端口范围内的任何端口，NetWorker 守护程序会在该范围内随机选择动态端口。默认范围为 7937-9936，但您可以缩小或扩展此范围。

为了增加环境安全性，请将此可变端口范围缩小为仅指定 NetWorker 软件需要的小服务端口数。小值取决于安装类型和托管的 NetWorker 设备的数量。NetWorker 将主机的服务端口范围存储在 NetWorker 客户端数据库 (nsrexec) 的 NSR 本地代理 (NSRLA) 资源中。

连接端口

NetWorker 进程使用连接端口连接到服务。NetWorker 软件需要一个连接端口来进行客户端、存储节点与服务器之间的任何类型的通信。连接端口也称为通信端口、源端口或出站端口。

NetWorker 使用默认范围 0-0 指示 NetWorker 软件允许操作系统选择用于 TCP 客户端的端口。操作系统会保留连接端口供短期使用以及在需要时再次使用端口。操作系统可能会允许您通过使用 Windows 上的 netsh 程序等配置动态端口范围。NetWorker 不需

要对此范围进行修改，EMC 建议您使用默认动态端口范围。

使用默认端口范围不会产生安全问题。EMC 建议不要更改数据区中任何 NetWorker 主机的范围。如果范围太窄，可能会发生 NetWorker 性能问题或随机故障。

针对防火墙环境的特殊考虑事项您可以将某些防火墙产品配置为当某个开放连接处于非活动状态一段时间后关闭该连接。NetWorker 在守护程序之间使用永久连接，以尽可能高效地传输信息。

连接从通信开始时开启，在通信结束时关闭。例如，正在运行的备份可能使用以下守护程序开启连接：

l nsrmmd，以发送备份数据。

l nsrindexd，以发送客户端文件索引信息。

l nsrjobd，以发送控制和状态信息。

主机之间的 NetWorker 连接可以在超过防火墙上的闲置超时值后仍保持一段空闲时间，然后，防火墙会结束连接。例如，到 nsrjobd 的状态连接在备份期间会频繁处于闲置状态。如果没有要报告的错误消息，则在备份完成并且 NetWorker 生成成功消息之前，该连接都不会有通信量。

通信安全设置


为了避免防火墙过早关闭 NetWorker 连接，请将防火墙配置为不要关闭闲置连接。如果不能消除防火墙超时，请将数据区配置为以短于防火墙定义的超时时段为间隔在主机之间发送保持活动信号。在操作系统级别配置保持活动信号。

如果在 NetWorker 中配置 TCP 保持活动，NetWorker 不会通过某些连接（例如 save 和nsrmmd 进程之间的连接）发送保持活动信号。EMC 建议您在操作系统级别配置 TCP 保持活动信号，以确保所有连接不会过早关闭。EMC 不建议为了减少连接和服务端口的需求而缩短主机上的 “TIME_WAIT” 和 “CLOSE_WAIT” 间隔。如果间隔太短，进程端口可能会在 NetWorker 再次向进程发送数据包时关闭。在某些情况下，新的进程实例会连接到该端口并且错误地接收该数据包。这可能会破坏新进程。

在操作系统级别配置 TCP 保持活动

您可以在 UNIX 上临时更改或在 UNIX 和 Windows 操作系统中永久更改 TCP KeepAlive 参数。更改 TCP KeepAlive 参数后重新启动所有 NetWorker 服务。

防火墙配置通常定义 1 个小时的闲置超时。EMC 建议将等待 Time Before Probing和 Interval Between Retry Probes 参数设置为 57 分钟。您用来定义这些参数

的实际值取决于操作系统所使用的度量单位。

例如：

57 min = 3420 seconds = 6840 half seconds = 3420000 milliseconds

如果防火墙的超时值短于常用的一小时，则进一步降低这些值。因启用 TCP KeepAlive而带来的网络开销非常小。

下表汇总了每个操作系统的 Wait Time Before Probing 和 Interval BetweenRetry Probes 参数。

表 10 设置每个操作系统的 TCP 参数

操作系统

临时设置永久设置

AIX #no -o tcp_keepidle = 6840# no -o tcp_keepintvl = 6840其中，TCP 参数值以半秒为单位定义。

/etc/rc.net

HP-UX #ndd -set /dev/tcptcp_time_wait_interval 3420000# ndd -set /dev/tcptcp_keepalive_interval 3420000其中，TCP 参数值以毫秒为单位定义。

/etc/rc.config.d/nddconf

Linux #sysctl -wnet.ipv4.tcp_keepalive_time =3420#sysctl -wnet.ipv4.tcp_keepalive_intvl =3420其中，TCP 参数值以秒为单位定义。

将

net.ipv4.tcp_parameter=“TCP 值” 命令添加到 /etc/sysctl.conf 文件，然后发出以下

命令：

RHEL:chkconfig sysctl on

通信安全设置

在操作系统级别配置 TCP 保持活动 89

表 10 设置每个操作系统的 TCP 参数（续）

操作系统

临时设置永久设置

SLES: chkconfig boot.sysctlon

Solaris #ndd -set /dev/tcptcp_time_wait_interval 3420000#ndd -set /dev/tcptcp_keepalive_interval 3420000其中，TCP 参数值以毫秒为单位定义。

将 ndd 命令添加到 /etc/rc2.d/S69inet 文件。

Windows NA 修改以下注册表项：

HKLM\System\CurrentControlSet\

Services\Tcpip\Parameters\KeepAliveTime

DWORD=3420000

HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveInterval

DWORD=3420000

确定服务端口需求在 NetWorker 主机或防火墙上修改服务端口范围之前，请确定 NetWorker 主机需要的小服务端口数。

NetWorker 软件守护程序和进程通信所需的端口数取决于 NetWorker 安装类型。本节介绍如何计算每种 NetWorker 安装类型（客户端、存储节点、服务器或 NMC 服务器）所需的小服务端口数，以及如何查看或更新服务端口范围值。

当数据区使用外部防火墙时，您必须在防火墙中为 TCP 连接打开服务端口范围。有些操作系统在默认情况下支持主机上的个人防火墙软件。例如，Windows 7 支持Windows 防火墙，RedHat Linux 6 支持 iptables。在 Windows 上的 NetWorker 安装进程会向 Windows 防火墙添加针对 NetWorker 的防火墙规则。UNIX 上的 NetWorker 安装进程不会向个人防火墙添加防火墙规则。在 UNIX 主机上使用个人防火墙软件时，必须手动创建针对 NetWorker 软件的防火墙规则。

当 NetWorker 软件与环境中的其他应用程序（例如 Data Domain 应用装置）交互时，必须在防火墙上定义额外的服务端口。

NetWorker 客户端服务端口需求

本节介绍标准、NDMP 和快照客户端的端口要求。

标准 NetWorker 客户端的服务端口需求

一个标准 NetWorker 客户端少需要 4 个 TCP 服务端口才能与 NetWorker 服务器通信。快照服务需要两个额外的端口。

下表汇总了 NetWorker 客户端上的 TCP 服务端口需求和每个程序的 RPC 程序编号。

通信安全设置


表 11 标准 NetWorker 客户端到 NetWorker 服务器的端口需求

RPC 程序编号端口号守护程序/程序

TCP/390113 TCP/7937 nsrexecd/nsrexec

TCP/390113 TCP/7938 nsrexecd/portmap

TCP/390435 服务端口范围中的动态 TCP 端口 nsrexecd/res_minor

TCP/390436 服务端口范围中的动态 TCP 端口 nsrexecd/gss_auth

NDMP 客户端的服务端口需求

将数据发送到 NDMP 设备的 NDMP 客户端只需要通过防火墙访问 TCP 端口。

主机上 NSRLA 数据库中的服务端口范围不需要修改。

快照客户端的服务端口需求

配置快照备份时，除了 4 个标准客户端端口以外，每个快照客户端还需要 2 个 TCP 端口用于 PowerSnap 服务。

下表汇总了快照客户端需要的两个附加端口。

表 12 快照客户端的附加服务端口需求


TCP/390408（快照服务）服务端口范围中的动态 TCP 端口 nsrpsd

TCP/390409（快照服务）服务端口范围中的动态 TCP 端口 nsrpsd/nsrsnapckd

NetWorker 存储节点的服务端口需求

计算存储节点的服务端口需求时，仅考虑存储节点管理的设备。为了配合环境增长和添加新设备，EMC 建议为 NetWorker 存储节点分配一些额外的服务端口。存储节点需要的小服务端口数为 5。这一数字包括 NetWorker 客户端所需的 4 个 TCP 服务端口和1 个用于存储管理进程 nsrsnmd 的服务端口。NetWorker 需要附加端口，而且使用的每个设备类型的数量均不同。

使用以下公式来计算存储节点端口需求：

l 对于 NDMP-DSA 或 SnapImage 设备：5 + “备份流数”

l 对于磁带设备：5+ “设备数” + “磁带库数”

l AFTD 或 Data Domain Boost 设备：5 + “#nsrmmds”其中：

l “设备数” 是连接到存储节点的设备数。

l “磁带库数” 是存储节点访问的光盘机的数量。存储节点针对每个光盘机有一个nsrlcpd 进程。

l “#nsrmmds” 是 NetWorker 存储节点管理的每个设备的“ 大 nsrmmd 计数”属性值的和。

下表汇总了专门针对存储节点程序的端口需求。

通信安全设置

NetWorker 存储节点的服务端口需求 91

表 13 存储节点的服务端口需求


TCP/390111 服务端口范围中的动态 TCP 端口。 nsrnsmd

TCP/390429 服务端口范围中的动态 TCP 端口。 nsrlcpd

TCP/390104 服务端口范围中的动态 TCP 端口。总端口数取决于设备类

型。

nsrmmd

在出于安全原因需要限制无人值守防火墙端口的企业环境中，请配置存储节点属性

“已禁用设备的 mmd”和“未选定的动态 nsrmmd（静态模式）”来防止侦听程序在

非活动 nsrmmd 端口上启动。《NetWorker 管理指南》提供了详细信息。

NetWorker 服务器的服务端口需求

NetWorker 服务器至少需要 15 个服务端口。

NetWorker 服务器管理设备时还需要其他端口。使用的每个设备类型的附加端口需求均不同。

请使用以下计算方式来确定服务端口范围：

l 对于 NDMP-DSA 或 SnapImage 设备：14 +“备份流号”

l 对于磁带设备：14 +“设备号”+“磁带库号”

l 对于 AFTD 或 Data Domain Boost 设备：14 +“#nsrmmds”其中：

l “#device”是连接到存储节点的设备数。

l #“tape_libraries”是存储节点访问的光盘机的数量。存储节点针对每个光盘机有一个 nsrlcpd 进程。

l “#nsrmmds”是 NetWorker 存储节点管理的每个设备的“Max nsrmmd count”属性值的和。

为了配合环境增长和添加新设备，为 NetWorker 服务器分配一些额外的服务端口。

软件配置向导需要一个服务端口。此端口是动态的，在向导关闭后关闭。如果您使用

软件配置向导，请在服务端口范围中添加一个额外的端口。

下表汇总了专门针对服务器程序的端口需求。

表 14 NetWorker 服务器程序端口需求


TCP/390103 服务端口范围中的动态 TCP 端口 nsrd

TCP/390109 用户定义的 UDP nsrd/nsrstat

通信安全设置


表 14 NetWorker 服务器程序端口需求（续）


（可选）NetWorker 将此端口用于内部通

信。例如，NetWorker 服务器的自动发现和

初始 ping（处于活动状态）检查。备份和恢

复操作不使用此端口。NetWorker 不需要此

端口通过外部防火墙。

TCP/390105 服务端口范围中的动态 TCP 端口 nsrindexd

TCP/390107 服务端口范围中的动态 TCP 端口 nsrmmdbd

TCP/390437 服务端口范围中的动态 TCP 端口 nsrcpd

TCP/390433 服务端口范围中的动态 TCP 端口 nsrjobd/jobs

TCP/390439 服务端口范围中的动态 TCP 端口 nsrjobd/rap

TCP/390438 服务端口范围中的动态 TCP 端口 nsrlogd

TCP/390430 服务端口范围中的动态 TCP 端口 nsrmmgd

如果出于安全原因需要限制无人值守的防火墙，则使用存储节点属性“已禁用设备的

mmd”和“未选定的动态 nsrmmd（静态模式）”来防止侦听程序在非活动 nsrmmd 端

口上启动。

NMC 服务器的服务端口需求

NMC 服务器与 NetWorker 服务器通信所需的小服务端口范围与标准 NetWorker 客户端相同。

NMC 服务器还需要两个 TCP 服务端口才能与每个 NetWorker 客户端通信。下表汇总了NMC 服务器上的 TCP 服务端口需求和每个程序的 RPC 程序编号。

表 15 NMC 服务器到每个 NetWorker 客户端的端口需求


TCP/390113 TCP/7937 nsrexecd/nsrexec

TCP/390113 TCP/7938 nsrexecd/portmap

通信安全设置

NMC 服务器的服务端口需求 93

在 NetWorker 中配置服务端口范围在确定了 NetWorker 主机的服务端口需求之后，您必须确认每个主机之间可用的端口号，然后在每个 NetWorker 主机和防火墙上配置端口范围。

确定可用端口号

在 NetWorker 主机的服务端口属性中定义端口之前，使用 netstat -a 命令确定主机

的当前服务端口分配。

确定哪些端口可用之后，您可以决定为 NetWorker 主机通信分配哪些端口。在选择端口之前，考虑以下信息：

l 每个 NetWorker 主机的服务端口范围必须包含端口 7937 和 7938。nsrexecd 守护

程序保留这些端口，因此无法更改这些端口号。

l EMC 建议在默认范围 7937-9936 内选择端口。

l 为避免与主机上的其他守护程序或服务发生冲突，请不要分配 1024 以下的端口。

在 NetWorker 中配置端口范围

NSRLA 资源中的服务端口属性定义 NetWorker 进程可侦听并连接到的 TCP 端口。

使用 NMC 或 nsrports 命令定义数据区中每个 NetWorker 主机上的服务端口。

允许更新 NSR 系统端口范围资源

每个 NetWorker 主机上的 nsrexec 数据库都有其自己的管理员列表。默认情况下，只有从 NetWorker 主机本地登录的用户能够更新 NSR 系统端口范围资源。执行以下步骤，以向 NSR 系统端口范围资源的管理员列表添加用户并启用属性远程更新。

过程

1. 连接到目标 NetWorker 主机。

2. 从命令提示符处，使用 nsradmin 程序连接到 nsrexec 数据库：

nsradmin -p nsrexec3. 显示当前管理员列表：

p NSR system port ranges在此示例中，只有本地用户能够更新 NSR 系统端口范围资源中的属性：

NetWorker administration program.Use the "help" command for help, "visual" for full-screen mode.nsradmin> p NSR system port ranges type:NSR system port ranges; service ports:7937-9936; connection ports:0-0; administrator:“*@localhost”;

4. 更新管理员属性以包括远程帐户：

update administrator:*@localhost, username@system

例如，如果您从 NMC 客户端 “mnd.mydomain.com” 以 NMC 管理员身份连接到NMC 服务器，请键入：

update administrator:*@localhost, [email protected]

通信安全设置


5. 出现提示时，键入 y。6. 退出 nsradmin 程序：

quit

使用 NMC 在 NetWorker 中配置端口范围

使用 NMC 来查看和修改每个 NetWorker 主机的当前端口范围。

准备工作


过程

1. 在“配置”窗口中，选择“本地主机”。

2. 右键单击 NetWorker 主机并选择“配置端口范围”。

3. 在“常规”选项卡中，查看“管理员”属性中的值：

l 如果看到以下消息：

No privilege to view administrator list（无权查看管理员列表）

则说明用来登录 NMC 服务器的帐户无权修改端口范围。允许更新 NSR 系统端口范围资源（第 94 页）介绍了如何让用户帐户能够修改服务端口属性。

l 如果您看到“管理员”属性中的帐户，请使用计算的服务端口范围更新“服务端口”属性。对于多个范围，请每行键入一个范围。

4. 在“服务端口”属性中，指定计算得出的服务端口范围。对于多个范围，请每行键入一个范围。

EMC 建议您不要从默认值 0-0 更改“连接端口”属性。

5. 单击 “Ok”。

6. 停止和启动 NetWorker 主机上的 NetWorker 服务或守护程序。

使用 nsrports 在 NetWorker 中配置端口范围

使用 nsrports 程序从命令提示符查看和修改每个 NetWorker 主机的当前端口范围。

# nsrports -s “target_hostname ” [-S|-C]“range”

通信安全设置

在 NetWorker 中配置端口范围 95

表 16 nsrports 选项

选项描述

-s “目标主机

名 ”（可选）在更新远程 NetWorker 主机的端口范围时使用此选项。允许更新 NSR系统端口范围资源（第 94 页）介绍了如何启用 NSR 系统端口范围资源的远程

访问。

-S “范围” 将服务端口范围设置为由范围指定的值。默认范围为 7937-7941。如果范围不

是一组连续的端口，请用空格分隔端口值

-C “范围” 将连接端口范围设置为由范围指定的值。EMC 建议您不要从默认值 0-0 更改

“连接端口”属性。

譬如，要修改 “myclient.emc.com” 上 NSR 系统端口范围资源中的服务端口属性，请执行以下步骤：

过程

1. 显示当前端口范围：

#nsrports -s myclient.emc.com

Service ports:7937-7940Connection ports:0-0

2. 更新服务端口范围。用空格分隔多个端口范围。例如：

nsrports -s myclient.emc.com -S 7937-7938 7978-7979

如果您无权更新“NSR 系统端口范围”属性，会显示类似以下所示的错误消息：nsrexecd:User 'username' on machine 'hostname' is not on'administrator' list（nsrexecd：机器 'hostname' 上的用户 'username' 不在

'administrator' 列表中）。允许更新 NSR 系统端口范围资源（第 94 页）介绍了如何

启用用户访问权限，以更新“NSR 系统端口范围”资源。

3. 确定服务端口属性已成功更新。例如：

#nsrports -s myclient.emc.com

Service ports:7937-7938 7978-7979Connection ports:0-0

4. 停止和启动 “myclient.emc.com” 上的 NetWorker 服务或守护程序。

在防火墙上配置服务端口要启用 NetWorker 主机与其他应用程序之间的通信，请配置额外的防火墙规则。

NetWorker 软件可能会与服务端口范围以外的端口上的其他应用程序通信，例如与 DataDomain 或 Avamar Utility 节点通信。下表汇总了每种 NetWorker 安装类型和第三方应用程序的防火墙要求。

通信安全设置


表 17 NetWorker 与第三方应用程序通信的端口需求

源主机目标主机协议在防火墙上打开的端口

NetWorker 客户端 NetWorker 服务器 TCP 在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

NetWorker 客户端 NetWorker 存储节

点

TCP 在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

NetWorker 客户端 NMC 服务器 TCP 在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

NetWorker 客户端 Data Domain TCPTCP/UDP

2049、2052

111（端口映射程序）

NetWorker 客户端 Avamar — 所有节点 TCPTCP

27000

29000（仅用于 SSL）

NetWorker 客户端 Avamar 应用工具节

点

TCP 28001

NetWorker 存储节点 NetWorker 客户端 TCP 在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

NetWorker 存储节点 NetWorker 服务器 TCP 在 NetWorker 存储节点的服务端口需求

（第 91 页）中确定的端口范围

NetWorker 存储节点 Data Domain TCPTCP/UDP

2049、2052


NetWorker 存储节点 ESX 群集 TCP 902

NetWorker 存储节点 vCenter Server TCP 443

NetWorker 存储节点

（NDMP-DSA 或SnapImage）

NetWorker 服务器 TCP 在 NetWorker 存储节点的服务端口需求


NetWorker 服务器 ATMOS 服务器 80, 443

NetWorker 服务器 AlphaStor 44475

NetWorker 服务器 NDMP 文件服务器 TCPTCP

10000范围 0-1024 中的一个用户定义端口

NetWorker 服务器 NetWorker 存储节

点（NDMP-DSA 或SnapImage）

TCP 10000

如果 NetWorker 服务器使用 Windows 防火

墙，请手动为 nsrdsa_save 程序创建入

站规则，以允许通过 TCP 端口 10000 进行

的通信。

在 NetWorker 存储节点的服务端口需求


NetWorker 服务器 NetWorker 客户端 TCP 在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

通信安全设置

在防火墙上配置服务端口 97

表 17 NetWorker 与第三方应用程序通信的端口需求（续）


NetWorker 服务器 NetWorker 存储节

点

TCPUDP

在 NetWorker 服务器的服务端口需求（第

92 页）中确定的端口范围

虽然没有必要允许 UDP 连接通过防火墙，

但需要在防火墙中为 TCP 连接开放两个必

需的 UDP 服务端口。

NetWorker 服务器 Data Domain TCP

TCP/UDP

2049、2052


161（SNMPd 用来查询 Data Domain 系统

的端口）

NetWorker 服务器 Avamar 应用工具节

点

TCP 7937、7938

范围 7939-9936 中的两个端口

NetWorker 服务器 DPA TCP 3916、4001

NetWorker 服务器 vCenter Server TCPTCP

443在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

NetWorker 服务器 VMware 备份应用装

置 (EBR/VBA)TCP 8543

在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

NetWorker 服务器 NMC 服务器 TCP 在 NMC 服务器的服务端口需求（第 93页）中确定的端口范围

NetWorker 服务器 NetWorker Modulefor MicrosoftApplications

TCP 6278（控制端口）

6279（数据端口）

在快照客户端的服务端口需求（第 15页）中确定的端口需求

NetWorker 服务器 AlphaStor 服务器 TCP 44475

NetWorker Modulefor Microsoft

NetWorker 服务器 TCP 6278（控制端口）

6279（数据端口）

在快照客户端的服务端口需求（第 15页）中确定的端口需求

Avamar 应用工具节

点

NetWorker 客户端 TCP 28002

NMC 服务器 NetWorker 服务器 TCP 在 NMC 服务器的服务端口需求（第 93页）中确定的端口范围

NMC 服务器 NetWorker 客户端 TCP 在 NMC 服务器的服务端口需求（第 93页）中确定的端口范围

NMC 服务器 Data Domain TCPTCP


的端口）

通信安全设置


表 17 NetWorker 与第三方应用程序通信的端口需求（续）


162（SNMPtrapd 用来捕获 Data DomainSNMP 陷阱的端口）

NMC 客户端 NMC 服务器 TCP

TCP

UPD

9000（HTTPd 用来下载控制台用户界面的

端口）

9001（用来执行 RPC 从 Console Java 客户

端到 Console 服务器的调用的端口）

2638（表格式数据流 (TDS) 用于数据库查

询的端口）

您可以修改默认端口值。如何确认 NMC 服务器服务端口（第 99 页）提供了详细信

息。

DPA NetWorker 服务器 TCP 3741

DPA Data Domain TCPTCP/UDP


的端口）

DPA Avamar 应用工具节

点

TCP 55555

Data Domain NMC 服务器 TCP/UDP


Data Domain DPA TCP/UDP


VMware 备份应用装

置 (VBA/EBR)NetWorker 服务器 TCP 8080

在 NetWorker 客户端服务端口需求（第 90页）中确定的端口范围

如何确认 NMC 服务器服务端口

NMC 服务器安装进程会提示您定义 NMC 服务器将使用的服务端口。

要确认定义的端口号，请查阅 gstd.conf 文件并查找以下行：

l http_svc_port = “http_service_port ”

l clnt_svc_port = “client_service_port ”

l int db_svc_port = “client_db_port ”

其中，“http_service_port”、 “client_service_port” 和 “client_db_port” 是端口号。默认情况下，HTTP 服务端口是 9000，用来进行 RPC 调用的客户端服务端口是 9001。

如果在 gstd.conf 文件中更改了端口值，则必须重新启动 gstd 守护程序。

gstd.conf 文件位于 “NMC_install_dir”/GST/etc（在 UNIX 上）和

“NMC_install_dir”\GST\etc（在 Windows 上）。

通信安全设置

如何确认 NMC 服务器服务端口 99

确定服务端口需求的示例本节提供了三个示例来确定防火墙端口要求。在每个示例中，NetWorker 服务器均驻留在安全网络中。

每个示例均使用以下 IP 地址和主机名：

192.167.10.101 client_A192.167.10.102 client_B192.167.10.103 client_C192.167.10.104 client_D192.167.10.105 client_E192.167.10.106 client_F196.167.10.124 storage_node_X192.167.10.125 storage_node_Y192.167.10.127 storage_node_Z192.167.10.126 NW_server

计算双向防火墙配置的服务端口范围

在本例中显示的结果如下：

计算具有存储节点的单向防火墙环境的服务端口

此示例介绍如何对样例网络应用服务端口计算的基本规则。在此示例中，防火墙的每一端都有一个 NetWorker 存储节点。安全网络中的客户端 D、E 和 F 将数据备份到安全网络中的存储节点。非安全网络中的客户端 A、B 和 C 将数据备份到非安全网络中的存储节点。防火墙为安全网络中的每个主机提供保护。防火墙不会为非安全网络中的主机提供保护。防火墙会阻止从非安全网络到安全网络的网络通信。

图 7 单向防火墙与存储节点

通信安全设置


此示例要求您仅在防火墙上为 NetWorker 服务器开放服务端口，以允许入站通信。使用以下公式计算 NetWorker 服务器的服务端口需求：

l 每个客户端上的“服务端口”属性指定了少四个服务端口，例如：7937–7940。

为了简化配置，可以将每个客户端配置为使用四个相同的服务端口号。

l 防火墙必须允许到 NetWorker 客户端的“服务端口”属性中定义的每个服务端口上的每个 NetWorker 客户端 IP 地址的出站通信。由于每个客户端都可以指定相同的端口号，因此防火墙仅需要为每个客户端 IP 地址提供四个端口。这些端口号可以是NetWorker 服务器所使用的端口号的子集，如本示例所示。

l 在伪语法中，服务端口的防火墙规则类似以下所示：

TCP, Service, src 192.167.10.*, dest 192.167.10.101, ports 7937-7940, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.102, ports 7937-7940, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.103, ports 7937-7940, action accept...

在前面的伪语法中，防火墙配置允许：

l 从子网上每个存储节点、客户端和任何其他主机的 IP 地址到端口 7937–7958 上的NetWorker 服务器的 IP 地址的传入服务连接。

l 到端口 7937–7948 上的每个存储节点的 IP 地址以及到端口 7937–7940 上的每个客户端 IP 地址的连接。请确保您为每个 NetWorker 主机配置了适当的端口范围，然后重新启动每个主机的 NetWorker 服务。

这是可能的严密的配置，但维护起来比较困难。

要简化数据区的配置和管理，请为每个主机分配 22 个 7937–7958 范围内的端口，然后将防火墙配置为允许从任何主机到任何主机上的这些端口的通信。

在伪语法中，服务端口的防火墙规则类似以下所示：

TCP, Service, src 192.167.10.*, dest 192.167.10.*, ports 7937-7958, action accept

计算具有存储节点的单向防火墙环境的服务端口

此示例介绍如何对样例网络应用服务端口计算的基本规则。在此示例中，防火墙的每一端都有一个 NetWorker 存储节点。安全网络中的客户端 D、E 和 F 将数据备份到安全网络中的存储节点。非安全网络中的客户端 A、B 和 C 将数据备份到非安全网络中的存储节点。防火墙为安全网络中的每个主机提供保护。防火墙不会为非安全网络中的主机提供保护。防火墙会阻止从非安全网络到安全网络的网络通信。

通信安全设置

确定服务端口需求的示例 101

图 8 单向防火墙与存储节点

此示例要求您仅在防火墙上为 NetWorker 服务器开放服务端口，以允许入站通信。使用以下公式计算 NetWorker 服务器的服务端口需求：

14 +“（设备数）”+“（库数）” + 1“（客户端推送）”= 14 + 6 + 1 +1 =22在本例中显示的结果如下：

l NetWorker 服务器的“服务端口”属性包含以下范围：7937–7958。

l 防火墙必须允许到每个服务端口（UDP 端口除外）上 NetWorker 服务器的 IP 地址的入站通信。在此示例中，范围 7937 到 7958 内的 22 个端口必须允许到 NetWorker服务器的入站通信。


TCP, Service, src 192.167.10.*, dest 192.167.10.126, ports 7937-7958, action accept

计算具有 Data Domain 的双向防火墙环境中的服务端口

此示例显示了如何将基本规则应用到样例网络，该网络包含客户端 A、B 和 C、一个存储节点 X 和非安全网络中的一个 Data Domain 应用装置。NetWorker 服务器和 NMC 服务器位于安全网络中。单个防火墙即可将安全网络与非安全网络分隔开来。NetWorker服务器都有一个磁带库和六个驱动器。客户端将备份数据发送到 Data Domain 应用装置，每个客户端都充当一个 NMC 客户端。

通信安全设置


图 9 双向防火墙与 Data Domain 应用装置

NetWorker 服务器的系统端口需求

使用以下公式计算 NetWorker 服务器的服务端口需求：

14 + (num devices) + (num libraries) = 14 + 6 + 1 = 21 serviceports在本例中显示的结果如下：

l 将 NetWorker 服务器上的“服务端口”属性配置为少使用 21 个服务端口，例如：7937–7957。

l 将防火墙配置为允许到 NetWorker 服务器的 IP 地址的入站通信：

n 在 NetWorker 服务器的“服务端口”属性中指定的 21 个服务端口。不需要 UDP端口。

n 在用于 Data Domain 连接的 TCP 端口 2049 和 2052 上。



TCP, Service, src 192.167.10.*, dest 192.167.10.126, ports 7937-7957, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.126, ports 2049, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.126, ports 2052, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.126, ports 111, action acceptUDP, Service, src 192.167.10.*, dest 192.167.10.126, ports 111, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.126, ports 161,

通信安全设置

确定服务端口需求的示例 103

action acceptUDP, Service, src 192.167.10.*, dest 192.167.10.126, ports 161, action accept

NetWorker 存储节点的服务端口需求

存储节点位于非安全网络中并使用 Data Domain 应用装置。有两个 Data Domain 设备，每个设备使用的“ 大 nsrmmd 计数”值为 4。您在存储节点上启用了“动态nsrmmd”属性。

使用以下公式计算 NetWorker 存储节点的服务端口需求：5 + 8 = 13 个服务端口。


l NetWorker 存储节点上的“服务端口”属性必须少指定 13 个服务端口，例如：7937-7949。

l 防火墙必须允许从 NetWorker 服务器到 NetWorker 存储节点的 IP 地址的出站通信：

n 在 NetWorker 存储节点的“服务端口”属性中指定的 13 个服务端口。


n 在用于 Data Domain 连接的 TCP/UDP 端口 111 上。


TCP, Service, src 192.167.10.126, dest 192.167.12.125, ports 7937-7949, action accept TCP, Service, src 192.167.126.*, dest 192.167.10.125, ports 2049, action acceptTCP, Service, src 192.167.126.*, dest 192.167.10.125, ports 2052, action acceptTCP, Service, src 192.167.126.*, dest 192.167.10.125, ports 111, action acceptUDP, Service, src 192.167.126.*, dest 192.167.10.125, ports 111, action accept

NetWorker 客户端的服务端口需求

非安全网络中包含 NetWorker 客户端。每个客户端需要四个服务端口。两个端口必须为7937 和 7938。


l 每个客户端上的“服务端口”属性指定了少四个服务端口，例如：7937–7940。

为了简化配置，可以将每个客户端配置为使用四个相同的服务端口号。

l 防火墙必须允许到 NetWorker 客户端的“服务端口”属性中定义的四个服务端口上的每个 NetWorker 客户端 IP 地址的出站通信。这些端口号可以是 NetWorker 服务器所使用的端口号的子集。


TCP, Service, src 192.167.10.*, dest 192.167.10.101, ports 7937-7940, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.102, ports 7937-7940, action acceptTCP, Service, src 192.167.10.*, dest 192.167.10.103, ports 7937-7940, action accept

通信安全设置


故障排查本节包含在防火墙环境中配置 NetWorker 时遇到的一些常见问题的解决方案。

备份显示为停止响应或响应速度显著降低

如果您将防火墙配置为删除允许范围以外的数据包，但防火墙配置不允许正确的NetWorker 连接：

l NetWorker 不会受到连接不可用的正确通知。

l 套接字连接可能不会正确关闭并保持在 TCP FIN_WAIT 状态，导致 NetWorker 要求更多的端口进行客户端连接。

要避免这些问题，请将防火墙配置为拒绝允许范围以外的数据包。当防火墙拒绝数据包时，NetWorker 会收到连接失败的即时通知，而其余的操作会继续。

如果您不能将防火墙配置为拒绝数据包，请缩短 NetWorker 服务器操作系统上的 TCP 超时值，以减少问题带来的影响。《性能优化和规划指南》介绍了如何更改 TCP 超时值。

无法将套接字绑定到系统 hostname 上的连接端口范围。

当没有足够的可用连接端口以及 NetWorker 无法建立连接时，会在手动操作过程中的savegroup 消息和 stdout 中显示此消息。

要解决此问题，请确保由 hostname 指定的主机上“NSR 系统端口范围”资源中的“连接端口”属性为 0-0。

无法为 service_name 服务绑定套接字无法分配请求的地址

当由于服务端口范围内的所有端口都已被其他守护程序和进程使用从而导致 NetWorker守护程序无法注册到服务端口范围内的端口时，会显示此消息。

要解决此问题，请在 NetWorker 主机上“NSR 系统端口范围”资源的“服务端口”属性中增加端口范围，并在防火墙规则中进行相应的更改。

服务所使用的端口 port_number 不在以下配置范围内：“range ”当 NetWorker 守护程序尝试注册到不在服务端口范围内的端口时，便会在“日志”窗口中显示此消息。当 NetWorker 主机的端口要求超出了范围中定义的服务端口数时，可能会发生此问题。

要解决此问题，请在 NetWorker 主机上“NSR 系统端口范围”资源的“服务端口”属性中增加端口范围，并在防火墙规则中进行相应的更改。

同一主机上的 NetWorker 进程之间的通信部遵守定义的规则。例如，NetWorker 服务器

守护程序在定义的端口范围以外进行内部交流。请不要将防火墙配置为限制单个系统

内的 TCP 通信的范围。

连接被拒绝

当 NetWorker 主机无法在端口 7938 上建立端口映射程序连接时，便会显示此消息。

要解决此问题，请确保 NetWorker 软件能够在端口 7938 上注册 RPC 端口映射程序连接。

平级主机重置的连接

当两个 NetWorker 主机之间的连接过早关闭时，便会显示此消息。

要解决此问题，请将数据区配置为以短于防火墙定义的超时时段为间隔在主机之间发送保持活动信号。针对防火墙环境的特殊注意事项（第 88 页）介绍了如何配置 TCP 保持活动信号。

通信安全设置

故障排查 105

无法在主机 “hostname” 上获取到 nsrmmgd（版本 #）的客户端连接

当 NetWorker 服务器上的 Windows 防火墙“允许”列表中未包含 nsrmmgd 进程时，Windows 主机上便会显示此消息。

如果出现此错误消息：

l NetWorker 存储节点上配置的库不会进入“就绪”状态。

l 存储节点上会启动多个 nsrlcpd 进程。

要解决此问题，请确保防火墙已打开，然后将 nsrmmgd 进程添加到 NetWorker 服务器主机上的 Windows 防火墙的“允许”列表中。

nsrndmp_save:数据连接：无法建立连接

在 NDMP-DSA 备份期间，当 Windows NetWorker 服务器使用 Windows 防火墙而针对端口 10000 的入站规则不存在时，会显示此消息。

要解决该问题，请执行以下步骤：

1. 以 Windows 管理员身份登录到 NetWorker 服务器。

2. 在 Windows 防火墙应用程序的“高级”属性中，选择“入站规则” > “新建规则”。

3. 选择“程序”，然后单击“下一步”。

4. 选择“此程序路径”。

5. 单击 “Browse”。选择二进制 nsrdsa_save.exe，然后单击“下一步”。

6. 选择“允许连接”，然后单击“下一步”。

7. 保留默认“配置文件”选择处于启用状态，然后单击“下一步”。

8. 为规则命名，然后单击“完成”。

9. 编辑新规则。

10. 在“协议和端口”选项卡中，执行以下步骤：

a. 从“协议类型”下拉列表中，选择 “TCP”。

b. 从“本地端口”下拉列表中，选择“特定端口”。指定端口号 10000。c. 单击“确定”。

无法在主机 “hostname” 上执行 savefs 作业：Remote system error - No route to host（远程系统错误 — 没有到主机的路由）

在计划备份期间当 NetWorker 服务器能够访问客户端但无法联系 nsrexecd 进程以启动savefs 进程时，会出现此消息。

要解决此问题，请确保配置以下各项：

l 两个主机之间的任何外部防火墙，以允许在需要的服务端口上进行通信。

l 客户端上的个人防火墙（例如，Linux 上的 iptables），以允许在需要的服务端

口上的两个主机之间进行通信。

通信安全设置


第 5 章

数据安全设置

本章介绍可用于确保 NetWorker 处理的数据受保护的设置。

l 对备份数据进行加密.......................................................................................... 108l 数据完整性.........................................................................................................114l 数据擦除.............................................................................................................116l 安全警报系统设置.............................................................................................. 118

数据安全设置 107

对备份数据进行加密您可以使用 AES 应用程序特定模块 (ASM) 对 UNIX 和 Windows 主机上的备份和归档数据进行加密。AES ASM 提供 256 位数据加密。NetWorker 将根据用户定义的密码加密数据，而您可从锁定框安全存储和检索此密码。

NetWorker 软件附带的预配置全局指令让您可使用 AES ASM 加密备份和归档数据。要使用 AES，请修改默认 NetWorker 锁定框资源，设置 NetWorker 服务器的数据区密码，然后将 AES 指令应用于数据区中的客户端。请勿将 AES 加密用于：

l EFS 正在加密的备份文件。NetWorker 将报告备份成功，但恢复将失败并显示以下消息：

恢复：Error recovering <filename>.RPC call completed before all pipes were processed（恢复：恢复 <文件名> 时出错。在处理所有通道之前，已完成 RPC 调用）

《NetWorker 管理指南》提供了有关 NetWorker 与 EFS 的互操作性的详细信息。

l 备份将数据发送到启用加密的云设备的客户端。备份速度将降低，因为加密功能运行两次。

修改锁定框资源

默认情况下，NetWorker 将为 NetWorker 服务器创建锁定框资源。锁定框允许NetWorker 安全地存储密码，并且让您可指定可存储、检索和删除 AES 密码的用户列表。

准备工作


要编辑“锁定框”资源，请执行以下步骤：

过程


2. 单击左导航窗格中的“锁定框”。

3. 右键单击 NetWorker 服务器的锁定框资源，然后选择“属性”。

4. 在“用户”字段中，指定将可访问 AES 密码且采用以下格式之一的用户列表：

l user=“用户名”


l “hostname”l host=“hostname”l user=“用户名”, host=“主机名”

如果在“用户”属性中输入主机名或 host=“主机名”，则指定主机上的任何用户均

可恢复客户端的文件。要输入用户名而不指定主机，请输入 user=“用户名”。


数据安全设置


结果

仅在“用户”字段中指定的用户可修改“NSR”资源中的“数据区密码”属性。

定义 AES 密码

NetWorker 使用密码生成备份和恢复操作使用的数据区加密密钥。在 NSR 资源中指定AES 密码，以启用备份数据加密。

准备工作


如果未指定数据区密码并将客户端配置为使用 AES 指令加密备份，NetWorker 将使用默认密码。要定义 NetWorker 用于生成数据区加密密钥的 AES 密码，请执行以下步骤。

过程


2. 在左导航窗格中右键单击 NetWorker 服务器，然后选择“属性”。

3. 在“配置”选项卡的“数据区密码”属性中，指定密码。


结果

NetWorker 将根据密码生成数据区加密密钥。要恢复数据，您必须知道备份时位于“数据区密码”属性中的数据区密码。

将客户端资源配置为使用 AES 加密

要实施 AES 数据加密，请使用客户端资源中的“指令”属性将加密全局指令应用到各个客户端。

准备工作


过程


2. 在左侧导航窗格中，选择“客户端”。

3. 在“常规”选项卡的“指令”属性中，选择“加密指令”。


配置客户端启动的备份的加密

要将 NetWorker 客户端配置为使用 AES 加密，请在 Windows 上使用 NetWorker User 程序或 save 命令。

使用 NetWorker User 在 Windows 上配置客户端启动的备份的加密

您可以使用 AES 加密使用 NetWorker User 程序备份的数据。

过程

1. 在 Windows 主机上，启动 NetWorker User 程序。

2. 在 NetWorker User 工具栏上，选择“备份”。

数据安全设置

定义 AES 密码 109

3. 在“选项”菜单中，选择“密码”。

4. 按提示指定密码，然后单击“确定”。

NetWorker User 程序将创建 C:\NETWORKR.CFG文件，其中包含采用加密格式的密

码。

5. 在“备份”窗口中，标记要备份的文件。

6. 在“备份”工具栏中，选择“加密”。

E 将显示在每个标记的文件和目录的“属性”列中。

7. 启动备份操作。

结果

NetWorker 使用 AES 加密数据，其中根据备份时在 NetWorker 服务器的“NSR”资源的“数据区密码”属性中指定的值。

要恢复数据，NetWorker 将提示您输入您为备份定义的密码。

使用 save 命令配置 AES 加密

要从命令行执行 AES 加密备份，必须创建 save程序将在备份期间使用的本地 AES 指令文件。

过程

1. 在主机上创建指令文件。

在 Windows 中，创建名为 nsr.dir 的文本文件。在 UNIX 中，创建名为 .nsr 的文

本文件。

您可以在主机上的任何目录中创建文件。

2. 在指令文件中添加以下几行内容：

<< / >> +aes:*

3. 保存指令文件。

4. 将 save命令与“-f”选项配合使用，执行备份。

save -f “指令文件完整路径备份对象”

例如，要备份 Windows 主机上的 c:\data文件夹中创建 nsr.dir文件的 c:\directives目录，请键入以下命令：

save -f c:\directive c:\data结果

备份操作将根据 NetWorker 服务器上 NSR 资源的“数据区密码”中指定的值加密备份数据。

数据安全设置


恢复加密数据

您可以使用 NMC 恢复向导、NetWorker User 程序或 recover 命令来恢复 AES 加密的

数据。

使用 NetWorker User 恢复 AES 加密的数据

您可以使用 NetWorker User 程序来恢复 Windows 主机上的 AES 加密的数据。

要解密备份数据，恢复操作必须使用用于加密备份数据的数据区密码值。默认情况下，恢复操作将使用数据区密码属性的当前值恢复数据。如果当前数据区密码值与备份时指定的数据区密码值不同，则恢复操作将失败。

要指定用于加密备份的数据区密码值，请执行以下步骤。

过程

1. 使用以下命令来启动 NetWorker User 程序：

winworkr -p“ pass_phrase”....

其中，“pass_phrase” 是备份时在 NetWorker 服务器上的 NSR 资源的“数据区密码”属性中指定的密码。

当您恢复那些需要不同密码的数据时，请使用额外的 -p “pass_phrase” 选项来指

定每个必需的密码。

2. 确认恢复操作成功恢复数据。

指定错误密码时：

l NetWorker 将创建 0kb 文件，但不会将数据恢复到文件。

l 恢复输出将报告如下消息：

Invalid decryption key specified（指定的加密密钥无效）

使用 NMC 恢复向导来恢复 AES 加密的数据

您可以使用 NMC 恢复向导恢复 AES 加密的数据。

准备工作



要指定用于加密备份的数据区密码值，请在“选择恢复选项”窗口中执行下列额外的步骤：

过程

1. 选择“高级选项”。

2. 在“密码”属性中，指定在备份时使用的密码。

使用 recover 命令恢复 AES 加密的数据

通过命令行使用 recover 命令来恢复 AES 加密的数据。

准备工作

使用 root 用户帐户（在 UNIX 上）或管理员帐户（在 Windows 上）来执行以下步骤。

数据安全设置

恢复加密数据 111


过程

1. 要指定密码，请将 -p 选项与 recover 命令配合使用。例如：

recover -a -p“ pass_phrase”....“filesystem_object”

其中：

l “pass_phrase” 是备份时在 NetWorker 服务器上的 NSR 资源的“数据区密码”属性中指定的密码。当您恢复那些需要不同密码的数据时，请使用额外的 -p“pass_phrase” 选项来指定每个必需的密码。

l “filesystem_object ”是要恢复的数据的完整路径。

2. 确认恢复操作成功恢复数据。

指定错误密码时：

l NetWorker 将创建 0kb 文件，但不会将数据恢复到文件。

l 恢复输出将报告如下消息：

Invalid decryption key specified（指定的加密密钥无效）

联邦信息处理标准合规性

NetWorker 采用 RSA BSAFE 的加密技术，这些加密技术符合联邦信息处理标准 (FIPS140-2)。RSA BSAFE 符合认证 1092 中的规定。

NetWorker 8.0 SP1 是包含 RSA BSAFE FIPS 合规加密技术的低 NetWorker 服务器版本。要使用 FIPS，NetWorker 8.0 SP1 服务器需要 NetWorker 7.6 SP4 和更高版本的客户端。下表显示了包含 RSA BSAFE FIPS 合规加密技术的受支持平台。

表 18 包含 RSA BSAFE FIPS 合规加密技术的 NetWorker 受支持平台

支持的平台支持的服务器和存储节点 OS版本和服务包

支持的客户端 OS 版本和服务包

Windowsx86

Windows Server 2008（所有版

本）SP1、SP2 仅限存储节点

Windows Server 2008 R2（所有

版本）仅限存储节点

不包含 Hyper-V 的 WindowsServer 2008 [Standard、Enterprise 和 Dacenter Edition]，仅限存储节点

Windows Server 2008 Core SP1、SP2

Windows Server 2008（所有版本）SP2

Windows Server 2008 R2（所有版本）SP1

不包含 Hyper-V 的 Windows Server 2008[Standard、Enterprise 和 Dacenter Edition]

Windows 7 SP1

Windows VISTA [Business、Ultimate 版本]SP1、SP2

Windowsx64

Windows Server 2008（所有版

本）SP1、SP2

Windows Server 2008 R2（所有

版本）SP1

Windows Server 2008 Core SP1、SP2

Windows Server 2008（所有版本）SP1、SP2

Windows Server 2008 R2（所有版本）SP1Windows 7 SP1

Windows VISTA [Business、Ultimate 版本]SP1、SP2

数据安全设置


表 18 包含 RSA BSAFE FIPS 合规加密技术的 NetWorker 受支持平台（续）

支持的平台支持的服务器和存储节点 OS版本和服务包

支持的客户端 OS 版本和服务包

Linux x86 Red Hat Enterprise Linux AS、ES、WS 5、6

SuSE Linux Enterprise Server(SLES) 10、11

Oracle Linux 5

Novell Open Enterprise Server(OES) OES、OES SP2、OES 2、OES SP3

Redflag Asianux Server 3

CentOS Linux 5

Red Hat Enterprise Linux AS、ES、WS 5、6

SuSE Linux Enterprise Server (SLES) 10、11

Oracle Linux 5

Novell Open Enterprise Server (OES) OES、OESSP2、OES 2、OES SP3

Redflag Asianux Server 3

CentOS Linux 5

Linux x64 Red Hat Enterprise Linux AS、ES、WS 5、6

SuSE Linux Enterprise Server(SLES) 10、11

Oracle Linux OES、OES SP2、OES 2、OES SP3

Red Hat Enterprise Linux AS、ES、WS 5、6


Oracle Linux OES、OES SP2、OES 2、OES SP3

LinuxItanium

Red Hat Enterprise Linux AS、ES、WS 5


Oracle Sparc（64 位）

Oracle Solaris 10

Oracle Solaris 非全局区域 10

Oracle Solaris 10

Oracle Solaris 非全局区域 10

Oracle x64（AMD64 和IntelEM64T）

Oracle Solaris 10 Oracle Solaris 10

HP Itanium HP-UX 11i v2，仅限存储节点

HP-UX 11i v3，仅限服务器

HP-UX 11i v2

HP-UX 11i v3

IBM PowerAIX（32位）

IBM PowerAIX（64位）

IBM AIX 6.1

IBM AIX 7.1

IBM AIX 6.1

IBM AIX 7.1

数据安全设置

联邦信息处理标准合规性 113

数据完整性NetWorker 让您可以验证备份数据的完整性，以及 NetWorker 服务器数据库的完整性。

验证备份数据的完整性

使用池资源的“自动介质验证”属性或 NetWorker User 程序中的“验证文件”选项，可自动验证 NetWorker 写入卷的数据。

配置池的自动介质验证

介质池让您可以将备份定向到特定设备。标记卷时，指定卷的池。要将 NetWorker 配置为自动验证写入介质的数据是否有效，请启用池资源的“自动介质验证”属性。

准备工作


过程

1. 在“管理”窗口中，单击“介质”。

2. 在左导航窗格中，选择“介质池”。

3. 在“介质池”窗口中，右键单击池并选择“属性”。

4. 在“配置”选项卡中，选择“自动介质验证”。


在 NetWorker User 中配置验证文件

使用 NetWorker 验证功能可确保 NetWorker 服务器上的备份数据与本地磁盘上的数据匹配。

准备工作

以管理员身份连接到 NetWorker 主机。

“验证文件”功能将比较文件类型、文件修改时间、文件大小和文件内容，但此功能不会验证其他系统属性，如只读、归档、隐藏、系统、压缩和文件访问控制列表(ACL)。NetWorker 服务器将通知您自备份以来对数据进行的所有更改。验证功能还判断是否发生了硬件故障，使 NetWorker 服务器无法成功完成备份。可通过“验证文件”功能测试数据恢复功能。

“验证文件”功能不可用于 UNIX。

过程

1. 在“NetWorker User”程序中的“操作”菜单中，选择“验证文件”。

2. 选择要验证的数据。

3. 从“查看”菜单中选择“所需的卷”。

此时将显示“所需的卷”窗口，其中含包含要验证的数据的卷列表。在设备中装载卷。

4. 单击“开始”。

结果

此时将显示“验证文件”状态窗口，其中提供数据验证进程的进度和结果。

数据安全设置


以下输出提供了一个示例，其中“验证文件”进程验证了 3 个文件，并报告一个文件recover_resource.txt 自备份以来已更改：

Verify FilesRequesting 4 file(s), this may take a while...Verify start time:28/10/2013 3:46:36 PMRequesting 1 recover session(s) from server.91651:winworkr:Successfully established AFTD DFA session for recovering save-set ID '4285011627'.C:\data\mnd.rawC:\data\pwd.txtC:\data\lad.txt32210:winworkr:DATA MISMATCH FOR C:\data\lad.txt.C:\data\Received 4 file(s) from NSR server `bu-iddnwserver'Verify completion time:28/10/2013 3:46:48 PM

验证 NetWorker 服务器介质数据和客户端文件索引的完整性

NetWorker 让您可以使用 nsrim 和 nsrck 命令手动检查介质数据库和客户端文件索引

的完整性和一致性。

使用 nsrim 检查介质数据库一致性

使用 nsrim -X 命令检查存储集数据结构与卷数据结构的一致性。

nsrim -X 进程还将执行介质数据库维护任务。NetWorker 服务器介质数据库和索引

数据管理（第 116 页）提供了详细信息。

使用 nsrck 检查客户端文件索引的一致性

NetWorker 使用 nsrck 程序检查客户端文件索引存储集记录的一致性。

NetWorker 服务器启动时，nsrindexd 程序将启动 nsrck 进程，以执行一致性检查。

您还可手动启动 nsrck 程序，以检查客户端文件索引的一致性。

例如：nsrck -L “x” [-C “客户端名称”]其中：

l -C “ 客户端名称” 为可选。使用 -C 选项时，nsrck 将在指定客户端的客户端文件

索引上执行一致性检查。

l “x” 是一致性检查级别。下表提供了详细信息：

表 19 可用于 nsrck 进程的级别

级别描述

1 验证在线文件索引标头，从而将更改日志与现有标头合并。

将所有存储集记录文件和对应的密钥文件移到 Windows 主机 C:\Program Files\EMC NetWorker\nsr\index\“client_name”\db6 文件夹或 UNIX 主

机 /nsr/index/“client_name”/db6 目录下的相应文件夹。

2 执行级别 1 检查并检查全新和取消的存储的在线文件检查。

将新存储添加到客户端文件索引，然后删除取消的存储。

数据安全设置

验证 NetWorker 服务器介质数据和客户端文件索引的完整性 115

表 19 可用于 nsrck 进程的级别（续）

级别描述

3 执行级别 2 检查并将客户端文件索引与介质数据库协调。

删除没有对应的介质存储集的记录。

删除 db6 目录下的所有空子目录。

4 执行级别 3 检查并检查客户端文件索引的内部密钥文件的有效性。重建任何无效的密钥

文件。

5 执行级别 4 检查并对比相应私钥文件验证各个存储时间的摘要。

6 执行级别 5 检查并提取各个保存时间的每条记录，以验证每条记录是否都能从数据库进

行提取。重新计算每个存储时间的摘要并将结果与存储的摘要进行比较。重建内部密钥

文件。

《EMC NetWorker 命令参考指南》提供了有关如何使用 nsrck 命令和可用选项的详细信

息。

数据擦除备份操作期间，NetWorker 会将数据存储在物理或虚拟卷的存储集中。NetWorker 会将有关存储集的信息存储在介质数据库和客户端文件索引中。

根据用户定义的策略，NetWorker 将自动执行介质数据库和客户端文件索引管理，这将使卷上的数据过期且让数据适合擦除。您还可以手动擦除数据并从介质数据库和客户端文件索引中删除数据。

NetWorker 服务器介质数据库和索引数据管理

NetWorker 服务器使用 nsrim 程序管理和删除介质数据库和客户端文件索引中的数

据。

两个 NetWorker 进程会自动启动 nsrim 进程：

l savegrp 进程（在计划组备份完成后）。

l nsrd 进程（用户在“NetWorker 管理”窗口中选择“删除旧的周期”选项

时）。

nsrim 进程使用策略来确定如何管理客户端文件索引和介质数据库中有关存储集的信

息。在 savegrp 进程启动 nsrim 时，NetWorker 将检查 nsrim.prv 文件的时间戳。

如果文件的时间戳大于或等于 23 小时，则 nsrim 进程将执行以下操作：

l 从客户端文件索引中删除客户端文件索引中长于浏览策略指定的期间的条目。

l 将长于客户端保留策略指定的期间的存储集标记为可在介质索引中回收。

l 从高级文件类型设备删除与可回收存储集关联的数据，然后从介质数据库中删除存储集条目。

l 将磁带卷上的所有存储集均标记为可回收时，将磁带卷标记为可回收。备份操作需要可写卷时，NetWorker 可选择并重新标记可回收卷。NetWorker 重新标记可回收磁带卷时，NetWorker 将擦除卷的标签标头，因此您无法恢复数据。

在满足一组定义的选择标准时，NetWorker 将在备份或克隆时重新标记卷。在NetWorker 8.0 或更高版本中，可以使用池资源“其他”选项卡上的“回收开始”和

数据安全设置


“回收间隔”属性，计划池中合格卷的自动卷重新标记。《NetWorker 管理指南》提供了详细信息。

手动擦除磁带和 VTL 卷上的数据

要擦除磁带卷上的所有数据，请重新标记该卷。

准备工作

以隶属于操作员用户组的用户身份，使用 NMC 连接到 NetWorker 服务器。

过程

1. 在“管理”窗口中，单击“设备”。

2. 在左导航窗格中，右键单击合适的库并选择“标签”。

“详细信息”窗口和“标签库介质”显示。

3. （可选）在“目标介质池”字段中，选择另一个池。


此时将显示“库操作”窗口，表明库操作已开始。

5. 要跟踪标签操作的状态，请在“操作”选项卡中选择“监视”。

6. 如果系统提示您覆盖标签，请在“操作状态”窗口中右键单击标签操作，以确认计划使用新标签覆盖现有卷标，然后选择“提供输入”。

将显示一个问题窗口，其中显示以下消息：

Label <labelname> is a valid NetWorker label.Overwrite it with a new label（标签 <标签名称> 是有效 NetWorker 标签。是否使用新标签覆盖它）

7. 单击“是”。

手动擦除 AFTD 中的数据

重新标记 AFTD 卷以擦除所有数据。

准备工作


过程

1. 在“管理”窗口中，单击“设备”。

2. 在左侧导航窗格中，选择“设备”。

3. 在“设备”窗口中，右键单击 AFTD 设备，然后选择“标签”。

4. （可选）在“目标介质池”字段中，选择另一个池。


6. 如果系统提示您覆盖标签，请在“操作状态”窗口中右键单击标签操作，以确认计划使用新标签覆盖现有卷标，然后选择“提供输入”。

将显示一个问题窗口，其中显示以下消息：

Label <labelname> is a valid NetWorker label.Overwrite it with a new label（标签 <标签名称> 是有效 NetWorker 标签。是否使用新标签覆盖它）

7. 单击“是”。

数据安全设置

手动擦除磁带和 VTL 卷上的数据 117

安全警报系统设置NetWorker 让您能够发送安全通知、记录以及跟踪 NetWorker 服务器配置文件更改，并且提供集中日志记录机制来记录 NetWorker 数据区中发生的安全相关事件。

监视 NetWorker 服务器资源更改

NetWorker 服务器资源中的“监视 RAP（资源分配协议）”属性跟踪对 NetWorker 服务器资源及其属性执行添加、删除或修改操作前后的相关信息。NetWorker 将这些更改记录在“NetWorker_install_dir”\logs\rap.log 文件中

准备工作


rap.log 文件将记录进行更改的用户的名称、源计算机和用户进行更改的时间。

NetWorker 在 rap.log 文件中记录了足够多的信息，使管理员能够撤销任何更改。

过程


2. 在“管理”窗口中，选择“查看” > “诊断模式”。

3. 在“设置”选项卡中，选择“已启用”或“已禁用”（针对“监视 RAP”属性）。


安全审核日志记录

NetWorker 提供了集中式日志记录机制，可记录 NetWorker 数据区发生的安全相关事件。该机制称为安全审核日志记录。

安全审核日志功能监视和报告与数据区或主机完整性相关的重要 NetWorker 事件。安全审核日志功能不监视与备份完整性相关的事件。

在数据区中安装 NetWorker 时，会自动将每个客户端配置为使用安全审核日志记录。在NetWorker 服务器中设置的任何审核日志记录配置更改都将自动传送到数据区中的所有NetWorker 8.0 和更高版本的客户端：NetWorker 会自动将现有 NetWorker 客户端配置为在如下情况下将安全审核消息发送给 nsrlogd 守护程序：

l 更新 NetWorker 服务器软件。

l 创建新客户端资源。

生成安全审核消息的安全审核事件示例包括：

l 身份认证尝试：成功和失败的 NMC 服务器登录尝试。

l 帐户管理事件：密码更改、权限更改以及将用户添加到远程管理员列表时。

l 程序授权更改：删除或添加对等主机证书和重新定义用户可远程执行的二进制文件。

l daemon.raw和审核日志配置更改。

l 会导致常规威胁或系统故障的事件。

数据安全设置


安全审核日志记录概述

默认情况下，NetWorker 8.0 及更高版本会启用安全审核日志记录。

每个数据区中的 NetWorker 8.0 和更高版本的服务器都包含一个新资源“NSR 审核日志”。此资源配置安全审核日志记录。当您在数据区中启用安全审核日志记录时，将发生以下操作：

l NetWorker 向每个安全审核消息分配严重性。

l NetWorker 服务器将 NSR 审核日志资源镜像到数据区中的 NetWorker 8.0 和更高版本的客户端。NetWorker 客户端数据库会存储客户端安全审核日志资源。审核日志资源向每个客户端提供托管 nsrlogd 守护程序的计算机的主机名和客户端应发送

到 nsrlogd 守护程序的安全审核消息的类型。NetWorker 服务器审核日志资源中的审核日志严重性设置决定每个客户端如何收到配置信息：

n 如果审核严重度是“信息”、“警告”或“注意”，则在 nsrd 守护程序启动

时，NetWorker 服务器会将审核日志资源广播给每个客户端。

n 如果审核严重度是“错误”、“严重”或“临界”，则在 nsrd 守护程序启动

时，NetWorker 服务器不会将审核日志资源广播给每个客户端。相反，NetWorker 客户端会请求来自备份客户端数据的后的 NetWorker 服务器的审核日志资源配置更新。此被动的方法要求客户端至少向 NetWorker 服务器执行一次备份，然后客户端才能收到审核日志资源的更新。默认情况下，审核严重度是“错误”。

l 当消息严重度至少与 NSR 安全审核日志资源中定义的严重度一样时，NetWorker 会将安全审核消息记录在安全审核日志中。

l NetWorker 客户端会处理审核消息并将其发送到 nsrlogd 守护程序。

l nsrlogd 守护程序将安全审核消息记录到安全审核日志文件中。

安全审核日志记录配置

可将数据区中的任何 NetWorker 8.0 或更高版本客户端配置为运行 nsrlogd 守护程序时，针对此任务使用 NetWorker 服务器具有一定的性能和可靠性优势。

以下各节提供了安全审核日志记录配置的示例，以及每种配置的优缺点。

单个数据区：NetWorker 服务器托管 nsrlogd 守护程序默认情况下，nsrlogd 守护程序在 NetWorker 8.0 或更高版本服务器上运行。

在此配置中，nsrlogd 守护程序从以下位置接收安全审核消息：

l NMC 服务器上的 gstd 和 nsrexecd 进程。

l 数据区中每个 NetWorker 客户端上的 nsrexecd 进程。

l NetWorker 服务器上运行的守护程序。

优点：

l NetWorker 服务器守护程序可生成大量安全审核消息。在此配置中，将不通过网络发送审核日志消息，因此不会增加网络流量。

l 来自每个 NetWorker 客户端的安全审核消息都将发送到 NetWorker 服务器。发送安全审核消息不需要使用连接到其他网络的附加网络端口和路由。

下图提供了此配置的一个示例。

数据安全设置

安全审核日志记录 119

图 10 审核日志服务器管理单个数据区

多个数据区：NMC 服务器托管 nsrlogd 守护程序在此配置中，nsrlogd 守护程序在 NMC 服务器上运行，并且 NMC 服务器管理多个NetWorker 数据区。必须将每台 NetWorker 服务器上的 NMC 服务器都配置为客户端。

优点：

l 安全审核消息的集中日志记录。每台 NetWorker 服务器的安全审核日志均存储在NMC 服务器中。

缺点：

l 如果因为 nsrlogd 守护程序失败或某个消息路由问题而导致该守护程序无法访问，将不记录安全相关事件。

l NetWorker 服务器守护程序可生成大量安全审核消息。在此方案中，将通过网络发送审核日志消息，因此会增加网络流量。

l 每个数据区中的每个 NetWorker 主机都必须具有到 NMC 服务器的路由。


数据安全设置


图 11 NMC 服务器是多个数据区的审核日志服务器

多个数据区：每台 NetWorker 服务器均托管 nsrlogd 守护程序在此配置中，每个 NetWorker 服务器均运行 nsrlogd守护程序并记录单个数据区的消

息。

数据区中的每个 NetWorker 客户端都将安全审核消息发送到 NetWorker 服务器。

NMC 服务器数据区 1 中 NetWorker 服务器的一个客户端。

优点：

l NetWorker 服务器守护程序可生成大量安全审核消息。在此配置中，将不通过网络发送审核日志消息，因此不会增加网络流量。

l 来自每个 NetWorker 客户端的安全审核消息都将发送到 NetWorker 服务器。发送安全审核消息不需要使用其他网络中的附加路由。

缺点：

l 如果 NetWorker 服务器受到威胁，可能无法访问安全审核日志。

l 您必须管理多个安全审核日志。


数据安全设置


图 12 数据区中的每台 NetWorker 服务器都是审核日志服务器

安全事件

安全审核日志功能检测和报告可能导致不当访问或损坏 NetWorker 主机的配置更改。NetWorker 在审核日志文件中记录创建和删除安全相关资源及修改安全相关资源属性的尝试是否成功。

资源数据库

下表汇总了安全审核日志在资源数据库 (RAP) 中监视哪些资源和属性。

NSR 资源/NMC 资源名称属性

NSR/NSR 管理员

身份验证方法

数据区密码词组

NSR 归档请求/归档请求清除原始文档

NSR 审核日志/安全审核日志管理员

审核日志文件路径

审核日志主机名

审核日志的大文件大小 (MB)

审核日志的高文件版本

审核日志呈现的语言环境

审核日志呈现的服务

数据安全设置



审核日志的严重性

NSR 客户端/客户端别名

归档用户

备份命令

可执行路径

密码

远程访问

远程用户

服务器网络接口

单个 NSR 设备/多个 NSR 设备远程用户

密码

加密

NSR Data Domain /Data Domain 设备用户名

密码

NSR 重复数据消除节点/Avamar 重复数据消除节点远程用户

密码

NSR 虚拟机管理程序/虚拟机管理程序命令

密码

代理

用户名

NSR 密码箱/密码箱 Client

名称

用户

通知操作

NSR 操作状态 command

NSR 报告主页命令

邮件程序

NSR 受限制数据区/受限制数据区 (RDZ) 外部角色

权限

用户

存储节点密码

远程用户

用户组外部角色

名称

权限

用户

数据安全设置



资源标识符

NetWorker 客户端数据库

下表汇总了安全审核日志在 NetWorker 客户端数据库 (nsrexec) 中监视哪些资源和属性。

资源属性

NSR log 管理员

日志路径

大大小 (MB)

高版本

名称

所有者

运行时呈现的日志

运行时按大小转储

运行时按时间转储

NSR 对等主机信息管理员

证书

名称

NW 实例 ID

对等主机名

NSR 远程代理备份类型

备份类型图标

功能

名称

产品版本

远程代理可执行文件

远程代理协议版本

NSR 系统端口范围管理员

连接端口

服务端口

NSRLA 管理员

身份认证方法

证书

禁用定向恢复

大身份认证尝试次数

大身份认证线程数

我的主机名

数据安全设置


资源属性

名称

NW 实例 ID

NW 实例信息操作

NW 实例信息文件

私钥

VSS 编写器

安全审核日志记录互操作性

安全审核日志是 NetWorker 8.0 和更高版本中的新功能。使用先前版本的 NetWorker 软件的 NetWorker 主机不支持记录安全事件，并且无法托管 nsrlogd 守护程序。

下表概述了安全审核日志记录的互操作性列表。

表 20 安全审核日志互操作性列表

NetWorker 服务器版本

NetWorker 客户端版本

安全审核日志记录行为

8.0 和更高版本 8.0 和更高版本 l NetWorker 服务器生成的审核消息记录到 nsrlogd 守护程序。

l NetWorker 客户端生成的审核消息记录到 nsrlogd 守护程序。

8.0 和更高版本 7.6.x l NetWorker 服务器生成的审核消息记录到 nsrlogd 守护程序。

l NetWorker 客户端不生成审核消息。

l NetWorker 客户端无法运行 nsrlogd 守护程序。

7.6.x 8.0 和更高版本 l NetWorker 服务器不生成审核消息。

l 审核消息由客户端生成，但没有 NetWorker 8.0 服务

器或更高版本时，无法将客户端配置为运行 nsrlogd守护程序。

审核消息格式

安全审核日志文件包含每个安全审核消息的时间戳、类别、程序名称和未呈现的消息。

使用 nsr_render_log 程序将审核日志文件呈现为可读格式。例如：

nsr_render_log -pathyem “Security_Audit_ Log_filename”

2012 年 3 月 3 日 14:28:39 0 nsrd 无法修改资源类型：“NSR usergroup”，资源名称：“用户”，属性：“用户”，创建者为主机：“nwserver.emc.com”上的用户：“administrator”

l 时间戳为：2012 年 3 月 3 日 14:28:39。

数据安全设置


l 类别为 0。

l 程序名称为 nsrd。

l 呈现的消息为：无法修改资源类型：“NSR usergroup”，资源名称：“用户”，属性：“用户”，创建者为主机：“nwserver.emc.com”上的用户：“administrator”。

安全审核日志消息

本节提供了当严重程度设置为“信息”时安全审核日志文件中显示的常见消息列表。

nsrd 权限被拒绝，主机上的用户“用户名” “主机名”不具有删除此类资源 - “资源类

型”的“权限 1”或“权限 2”的权限

当用户尝试删除安全相关资源但不具有在 NetWorker 服务器上执行操作所需的权限时，则显示此消息。

例如：

2014 年 8 月 15 日上午 8:56:31 3 nsrd 权限被拒绝，“bu-iddnwserver.iddlab.local”上的用户“debbie”不具有删除“NSR 客户端”此类资源的“删除应用程序设置”或“配置 NetWorker”权限。

nsrd 权限被拒绝，“主机名”上的用户“用户名”不有创建/配置“资源类型”此类资源

的“权限 1””或“权限 2”当用户尝试创建安全相关资源但不具有在 NetWorker 服务器上执行操作所需的权限时，则显示此消息。

例如：

2014 年 8 月 15 日上午 9:11:43 3 nsrd 权限被拒绝，“bu-iddnwserver.iddlab.local”上的用户“debbie”不具有创建“NSR 客户端”此类资源的“创建应用程序设置”或“配置 NetWorker”权限。

nsrd 无法创建资源类型：“资源类型”，资源名称：“资源名称”，创建者为主机：

“主机名”上的用户：“用户名”

当用户无法创建安全相关资源时，则显示此消息。例如，如果用户尝试新建客户端资源但客户端主机名无效，则显示下列类似消息：

2014 年 8 月 15 日上午 8:49:57 3 nsrd 无法创建资源类型：“NSR 客户端”，资源名称：“bu-exch1.lss.emc.com” ，创建者为主机：“bu-iddnwserver.iddlab.local”上的用户：“debbie”

nsrd 权限被拒绝，主机上的用户“用户名” “主机名”不具有配置“资源类型”此类资

源的“权限 1”或“权限 2”权限

当用户尝试修改某资源中的安全相关属性但不具有所需权限时，则显示此消息。

例如：

2014 年 8 月 15 日上午 9:03:45 3 nsrd 权限被拒绝，“bu-iddnwserver.iddlab.local”上的用户“debbie”不具有配置“NSR 客户端”此类资源的“配置 NetWorker”或“更改应用程序设置”权限

nsrd 成功创建资源类型：“资源类型”，资源名称：“资源名称”，创建者为主机：

“主机名”上的用户：“用户名”

当用户成功新建安全相关资源时，则显示此消息。

数据安全设置


例如：

2014 年 8 月 15 日下午 1:57:54 3 nsrd 成功创建资源类型：“NSR 通知”，资源名称：“新通知”，创建者为主机：“bu-iddnwserver.iddlab.local”上的用户：“administrator”

gstd Console：用户“用户名”无法登录到主机“主机名”上的 Console 服务器

当您在 NMC 服务器登录窗口中指定的用户名或密码错误时，则显示此消息。

例如：

2014 年 8 月 14 日下午 4:36:43 0 gstd Console：用户“root”无法登录到主机“bu-iddnwserver.iddlab.local”上的 Console 服务器

gstd Console：用户“用户名”成功登录到主机“主机名”上的 Console 服务器

当您成功登录到 NMC 服务器时，则显示此消息。

例如：

2014 年 8 月 14 日下午 4:36:49 0 gstd Console：用户“administrator”成功登录到主机“bu-iddnwserver.iddlab.local”上的 Console 服务器

gstd Console：用户“用户名”从主机“主机名”上的 Console 服务器注销

当用户关闭 Console 窗口与 Console 服务器断开连接时，则显示此消息。

例如：

2014 年 8 月 14 日下午 4:36:21 0 gstd Console：用户

“administrator”从主机“bu-iddnwserver.iddlab.local”上的 Console服务器注销

修改安全审核日志资源

您可以在审核日志服务器上修改审核安全日志资源。在资源中所做的更改会被自动拷贝到支持审核日志记录的数据区中的每个客户端。

准备工作

以 Console 安全管理员身份登录到 NMC 服务器。

过程

1. 连接到 NetWorker 服务器。

2. 在“配置”窗口中，选择左窗格中的“安全审核日志”。

3. 右键单击“安全审核日志”资源，然后选择“属性”。

4. （可选）在“审核日志主机名”属性中为将运行安全审核日志服务 nsrlogd 的NetWorker 客户端指定主机名。

确保指定已在 NetWorker 服务器上定义且支持运行 nsrlogd 服务的客户端的主机

名。NetWorker 8.0 和更高版本客户端支持 nsrlogd 服务。

5. （可选）在“审核日志文件路径”属性中指定审核日志服务器上的有效路径。

这将更改安全审核日志文件的位置。默认位置为 UNIX 审核日志服务器上的 /nsr/logs 以及 Windows 审核日志服务器上的 “NetWorker_install_path”\nsr\logs。

6. （可选）在“审核日志大文件大小 (MB)”属性中更改安全审核日志的大大小。

当该日志文件达到大大小时，NetWorker 会出于归档目的而将安全审核日志文件重命名，并创建新的安全审核日志文件。

“审核日志大文件大小 (MB)”属性的默认值为 2 MB。

数据安全设置


7. （可选）在“审核日志大文件版本”属性中更改 NetWorker 维护的大审核日志文件版本数。

当该日志文件版本达到大数字时，NetWorker 会删除旧归档版本的安全审核日志文件，然后再创建新的日志文件。

“审核日志大文件版本”属性的默认值为 0，这意味着 NetWorker 维护所有版本。

8. （可选）在“审核日志严重性”属性中更改审核消息严重性，以增加或减少安全审核日志中保存的消息量。

可以使用以下严重度：

l 信息

l 注意

l 警告

l 错误 — 默认情况下已选中

l 严重

l 严重

属性更改将应用到生成安全相关事件的每个客户端。例如，如果安全审核日志严重性属性是“信息”，则所有客户端将按“信息”严重度发送消息。“信息”和“通知”级别的审核消息很常见。如果安全审核日志记录的详细信息过多或过少，请相应调整严重度。

此字段还控制远程客户端安全审核配置。在“信息”、“注意”和“警告”级别，

nsrd 会在启动期间将安全配置广播给所有客户端。在其他级别，支持的客户端会

根据需要请求来自 NetWorker 服务器的安全配置，nsrd 守护程序不会在启动期间广

播安全配置。

9. （可选）使用第三方日志记录服务，以使用“审核日志呈现的服务”属性发送安全审核日志消息。下表描述了可用的选项。

选项描述

无 l 默认值。

l 仅将未呈现的安全审核日志消息写入“NetWorker_server_sec_”audit.raw 文件中。

l 使用 nsr_render_log 程序将日志文件呈现为可读格式。

本地 l 将呈现的安全审核日志消息写入“NetWorker_server_sec_”audit.raw 文件中。

l 将未呈现的安全审核日志消息写入“NetWorker_server_sec_”audit.raw 文件中。

系统日志 l 将呈现的安全审核日志消息写入 UNIX 系统日志中。


eventlog l 将呈现的安全审核日志消息写入 Windows 事件日志中。

数据安全设置


选项描述


10.（可选）在“审核日志呈现的语言环境”属性中为呈现的审核日志文件指定语言环境。如果该属性为空，则使用默认语言环境 en_US。《NetWorker 安装指南》中的《多语言环境的数据区注意事项》一节介绍了如何在使用非英语语言环境的计算机上安装和配置 NetWorker 软件。

下图提供了安全审核日志属性资源的一个示例。图 13 安全审核日志资源

11.单击“确定”。

12.查看“监视” > “日志”> 窗口，以确保配置更改成功完成。

例如：

l 如果“审核日志主机名”属性中指定的主机支持安全审核日志记录，并且已成功启动 nsrlogd 守护程序，将显示如下消息：

The process nsrlogd was successfully configured on host 'security_audit_log_hostname' for server 'NetWorker_server'.

l 如果“审核日志主机名”属性中指定的主机不支持安全审核日志记录，或未成功启动 nsrlogd 守护程序，将显示如下消息：

The security audit log daemon nsrlogd is probably not running.'Unable to connect to the nsrexecd process on host 'client_name'.'355:Program not registered'.'.Ensure that the host 'client_name' can be reached.（确保可访问主机“client_name”。） If required, restart the host.

l 如果“审核日志主机名”属性中指定的主机上的服务端口不可用，则 nsrlogd 守护程序将无法启动，同时将显示如下消息：

Process nsrlogd was spawned on 'security_audit_log_hostname', but nsrlogd could not open an RPC channel.'Unable to connect to the nsrlogd process on host

数据安全设置


'security_audit_log_hostname'.'352:Remote system error'（“352：远程系统错误”）

l 如果“审核日志文件路径”属性中指定的路径不存在，则将显示如下消息：

Unable to open the output file '/proc/NetWorker_server_sec_audit.raw' for the security audit log.（无法打开安全审核日志的输出文件“/proc/NetWorker_server_sec_audit.raw”。） No such file or directory

属于安全管理员用户组但不属于应用程序管理员用户组的用户无法查看“日志”窗

口中的消息。

数据安全设置


索引

数字和符号“验证文件”功能 114“自动介质验证”属性 114

AAD 用户,

删除 36添加 34修改 35

AD, 配置后 25AES 加密

定义密码 109恢复数据 111配置客户端资源 109使用 NetWorker User 109使用 NetWorker User 进行恢复 111使用 NMC 恢复向导进行恢复 111使用 recover 命令进行恢复 111使用 save 命令 110

audience 9安全审核日志记录

概述 119互操作性 125配置 119

BBSAFE 112

C出版惯例 9重置 NMC 管理员密码

UNIX 20Windows 19

Ddaemon.raw, 大小管理 74dbgcommand 79登录错误, 故障排除 33调试级别

设置 76调试模式

dbgcommand 79nsrtask 82save 命令 81定时备份 79恢复 81恢复向导 81启动 NMC 服务器 77在 UNIX 上启动 NetWorker 守护程序 76在 Windows 上启动 NetWorker 守护程序 76

调试模式, 使用 savegrp 80

FFIPS（联邦信息处理标准合规） 112服务端口

在 NetWorker 中配置范围 94服务端口, 配置 94服务端口，配置防火墙 96服务端口需求, NetWorker 服务器 92服务端口需求, NMC 服务器 93服务端口需求, 标准客户端 90服务端口需求, 存储节点 91服务端口需求, 快照客户端 91服务端口要求

确定 90服务器文件, 简介 61服务器文件, 配置 62

Ggstd.raw, 大小管理 74故障排查, 防火墙配置 105故障排除

授权错误 47故障排除, 登录错误 33管理员列表, 修改 37

H环境变量, NMC 服务器调试模式 78

J集中安全日志记录 118加密数据 108监视 RAP 118拒绝恢复和克隆会话 63拒绝新存储会话 63

K客户端启动的备份, 限制 63

LLDAP 用户,

删除 36添加 34修改 35

LDAP, 配置后 25

NNetWorker 服务器, 授权 37networkr.raw, 大小管理 74NMC 服务器服务端口, 确认 99NMC 用户

删除 19添加 18, 19


NSR 对等主机信息资源解决冲突 57删除 56, 58手动创建 54维护 54

NSR 对等主机信息资源, 导入 59nsraddadmin 17nsrexec 数据库, 配置访问权限 48nsrim 116NSRLA 数据库

导出本地主机凭据 51NSRLA 数据库,

创建证书和私钥 52NSRLA 资源

导入本地主机凭据 53维护 51

nwcpd.raw, 大小管理 72nwsnap.raw, 大小管理 72

Q前言 9

RRSA BSAFE 112RSA BSAFE SSL 47日志文件

rap.log 75查看 70配置日志记录级别 76手动呈现 70位置 66在运行时呈现 71

S身份认证方法,

使用 nsradmin 进行修改 50修改 49

身份认证配置问题, 故障排除 29身份验证方法，

通过 NMC 修改 49审核日志服务器

单个数据区 119

多个数据区 120, 121消息格式 125

审核日志服务器,修改 127

手动擦除数据AFTD 117磁带和 VTL 117

手动存储操作, 限制 63数据完整性, 验证 114锁定框资源, 修改 108

TTCP 保持活动 88TCP 保持活动, 配置 89

X相关文档 9

Y意见和建议 9用户, 授权 36用户身份认证

NMC 服务器 16用户组

创建 44管理 43拷贝 44权限 39删除 44修改成员身份 45修改权限 43预配置 42

用户组, 外部角色属性 45用户组, 用户属性 46

Z证书密钥

创建 61支持信息 9组件身份认证 47组件授权 61

索引


Documents

安全 EMC NetWorker - Dell...01 2014 年 6 月 18 日 本文档第一版，针对 EMC NetWorker 8.2。 相关文档 以下 EMC 出版物提供了详细信息： l 《 NetWorker 联机版软件兼容性指南》

安全 EMC NetWorker - Dell...01 2014 年 6 月 18 日本文档第一版，针对 EMC NetWorker 8.2。相关文档以下 EMC 出版物提供了详细信息： l 《 NetWorker 联机版软件兼容性指南》