メイン コンテンツに進む
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能

Data Domain: Veelgestelde vragen over retentievergrendeling

概要: Dit artikel bevat een overzicht van de functionaliteit van Data Domain retention lock (RL) en legt de verschillen uit tussen de configuratie en het gebruik van de governance- en nalevingsmodus. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

現象

Dit artikel biedt een beknopt overzicht van de functionaliteit van Data Domain Retention Lock (RL) en antwoorden op gerelateerde veelgestelde vragen (FAQ).

原因

Dit artikel biedt een beknopt overzicht van de functionaliteit van Data Domain Retention Lock (RL) en antwoorden op gerelateerde veelgestelde vragen (FAQ).

解決方法

Wat is een retentieslot?
Retentievergrendeling is een functie die wordt gebruikt op Data Domain Restorers (DDR's) om wijziging of verwijdering van bepaalde sets bestanden gedurende een vooraf bepaalde periode te voorkomen. Dat wil zeggen dat vergrendelde bestanden met retentie alleen-lezen zijn totdat hun retentieperiode is verstreken.

Wat zijn de verschillende versies van retentieslot?
Retentieslot is beschikbaar voor twee verschillende functies:

  • Governance: De minst strikte van de twee retentievergrendelingsfuncties (dat wil zeggen dat vergrendelingen tegen bestanden indien nodig kunnen worden teruggedraaid).
  • Naleving: De strengste van de twee functies die voldoen aan verschillende gemeenschappelijke wettelijke normen. Dat wil zeggen dat vergrendelingen tegen bestanden niet kunnen worden teruggedraaid. De DDR moet geconfigureerd zijn met een 'security officer' gebruiker die bepaalde commando's moet authenticeren. Er zijn verschillende beperkingen voor andere functionaliteit om te voorkomen dat vergrendelde gegevens worden verwijderd of vergrendelingen vroegtijdig worden teruggedraaid.
Opmerking:
  • De nalevingsmodus is alleen beschikbaar in DDOS 5.3 (en hoger).
  • Voor elke functie van het retentieslot is een aparte licentiesleutel vereist.
  • Retentievergrendelingsfunctionaliteit is per MTree ingeschakeld.
  • Een enkel systeem kan zowel de governance- als de nalevingsmodus gebruiken tegen afzonderlijke MTrees. Er moeten echter afzonderlijke governance- en nalevingslicenties zijn geïnstalleerd.
  • Schakel geen enkele vorm van DD Retention Lock in op MTrees die worden gebruikt om Avamar-data op te slaan, tenzij dit wordt gevraagd in de Avamar-documentatie, als onderdeel van het uitvoeren van deze functie op Avamar. Wanneer u DD RL op een dergelijke MTree inschakelt zonder het juiste Avamar-proces te volgen, kan de MTree onbruikbaar worden voor back-ups en langdurig herstel nodig zijn. Dit is met name het geval bij het inschakelen van Automatic Retention Lock (ARL) voor een Avamar MTree.
  • Retentievergrendelingsfunctionaliteit wordt mogelijk niet ondersteund tegen MTrees die worden gebruikt om data op te slaan met oudere versies van Avamar of Protection Software-data op een Integrated Data Protection Appliance of PowerProtect Data Protection Series-apparaat. Dit kan voorkomen dat Avamar of beschermingssoftware in het Integrated Data Protection Appliance werkt zoals verwacht en de status READONLY krijgt.

Welke protocollen voor datatoegang worden ondersteund met retentievergrendeling?

  • De NFS-, CIFS- en DD Boost-protocollen worden volledig ondersteund tegen MTrees met behulp van retentievergrendelingsbeleid of nalevingsmodus.
  • Het Virtual Tape Library (VTL)-protocol wordt alleen ondersteund tegen MTrees met behulp van de retentievergrendelingsgovernancemodus. Automatische retentievergrendeling wordt niet ondersteund op Data Domain VTL. Raadpleeg de Beheergids voor Data Domain om te bepalen hoe u retentievergrendelde tapes ontgrendelt, zodat ze kunnen worden beschreven.

Retentievergrendelingsmodus voldoet aan wettelijke normen:
De lijst met wettelijke normen waaraan de nalevingsmodus voor retentievergrendeling voldoet, omvat het volgende:     

  • SEC 17a-4(f)
  • CFTC-regel 1.31b
  • FDA 21 CFR Deel 11
  • Sarbanes-Oxley-wet
  • IRS 98025 en 97-22
  • ISO-norm 15489-1
  • MoREQ2010

Neem voor meer informatie over de certificeringsinformatie contact op met uw gecontracteerde supportprovider.

Hoe is Retention Lock Governance ingeschakeld?

  • Er wordt een Retention Lock Governance-licentie toegevoegd aan de DDR.
  • Retention lock governance-modus is ingeschakeld voor elke vereiste MTree:     
# mtree retention-lock enable mode governance mtree [mtree]


Hoe is naleving van retentievergrendeling ingeschakeld?

  • Er zijn specifieke instructies voor sommige nieuwere Data Domain-modellen met iDRAC.
  • Er wordt een nalevingslicentie voor retentievergrendeling toegevoegd aan de DDR.
  • Er moet een gebruiker met de rol van 'beveiliging' worden aangemaakt (ervan uitgaande dat zo'n gebruiker niet bestaat):     
(ADMIN USER) # user add [username] role security
  •  De gebruiker met de rol van 'beveiliging' moet inloggen op de DDR en autorisatie van de beveiligingsgebruiker inschakelen:     
(SECURITY USER): # authorization policy set security-officer enabled
  • Het systeem moet worden geconfigureerd voor de nalevingsmodus voor retentievergrendeling. Zodra de volgende opdracht is voltooid, wordt het systeem automatisch opnieuw opgestart:     
(ADMIN USER) # system retention-lock compliance configure
  • Nadat het systeem opnieuw is opgestart, moet de nalevingsmodus voor retentievergrendeling op het systeem zijn ingeschakeld:     
(ADMIN USER) # system retention-lock compliance enable
Opmerking: Voor nieuwere DDOS-releases moet deze taak worden uitgevoerd met de gebruikersinterface van Data Domain. Naleving van beheer >
  • Retentievergrendelingsnalevingsmodus is ingeschakeld voor elke vereiste MTree:
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


Hoe is het mogelijk om te bepalen voor welke MTrees retentievergrendeling is ingeschakeld?
MTrees met ingeschakelde retentievergrendeling worden aangegeven in de uitvoer van mtree listbijvoorbeeld:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Kan een MTree met Retention Lock Governance ingeschakeld worden geconverteerd naar Retention Lock Compliance?
Zoals vermeld in de DDOS-beheerhandleiding is dit niet mogelijk.

Kan een MTree met ingeschakelde Retention Lock Compliance worden geconverteerd naar Retention Lock Governance?
Zoals vermeld in de DDOS-beheerhandleiding is dit niet mogelijk.

Hoe worden bewaar- of vergrendelingsperioden voor bestanden ingesteld?
Zodra een retentievergrendeling is ingeschakeld voor een MTree, moet een minimale en maximale retentieperiode worden ingesteld. Deze perioden bepalen de minimale en maximale tijd dat een bestand binnen de MTree kan worden vergrendeld. Bijvoorbeeld:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Perioden kunnen als volgt in verschillende eenheden worden gegeven:     

  • 1 min
  • 1 uur
  • 1 dag
  • 1 maand
  • 1 jaar
Opmerking:
  • Een minimale retentieperiode mag niet korter zijn dan 12 uur.
  • Een maximale bewaartermijn mag niet langer zijn dan 70 jaar.
  • De minimale bewaartermijn moet korter zijn dan de maximale bewaartermijn.
  • Retentieperioden voor elke MTree worden op dezelfde manier ingesteld, ongeacht de smaak van de retentievergrendeling die wordt gebruikt.

Hoe kunnen bestaande bewaartermijnen worden weergegeven?
Dit kan worden gedaan met behulp van de volgende twee opdrachten:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Bijvoorbeeld:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


Hoe worden bestanden binnen een MTree met retentievergrendeling vergrendeld?

  • Wanneer retentievergrendeling is ingeschakeld voor een MTree, worden bestaande bestanden binnen de MTree niet automatisch vergrendeld (dat wil zeggen dat alle bestaande bestanden lees- of schrijfbaar blijven).
  • Wanneer een nieuw bestand wordt geschreven naar een MTree terwijl retentievergrendeling is ingeschakeld, wordt het bestand niet automatisch vergrendeld voor retentie. Dat wil zeggen dat het nieuwe bestand blijft zoals lezen of schrijven.
Opmerking: Vanaf DDOS 6.2.0.20 is er een functie in DDOS genaamd "automatische retentievergrendeling", die automatisch een vergrendeling voor alle geschreven bestanden kan instellen. Zie het gedeelte Automatische retentievergrendeling verderop in dit KB-artikel voor meer informatie.
  • Als u een specifiek bestand wilt vergrendelen, moet de tijd van het bestand worden gewijzigd zodat deze overeenkomt met de datum en moet de tijd waarop het bestand wordt vergrendeld, worden vergrendeld. Dat is de datum en tijd tot wanneer het bestand alleen-lezen moet blijven. Totdat de tijd op deze manier wordt gewijzigd, kan het bestand niet worden vergrendeld (en kan het worden gewijzigd of verwijderd).

De tijd van een bestand kan worden gewijzigd vanaf een NFS- of CIFS-client met behulp van de opdracht 'touch':

# touch -a -t [expiry time] [file to be locked]

Als u bijvoorbeeld een tijd van /data/col1/rl_test/testfile wilt instellen op 07:05 op 8 juni: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

De periode van de huidige tijd tot de toekomstige tijd moet binnen de minimale en maximale bewaartermijnen voor de MTree vallen. Anders wordt er een fout gegenereerd bij het wijzigen van de bestanden tegelijkertijd:

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Een overeenkomstig bericht wordt ook weergegeven in de DDFS-logboekbestanden (Data Domain File System):

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

CIFS-clients (Windows) bevatten standaard geen aanraakopdracht of hulpprogramma, maar verschillende van dergelijke hulpprogramma's kunnen gratis worden gedownload van verschillende websites van derden.

Opmerking: Bestanden kunnen pas worden vergrendeld als ze naar de DDR worden geschreven. Het is niet mogelijk om een leeg bestand te maken, dat bestand te vergrendelen en vervolgens gegevens naar het bestand te schrijven.

Welke back-upapplicaties ondersteunen het automatisch bewaren van vergrendelingsbestanden nadat ze naar een DDR zijn geschreven?
Data Domain Retention Lock is compatibel met de industriestandaard, op NAS gebaseerde Write-Once-Read-Many (WORM)-protocollen. Integratie is gekwalificeerd met archiefapplicaties zoals Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance of DiskXtender.

Voor Dell NetWorker worden zowel de governance- als compliancemodus ondersteund.

Vanaf juni 2024 ondersteunen recente Avamar-versies zowel Data Domain Retention Lock Compliance als Governance) als onderdeel van de Avamar-functie "Immutable Backups". Raadpleeg het onderstaande artikel en de Avamar-documentatie voor meer informatie:
Avamar en Data Domain: Onveranderlijke Avamar back-ups inschakelen en Data Domain nalevingsmodus Retentieslot

Het is van cruciaal belang dat de stappen om de functie "Immutable Backups" van Avamar in te schakelen strikt worden gevolgd. Als u dit niet doet, kan dit leiden tot een Avamar MTree in het DD waarnaar niet verder kan worden geschreven of die operationele problemen heeft die langdurig herstel afdwingen. Avamar werkt niet met DD Automatic Retention Lock (ARL) en ARL mag niet worden ingeschakeld voor Avamar MTree op een DD.

Klanten die andere back-upapplicaties gebruiken die Data Domain Retention Lock niet standaard ondersteunen, kunnen ook aangepaste scripts ontwikkelen om Data Domain Retention Lock te gebruiken om handmatig bewaarperioden van bestanden in te stellen. Zorg er in dit geval voor dat aangepaste scripts de tijd van bestanden zodanig instellen dat ze worden ontgrendeld voordat de back-upapplicatie het bestand probeert te verwijderen. Als u dit niet doet, kan de back-uptoepassing proberen vergrendelde bestanden te verwijderen (wat mislukt); Het bestand blijft voor onbepaalde tijd op de DDR staan en neemt schijfruimte in beslag. Zie de beheergids voor Data Domain.

Automatische retentievergrendeling
Voor back-upapplicaties die de Data Domain retentievergrendelingsfunctie niet standaard ondersteunen, is het altijd een probleem geweest voor klanten om de functie te gebruiken. De back-upbeheerder moet scripts configureren om de retentievergrendeling in te stellen op nieuw opgenomen bestanden voor een MTree. De vergrendeling moet zo worden ingesteld dat deze verloopt kort voordat de back-up door de back-upbeheerder

moet verlopen (en worden verwijderd).ARL stelt een vergrendeling in op elk bestand dat naar de MTree wordt geschreven nadat de functie is ingeschakeld, waardoor wordt voorkomen dat het bestand gedurende een bepaalde periode wordt gewijzigd of verwijderd nadat de geconfigureerde afkoelingsperiode is verstreken. Dat betekent dat ARL niet moet worden ingeschakeld voor workloads of back-upapplicaties die sommige bestanden in de loop van de tijd herhaaldelijk moeten bijwerken, bijvoorbeeld op VTL-pools (VTL-tapebestanden worden herhaaldelijk geschreven) of voor back-upapplicaties die metadata-informatie bewaren naast de back-upbestanden van de klant zelf (zoals NetWorker of Avamar). Als ARL in deze gevallen wordt ingeschakeld, worden belangrijke bestanden enige tijd vergrendeld en wanneer deze bestanden later moeten worden weggeschreven voor andere back-ups, mislukt het schrijven en dat geldt ook voor eventuele volgende back-ups.

Om back-upbeheerders te helpen de last van het behouden van retentievergrendeling in back-upbestanden te verlagen en de DDOS op functiepariteit te brengen met andere leveranciers, is er sinds DDOS 6.2.0.20 een functie die kan worden ingeschakeld vanuit de CLI voor elke MTree met Retention Lock geconfigureerd, om een vergrendeling in te stellen op elk opgenomen bestand (voor een bepaalde periode), nadat een vooraf bepaalde hoeveelheid tijd is verstreken sinds het schrijven van het bestand naar schijf is voltooid. Op deze manier hoeven beheerders zich geen zorgen meer te maken over het handmatig (of gescript) instellen van het retentieslot, en kan dit automatisch gebeuren zonder de medewerking van de back-up applicatie. 
Vóór DDOS 7.8 kan automatische retentievergrendeling niet worden gebruikt op DD Boost Logical Storage Units (LSU) en een poging om dit in te schakelen wordt een fout geretourneerd met de melding dat deze niet wordt ondersteund.
Vanaf 7.8 wordt ARL ondersteund voor DD Boost LSU's.

(ARL dat wordt gebruikt op doel-DD's voor Managed File Replication (MFR), zoals NW-kloon, moet een voldoende lange "automatische vergrendelingsvertraging" hebben om ervoor te zorgen dat kloonbewerkingen zijn voltooid voor de back-upset voordat vergrendeling op de bestanden wordt ingesteld. Voorbeeld: Een klein bestand dat deel uitmaakt van een back-upset is snel gerepliceerd terwijl een groter bestand langer duurt, dan is het eerste bestand vergrendeld tegen de tijd dat het grotere bestand klaar is met repliceren en er een fout optreedt wanneer NW probeert alle bestanden van de back-upset naar de uiteindelijke archiefmap te verplaatsen.)

Automatische retentievergrendeling wordt niet ondersteund op Data Domain VTL.

Op de toepasselijke versies zijn er extra opties in de mtree retention-lock CLI, zoals hieronder weergegeven. Deze functie kan ook via de gebruikersinterface worden geconfigureerd door "Automatisch" te kiezen in plaats van "Handmatig" bij de optie "Gebruiken":     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

De functie Automatische retentievergrendeling vergrendelt een bestand onmiddellijk nadat een vooraf geconfigureerde afkoelperiode is verstreken (automatische vergrendelingsvertraging). Nadat het bestand is geschreven naar een MTree met retentievergrendeling en de vergrendeling geldig is voor "automatic-retention-period" vanaf het moment dat deze is ingesteld, vindt de vergrendeling plaats als de waarde binnen de waarden "min-retention-period" en "max-retention-period" valt die zijn ingesteld voor de MTree.

Raadpleeg voor meer gebruik en algemene informatie over de functie de bijbehorende DDOS-beheerhandleiding. Deze functie is niet erg geschikt voor situaties waarin dezelfde MTree wordt gebruikt als doel voor back-ups met vergrendelingssets voor verschillende perioden, of back-ups met back-ups die om te beginnen geen vergrendeling moeten hebben.

Wat kan er wel of niet worden gedaan tegen een vergrendeld bestand?

  • Retentievergrendelde bestanden zijn alleen-lezen en kunnen niet worden gewijzigd of verwijderd.
  • Zodra de bewaarperiode van een bestand is verstreken, wordt het 'ontgrendeld' - wanneer het bestand in ontgrendelde staat is, kan het nog steeds niet worden gewijzigd, maar kan het wel worden verwijderd. De DDR verwijdert een bestand niet automatisch wanneer de bewaarperiode is verstreken (de daaropvolgende verwijdering moet worden uitgevoerd vanaf een clientsysteem of back-uptoepassing).
  • Eenmaal ingesteld, kan de bewaartermijn voor een specifiek bestand niet worden verkort (dat wil zeggen dat de bestanden niet meer naar voren kunnen worden gehaald).
  • De bewaartermijnen kunnen echter worden verlengd (de bewaartermijn kan worden verlengd tot de maximale bewaartermijn voor de MTree).
  • Eigendoms- en machtigingsinstellingen voor een bestand kunnen nog steeds worden gewijzigd terwijl het bestand is vergrendeld
  • Het is alleen mogelijk om een directory in een MTree met retentievergrendeling te hernoemen of te verwijderen als die directory geen bestanden bevat. Als de map bestanden bevat (zelfs als deze bestanden niet zijn vergrendeld met retentie), mislukt het hernoemen of verwijderen van de map
  • Zelfs als de inhoud van het bestand zelf niet wordt gewijzigd, is het niet toegestaan om de naam te wijzigen (hernoemen) van bestanden waarvoor een vergrendeling is ingesteld, maar de hernoeming is ook niet toegestaan zodra de vergrendeling van het bestand is verlopen. Voor bestanden die niet langer vergrendeld zijn, is verwijderen de enige bewerking die is toegestaan. Dit is gewijzigd in DDOS 7.7.4 wanneer, voor niet-langer vergrendelde bestanden, een hernoeming van het bestand is toegestaan.

Is het mogelijk om de retentievergrendeling voor een bestand of een reeks bestanden volledig te verwijderen?
Het is mogelijk om de retentievergrendeling terug te draaien (te verwijderen) tegen bestanden in MTrees met behulp van de governance-modus - dit wordt gedaan met de volgende opdracht:     

# mtree retention-lock revert [path]

Zodra de retentievergrendeling voor een bestand is verwijderd, kan het zoals gebruikelijk worden gewijzigd of verwijderd. Als deze opdracht wordt uitgevoerd voor een map, worden de retentievergrendelingen voor alle bestanden in die map en alle submappen verwijderd.

Het is niet mogelijk om een retentievergrendeling ongedaan te maken voor bestanden in MTrees met behulp van de nalevingsmodus - als dit wordt geprobeerd, wordt een overeenkomstige fout weergegeven:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


Wat gebeurt er als wordt geprobeerd een bestand met retentievergrendeling te wijzigen of te verwijderen?
Elke poging om een bestand met retentievergrendeling te wijzigen of te verwijderen veroorzaakt een corresponderend permission denied fout:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

DDFS-logboeken geven aan dat de bewerking is mislukt omdat het bestand is vergrendeld met retentie:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


Is het mogelijk om een lijst te maken van alle bestanden die zijn vergrendeld met retentie?
Ja, dit kan met behulp van de mtree retention-lock report generate retention-details bevelen:

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Als u bijvoorbeeld details wilt weergeven van alle vergrendelde bestanden in het /data/col1/rl_test MTree Het volgende wordt uitgevoerd:

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


Is het mogelijk om retentievergrendeling voor een MTree volledig uit te schakelen (nadat deze is ingeschakeld)?
Ja, voor MTrees die de governancemodus gebruiken, wordt dit uitgevoerd met behulp van de mtree retention-lock disable bevelen:

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
Opmerking: Zodra de retentievergrendeling is uitgeschakeld voor een MTree:
  • Nieuwe bestanden die naar de MTree worden geschreven, kunnen niet worden vergrendeld.
  • Bestanden die al zijn vergrendeld, blijven vergrendeld gedurende hun eerder gedefinieerde bewaarperiode (dat wil zeggen dat alle vergrendelingen niet automatisch worden teruggedraaid wanneer de retentievergrendeling is uitgeschakeld voor een MTree).
  • Bestaande vergrendelingen voor bestanden in een MTree waarop retentievergrendeling is uitgeschakeld, kunnen niet worden teruggedraaid. Alle noodzakelijke omkeringen moeten worden uitgevoerd voordat de retentievergrendeling wordt uitgeschakeld:
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • Retentievergrendeling kan niet worden uitgeschakeld voor een MTree met behulp van de nalevingsmodus:     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

Kan replicatie nog steeds worden gebruikt tegen MTrees waarvoor retentievergrendeling is ingeschakeld?
Ja, MTrees of bestanden die met retentie zijn vergrendeld, kunnen worden gerepliceerd met behulp van verschillende replicatietopologieën:     
  • Directoryreplicatie - wordt alleen ondersteund voor bestanden die de governancemodus gebruiken - repliceert de minimale en maximale bewaarperioden niet naar het doelsysteem.
  • MTree-replicatie - kan worden gebruikt voor gegevens in de governance- of nalevingsmodus en repliceert minimale en maximale bewaarperioden naar het doelsysteem.
  • Verzamelingsreplicatie - Kan worden gebruikt voor gegevens in de beheer- of nalevingsmodus en repliceert minimale en maximale bewaarperioden naar het doelsysteem.
Opmerking: Voor retentievergrendelingen die behouden blijven op doelsystemen:
  • Zowel het bron- als het doelsysteem moeten over de bijbehorende retentievergrendelingslicenties beschikken die zijn geïnstalleerd.
  • Als het repliceren van een RLC Mtree ingeschakeld, moeten zowel bron- als doel-DD's RLC hebben geconfigureerd, anders wordt de volgende foutmelding ontvangen:
    "Een Compliance Retention-Locked MTree kan niet worden gerepliceerd naar een doel dat niet is ingeschakeld voor Compliance Retention-Lock."
  • In MTree-replicatiecontexten moet 'Replication propagate-retention-retention-lock' zijn ingesteld op Enabled.
  • Voor bestanden die worden gerepliceerd door directoryreplicatie, moeten de bijbehorende minimale en maximale retentieperioden van MTrees handmatig worden ingesteld op het doelsysteem.
Gelden er nog andere beperkingen bij het repliceren van vergrendelde retentiebestanden?
Ja, hersynchronisaties van replicatiecontexten (dat wil zeggen proberen een eerder geconfigureerde maar verbroken context opnieuw tot stand te brengen) waar retentievergrendelde data worden gebruikt, kunnen mislukken.
 
Opmerking:
  • Als MTree-replicatie wordt gebruikt en de doel-MTree retentievergrendelde bestanden bevat die niet bestaan op de bron, mislukt een hersynchronisatie.
  • Als directoryreplicatie wordt gebruikt en de bestemming een retentievergrendeling heeft die is ingeschakeld, maar de bron niet, dan mislukt een hersynchronisatie.
Opmerking: Bij gebruik van MTree-replicatie vindt een hersynchronisatie plaats in de volgende scenario's als de doel-MTree geen retentievergrendelde bestanden bevat die niet aanwezig zijn op de bron-DDR:
  • De bron-MTree heeft geen retentievergrendeling ingeschakeld, maar de bestemming wel.
  • Op de doel-MTree is geen retentievergrendeling ingeschakeld, maar de bron wel.
Het is ook niet mogelijk om de nalevingsmodus voor retentievergrendeling in te schakelen op een MTree die al lid is van een MTree-replicatiecontext. In dit scenario:
  • De MTree-replicatiecontext moet worden verbroken op zowel bron- als doelsystemen:
# replication break mtree://[destination system]/data/col1/[mtree]
  • Er moet een nieuwe MTree-replicatiecontext worden gemaakt op zowel bron- als doelsystemen:
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
  • De nalevingsmodus voor retentievergrendeling moet zijn ingeschakeld op het bronsysteem:
# mtree retention-lock enable mode compliance mtree [mtree]
  • De zojuist gemaakte replicatiecontext moet opnieuw worden gesynchroniseerd op het bronsysteem:
# replication resync mtree://[destination system/data/col1/[mtree]

Kunnen retentievergrendelde bestanden snel worden gekopieerd?
Ja, bestanden die zijn vergrendeld met retentie, kunnen zoals gewoonlijk snel worden gekopieerd. Als de doel-MTree die de snelle kopie vasthoudt, retentievergrendeling is ingeschakeld, blijft de retentievergrendeling van het bestand behouden voor de snelle kopie. Als de doel-MTree niet is ingeschakeld, is de snelle kopie niet vergrendeld voor bewaren.

Zijn er nog andere beperkingen in de systeemfunctionaliteit bij het gebruik van retention lock?
De volgende opdrachten zijn niet toegestaan op systemen die gebruikmaken van de nalevingsmodus voor retentievergrendeling:
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
Dergelijke systemen kunnen niet worden opgestart naar de modus voor één gebruiker voor herstel door technische support zonder gebruik van een USB-station en fysieke toegang tot het systeem.

De volgende opdrachten zijn niet toegestaan voor MTrees met behulp van de nalevingsmodus voor retentievergrendeling:
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
In DDOS 7.3 en latere releases is echter een voorziening getroffen voor klanten om MTrees met Retention Lock Compliance te verwijderen als:
  • DD voert DDOS 7.3 of hoger uit.
  • De RLCE MTree die moet worden verwijderd is leeg (heeft nul bestanden en mappen).
  • De administrator slaagt voor verificatie door de beveiligingsfunctionaris.
In systemen die zijn geconfigureerd met Long-Term Retention (Cloud Tier) kunnen vergelijkbare destructieve opdrachten ook worden afgewezen, bijvoorbeeld:
# cloud unit del <cloud unit name>
Opmerking: MTrees die de beheermodus voor retentievergrendeling gebruiken (of waar deze modus ooit is ingeschakeld) kunnen alleen worden verwijderd als de MTree geen bestanden meer bevat - als er nog bestanden in de MTree zijn, wordt er een fout geretourneerd.

Is de systeemklok belangrijk op systemen met retentievergrendeling?
Ja, systemen met naleving van retentievergrendeling maken een interne 'beveiligingsklok' mogelijk om kwaadwillige knoeien met de systeemklok te voorkomen (waardoor bestanden met retentievergrendeling vroegtijdig kunnen worden verwijderd). De tijden van de beveiligings- en systeemklokken worden regelmatig vergeleken en als er in één kalenderjaar een verschuiving van 2 weken tussen de twee is, wordt het Data Domain File System (DDFS) automatisch uitgeschakeld om toegang tot gegevens op de DDR te voorkomen. Dit kan ook gebeuren als de systeemklok plotseling wordt gewijzigd en de tijd met meer dan 2 weken wordt gewijzigd.

In dit scenario kan DDFS opnieuw worden ingeschakeld door:
  • Aanmelden bij de DDR
  • Controleer of de systeemklok correct is ingesteld.
  • Het bestandssysteem inschakelen:
    # filesys enable
  • Voer desgevraagd de gegevens in van een gebruiker met de rol van beveiliging om toe te staan dat de beveiligingsklok opnieuw wordt ingesteld en schakel DDFS in.
Kan de systeemklok worden gesynchroniseerd met Active Directory op systemen met naleving van retentievergrendeling?
Nee, wanneer Retention Lock Compliance is ingeschakeld, synchroniseren CIFS-servers de systeemtijd niet langer met Active Directory. Als er een tijdsverschil van meer dan vijf minuten is tussen het systeem en Active Directory, geeft de CIFS-server een foutmelding weer wanneer een Active Directory-gebruiker zich probeert aan te melden of wanneer het systeem probeert lid te worden van een Active Directory-domein. Configureer de Active Directory-tijd met NTP om deze fout te voorkomen.

Dit is in tegenstelling tot systemen waar naleving van retentievergrendeling niet is ingeschakeld, maar Active Directory wel in gebruik is. In deze situatie wordt het niet aanbevolen om NTP in te schakelen, omdat er conflicten kunnen zijn tussen de tijdinstelling van Active Directory en NTP.

Welke stappen kunnen worden genomen als een DDR met retentievergrendelde bestanden vol raakt?
Ervan uitgaande dat er geen 'wisbare' ruimte op de DDR is (opschonen wordt uitgevoerd, maar het systeem blijft tot de capaciteit gevuld), moet de inhoud ervan worden gecontroleerd om te bepalen of:
  • Er zijn bestanden die niet zijn vergrendeld en die kunnen worden verwijderd.
  • Er zijn bestanden die zijn vergrendeld met behulp van de beheermodus waarvan de vergrendelingen kunnen worden teruggedraaid en verwijderd.
Zodra dit is gedaan, moet de opschoning opnieuw worden uitgevoerd om fysiek ruimte op het systeem vrij te maken. Als er geen fysieke data uit het systeem kunnen worden verwijderd, moet er extra fysieke storage aan de DDR worden toegevoegd en het bestandssysteem worden uitgebreid (ervan uitgaande dat uitbreiding wordt ondersteund door de huidige DDR of configuratie).

Als de enige bestanden op het systeem zijn vergrendeld met behulp van de nalevingsmodus, is het niet mogelijk om de vergrendelingen ongedaan te maken en deze bestanden te verwijderen. Als gevolg hiervan kan er geen ruimte worden vrijgemaakt, tenzij:
  • Voor sommige of alle bestanden is de bewaartermijn bereikt. Na dit punt kunnen ze worden verwijderd en schoon worden uitgevoerd (zoals hierboven beschreven).
  • Het systeem wordt opnieuw geïnstalleerd vanaf een USB-station (waardoor alle gegevens op de DDR verloren gaan).
  • Er wordt meer fysieke opslagruimte aan het systeem toegevoegd (zoals hierboven beschreven).
Opmerking: Het is heel goed mogelijk om een DDR volledig te vullen met bestanden die zijn vergrendeld met behulp van de nalevingsmodus. In dit scenario kan een beheerder of technische support niets doen om ruimte vrij te maken (dat wil zeggen dat er geen functionaliteit op laag niveau is om vergrendelingen in de nalevingsmodus te verwijderen/ongedaan te maken en de bijbehorende bestanden vroegtijdig te verwijderen).

対象製品

Data Domain, Data Domain Retention Lock

製品

Data Domain
文書のプロパティ
文書番号: 000079803
文書の種類: Solution
最終更新: 18 10月 2024
バージョン:  20
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。