メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

Data Domain: domande frequenti su Retention Lock

概要: Questo articolo include una panoramica della funzionalità Data Domain Retention Lock (RL) e illustra le differenze tra la configurazione e l'utilizzo delle modalità Governance e Compliance. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

現象

Questo articolo fornisce una breve panoramica della funzionalità Data Domain Retention Lock (RL) e risposte alle domande frequenti correlate.

原因

Questo articolo fornisce una breve panoramica della funzionalità Data Domain Retention Lock (RL) e risposte alle domande frequenti correlate.

解決方法

Che cos'è Retention Lock?
Retention Lock è una funzione utilizzata sui DDR (Data Domain Restorer) per impedire la modifica o l'eliminazione di determinati set di file per un periodo predeterminato. Ovvero, i file con Retention Lock sono read-only fino alla scadenza del periodo di retention.

Quali sono le varie versioni di Retention Lock?
Retention Lock è disponibile per due diverse funzioni:

  • Governance: la funzione Retention Lock meno rigida delle due (i blocchi sui file possono essere annullati, se necessario).
  • Compliance: la funzione più rigida, che segue diversi standard normativi comuni (i blocchi sui file non possono essere annullati). Il DDR deve essere configurato con un utente "Security Officer" che deve autenticare alcuni comandi. Esistono varie restrizioni su altre funzionalità per evitare che i dati bloccati vengano rimossi o che i blocchi vengano annullati in anticipo.
Nota:
  • La modalità Compliance è disponibile solo in DD OS 5.3 (e versioni successive).
  • Ogni funzione di Retention Lock richiede un codice di licenza distinto.
  • La funzionalità Retention Lock è abilitata per MTree.
  • Un singolo sistema può utilizzare sia la modalità Governance che la modalità Compliance con MTree distinti. Tuttavia, deve disporre di licenze Governance e Compliance distinte installate.
  • Non abilitare alcun tipo di DD Retention Lock sugli MTree utilizzati per archiviare i dati Avamar, a meno che non sia richiesto nella documentazione di Avamar, nell'ambito dell'esecuzione di questa funzione su Avamar. L'abilitazione di DD RL su uno di questi MTree senza seguire il processo Avamar corretto può rendere l'MTree inutilizzabile per i backup e comportare la necessità di lunghi tempi di ripristino, in particolar modo se si abilita Automatic Retention Lock (ARL) per un MTree Avamar.
  • La funzionalità Retention Lock potrebbe non essere supportata per gli MTree utilizzati per archiviare i dati utilizzando versioni precedenti di Avamar o Protection Software su un Integrated Data Protection Appliance o PowerProtect Data Protection Series Appliance. Ciò può impedire ad Avamar o Protection Software all'interno di Integrated Data Protection Appliance di funzionare come previsto e passare allo stato READONLY.

Quali protocolli di accesso ai dati sono supportati con Retention Lock?

  • I protocolli NFS, CIFS e DD Boost sono completamente supportati su MTree utilizzando la modalità Governance o Compliance di Retention Lock.
  • Il protocollo VTL (Virtual Tape Library) è supportato solo su MTree che utilizzano la modalità Governance di Retention Lock. La funzione Automatic Retention Lock non è supportata su Data Domain VTL. Consultare il documento Data Domain Administration Guide per determinare come sbloccare i nastri con Retention Lock in modo che sia possibile scrivere su di essi.

La modalità Retention Lock Compliance soddisfa gli standard normativi?
L'elenco degli standard normativi soddisfatti dalla modalità Compliance di Retention Lock include quanto segue:     

  • SEC 17a-4(f)
  • CFTC Rule 1.31b
  • FDA 21 CFR Part 11
  • Sarbanes-Oxley Act
  • IRS 98025 e 97-22
  • ISO Standard 15489-1
  • MoREQ2010

Per informazioni complete sulle certificazioni, contattare il fornitore del supporto.

In che modo è abilitata la modalità Governance di Retention Lock?

  • Una licenza Governance di Retention Lock viene aggiunta al DDR.
  • La modalità Governance di Retention Lock è abilitata per qualsiasi MTree richiesto:     
# mtree retention-lock enable mode governance mtree [mtree]


Come si abilita la modalità Compliance di Retention Lock?

  • Sono disponibili istruzioni specifiche per alcuni modelli Data Domain più recenti con iDRAC.
  • Una licenza Compliance di Retention Lock viene aggiunta al DDR.
  • È necessario creare un utente con il ruolo "Security" (supponendo che tale utente non esista):     
(ADMIN USER) # user add [username] role security
  •  L'utente con il ruolo "Security" deve accedere al DDR e abilitare le autorizzazioni utente di sicurezza:     
(SECURITY USER): # authorization policy set security-officer enabled
  • Il sistema deve essere configurato per la modalità Compliance di Retention Lock. Una volta eseguito il seguente comando fino al completamento, il sistema si riavvia automaticamente:     
(ADMIN USER) # system retention-lock compliance configure
  • Una volta riavviato il sistema, dovrebbe essere abilitata la modalità Compliance di Retention Lock:     
(ADMIN USER) # system retention-lock compliance enable
Nota: per le versioni di DD OS più recenti, questa attività deve essere eseguita con l'interfaccia utente di Data Domain. Administration > Compliance
  • La modalità Compliance di Retention Lock è abilitata per qualsiasi MTree richiesto:
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


Come è possibile determinare su quali MTrees è abilitato il Retention Lock?
Gli MTree con Retention Lock abilitato sono indicati nell'output di mtree listPer esempio:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Un MTree con modalità Governance di Retention Lock abilitata può essere convertito nella modalità Compliance di Retention Lock?
Come indicato nella Guida all'amministrazione di DD OS, non è possibile.

È possibile convertire un MTree con modalità Compliance di Retention Lock abilitata nella modalità Governance di Retention Lock?
Come indicato nella Guida all'amministrazione di DD OS, non è possibile.

Come vengono impostati i periodi di retention o blocco dei file?
Una volta abilitata la funzione Retention Lock per un MTree, è necessario impostare un periodo di retention minimo e massimo. Questi periodi determinano il tempo minimo e massimo per cui un file all'interno dell'MTree può essere bloccato. Ad esempio:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

I periodi possono essere specificati in varie unità come segue:     

  • 1 minuto
  • 1 ora
  • 1 giorno
  • 1 mese
  • 1 anno
Nota:
  • Un periodo minimo di retention non può essere inferiore a 12 ore.
  • Un periodo massimo di retention non può essere superiore a 70 anni.
  • Il periodo di retention minimo deve essere inferiore al periodo di retention massimo.
  • I periodi di retention per ogni MTree sono impostati nello stesso modo, indipendentemente dal tipo di funzione Retention Lock utilizzata.

Come vengono visualizzati i periodi di retention esistenti?
Questa operazione può essere eseguita utilizzando i due comandi seguenti:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Ad esempio:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


Come vengono bloccati i file all'interno di un MTree con funzione Retention Lock abilitata?

  • Quando la funzione Retention Lock è abilitata su un MTree, i file esistenti all'interno dell'MTree non vengono bloccati automaticamente (ovvero, tutti i file preesistenti rimangono in lettura o scrittura).
  • Quando un nuovo file viene scritto in un MTree con la funzione Retention Lock abilitata, il file non viene bloccato automaticamente con Retention Lock. In altre parole, il nuovo file rimane in lettura o scrittura.
Nota: a partire da DD OS 6.2.0.20 è disponibile una funzione denominata "Automatic Retention Lock" che può impostare automaticamente un blocco su tutti i file scritti. Per ulteriori informazioni, consultare la sezione "Automatic Retention Lock" più avanti in questo articolo della Knowledge Base.
  • Per applicare la funzione Retention Lock di un file specifico, il valore atime del file deve essere modificato in modo che corrisponda alla data e all'ora in cui il file deve essere bloccato. Queste sono la data e l'ora entro le quali il file deve rimanere read-only. Finché non viene modificata un'ora in questo modo, il file non può essere bloccato con Retention Lock (e può essere modificato o rimosso).

È possibile modificare il valore atime di un file da un client NFS o CIFS utilizzando il comando "touch":

# touch -a -t [expiry time] [file to be locked]

Ad esempio, per impostare il valore atime di /data/col1/rl_test/testfile su 07:05 l'8 giugno: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Il periodo dal valore atime corrente a quello futuro deve rientrare nei periodi di retention minimi e massimi per l'MTree. In caso contrario, viene generato un errore durante la modifica del valore atime dei file:

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Un messaggio corrispondente viene visualizzato anche nei file di registro di Data Domain File System (DDFS):

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Per impostazione predefinita, i client CIFS (Windows) non includono un comando o un'utilità touch, tuttavia molte di queste utilità sono disponibili gratuitamente per il download da vari siti web di terze parti.

Nota: I file non possono essere bloccati con Retention Lock finché non vengono scritti sul DDR. Non è possibile creare un file vuoto, bloccarlo con Retention Lock e quindi scrivere dati nel file.

Quali applicazioni di backup supportano la funzione Automatic Retention Lock dopo la scrittura in un DDR?
Data Domain Retention Lock è compatibile con i protocolli WORM (Write-Once Read-Many) basati su NAS standard di settore. L'integrazione è idonea con applicazioni di archiviazione, come Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance o DiskXtender.

Per Dell NetWorker sono supportate entrambe le modalità Governance e Compliance.

Al mese di giugno 2024, le versioni recenti di Avamar supportano sia Compliance che Governance di Data Domain Retention Lock nell'ambito della funzione "Immutable Backups" di Avamar. Per maggiori dettagli, consultare l'articolo riportato di seguito e la documentazione di Avamar:
Avamar e Data Domain: Abilitazione di Immutable Backups di Avamar e di Data Domain Retention Lock in modalità Compliance

È fondamentale seguire alla lettera i passaggi per abilitare la funzione "Immutable Backups" di Avamar. In caso contrario, potrebbe non essere più possibile scrivere in un MTree Avamar nel DD o potrebbero verificarsi problemi operativi che costringono a lunghi tempi di ripristino. Avamar non è compatibile con DD Automatic Retention Lock (ARL) e la funzione ARL non deve essere abilitata per alcun MTree Avamar su un DD.

I clienti che utilizzano altre applicazioni di backup che non supportano Data Domain Retention Lock in modalità nativa possono inoltre sviluppare script personalizzati per utilizzare Data Domain Retention Lock al fine di impostare manualmente i periodi di retention dei file. In questo scenario, assicurarsi che gli script personalizzati impostino il valore atime del file in modo che vengano sbloccati prima che l'applicazione di backup tenti di eliminare il file. In caso contrario, l'applicazione di backup tenta di eliminare i file bloccati (con esito negativo). Il file viene mantenuto sul DDR, consumando spazio su disco a tempo indefinito. Consultare il documento Data Domain Administration Guide.

Automatic Retention Lock
Per le applicazioni di backup che non supportano in modo nativo la funzione Data Domain Retention Lock, è sempre stato un problema per i clienti sfruttare questa funzione. Il Backup Administrator deve configurare gli script per impostare Retention Lock sui file appena acquisiti per un MTree. Il blocco deve essere impostato in modo che scada poco prima della data di scadenza (e dell'eliminazione) del backup da parte dell'amministratore del backup.

La funzione ARL imposta un blocco su ogni singolo file scritto sull'MTree dopo l'abilitazione della funzione, impedendo la modifica o la rimozione del file per un determinato periodo di tempo dopo il termine del periodo configurato. Ciò significa che la funzione ARL non deve essere abilitata per i carichi di lavoro o le applicazioni di backup che devono aggiornare alcuni file ripetutamente nel tempo, ad esempio nei pool VTL (in cui i file a nastro VTL vengono scritti ripetutamente) o per le applicazioni di backup che conservano le informazioni sui metadati insieme ai file di backup del cliente stesso (come NetWorker o Avamar). Se si abilita ARL in queste istanze, alcuni file importanti vengono bloccati per un determinato periodo di tempo. Quando in un secondo momento è necessario scrivere in questi file per altri backup, la scrittura ed eventuali backup successivi hanno esito negativo.

Per aiutare i Backup Administrator a ridurre l'onere di mantenere la funzione Retention Lock sui file di backup e attivare DD OS in caso di parità di funzioni con altri fornitori, a partire da DD OS 6.2.0.20 è disponibile una funzione che può essere abilitata dalla CLI per ogni MTree con la funzione Retention Lock configurata per impostare un blocco su ogni file acquisito (per un determinato periodo), una volta trascorsa una certa quantità di tempo predeterminata dal completamento della scrittura del file su disco. In questo modo, gli amministratori non devono più preoccuparsi dell'impostazione manuale (o tramite script) di Retention Lock e ciò può avvenire automaticamente senza ricorrere all'applicazione di backup. 
Nelle versioni precedenti a DD OS 7.8, la funzione Automatic Retention Lock non può essere utilizzata sulle unità di storage logiche (LSU) DD Boost e il tentativo di abilitarla restituisce un errore indicante che non è supportata.
A partire dalla versione 7.8, la funzione ARL è supportata per le LSU DD Boost.

La funzione ARL utilizzata sui DD di destinazione per MFR (Managed File Replication), come il clone NW, deve avere una durata impostata per "automatic-lock-delay" sufficiente a garantire che le operazioni di clonazione vengano completate per il backup set prima che il blocco venga impostato sui file. Esempio: Un file di piccole dimensioni che fa parte di un backup set termina rapidamente la replica, mentre un file più grande richiede più tempo, quindi il primo file viene bloccato con Retention Lock nel momento in cui il file più grande termina la replica e rileva un errore quando NW tenta di spostare tutti i file del backup set nella directory di archiviazione finale.

Automatic Retention Lock non è supportato su Data Domain VTL.

Sulle versioni applicabili, sono disponibili opzioni aggiuntive nella finestra mtree retention-lock CLI, come mostrato di seguito. Questa funzione può essere configurata anche tramite l'interfaccia utente scegliendo "Automatic" anziché "Manual" nell'opzione "Use":     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

La funzione Automatic Retention Lock blocca un file immediatamente dopo la scadenza di un periodo di raffreddamento preconfigurato (automatic-lock-delay). Dopo che il file viene scritto in un MTree abilitato per Retention Lock e il blocco è valido per "automatic-retention-period" dal momento in cui è stato impostato, se il valore rientra nei valori "min-retention-period" e "max-retention-period" impostati per l'MTree, si verifica il blocco.

Per ulteriori informazioni sull'utilizzo e dettagli generali sulla funzione, consultare il documento DD OS Administration Guide corrispondente. Questa funzione non è particolarmente indicata per i casi in cui lo stesso MTree viene utilizzato come destinazione per i backup che devono avere set di blocchi per periodi diversi o per i backup che devono o non devono avere un set impostato.

Cosa è consentito fare o non fare per un file bloccato?

  • I file bloccati con Retention Lock sono read-only e non possono essere modificati o eliminati.
  • Una volta scaduto il periodo di retention di un file, viene sbloccato: quando è in uno stato sbloccato, il file non può essere comunque modificato, ma può essere eliminato. Il DDR non elimina automaticamente un file alla scadenza del periodo di retention (l'eliminazione successiva deve essere eseguita da un sistema client o da un'applicazione di backup).
  • Una volta impostato, il periodo di retention per un file specifico non può essere ridotto (ovvero il valore atime dei file non può essere posticipato).
  • I periodi di retention possono tuttavia essere aumentati (il valore atime può essere aumentato fino al periodo di retention massimo per l'MTree).
  • Le impostazioni di proprietà e autorizzazione per un file possono continuare a essere modificate mentre il file è bloccato
  • è possibile rinominare o eliminare una directory in un MTree abilitato per il blocco con Retention Lock solo se tale directory non contiene file. Se la directory contiene file (anche se non bloccati con Retention Lock), la ridenominazione o l'eliminazione della directory ha esito negativo
  • Anche se non cambia il contenuto del file stesso, non è consentito modificare la denominazione (ridenominazione) dei file con un blocco impostato, ma la ridenominazione non è consentita una volta scaduto il blocco del file. Per i file non più bloccati è consentita solo l'operazione di eliminazione. Questa condizione è cambiata in DD OS 7.7.4 dove, per i file non più bloccati, è consentita la ridenominazione del file.

È possibile rimuovere completamente la funzione di Retention Lock da un file o da un set di file?
È possibile annullare (rimuovere) la funzione di Retention Lock per i file in MTree utilizzando la modalità Governance. Questa operazione viene eseguita con il seguente comando:     

# mtree retention-lock revert [path]

Una volta rimossa la funzione di Retention Lock per un file, è possibile modificarlo o eliminarlo normalmente. Se questo comando viene eseguito su una directory, la funzione Retention Lock viene rimossa da tutti i file all'interno di tale directory e in tutte le sottodirectory.

Non è possibile annullare la funzione di Retention Lock per i file negli MTree utilizzando la modalità Compliance. Questa operazione mostra un errore corrispondente:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


Cosa succede se si tenta di modificare o rimuovere un file con Retention Lock?
Qualsiasi tentativo di modificare o eliminare un file con Retention Lock causa un corrispondente permission denied errore:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

I registri DDFS indicano che l'operazione non è riuscita a causa della funzione Retention Lock nel file:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


È possibile elencare tutti i file con Retention Lock?
Sì, questa operazione può essere eseguita utilizzando il comando mtree retention-lock report generate retention-details :

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Ad esempio, per elencare i dettagli di tutti i file bloccati nel file /data/col1/rl_test MTree Vengono eseguite le seguenti operazioni:

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


È possibile disabilitare completamente Retention Lock per un MTree (dopo che è stato abilitato)?
Sì, per gli MTree che utilizzano la modalità di governance, questa operazione viene eseguita utilizzando mtree retention-lock disable :

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
Nota: una volta disabilitata la funzione Retention Lock su un MTree:
  • I nuovi file scritti nell'MTree non possono essere bloccati con Retention Lock.
  • I file già bloccati rimangono in questo stato per il periodo di retention definito in precedenza (ovvero, tutti i blocchi non vengono annullati automaticamente quando la funzione Retention Lock è disabilitata su un MTree).
  • I blocchi esistenti sui file in un MTree in cui è disabilitata la funzione Retention Lock non possono essere annullati. Tutte le modifiche necessarie devono essere eseguite prima della disabilitazione di Retention Lock:
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • Non è possibile disabilitare Retention Lock per un MTree utilizzando la modalità Compliance:     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

È comunque possibile utilizzare la replica su MTree con la funzione Retention Lock abilitata?
Sì, gli MTree o i file con Retention Lock possono essere replicati utilizzando varie topologie di replica:     
  • Replica di directory, supportata solo per i file che utilizzano la modalità Governance. Non effettua la replica dei periodi di retention minimi e massimi nel sistema di destinazione.
  • Replica di MTree: può essere utilizzata per i dati in modalità Governance o Compliance ed effettua la replica dei periodi di retention minimi e massimi nel sistema di destinazione.
  • Replica di raccolte: può essere utilizzata per i dati in modalità Governance o Compliance ed effettua la replica dei periodi di retention minimi e massimi nel sistema di destinazione.
Nota: per mantenere la funzione Retention Lock sui sistemi di destinazione:
  • Nei sistemi di origine e di destinazione devono essere installate le licenze Retention Lock corrispondenti.
  • Se si esegue la replica di un MTree abilitato per RLC, sia i DD di origine che di destinazione devono avere RLC configurato o verrà ricevuto l'errore successivo:
    "A compliance retention-locked MTree cannot be replicated to a destination that is not enabled for compliance retention-lock".
  • Nei contesti di replica degli MTree, "Replication propagate-retention-lock" deve essere impostato su Enabled.
  • Per i file replicati tramite replica di directory, i periodi di retention minimi e massimi degli MTree corrispondenti devono essere impostati manualmente sul sistema di destinazione.
Esistono altre restrizioni durante la replica dei file con Retention Lock?
Sì. Le risincronizzazioni dei contesti di replica (ovvero il tentativo di ristabilire un contesto precedentemente configurato ma interrotto) in cui vengono utilizzati i dati con Retention Lock possono avere esito negativo.
 
Nota:
  • Se viene utilizzata la replica di MTree e l'MTree di destinazione contiene file con Retention Lock che non esistono nell'origine, la risincronizzazione non riesce.
  • Se viene utilizzata la replica di directory e nella destinazione è abilitata la funzione Retention Lock, ma non nell'origine, la risincronizzazione ha esito negativo.
Nota: quando si utilizza la replica di MTree, la risincronizzazione ha esito positivo nei seguenti scenari, se l'MTree di destinazione non contiene file con Retention Lock non presenti nel DDR di origine:
  • La funzione Retention Lock non è abilitata nell'MTree di origine, ma in quello di destinazione.
  • La funzione Retention Lock non è abilitata nell'MTree di destinazione, ma in quello di origine.
Inoltre, non è possibile abilitare la modalità Compliance di Retention Lock su un MTree già membro nel contesto di una replica di MTree. In questo scenario:
  • Il contesto di replica di MTree deve essere interrotto sui sistemi di origine e di destinazione: 
# replication break mtree://[destination system]/data/col1/[mtree]
  • È necessario creare un nuovo contesto di replica MTree nei sistemi di origine e di destinazione: 
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
  • La modalità Compliance di Retention Lock deve essere abilitata sul sistema di origine: 
# mtree retention-lock enable mode compliance mtree [mtree]
  • Il nuovo contesto di replica creato deve essere risincronizzato nel sistema di origine: 
# replication resync mtree://[destination system/data/col1/[mtree]

È possibile sottoporre a copia veloce i file con Retention Lock?
Sì, i file con Retention Lock possono essere copiati rapidamente come di consueto. Se nell'MTree di destinazione che contiene la copia veloce è abilitata la funzione Retention Lock, questa viene mantenuta rispetto alla copia veloce. Se nell'MTree di destinazione non è abilitata la funzione Retention Lock, la copia veloce non viene bloccata con Retention Lock.

Esistono altre restrizioni nella funzionalità del sistema quando si utilizza la funzione Retention Lock?
I seguenti comandi non sono consentiti sui sistemi che utilizzano la modalità Compliance di Retention Lock: 
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
Tali sistemi non possono essere avviati in modalità utente singolo per il ripristino da parte del supporto tecnico senza l'utilizzo di un'unità USB e l'accesso fisico al sistema.

I seguenti comandi non sono consentiti per gli MTree utilizzando la modalità Compliance con Retention Lock: 
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
Tuttavia, in DD OS 7.3 e versioni successive, i clienti possono eliminare gli MTree abilitati per la modalità Compliance di Retention Lock, purché:
  • Sia in esecuzione DD OS 7.3 o versione successiva.
  • L'MTree RLCE da eliminare sia vuoto (non includa file e directory).
  • L'amministratore superi l'autenticazione del Security Officer.
Nei sistemi configurati con retention a lungo termine (Cloud Tier) potrebbero non essere consentiti anche altri comandi di eliminazione, ad esempio: 
# cloud unit del <cloud unit name>
Nota: gli MTree che utilizzano la modalità Governance di Retention Lock (o in cui questa modalità era precedentemente abilitata) possono essere eliminati solo quando l'MTree non contiene alcun file. Se sono presenti file rimanenti nell'MTree, viene restituito un errore.

L'orologio di sistema è importante sui sistemi abilitati per Retention Lock?
Sì, i sistemi abilitati per la conformità di Retention Lock attivano un "orologio di sicurezza" interno per evitare manomissioni dannose nell'orologio di sistema (che potrebbero consentire l'eliminazione anticipata dei file con Retention Lock). Gli orari dell'orologio di sicurezza e dell'orologio di sistema vengono confrontati regolarmente e, in caso di sfasamento accumulato di due settimane tra i due in un anno di calendario, Data Domain File System (DDFS) viene disabilitato automaticamente per impedire l'accesso ai dati sul DDR. Ciò può verificarsi anche se l'orologio di sistema viene improvvisamente modificato e l'ora viene spostata di più di due settimane.

In questo scenario, DDFS può essere riabilitato tramite:
  • Accesso al DDR.
  • Verifica della corretta impostazione dell'orologio di sistema.
  • Abilitazione del file system: 
    # filesys enable
  • Inserimento, quando richiesto, dei dettagli di un utente con ruolo di sicurezza per consentire il ripristino dell'orologio di sicurezza e l'abilitazione di DDFS.
L'orologio di sistema può essere sincronizzato con Active Directory sui sistemi abilitati per Retention Lock Compliance?
No, quando è abilitata la conformità a Retention Lock, i server CIFS non sincronizzano più l'ora di sistema con Active Directory. Se si verifica una differenza di orario superiore a cinque minuti tra il sistema e Active Directory, il server CIFS visualizza un messaggio di errore quando un utente Active Directory tenta di effettuare l'accesso o il sistema tenta di aggiungere un dominio Active Directory. Configurare l'ora di Active Directory con NTP per evitare questo errore.

Ciò è in contrasto con i sistemi in cui la conformità a Retention Lock non è abilitata, ma Active Directory è in uso. In questo caso, non è consigliabile abilitare NTP in quanto potrebbero esserci conflitti di impostazione dell'ora tra Active Directory e NTP.

Quali operazioni è possibile eseguire se un DDR che utilizza file con Retention Lock esaurisce la capacità?
Supponendo che non vi sia spazio da liberare sul DDR (la pulizia viene eseguita ma la capacità del sistema è comunque esaurita), esaminarne il contenuto per determinare se:
  • Sono presenti file con Retention Lock che possono essere rimossi.
  • Sono presenti file bloccati tramite la modalità Governance che possono essere sbloccati e rimossi.
Al termine dell'operazione, eseguire nuovamente la pulizia per liberare spazio fisico sul sistema. In alternativa, se non è possibile eliminare dati fisici dal sistema, è necessario aggiungere ulteriore storage fisico al DDR ed espandere il file system (supponendo che l'espansione sia supportata dalla DDR o dalla configurazione corrente).

Se gli unici file rimasti sul sistema sono bloccati tramite la modalità Compliance, non è possibile annullare i blocchi e rimuovere questi file. Di conseguenza, non è possibile liberare spazio, a meno che non si verifichino le seguenti condizioni:
  • Viene raggiunto il periodo di retention per alcuni o tutti i file. A questo punto possono essere eliminati ed eseguiti (come descritto in precedenza).
  • Il sistema viene reinstallato dall'unità USB (con perdita di tutti i dati presenti sul DDR).
  • Viene aggiunto più storage fisico al sistema (come descritto in precedenza).
Nota: la capacità di un DDR può esaurirsi completamente con file bloccati mediante la modalità Compliance. In questo scenario, non vi è nulla che un amministratore o il supporto tecnico possa fare per liberare spazio (ovvero non esiste alcuna funzionalità di basso livello per rimuovere/annullare i blocchi della modalità Compliance ed eliminare in anticipo i file corrispondenti).

対象製品

Data Domain, Data Domain Retention Lock

製品

Data Domain
文書のプロパティ
文書番号: 000079803
文書の種類: Solution
最終更新: 18 10月 2024
バージョン:  20
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。