Data Domain: Perguntas frequentes sobre o Retention Lock

Summary: Este artigo consiste em uma visão geral da funcionalidade Data Domain Retention Lock (RL) e explica as diferenças entre a configuração e a utilização dos modos Governança e Conformidade. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Este artigo apresenta uma visão geral concisa da funcionalidade Data Domain Retention Lock (RL) e fornece respostas às perguntas frequentes (FAQs) relacionadas.

Cause

Este artigo apresenta uma visão geral concisa da funcionalidade Data Domain Retention Lock (RL) e fornece respostas às perguntas frequentes (FAQs) relacionadas.

Resolution

O que é o Retention Lock?
O Retention Lock é um recurso usado nos Data Domain Restorers (DDRs) para impedir a modificação ou a exclusão de certos conjuntos de arquivos por um período predeterminado. Ou seja, os arquivos bloqueados com o Retention Lock são somente leitura até que o período de retenção expire.

Quais são as diferentes versões do Retention Lock?
O Retention Lock está disponível para duas funções diferentes:

  • Governança: Essa é a função menos rigorosa (ou seja, os bloqueios de arquivos podem ser revertidos, se necessário).
  • Conformidade: Essa é a função mais rigorosa e cumpre diversas normas regulamentares comuns. Ou seja, os bloqueios de arquivos não podem ser revertidos. O DDR precisa ser configurado com um usuário "diretor de segurança", que deve autenticar determinados comandos. Há várias restrições em outras funcionalidades para impedir que os dados bloqueados sejam removidos ou que os bloqueios sejam revertidos antecipadamente.
Nota:
  • O modo Conformidade só está disponível no DDOS 5.3 (ou posterior).
  • Cada função do Retention Lock requer uma chave de licença separada.
  • A funcionalidade do Retention Lock é habilitada por MTree.
  • Um sistema único pode usar os modos Governança e Conformidade em MTrees separados. No entanto, ele deve ter licenças separadas de governança e conformidade instaladas.
  • Não ative qualquer tipo de DD Retention Lock nos MTrees usados para armazenar dados do Avamar, a menos a documentação do Avamar exija a ativação do recurso para executá-lo no Avamar. Ativar o DD RL em qualquer MTree deste tipo, sem seguir o processo correto do Avamar, pode tornar o MTree inutilizável para backups e acarretar em uma recuperação demorada. Isso se aplica, especialmente, ao ativar o Automatic Retention Lock (ARL) em um MTree do Avamar.
  • A funcionalidade Retention Lock pode não ser compatível com MTrees usados para armazenar dados por meio de versões mais antigas do Avamar ou dos dados do software de proteção em um Integrated Data Protection Appliance ou em um PowerProtect Data Protection Series Appliance. Isso pode impedir que o Avamar ou o software de proteção dentro do Integration Data Protection Appliance funcione conforme o esperado e entre no estado READONLY.

Quais protocolos de acesso aos dados são compatíveis com o Retention Lock?

  • Os protocolos NFS, CIFS e DD Boost são totalmente compatíveis com MTrees que usam o modo Governança ou Conformidade do Retention Lock.
  • O protocolo Virtual Tape Library (VTL) só é compatível com MTrees que usam o modo Governança do Retention Lock. O Automatic Retention Lock não é compatível com o protocolo VTL do Data Domain. Consulte o Guia de administração do Data Domain para determinar como desbloquear fitas bloqueadas com o Retention Lock para que elas possam receber gravações.

O modo Conformidade do Retention Lock atende às normas regulamentares:
A lista de normas regulamentares que o modo Conformidade do Retention Lock cumpre inclui:     

  • SEC 17a-4(f)
  • Regra 1.31b da CFTC
  • CFR 21 Parte 11 da FDA
  • Lei Sarbanes-Oxley
  • IRS 98025 e 97-22
  • Norma ISO 15489-1
  • MoREQ2010

Para obter detalhes completos das informações de certificação, entre em contato com seu provedor de suporte contratado.

Como habilitar o modo Governança do Retention Lock?

  • Uma licença de governança do Retention Lock é adicionada ao DDR.
  • O modo Governança do Retention Lock é habilitado em qualquer MTree necessário:     
# mtree retention-lock enable mode governance mtree [mtree]


Como habilitar o modo Conformidade do Retention Lock?

  • Observe que há instruções específicas para alguns modelos mais recentes do Data Domain com iDRAC.
  • Uma licença de conformidade do Retention Lock é adicionada ao DDR.
  • Um usuário com função de "segurança" deve ser criado (caso esse usuário não exista):     
(ADMIN USER) # user add [username] role security
  •  O usuário com função de "segurança" deve fazer login no DDR e habilitar a autorização do usuário de segurança:     
(SECURITY USER): # authorization policy set security-officer enabled
  • O sistema deve ser configurado para o modo Conformidade do Retention Lock. Depois que o seguinte comando for executado até a conclusão, o sistema será reinicializado automaticamente:     
(ADMIN USER) # system retention-lock compliance configure
  • Depois que o sistema for reinicializado, o modo Conformidade do Retention Lock deverá ser habilitado no sistema:     
(ADMIN USER) # system retention-lock compliance enable
Nota: Para versões mais recentes do DDOS, essa tarefa precisa ser realizada com a IU do Data Domain. Administração > Conformidade
  • O modo Conformidade do Retention Lock é habilitado em qualquer MTree necessário:
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


Como é possível determinar quais MTrees têm o bloqueio por retenção ativado?
Os MTrees com o Retention Lock ativado aparecem no resultado de mtree list, por exemplo:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Um MTree com o modo Governança do Retention Lock habilitado pode ser convertido para a modo Conformidade do Retention Lock?
Conforme declarado no Guia de administração do DDOS, ele não pode ser convertido.

Um MTree com o modo Conformidade do Retention Lock habilitado pode ser convertido para a modo Governança do Retention Lock?
Conforme declarado no Guia de administração do DDOS, ele não pode ser convertido.

Como os períodos de bloqueio ou retenção de arquivos são definidos?
Assim que o Retention Lock estiver habilitado em um MTree, um período de retenção mínimo e um período de retenção máximo devem ser definidos. Esses períodos determinam o tempo mínimo e o tempo máximo em que um arquivo dentro do MTree pode ficar bloqueado. Por exemplo:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Os períodos podem ser especificados em várias unidades, da seguinte forma:     

  • 1 minuto
  • 1 hora
  • 1 dia
  • 1 mês
  • 1 ano
Nota:
  • Um período mínimo de retenção não pode ser inferior a 12 horas.
  • Um período máximo de retenção não pode ser superior a 70 anos.
  • O período mínimo de retenção precisa ser menor do que o período máximo de retenção.
  • Os períodos de retenção para cada MTree são definidos da mesma forma, independentemente do tipo de Retention Lock que está sendo usado.

Como os períodos de retenção existentes podem ser exibidos?
É possível exibi-los usando os dois comandos a seguir:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Por exemplo:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


Como os arquivos em um MTree com o Retention Lock habilitado são bloqueados?

  • Quando o Retention Lock é habilitado em um MTree, os arquivos existentes no MTree não são bloqueados automaticamente (ou seja, todos os arquivos preexistentes permanecem com o status de leitura ou gravação).
  • Quando um novo arquivo é gravado em um MTree que está com o Retention Lock habilitado, ele não é bloqueado automaticamente. Ou seja, o novo arquivo permanece com o status de leitura ou gravação.
Nota: A partir do DDOS 6.2.0.20, há um recurso no DDOS denominado "Automatic Retention Lock", que pode bloquear automaticamente todos os arquivos gravados. Para saber mais, consulte a seção "Automatic Retention Lock" mais adiante, neste artigo da KB.
  • Para habilitar o bloqueio do Retention Lock em um arquivo específico, o atime do arquivo deve ser modificado para corresponder à data e à hora em que o arquivo deve ser bloqueado. Até essa data e essa hora, o arquivo deverá permanecer somente leitura. Até que o tempo seja modificado dessa forma, o bloqueio do Retention Lock não poderá ser habilitado no arquivo (e o arquivo poderá ser modificado ou removido).

O atime de um arquivo pode ser alterado a partir de um client NFS ou CIFS usando o comando "touch":

# touch -a -t [expiry time] [file to be locked]

Por exemplo, para definir um horário de /data/col1/rl_test/testfile às 07h05 do dia 8 de junho: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

O período do tempo atual para o atime futuro deve estar dentro dos períodos mínimo e máximo de retenção do MTree. Caso contrário, um erro será gerado ao modificar o atime dos arquivos:

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

Uma mensagem correspondente também é mostrada nos arquivos de log do Data Domain File System (DDFS):

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Os clients CIFS (Windows) não incluem, por padrão, um comando ou utilitário de toque. No entanto, vários desses utilitários estão disponíveis gratuitamente para download em diversos sites de terceiros.

Nota: Não é possível habilitar o bloqueio do Retention Lock nos arquivos até que eles sejam gravados no DDR. Não é possível criar um arquivo vazio, habilitar o bloqueio do Retention Lock nesse arquivo e, em seguida, gravar dados nele.

Quais aplicativos de backup permitem habilitar automaticamente o bloqueio do Retention Lock em arquivos após gravá-los em um DDR?
O Data Domain Retention Lock é compatível com os protocolos Write-Once-Read-Many (WORM) padrão do setor, que são baseados em NAS. A integração é qualificada com aplicativos de arquivamento, como Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance ou DiskXtender.

O Dell NetWorker é compatível com os modos Governança e Conformidade.

Desde junho de 2024, as versões recentes do Avamar são compatíveis com os modos Conformidade e Governança do Data Domain Retention Lock, como parte do recurso "Backups imutáveis" do Avamar. Consulte o artigo abaixo e a documentação do Avamar para obter detalhes:
Avamar e Data Domain: Habilitando o modo Conformidade do Data Domain Retention Lock e o recurso Backups imutáveis no Avamar

É fundamental que as etapas para ativar o recurso "Backups imutáveis" do Avamar sejam seguidas rigorosamente. Caso contrário, um MTree do Avamar no DD não poderá receber mais gravações ou ele poderá apresentar problemas operacionais, exigindo uma longa recuperação forçada. O Avamar não funciona com o DD Automatic Retention Lock (ARL), Dessa forma, o ARL não pode ser ativado em qualquer MTree do Avamar que esteja em um DD.

Os clientes que usam outros aplicativos de backup que não apresentam compatibilidade nativa com o Data Domain Retention Lock também podem desenvolver scripts personalizados para definir manualmente períodos de retenção de arquivos com o Data Domain Retention Lock. Nesse cenário, certifique-se de que os scripts personalizados definam o atime do arquivo, de modo que ele seja desbloqueado antes de o aplicativo de backup tentar excluí-lo. Se isso não for feito, o aplicativo de backup poderá tentar excluir arquivos bloqueados (e não conseguirá); o arquivo será deixado no DDR por tempo indeterminado, consumindo o espaço em disco. Consulte o Guia de administração do Data Domain.

Automatic Retention Lock
Os clientes que têm aplicativos de backup sem compatibilidade nativa com o Data Domain Retention Lock sempre tiveram dificuldades para usar o recurso. O administrador de backup precisa configurar os scripts para definir o Retention Lock em arquivos inseridos recentemente em um MTree. O bloqueio deve ser configurado para que expire pouco antes do término do backup (e para a exclusão) pelo administrador de backup.

Ao contrário do RL normal, o Bloqueio de Retenção Automático define um bloqueio em cada arquivo gravado no MTree depois que o recurso é ativado. Esse fato impede que arquivos novos ou modificados sejam alterados ou removidos por um determinado período após o período de resfriamento configurado. Se o MTree tiver arquivos que precisam ser alterados posteriormente (arquivos de backup ou arquivos relacionados ao aplicativo de backup, como "volhdr" ou "_nsr_serial" do NetWorker), o ARL impedirá que eles sejam modificados, causando todos os tipos de possíveis problemas.

 

Portanto, o ARL não é compatível com VTL.

 

Além disso, pelo mesmo motivo, o ARL não é compatível com o NetWorker (o uso do ARL com o NetWorker pode resultar em indisponibilidade de dados não intencional ou até mesmo perda de dados).

 

Antes do DD OS 7.8, o Bloqueio de retenção automático não pode ser usado em unidades de armazenamento lógico (LSU) do DD Boost, e a tentativa de ativar isso retorna um erro informando que ele não é compatível. A partir da versão 7.8, o ARL é compatível com LSUs do DD Boost.

O ARL usado nos DDs de destino para replicação gerenciada de arquivos (MFR) deve ter um "automatic-lock-delay" longo o suficiente para garantir que as operações de clonagem sejam concluídas para o conjunto de backup antes que o bloqueio seja definido nos arquivos. Exemplo: Um arquivo pequeno que faz parte de um conjunto de backup conclui a replicação rapidamente, enquanto um arquivo maior leva mais tempo, então o primeiro arquivo é bloqueado para retenção no momento em que o arquivo maior termina de replicar e encontra um erro quando o NW tenta mover todos os arquivos do conjunto de backup para o diretório de arquivamento final.)

Alterações recentes no DDOS para fastcopy/filecopy resultam no "mtime" do arquivo de origem a ser retido ao copiar entre locais no mesmo DDR. Como o atraso do ARL é determinado pela análise do "mtime" de um arquivo, o (e a cópia ou clone tem o "mtime" para o arquivo original), dependendo do fluxo de trabalho e do tempo, pode ser o caso de a cópia/clone ser automaticamente bloqueada na criação, se a criação da cópia ou do clone demorar mais do que o período de resfriamento do arquivo original.

Nas versões aplicáveis, há opções adicionais no mtree retention-lock , conforme exibido abaixo. Esse recurso também pode ser configurado por meio da IU. Basta selecionar "Automatic", em vez de "Manual", na opção "Use":     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

O recurso Automatic Retention Lock bloqueia um arquivo imediatamente após a expiração de um período de tolerância pré-configurado (automatic-lock-delay). Depois que o arquivo for gravado em um MTree com o Retention Lock habilitado e o bloqueio for válido para "automatic-retention-period" a partir do momento em que ele foi definido, se o valor estiver dentro dos valores "min-retention-period" e "max-retention-period" definidos para o MTree, ocorrerá o bloqueio.

Para obter mais detalhes gerais e informações de uso do recurso, consulte o Guia de administração do DDOS correspondente. Esse recurso não é adequado para situações em que o mesmo MTree é usado como destino de backups que devem ter bloqueios definidos para períodos diferentes ou de backups que não devem ter um bloqueio definido para começar.

O que pode ou não ser feito em um arquivo bloqueado?

  • Os arquivos bloqueados com o Retention Lock são somente leitura e não podem ser modificados ou excluídos.
  • Depois que o período de retenção expirar, o arquivo será "desbloqueado". Quando o arquivo estiver no estado desbloqueado, ele ainda não poderá ser modificado. No entanto, ele poderá ser excluído. O DDR não excluirá automaticamente um arquivo quando o período de retenção dele expirar (a exclusão subsequente deve ser realizada a partir de um sistema client ou aplicativo de backup).
  • Depois de definido, o período de retenção de um arquivo específico não poderá ser reduzido (ou seja, o atime dos arquivos não poderá ser adiantado).
  • No entanto, os períodos de retenção poderão ser ampliados (é possível aumentar o atime até o período máximo de retenção do MTree).
  • Será possível continuar modificando as configurações de propriedade e permissão de um arquivo enquanto o arquivo estiver bloqueado
  • Só será possível renomear ou excluir um diretório em um MTree com bloqueio de retenção (RLGE/RLGD ou RLCE) se esse diretório não contiver arquivos. Se o diretório contiver arquivos (mesmo que eles não estejam bloqueados com o Retention Lock), haverá falha na renomeação ou exclusão do diretório
  • Mesmo que o conteúdo do arquivo em si não seja modificado, não será permitido alterar o nome (renomear) dos arquivos que tenham um bloqueio definido. Mesmo depois que o bloqueio do arquivo expirar, a renomeação continuará não sendo permitida. No caso dos arquivos que não estão mais bloqueados, a única operação permitida é a exclusão. Isso mudou no DDOS 7.7.4, no qual é permitido renomear os arquivos que não estão mais bloqueados.

É possível remover completamente o bloqueio do Retention Lock em um arquivo ou conjunto de arquivos?
É possível "reverter" (remover) o bloqueio do Retention Lock em arquivos de MTrees que usam o modo Governança. Esse processo é feito com o seguinte comando:     

# mtree retention-lock revert [path]

Depois que o bloqueio do Retention Lock for removido de um arquivo, o arquivo poderá ser modificado ou excluído normalmente. Se esse comando for executado em um diretório, todos os arquivos dentro desse diretório e todos os subdiretórios terão o bloqueio do Retention Lock removido.

Não é possível reverter um bloqueio do Retention Lock em arquivos de MTrees que usam o modo Conformidade. Em caso de tentativa, um erro correspondente será exibido:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


O que acontecerá se houver uma tentativa de modificar ou remover um arquivo bloqueado com o Retention Lock?
Qualquer tentativa de modificar ou excluir um arquivo bloqueado com o Retention Lock gerará um erro permission denied correspondente:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Os logs do DDFS indicam que a operação falhou porque o arquivo está bloqueado com o Retention Lock:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


É possível listar todos os arquivos que estão bloqueados com o Retention Lock?
Sim, é possível fazer isso usando o mtree retention-lock report generate retention-details comando:

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Por exemplo, para listar detalhes de todos os arquivos bloqueados em /data/col1/rl_test MTree seria necessário realizar este procedimento:

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


É possível desativar completamente o Retention Lock de um MTree (depois de ele ser ativado)?
Sim, em MTrees que usam o modo de governança, é possível fazer isso por meio do mtree retention-lock disable comando:

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
Nota: Depois que o Retention Lock for desabilitado em um MTree:
  • Novos arquivos gravados no MTree não poderão ser bloqueados com o Retention Lock.
  • Os arquivos que já estão bloqueados permanecerão bloqueados durante o período de retenção definido anteriormente (ou seja, os bloqueios não serão revertidos automaticamente quando o Retention Lock for desabilitado em um MTree).
  • Os bloqueios existentes em arquivos de um MTree, no qual o Retention Lock está desabilitado, não poderão ser revertidos. Todas as reversões necessárias precisarão ser feitas antes de o Retention Lock ser desabilitado:
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • O Retention Lock não pode ser desabilitado em um MTree que usa o modo Conformidade:     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system
  • O file system pode relatar não estar respondendo enquanto o comando revert é executado em segundo plano
# mtree retention-lock revert /data/col1/myTree
The 'mtree retention-lock revert' command removes retention-lock on this path thereby making it unprotected.
	Are you sure:  (yes | no)  [no]:  yes
Ok, proceeding
Please enter sysadmin password to confirm 'mtree retention-lock revert':
**** The filesystem is not responding.

A replicação ainda pode ser usada em MTrees com o Retention Lock habilitado?
Sim, é possível replicar os MTrees ou os arquivos bloqueados com o Retention Lock usando várias topologias de replicação:     
  • Replicação de diretório – Compatível apenas com arquivos que usam o modo Governança e não replica períodos mínimos e máximos de retenção para o sistema de destino.
  • Replicação de MTree – Pode ser usada para dados do modo Governança ou Conformidade e replica períodos mínimos e máximos de retenção para o sistema de destino.
  • Replicação de conjunto – Pode ser usada para dados do modo Governança ou Conformidade e replica períodos mínimos e máximos de retenção para o sistema de destino.
Nota: Para que os bloqueios do Retention Lock sejam preservados nos sistemas de destino:
  • Os sistemas de origem e destino precisam ter licenças do Retention Lock correspondentes instaladas.
  • Se estiver replicando uma Mtree habilitada para RLC, os DDs de origem e destino deverão ter o RLC configurado ou o próximo erro será recebido:
    "A compliance retention-locked MTree cannot be replicated to a destination that is not enabled for compliance retention-lock."
  • Os contextos de replicação de MTree precisam ter "Replication propagate-retention-lock" definido como Enabled.
  • Para arquivos replicados pela replicação de diretório, os períodos mínimos e máximos de retenção de MTrees correspondentes precisam ser definidos manualmente no sistema de destino.
Há outras restrições ao replicar arquivos bloqueados com o Retention Lock?
Sim, pode haver falha nas ressincronizações de contextos de replicação (que estão tentando restabelecer um contexto configurado anteriormente, mas dividido) em que são usados dados bloqueados com o Retention Lock.
 
Nota:
  • Se a replicação de MTree for usada e o MTree de destino contiver arquivos bloqueados com o Retention Lock que não existem na origem, a ressincronização apresentará falha.
  • Se a replicação de diretório for usada e o destino tiver o Retention Lock habilitado, mas a origem não, a ressincronização apresentará falha.
Nota: Ao usar a replicação de MTree, a ressincronização será bem-sucedida nos seguintes cenários, se o MTree de destino não contiver arquivos bloqueados com o Retention Lock no DDR de origem:
  • O MTree de origem não tem o Retention Lock habilitado, mas o de destino tem.
  • O MTree de destino não tem o Retention Lock habilitado, mas o de origem tem.
Também não será possível habilitar o modo Conformidade do Retention Lock em um MTree que já seja membro de um contexto de replicação de MTree. Nesse cenário:
  • O contexto de replicação de MTree deve ser dividido nos sistemas de origem e destino: 
# replication break mtree://[destination system]/data/col1/[mtree]
  • O modo Conformidade do Retention Lock deve estar ativado no sistema de origem: 
# mtree retention-lock enable mode compliance mtree [mtree]
  • Um novo contexto de replicação de MTree deve ser criado nos sistemas de origem e destino:
    # replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
    • O contexto de replicação recém-criado deve ser ressincronizado no sistema de origem: 
    # replication resync mtree://[destination system/data/col1/[mtree]

    É possível fazer a cópia rápida de arquivos bloqueados com o Retention Lock?
    Sim, é possível fazer normalmente a cópia rápida de arquivos bloqueados com o Retention Lock. Se o MTree de destino que mantém a cópia rápida tiver o Retention Lock habilitado, o bloqueio do arquivo será preservado na cópia rápida. Se o MTree de destino não tiver o Retention Lock habilitado, a cópia rápida não preservará o bloqueio.

    Há outras restrições de funcionalidade do sistema ao usar o Retention Lock?
    Os seguintes comandos não são permitidos em sistemas que usam o modo Conformidade do Retention Lock: 
    # user reset
# filesys destroy
# filesys archive unit del [archive unit name]
    O suporte técnico não pode inicializar esses sistemas no modo de usuário único para recuperação sem o uso de uma unidade USB e acesso físico ao sistema.

    Os seguintes comandos não são permitidos em MTrees que usam o modo Conformidade do Retention Lock: 
    # mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
    No entanto, no DDOS 7.3 e em versões posteriores, foi feita uma provisão para que os clientes possam excluir os MTrees com o modo Conformidade do Retention Lock habilitado, caso:
    • O DD esteja executando o DDOS 7.3 ou posterior.
    • O RLCE MTree que será excluído esteja vazio (sem qualquer arquivo ou diretório).
    • O administrador tenha êxito na autenticação do diretor de segurança.
    Da mesma forma, em sistemas configurados com a retenção em longo prazo (nível de nuvem), os comandos destrutivos também podem não ser permitidos, por exemplo: 
    # cloud unit del <cloud unit name>
    Nota: Os MTrees que usam o modo Governança do Retention Lock (ou que já tiveram esse modo habilitado alguma vez) só poderão ser excluídos depois que não contiverem mais arquivos. Se houver arquivos restantes nos MTrees, ocorrerá um erro.

    O relógio do sistema é importante nos sistemas com o Retention Lock habilitado?
    Sim, os sistemas com o modo conformidade do Retention Lock ativado viabilizam um "relógio de segurança" interno para evitar adulterações mal-intencionadas no relógio do sistema (o que pode causar a exclusão precoce dos arquivos bloqueados com o Retention Lock). Os horários dos relógios de segurança e do sistema são comparados regularmente. Se houver uma distorção acumulada de duas semanas entre os dois em um único ano calendário, o Data Domain File System (DDFS) será automaticamente desativado para impedir o acesso aos dados no DDR. Isso também poderá acontecer se o relógio do sistema for modificado repentinamente e o horário for alterado em mais de duas semanas.

    Nesse cenário, o DDFS poderá ser reativado:
    • Fazendo login no DDR
    • Verificando se o relógio do sistema está definido corretamente.
    • Habilitando o file system: 
      # filesys enable
    • Quando solicitado, digite as informações de um usuário com função de segurança para permitir que o relógio de segurança seja redefinido e o DDFS seja ativado.
    É possível sincronizar o relógio do sistema com o Active Directory em sistemas no modo conformidade do Retention Lock?
    Não, quando o modo conformidade do Retention Lock está ativado, os servidores CIFS não sincronizam mais o horário do sistema com o Active Directory. Se houver uma diferença de tempo maior do que cinco minutos entre o sistema e o Active Directory, o servidor CIFS exibirá uma mensagem de erro quando um usuário do Active Directory tentar fazer log-in ou quando o sistema tentar ingressar em um domínio do Active Directory. Para evitar esse erro, configure o horário do Active Directory com o NTP.

    Isso não é válido para sistemas em que o modo conformidade do Retention Lock não está ativado, mas em que o Active Directory está em uso. Nessa situação, não é recomendável ativar o NTP, pois pode haver conflitos de configuração de horário entre o Active Directory e o NTP.

    Quais etapas seguir se um DDR que usa arquivos bloqueados com o Retention Lock utilizar todo o espaço?
    Supondo que não haja espaço "com possibilidade de limpeza" no DDR (a limpeza é executada, mas o sistema permanece cheio), o conteúdo dele deverá ser analisado para determinar se:
    • Há arquivos sem bloqueio do Retention Lock que possam ser removidos.
    • Há arquivos bloqueados com o modo Governança, cujo bloqueio possa ser revertido e removido.
    Assim que isso for feito, a limpeza deverá ser executada novamente para liberar espaço físico no sistema. Como alternativa, se não for possível excluir dados físicos do sistema, será preciso adicionar um armazenamento físico ao DDR e expandir o file system (supondo que a expansão seja compatível com o DDR ou a configuração atual).

    Se os únicos arquivos no sistema estiverem bloqueados usando o modo Conformidade, não será possível reverter os bloqueios e remover esses arquivos. Como resultado, o espaço não poderá ser liberado, a menos que:
    • O período de retenção de alguns ou todos os arquivos chegue ao fim. Após esse período, eles poderão ser excluídos e a limpeza poderá ser executada (conforme descrito acima).
    • O sistema seja reinstalado a partir de uma unidade USB (o que causará a perda de todos os dados no DDR).
    • Mais armazenamento físico seja adicionado ao sistema (conforme descrito acima).
    Nota: É bem possível ocupar completamente o espaço de um DDR com arquivos bloqueados usando o modo Conformidade. Nesse cenário, não há nada que um administrador ou o suporte técnico possa fazer para liberar espaço (ou seja, não há funcionalidade de baixo nível para remover/reverter bloqueios do modo Conformidade e excluir os arquivos correspondentes antecipadamente).
     
    Vídeo para configurar o bloqueio de retenção no DD9410:
    Configurar e habilitar a conformidade e a governança do Retention Lock no DD9410

    Affected Products

    Data Domain, Data Domain Retention Lock

    Products

    Data Domain
    Article Properties
    Article Number: 000079803
    Article Type: Solution
    Last Modified: 08 Nov 2025
    Version:  25
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.