Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Домен даних: Retention Lock Поширені запитання

Summary: Ця стаття містить огляд функцій блокування збереження домену даних (RL) і пояснює відмінності між конфігурацією та використанням режиму керування та відповідності.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ця стаття містить стислий огляд функцій блокування збереження домену даних (RL) і відповіді на відповідні поширені запитання (FAQ).

Cause

Ця стаття містить стислий огляд функцій блокування збереження домену даних (RL) і відповіді на відповідні поширені запитання (FAQ).

Resolution

Що таке утримуючий замок?
Блокування збереження – це функція, яка використовується на відновлювачах доменів даних (DDR) для запобігання зміні або видаленню певних наборів файлів протягом заздалегідь визначеного періоду. Тобто файли, заблоковані при зберіганні, доступні лише для читання до закінчення терміну їх зберігання.

Які існують версії утримуючого замка?
Фіксатор доступний для двох різних функцій:

  • Управління: Менш сувора з двох функцій блокування збереження (тобто блокування проти файлів може бути скасована, якщо це необхідно).
  • Відповідності: Більш сувора з двох функцій, які підкоряються декільком загальним нормативним стандартам. Тобто, блокування проти файлів не можуть бути скасовані. DDR має бути налаштований з користувачем «офіцера безпеки», який повинен автентифікувати певні команди. Існують різні обмеження на інші функції, щоб запобігти видаленню заблокованих даних або достроковому скасуванню блокувань.
Примітка:
  • Режим відповідності доступний лише в DDOS 5.3 (і пізніших версіях).
  • Для кожної функції утримуючого замка потрібен окремий ліцензійний ключ.
  • Функція блокування утримання вмикається на основі MTree.
  • Єдина система може використовувати як режим управління, так і режим відповідності проти окремих MTrees. Однак він повинен мати встановлені окремі ліцензії на управління та відповідність.
  • Не вмикайте будь-який вид блокування збереження DD на MTrees, який використовується для зберігання даних Avamar, якщо це не передбачено документацією Avamar, як частина запуску цієї функції на Avamar. Увімкнення DD RL на будь-якому такому MTree без дотримання правильного процесу Avamar може зробити MTree непридатним для резервного копіювання та вимагати тривалого відновлення. Це особливо вірно, якщо включено автоматичне блокування утримання (ARL) для Avamar MTree.
  • Функція блокування збереження може не підтримуватися для MTrees, які використовуються для зберігання даних з використанням старіших версій Avamar або даних Protection Software на пристроях Integrated Data Protection Appliance або PowerProtect Data Protection Series. Це може перешкодити Avamar або програмному забезпеченню захисту всередині інтегрованого пристрою захисту даних працювати належним чином і переходити в стан READONLY.

Які протоколи доступу до даних підтримуються за допомогою фіксатора збереження?

  • Протоколи NFS, CIFS і DD Boost повністю підтримуються проти MTrees за допомогою управління збереженням блокування або режиму відповідності.
  • Протокол Virtual Tape Library (VTL) підтримується лише для MTrees за допомогою режиму керування замком утримання. Автоматичне блокування збереження не підтримується на VTL домену даних. Перегляньте Посібник з адміністрування домену даних, щоб дізнатися, як розблокувати стрічки з блокуванням утримання, щоб на них можна було записувати.

Режим відповідності режиму утримання замка відповідає нормативним стандартам:
До переліку нормативних стандартів, яким відповідає режим відповідності режиму утримання замків, входять наступні:     

  • СЕК 17а-4(f)
  • Правило 1.31b Конвенції про зміну клімату (CFTC)
  • FDA 21 CFR Частина 11
  • Закон Сарбейнса-Окслі
  • IRS 98025 і 97-22
  • Стандарт ISO 15489-1
  • MoREQ2010

Щоб отримати повну інформацію про сертифікацію, зверніться до постачальника підтримки, з яким укладено договір.

Як увімкнено керування замком утримання?

  • До DDR додано ліцензію на керування замком утримання.
  • Режим керування замком збереження включено для будь-якого необхідного MTree:     
# mtree retention-lock enable mode governance mtree [mtree]


Як забезпечується дотримання вимог Retention Lock?

  • Існують конкретні інструкції для деяких нових моделей Data Domain з iDRAC.
  • До DDR додано ліцензію на відповідність замку утримання.
  • Слід створити користувача з роллю 'security' (за умови, що такого користувача не існує):     
(ADMIN USER) # user add [username] role security
  •  Користувач з роллю «безпека» повинен увійти в DDR і включити авторизацію користувача-охоронця:     
(SECURITY USER): # authorization policy set security-officer enabled
  • Система повинна бути налаштована на режим відповідності замку утримання. Як тільки наступна команда виконується до завершення, система автоматично перезавантажується:     
(ADMIN USER) # system retention-lock compliance configure
  • Після перезавантаження системи в системі має бути ввімкнено режим відповідності замку утримання:     
(ADMIN USER) # system retention-lock compliance enable
Примітка: Для нових випусків DDOS це завдання потрібно виконувати за допомогою інтерфейсу Data Domain UI. Адміністративний > комплаєнс
  • Режим відповідності блокуванню збереження включений для будь-яких необхідних MTree:
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


Як можна визначити, на яких MTrees увімкнено блокування утримання?
MTrees з увімкненим блокуванням утримання вказуються у виході mtree listнаприклад:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Чи можна перетворити MTree з увімкненим керуванням замком утримання на відповідність вимогам Retention Lock?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Чи можна перетворити MTree з увімкненим відповідним замком утримання на керування замком утримання?
Як зазначено в Керівництві з адміністрування DDOS, це неможливо.

Як встановлюються періоди зберігання файлів або блокування?
Після активації блокування зберігання на MTree необхідно встановити мінімальний і максимальний період зберігання. Ці періоди визначають мінімальний і максимальний час, протягом якого файл може бути заблокований. Наприклад:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

Періоди можуть бути вказані в різних одиницях наступним чином:     

  • 1 хв
  • 1 год.
  • 1 доб.
  • 1 міс.
  • 1 рік
Примітка:
  • Мінімальний період зберігання не може бути менше 12 годин.
  • Максимальний термін зберігання не може перевищувати 70 років.
  • Мінімальний період зберігання має бути меншим, ніж максимальний період зберігання.
  • Періоди зберігання для кожного MTree встановлюються однаково, незалежно від того, який смак використовується блокування утримання.

Як можна відобразити існуючі періоди зберігання?
Це можна зробити за допомогою наступних двох команд:     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

Наприклад:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


Як блокуються файли в MTree з увімкненим блокуванням збереження?

  • Коли для MTree увімкнено блокування збереження, існуючі файли в MTree не блокуються автоматично (тобто, всі вже існуючі файли залишаються прочитаними або записаними).
  • Коли новий файл записується на MTree з увімкненим блокуванням збереження, файл не блокується автоматично. Тобто новий файл залишається як прочитаний, так і записаний.
Примітка: Починаючи з DDOS 6.2.0.20, в DDOS є функція під назвою "автоматичне блокування утримання", яка може автоматично встановлювати блокування всіх записаних файлів. Щоб дізнатися більше, перегляньте розділ "Автоматичне блокування утримання" нижче в цій статті бази знань.
  • Щоб заблокувати певний файл, час зберігання файлу має бути змінено так, щоб він відповідав даті, а час зберігання файлу має бути заблоковано. Це дата та час, до яких файл має залишатися доступним лише для читання. До тих пір, поки час не буде змінено таким чином, файл не може бути заблокований при збереженні (і може бути змінений або видалений).

Час роботи файлу можна змінити в клієнті NFS або CIFS за допомогою команди 'touch':

# touch -a -t [expiry time] [file to be locked]

Наприклад, щоб встановити час /data/col1/rl_test/testfile на 07:05 8 червня: 

# touch -a -t 06080705 /data/col1/rl_test/testfile

Період від поточного часу до майбутнього часу повинен бути в межах мінімального та максимального періодів зберігання для MTree. В іншому випадку при зміні файлів за один раз генерується помилка:

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

У файлових файлових системах домену даних (DDFS) також відображається відповідне повідомлення:

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

Клієнти CIFS (Windows) за замовчуванням не включають сенсорну команду або утиліту, однак деякі такі утиліти є у вільному доступі для завантаження з різних сторонніх веб-сайтів.

Примітка: Файли не можна заблокувати, доки їх не буде записано в DDR. Неможливо створити порожній файл, заблокувати цей файл, а потім записати дані у файл.

Які програми резервного копіювання підтримують автоматичне збереження файлів після запису в DDR?
Замок збереження домену даних сумісний зі стандартними протоколами запису (WORM) на базі NAS. Інтеграція кваліфікується з архівними програмами, такими як Symantec Enterprise Vault, SourceOne, Cloud Tiering Appliance або DiskXtender.

Для Dell NetWorker підтримуються режими управління та відповідності.

Станом на червень 2024 року, останні версії Avamar підтримують як дотримання вимог Data Domain Retention Lock, так і Governance) як частину функції Avamar «Незмінні резервні копії». Подробиці дивіться в статті нижче і в документації Avamar:
Avamar і Data Domain: Увімкнення незмінного резервного копіювання Avamar і блокування

збереження режиму відповідності домену данихДуже важливо, щоб кроки для включення функції «Незмінні резервні копії» Avamar дотримувалися суворо. Якщо цього не зробити, це може призвести до появи Avamar MTree в ДД, на який не можна буде додатково записати, або який має проблеми з роботою, які змушують до тривалого відновлення. Avamar не працює з DD Automatic Retention Lock (ARL), і ARL не повинен бути включений для будь-якого Avamar MTree на DD.

Клієнти, які використовують інші програми резервного копіювання, які не підтримують блокування збереження домену даних, також можуть розробляти власні сценарії для використання блокування збереження домену даних для ручного встановлення періодів зберігання файлів. У цьому сценарії переконайтеся, що користувацькі сценарії встановлюють час файлу таким чином, щоб вони були розблоковані, перш ніж програма резервного копіювання спробує видалити файл. Якщо цього не зробити, програма резервного копіювання може спробувати видалити заблоковані файли (що не вдається); Файл залишається на DDR нескінченно займаючи місце на диску. Перегляньте посібник із адміністрування домену даних.

Автоматичне блокування
утриманняДля програм резервного копіювання, які не підтримують функцію блокування збереження домену даних, для клієнтів завжди було проблемою використовувати цю функцію. Адміністратор резервної копії повинен налаштувати сценарії для встановлення блокування збереження нових файлів для MTree. Блокування має бути встановлено таким чином, щоб термін його дії закінчувався незадовго до того, як резервна копія має бути завершена (і видалена) адміністратором резервної копії.

ARL встановлює блокування для кожного файлу, записаного в MTree після включення функції, запобігаючи зміні або видаленню файлу протягом певного періоду часу після закінчення налаштованого періоду охолодження. Це означає, що ARL не повинен бути включений для робочих навантажень або додатків резервного копіювання, які повинні багаторазово оновлювати деякі файли протягом певного часу, наприклад, у пулах VTL (файли стрічки VTL постійно записуються), або для програм резервного копіювання, які зберігають інформацію метаданих разом із файлами резервних копій клієнтів (наприклад, NetWorker або Avamar). Увімкнення ARL у таких випадках блокування важливих файлів на деякий час, і коли ці файли потрібно записати пізніше для інших резервних копій, запис не вдається, як і будь-які наступні резервні копії.

Щоб допомогти адміністраторам резервних копій зменшити тягар зберігання файлів блокування збереження та підвищити паритет функцій DDOS з іншими постачальниками, оскільки DDOS 6.2.0.20 має функцію, яку можна ввімкнути з CLI для кожного MTree з налаштованим Retention Lock, щоб встановити блокування для кожного переданого файлу (на певний період), після того, як пройде деякий заданий проміжок часу з моменту завершення запису файлу на диск. Таким чином, адміністраторам більше не потрібно турбуватися про ручне (або сценарнерове) налаштування блокування збереження, і це може відбуватися автоматично без співпраці програми резервного копіювання. 
До DDOS 7.8 автоматичне блокування збереження не можна використовувати на логічних накопичувачах DD Boost (LSU), і спроба ввімкнути його повертає помилку про те, що він не підтримується.
Починаючи з версії 7.8, ARL підтримується для DD Boost LSU.

(ARL, що використовується на цільових DD для керованої реплікації файлів (MFR), як і NW-клон, повинен мати достатньо довгу «автоматичну затримку-затримку», щоб гарантувати, що операції клонування завершені для набору резервних копій, перш ніж буде встановлено блокування файлів. Приклад: Малий файл, який є частиною набору резервних копій, швидко завершує реплікацію, тоді як більший файл займає більше часу, тоді перший файл блокується до того моменту, коли більший файл закінчує реплікацію, і стикається з помилкою, коли NW намагається перемістити всі файли набору резервних копій до кінцевого архівного каталогу.)

Автоматичне блокування збереження не підтримується на VTL домену даних.

У відповідних версіях є додаткові опції в mtree retention-lock CLI, як показано нижче. Цю функцію також можна налаштувати через інтерфейс користувача, вибравши «Автоматично» замість «Вручну» в опції «Використання»:     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Функція автоматичного блокування збереження блокує файл одразу після завершення попередньо налаштованого періоду очікування (автоматичне блокування-затримка). Після того, як файл записано на MTree з увімкненим блокуванням утримання, і блокування діє протягом "automatic-retention-period" з моменту його встановлення, якщо значення знаходиться в межах значень "min-retention-period" та "max-retention-period", встановлених для MTree, відбувається блокування.

Для отримання додаткової інформації про цю функцію та загальних відомостей зверніться до відповідного Посібника з адміністрування DDOS. Ця функція не дуже добре підходить для ситуацій, коли один і той же MTree використовується як ціль для резервних копій, які повинні мати або набори блокування на різні періоди, або резервні копії, які повинні мати не встановлений блокування.

Що можна або не можна робити із заблокованим файлом?

  • Файли, заблоковані під час утримання, доступні лише для читання та не можуть бути змінені або видалені.
  • Як тільки термін зберігання файлу закінчується, він «розблоковується» - коли файл знаходиться в розблокованому стані, його все одно не можна змінити, однак його можна видалити. DDR не видаляє файл автоматично після закінчення терміну його зберігання (подальше видалення має бути виконано з клієнтської системи або резервної програми).
  • Один раз встановлений період зберігання для конкретного файлу не може бути скорочений (тобто файли не можуть бути перенесені вперед).
  • Однак періоди зберігання можуть бути збільшені (час може бути збільшений до максимального терміну зберігання для MTree).
  • Параметри власності та дозволів для файлу можна змінювати, поки файл заблоковано
  • Перейменувати або видалити каталог можна лише в MTree з увімкненим блокуванням утримання, якщо цей каталог не містить файлів. Якщо каталог містить файли (навіть якщо ці файли не заблоковані при зберіганні), перейменування або видалення каталогу не вдається
  • Навіть якщо це не змінює сам вміст файлу, не дозволяється змінювати ім'я (перейменовувати) файли, для яких встановлено блокування, але перейменування також забороняється після закінчення терміну блокування файлу. Для файлів, які більше не блокуються, єдиною дозволеною дією є видалення. Це змінено в DDOS 7.7.4, коли для файлів, які більше не блокуються, дозволяється перейменування файлу.

Чи можна повністю зняти фіксатор з файлу або набору файлів?
"Скасувати" (зняти) блокування збереження файлів можна в MTrees за допомогою режиму управління - це робиться наступною командою:     

# mtree retention-lock revert [path]

Після зняття блокування збереження файлу його можна змінити або видалити як зазвичай. Якщо ця команда виконується з каталогом, то всі файли в цьому каталозі та всіх підкаталогах видаляються блокування збереження.

Скасувати блокування збереження файлів у MTrees за допомогою режиму відповідності неможливо - при спробі такої спроби виводиться відповідна помилка:     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


Що станеться, якщо файл, заблокований у збереженні, спробують змінити або видалити?
Будь-яка спроба змінити або видалити файл, заблокований на збереження, спричиняє відповідну permission denied помилка:

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

Журнали DDFS вказують на те, що операцію не вдалося виконати через блокування збереження файлу:     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


Чи можна вивести список усіх файлів, які заблоковано при зберіганні?
Так, це можна зробити за допомогою mtree retention-lock report generate retention-details команда:

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

Наприклад, щоб відобразити детальну інформацію про всі заблоковані файли в /data/col1/rl_test MTree Буде виконано наступне:

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


Чи можна повністю відключити блокування утримання для MTree (після його включення)?
Так, для MTrees з використанням режиму управління, це виконується за допомогою mtree retention-lock disable команда:

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
Примітка: Як тільки блокування утримання вимкнено на MTree:
  • Нові файли, записані на MTree, не можуть бути заблоковані при зберіганні.
  • Файли, які вже заблоковано, залишаються заблокованими протягом раніше визначеного періоду зберігання (тобто всі блокування не скасовуються автоматично, коли блокування збереження вимкнено проти MTree).
  • Існуючі блокування файлів у MTree, де блокування збереження вимкнено, не можуть бути скасовані. До вимкнення блокування утримання необхідно виконати всі необхідні реверсії:
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • Блокування утримання не може бути відключено для MTree за допомогою режиму відповідності:     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

Чи можна використовувати реплікацію проти MTrees , у яких увімкнено блокування утримання?
Так, MTrees або файли з блокуванням збереження можуть бути відтворені за допомогою різних топологій реплікації:     
  • Реплікація каталогів - підтримується тільки для файлів, що використовують режим управління - не реплікує мінімальні та максимальні періоди зберігання в цільову систему.
  • Реплікація MTree - може використовуватися як для даних, так і для даних режиму відповідності і реплікує мінімальні та максимальні періоди зберігання в цільову систему.
  • Реплікація збору - може використовуватися як для даних, так і для даних режиму відповідності, і реплікує мінімальні та максимальні періоди зберігання в цільову систему.
Примітка: Для збереження утримуючих замків на системах призначення:
  • Як вихідна, так і цільова системи повинні мати відповідні встановлені ліцензії на блокування утримання.
  • Якщо ви реплікуєте Mtree з підтримкою RLC, то DD джерела та призначення повинні мати налаштований RLC, інакше буде отримана наступна помилка:
    «MTree із збереженням відповідності не може бути реплікований до призначення, яке не ввімкнено для блокування збереження».
  • У контекстах реплікації MTree для параметра "Proplication propagate-retention-lock" встановлено значення "Увімкнено".
  • Для файлів, що реплікуються шляхом реплікації каталогів, відповідні мінімальні та максимальні періоди зберігання MTrees повинні бути встановлені вручну в системі призначення.
Чи існують інші обмеження під час реплікації файлів, заблокованих при зберіганні?
Так, повторна синхронізація контекстів реплікації (тобто спроба відновити раніше налаштований, але пошкоджений контекст), де використовуються заблоковані дані збереження, може зазнати невдачі.
 
Примітка:
  • Якщо використовується реплікація MTree, а цільова MTree містить файли, заблоковані при збереженні, які не існують на джерелі, повторна синхронізація не вдається.
  • Якщо використовується реплікація каталогів, а адресат має блокування збереження, яке ввімкнено, а джерело — ні, то повторна синхронізація не вдається.
Примітка: При використанні реплікації MTree повторна синхронізація успішна в наступних сценаріях, якщо кінцевий MTree не містить файлів, заблокованих при збереженні, відсутніх на вихідному DDR:
  • У вихідному MTree не ввімкнено блокування утримання, але місце призначення має.
  • У MTree призначення не увімкнено блокування утримання, але джерело має.
Також неможливо ввімкнути режим відповідності блокуванню збереження на MTree, який вже є учасником контексту реплікації MTree. У цьому сценарії:
  • Контекст реплікації MTree повинен бути розбитий як на джерельних, так і на цільових системах: 
# replication break mtree://[destination system]/data/col1/[mtree]
  • Новий контекст реплікації MTree повинен бути створений як у вихідних, так і в цільових системах: 
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
  • У системі джерела має бути ввімкнено режим відповідності блокуванню утримання: 
# mtree retention-lock enable mode compliance mtree [mtree]
  • Новостворений контекст реплікації має бути повторно синхронізований у вихідній системі: 
# replication resync mtree://[destination system/data/col1/[mtree]

Чи можна швидко копіювати файли, заблоковані під час утримання?
Так, файли, які заблоковано при зберіганні, можна швидко копіювати у звичайному режимі. Якщо в адресаті MTree, що утримує швидку копію, увімкнено блокування збереження, то блокування збереження файлу зберігається проти швидкої копії. Якщо для кінцевого MTree не ввімкнено блокування збереження, то швидка копія не блокується при зберіганні.

Чи є інші обмеження в функціональності системи при використанні retention lock?
У системах, що використовують режим відповідності замків утримання, заборонено виконувати такі команди: 
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
Такі системи не можуть бути завантажені в однокористувацькому режимі для відновлення технічною підтримкою без використання USB-накопичувача та фізичного доступу до системи.

Наступні команди заборонені проти MTrees, які використовують режим відповідності блокуванню утримання: 
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
Однак у DDOS 7.3 і пізніших версіях було передбачено можливість для клієнтів видаляти MTrees із підтримкою Retention Lock Compliance, якщо:
  • DD працює під управлінням DDOS 7.3 або новішої версії.
  • RLCE MTree, який потрібно видалити, порожній (не містить файлів і каталогів).
  • Адміністратор успішно проходить аутентифікацію співробітника служби безпеки.
У системах, налаштованих з функцією довгострокового утримання (Cloud Tier), аналогічні руйнівні команди також можуть бути заборонені, наприклад: 
# cloud unit del <cloud unit name>
Примітка: MTrees, що використовують режим управління замком збереження (або де цей режим колись був включений), можуть бути видалені тільки після того, як MTree не містить файлів - якщо в MTree залишилися якісь файли, повертається помилка.

Чи важливий системний годинник у системах із увімкненим фіксатором утримання?
Так, системи з підтримкою відповідності замків збереження вмикають внутрішній «годинник безпеки», щоб запобігти зловмисному втручанню в роботу системного годинника (що може дозволити достроково видаляти файли, заблоковані в утриманні). Час роботи охоронного та системного годинника регулярно порівнюється, і якщо між ними протягом одного календарного року існує 2-тижневий перекіс, файлова система домену даних (DDFS) автоматично вимикається для запобігання доступу до даних на DDR. Це може статися і при раптовій зміні системного годинника і зміні часу більш ніж на 2 тижні.

У цьому сценарії DDFS можна повторно ввімкнути за допомогою:
  • Вхід в DDR
  • Перевірте, чи правильно встановлено системний годинник.
  • Увімкнення файлової системи: 
    # filesys enable
  • Коли з'явиться запит, введіть дані користувача з роллю безпеки, щоб дозволити скидання охоронного годинника, і ввімкніть DDFS.
Чи можна синхронізувати системний годинник з Active Directory в системах із підтримкою збереження замка?
Ні, якщо ввімкнено відповідність блокуванню утримання, сервери CIFS більше не синхронізують системний час з Active Directory. Якщо між системою та Active Directory різниця в часі перевищує п'ять хвилин, сервер CIFS відображає повідомлення про помилку, коли користувач Active Directory намагається увійти в систему або система намагається приєднатися до домену Active Directory. Налаштуйте час Active Directory з NTP, щоб уникнути цієї помилки.

Це відрізняється від систем, де не ввімкнено відповідність вимогам блокування утримання, але використовується Active Directory. У цій ситуації не рекомендується включати NTP, оскільки між Active Directory та NTP можуть виникнути конфлікти налаштувань часу.

Які кроки можна вжити, якщо файл DDR, який використовує файли з блокуванням утримання, заповнюється вщерть?
Припускаючи, що на DDR немає «чистого» місця (чистота запущена, але система залишається заповненою вщерть), її вміст слід переглянути, щоб визначити, чи:
  • Є будь-які файли, які не заблоковані при зберіганні, які можна видалити.
  • Існують будь-які файли, які заблоковано за допомогою режиму керування, блокування яких можна скасувати та видалити.
Як тільки це буде зроблено, clean слід знову запустити, щоб фізично звільнити місце в системі. Крім того, якщо жодні фізичні дані не можуть бути видалені з системи, до DDR слід додати додаткове фізичне сховище та розширити файлову систему (за умови, що розширення підтримується поточною DDR або конфігурацією).

Якщо єдині файли в системі заблоковано в режимі відповідності, скасувати блокування та видалити ці файли неможливо. В результаті простір не в змозі звільнитися, якщо:
  • Термін зберігання досягається для деяких або всіх файлів. Після цього моменту їх можна видалити і чисто запустити (як було описано вище).
  • Система перевстановлюється з USB-накопичувача (що викликає втрату всіх даних на DDR).
  • У систему додається більше фізичного сховища (як описано вище).
Примітка: Цілком можливо повністю заповнити DDR файлами, заблокованими за допомогою режиму відповідності. У цьому сценарії адміністратор або технічна підтримка нічого не можуть зробити, щоб звільнити місце (тобто немає низькорівневої функціональності для видалення/повернення блокувань режиму відповідності та раннього видалення відповідних файлів).

Affected Products

Data Domain, Data Domain Retention Lock

Products

Data Domain
Article Properties
Article Number: 000079803
Article Type: Solution
Last Modified: 18 Oct 2024
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.