Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Premier Sign In Dell Financial Services Partner Program Sign In
Contact Us

Your Dell.com Carts

Data Domain:Retention Lockに関するよくある質問/FAQ

Summary: この記事では、Data Domain Retention Lock (RL)機能の概要と、ガバナンス モードとコンプライアンス モードの構成および利用の違いについて説明します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

この記事では、Data Domain Retention Lock (RL)機能の概要と、関連するよくある質問/FAQへの回答を紹介します。

Cause

この記事では、Data Domain Retention Lock (RL)機能の概要と、関連するよくある質問/FAQへの回答を紹介します。

Resolution

Retention Lockとは
Retention Lockとは、Data Domain Restorer (DDR)で使用される機能で、あらかじめ決められた期間、特定のファイル セットの変更や削除を防ぐためのものです。つまり、リテンション ロックされたファイルは、そのリテンション期間が終了するまで読み取り専用となります。

Retention Lockのバージョンにはどのようなものがありますか?
Retention Lockは、次の2種類の機能があります。

  • Governance:2つのリテンション ロック機能のうち、より厳密でない方(つまり、ファイルに対するロックは必要に応じて元に戻すことができる)。
  • [Compliance]:いくつかの共通の規制基準に準拠している2つの機能のうち、より厳格なもの。つまり、ファイルに対するロックを元に戻すことはできません。DDRには、特定のコマンドを認証する必要がある「セキュリティ オフィサー」ユーザーを設定する必要があります。その他の機能では、ロックされたデータの削除やロックの早期復帰を防ぐため、さまざまな制限を設けています。
注:
  • コンプライアンス モードは、DDOS 5.3(以降)でのみ使用できます。
  • Retention Lockの各機能には、それぞれ別のライセンス キーが必要です。
  • リテンション ロック機能は、MTree単位で有効化されます。
  • 1つのシステムで、別々のMTreeに対してガバナンス モードとコンプライアンス モードの両方を使用することができます。ただし、それぞれでガバナンス ライセンスとコンプライアンス ライセンスをインストールする必要があります。
  • この機能をAvamarで実行する一環として、Avamarのドキュメントで指定されている場合を除き、Avamarデータの格納に使用されるMTreeでは、いかなる種類のDD Retention Lockも有効にしないでください。適切なAvamarプロセスに従わずに、MTreeでDD RLを有効にすると、MTreeがバックアップに使用できなくなり、時間のかかるリカバリーが必要になる可能性があります。これは、Avamar MTreeでAutomatic Retention Lock (ARL)を有効にする場合に特に当てはまります。
  • Retention Lock機能は、Integration Data Protection Appliance (IDPA)またはPowerProtect Data Protectionシリーズ アプライアンス上で、旧バージョンのAvamarまたはProtectionソフトウェア データを使用してデータを保存するために使用されるMTreeに対してはサポートされない場合があります。これにより、Integrated Data Protection Appliance内のAvamarやProtectionソフトウェアが期待どおりに機能せず、READONLY状態になってしまうことがあります。

リテンション ロックでサポートされているデータ アクセス プロトコルはどれですか?

  • NFS、CIFS、DD Boostの各プロトコルは、Retention Lockのガバナンス モードまたはコンプライアンス モードを使用するMTreeに対して完全にサポートされています。
  • 仮想テープ ライブラリー(VTL)プロトコルは、リテンション ロックのガバナンス モードを使用するMTreeに対してのみサポートされます。Data Domain VTLでは、自動リテンション ロックはサポートされていません。Retention Lockが適用されたテープをロック解除して書き込み可能にする方法については、『Data Domain Administration Guide』を参照してください。

Retention Lockコンプライアンス モードは、次の規制基準を満たしています。
リテンション ロック コンプライアンス モードが満たす規制基準の一覧は以下のとおりです。     

  • SEC 17a-4(f)
  • CFTC Rule 1.31b
  • FDA 21 CFR Part 11
  • Sarbanes-Oxley Act
  • IRS 98025および97-22
  • ISO標準15489-1
  • MoREQ2010

認証情報の詳細については、契約しているサポート会社にお問い合わせください。

リテンション ロック ガバナンスはどのように有効化されますか?

  • リテンション ロック ガバナンス ライセンスがDDRに追加されます。
  • 以下の必要なMTreeに対してリテンション ロック ガバナンス モードが有効になります。     
# mtree retention-lock enable mode governance mtree [mtree]


リテンション ロック コンプライアンスはどのように有効化されますか?

  • iDRACを搭載した一部の新しいData Domainモデルには固有の手順があります。
  • リテンション ロック コンプライアンス ライセンスがDDRに追加されます。
  • 「セキュリティ」の役割を持つユーザーを作成する必要があります(このようなユーザーが存在しないと仮定)。     
(ADMIN USER) # user add [username] role security
  •  「セキュリティ」の役割を持つユーザーは、DDRにログインし、セキュリティ ユーザー権限を有効にする必要があります。     
(SECURITY USER): # authorization policy set security-officer enabled
  • システムは、リテンション ロック コンプライアンス モードに設定する必要があります。以下のコマンドを実行して完了すると、システムは自動的に再起動します。     
(ADMIN USER) # system retention-lock compliance configure
  • システムが再起動したら、システム上でリテンション ロック コンプライアンス モードを有効にする必要があります。     
(ADMIN USER) # system retention-lock compliance enable
注:新しいDDOSリリースの場合、このタスクはData Domain UIを使用して実行する必要があります([Administration] > [Compliance])。
  • 必要なMTreeに対してリテンション ロック コンプライアンス モードが有効になります。
(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]


どのMTreeでRetention Lockが有効になっているかを判断する方法を教えてください。
Retention Lockが有効になっているMTreeは、 mtree listの出力に表示されます。例を以下に示します。

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled


Retention Lockガバナンス モードが有効なMTreeをRetention Lockコンプライアンス モードに変換できますか?
『DDOS Administration Guide』に記載されているように、変換はできません。

Retention Lockコンプライアンス モードが有効なMTreeをRetention Lockガバナンス モードに変換できますか?
『DDOS Administration Guide』に記載されているように、変換はできません。

ファイル保存期間またはロック期間はどのように設定されますか?
MTreeに対してRetention Lockを有効にしたら、最小および最大の保存期間を設定する必要があります。これらの期間は、MTree内のファイルがロックされる最小および最大の時間を決定します。例:     

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

期間は、次のようにさまざまな単位で指定できます。     

  • 1分
  • 1時間
  • 1日
  • 1か月
  • 1 年間
注:
  • 最小リテンション期間は12時間未満にすることはできません。
  • 最大リテンション期間は70年を超えることはできません。
  • 最小リテンション期間は、最大リテンション期間よりも短くする必要があります。
  • 各MTreeのリテンション期間は、使用されているリテンション ロックの種類に関係なく、同じ方法で設定されます。

既存のリテンション期間を表示するにはどうしたらよいですか?
これは、次の2つのコマンドを使用して実行できます。     

# mtree retention-lock show min-retention-period mtree [mtree]
# mtree retention-lock show max-retention-period mtree [mtree]

例:     

sysadmin@dd630# mtree retention-lock show min-retention-period mtree /data/col1/rl_test
Retention-lock min-retention-period of mtree /data/col1/rl_test is: 720 minutes.
sysadmin@dd630# mtree retention-lock show max-retention-period mtree /data/col1/rl_test
Retention-lock max-retention-period of mtree /data/col1/rl_test is: 30 days.


リテンション ロックが有効なMTree内のファイルは、どのようにロックを有効化するのですか?

  • MTreeに対してリテンション ロックを有効にした場合、MTree内の既存のファイルは自動的にロックされません(つまり、既存のファイルはすべて読み取りまたは書き込みのままです)。
  • リテンション ロックが有効になっているMTreeに新しいファイルが書き込まれた場合、そのファイルには自動的にリテンション ロックはかかりません。つまり、新しいファイルは、読み取りまたは書き込みとして残ります。
注:DDOS 6.2.0.20から、DDOSには「自動リテンション ロック」という機能があり、書き込んだすべてのファイルに自動的にロックがかかる場合があります。詳細については、このKB記事のさらに下にある「自動リテンション ロック」セクションを参照してください。
  • 特定のファイルをリテンション ロックするには、ファイルのatimeを、ファイルをリテンション ロックする日付と時刻に一致するように変更する必要があります。これは、ファイルがその日時まで読み取り専用のままでいる日付と時刻です。この方法で日時が変更されるまで、このファイルにRetention Lockを適用することはできません(変更または削除は可能です)。

NFSまたはCIFSクライアントから「touch」コマンドを使用して、ファイルのatimeを変更することができます。

# touch -a -t [expiry time] [file to be locked]

たとえば、/data/col1/rl_test/testfileのatimeを6月8日の07:05に設定するには、次のようにします。 

# touch -a -t 06080705 /data/col1/rl_test/testfile

現在の時間から将来のatimeまでの期間は、MTreeの最小および最大リテンション期間の範囲内である必要があります。そうでない場合は、atimeのファイルを変更する際に次のようなエラーが発生します。

# touch -a -t 08080705 /data/col1/rl_test/testfile
touch: setting times of `/data/col1/rl_test/testfile': Permission denied

対応するメッセージは、Data Domain File System (DDFS)ログ ファイルにも表示されます。

06/07 13:44:57.197 (tid 0x2b28ee5258c0): Attempt to set atime of /data/col1/rl_test/testfile to larger than maximum retention period of mtree.

CIFS (Windows)クライアントには、デフォルトではタッチ コマンドやユーティリティーは含まれていませんが、このようなユーティリティーのいくつかは、さまざまなサード パーティーのWebサイトから自由にダウンロードできます。

注:DDRに書き込まれるまで、ファイルをリテンション ロックすることはできません。空のファイルを作成し、そのファイルをリテンション ロックしてから、ファイルにデータを書き込むすることはできません。

DDRへの書き込み後、ファイルを自動的にリテンション ロックすることをサポートするバックアップ アプリケーションはどれですか?
Data Domain Retention Lockは、業界標準のNASベースのWrite-Once-Read-Many (WORM)プロトコルと互換性があります。統合は、Symantec Enterprise Vault、SourceOne、Cloud Tiering Appliance、DiskXtenderなどのアーカイブ アプリケーションで承認されています。

Dell NetWorkerでは、ガバナンス モードとコンプライアンス モードの両方がサポートされています。

2024年6月時点で、最新のAvamarバージョンは、Avamarの「不変バックアップ」機能の一部として、Data Domain Retention Lockのコンプライアンス モードとガバナンス モードの両方をサポートしています。詳細については、Avamarのドキュメントと次のKB記事を参照してください。
AvamarおよびData Domain:Avamar不変バックアップとData Domainコンプライアンス モード保存ロックの有効化

Avamarの「不変バックアップ」機能を有効にする手順に厳密に従うことが重要です。これを怠ると、DD内のAvamar MTreeに書き込むことができなくなったり、運用上の問題が発生して時間のかかるリカバリーが必要になったりする可能性があります。AvamarではDD Automatic Retention Lock (ARL)を使用できません。DD上のAvamar MTreeに対してARLを有効にしないでください。

Data Domain Retention Lockをネイティブにサポートしていない他のバックアップ アプリケーションを使用しているお客様は、Data Domain Retention Lockを使用してファイルの保存期間を手動で設定するカスタム スクリプトを開発することもできます。このシナリオでは、カスタム スクリプトがファイルのatimeを設定し、バックアップ アプリケーションがファイルを削除しようとする前にロックが解除されるようにすることを確認します。これを行わないと、バックアップ アプリケーションがロックされたファイルの削除を試みる可能性があります。この試みは失敗し、ファイルはDDRに残され、ディスク領域を無期限に消費することになります。Data Domain管理ガイドを参照してください。

自動リテンション ロック
Data Domain Retention Lock機能をネイティブにサポートしていないバックアップ アプリケーションでは、この機能を活用することがお客様にとって常に問題となっていました。バックアップ管理者は、MTreeで新しく取得されたファイルにRetention Lockを設定するスクリプトを構成する必要があります。このロックは、バックアップの有効期限が切れる(および削除される)直前に期限切れになるように設定する必要があります。

ARLは、この機能が有効になった後にMTreeに書き込まれたすべてのファイルにロックを設定し、構成されたクーリング オフ期間が経過した後、指定された期間にファイルを変更または削除できないようにします。つまり、VTLプール(VTLテープ ファイルは繰り返し書き込まれる)など、一部のファイルを長期間にわたって繰り返し更新する必要があるワークロードまたはバックアップ アプリケーション、またはお客様のバックアップ ファイル自体とともにメタデータ情報を保持するバックアップ アプリケーション(NetWorkerやAvamarなど)では、ARLを有効にしないでください。これらのインスタンスでARLを有効にして重要なファイルを一定期間ロックすると、後で他のバックアップの際にそれらのファイルに書き込もうとすると、それ以降のバックアップは失敗します。

DDOS 6.2.0.20以降、バックアップ管理者がバックアップ ファイルのRetention Lockを維持する負担を軽減し、DDOSを他のベンダーと同等の機能にするために、Retention Lockが設定された各MTreeに対してCLIから有効にできる機能が追加されました。この機能により、ディスクへのファイル書き込み完了から所定の時間が経過すると、取り込んだすべてのファイルにロックを設定できます(指定期間)。この方法により、管理者は手動(またはスクリプト化)でリテンション ロックを設定することを心配する必要がなくなり、バックアップ アプリケーションの協力なしに自動的にこれを行うことができるようになりました。
DDOS 7.8より前のバージョンでは、DD Boost論理ストレージ ユニット(LSU)でAutomatic Retention Lock (ARL)を使用できず、これを有効にしようとすると、サポートされていないというエラーが返されます。
7.8以降では、ARLはDDBoost LSUでサポートされています。

(NWクローンなどの管理ファイル レプリケーション(MFR)のターゲットDDで使用されるARLは、ファイルにロックが設定される前にバックアップ セットのクローン操作が完了するように、十分な長さの「automatic-lock-delay」を設定する必要があります。Example: バックアップ セットの一部である小さなファイルはすぐにレプリケーションが終了しますが、大きなファイルの場合には時間がかかるため、大きなファイルのレプリケーションが完了するまでに最初のファイルにRetention Lockが適用され、NWがバックアップ セットのすべてのファイルを最終的なアーカイブ ディレクトリーに移動しようとするとエラーが発生します。)

Data Domain VTLでは、Automatic Retention Lock (ARL)はサポートされていません。

該当するバージョンでは、 mtree retention-lock CLIに以下のような追加オプションがあります。この機能は、[Use]オプションで[Manual]ではなく[Automatic]を選択することで、UIからも設定することが可能です。     

# mtree retention-lock set
{min-retention-period | max-retention-period |
automatic-retention-period | automatic-lock-delay} <period>
mtree <mtree-path>

Automatic Retention Lock (ARL)機能は、あらかじめ設定されたクール オフ期間が経過すると、直ちにファイルをロックする機能です(automatic-lock-delay)。リテンション ロック有効のMTreeにファイルが書き込まれ、設定された時点から「automatic-retention-period」が有効で、その値がMTreeに設定された「min-retention-period」値と「max-retention-period」値の範囲内にある場合、ロックが発生します。

この機能の詳しい使い方や一般的な内容は、対応するDDOS管理ガイドを参照してください。この機能は、異なる期間のロックが設定されるバックアップ、または最初にロックが設定されるまたは設定されないバックアップのターゲットとして同じMTreeを使用する状況にはあまり適していません。

ロックされたファイルに対してできること、できないことは何ですか?

  • Retention Lockが適用されたファイルは読み取り専用であり、変更や削除はできません。
  • ファイルのリテンション期間が終了すると、「アンロック」されます。アンロックされた状態では、ファイルはまだ変更できませんが、削除することはできます。DDRは、ファイルのリテンション期間が終了しても、ファイルを自動的に削除しません(その後の削除は、クライアント システムまたはバックアップ アプリケーションから行う必要があります)。
  • 一度設定された特定のファイルのリテンション期間を短縮することはできません(つまり、ファイルのatimeを繰り上げることはできません)。
  • ただし、リテンション期間は延長可能です(atimeはそのMTreeの最大リテンション期間まで延期可能です)。
  • ファイルの所有権やアクセス権の設定は、ファイルがロックされている間も変更可能です。
  • リテンション ロックが有効なMTreeでは、ディレクトリーにファイルが存在しない場合のみ、ディレクトリーの名前変更または削除が可能です。ディレクトリーにファイルが含まれている場合(これらのファイルがRetention Lockされていない場合でも)、ディレクトリーの名前変更または削除は失敗します。
  • ファイルの内容自体が変更されない場合でも、ロックが設定されているファイルの名前を変更(名前変更)することはできませんが、ファイルのロックの期限が切れると名前変更もできなくなります。ロックの期限が切れたファイルに対しては、削除のみが許可されます。これはDDOS 7.7.4で変更され、ロックの期限が切れたファイルに対して、ファイルの名前変更が許可されるようになりました。

ファイルやファイル群に対するリテンション ロックを完全に削除することは可能ですか?
ガバナンス モードを使用しているMTree内のファイルに対するリテンション ロックを「元に戻す」(削除する)ことは可能です。これは、次のコマンドで実行します。     

# mtree retention-lock revert [path]

ファイルに対するリテンション ロックが削除されると、通常どおりファイルを変更または削除することができます。このコマンドがディレクトリーに対して実行された場合、そのディレクトリー内のすべてのファイルとすべてのサブディレクトリーのリテンション ロックが削除されます。

コンプライアンス モードを使用しているMTree内のファイルに対するリテンション ロックを元に戻すことはできません。戻そうとするとエラーが表示されます。     

# mtree retention-lock revert /data/col1/rl_test_comp/testfile
This operation is not allowed. Mtree is in retention-lock compliance mode.


Retention Lockが適用されたファイルを変更または削除しようとするとどうなりますか?
Retention Lockが適用されたファイルを変更または削除しようとすると、それに対応する permission denied エラーが発生します。

# echo " test2" >> /data/col1/rl_test/testfile
bash: testfile: Permission denied
# rm testfile
rm: remove write-protected regular file `testfile'? y
rm: cannot remove `testfile': Permission denied

DDFSログは、ファイルがリテンション ロックされているために操作が失敗したことを示しています。     

06/07 07:06:59.756 (tid 0x2b5a77605d50): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.
06/07 07:07:42.504 (tid 0x2b5a79111390): Atime of retention-lock file /data/col1/rl_test/testfile is not expired.


Retention Lockが適用されたすべてのファイルを一覧表示することは可能ですか?
はい。これは、 mtree retention-lock report generate retention-details コマンドを使用して実行できます。

mtree retention-lock report generate retention-details
mtrees {<mtree-list> | all}
[format {text | tsv | csv}]
[output-file <file-name>]
               Report detailed information of
               retention-lock files.

例えば、 /data/col1/rl_test MTree のロックされているすべてのファイルの詳細を一覧表示するには、次を実行します。

sysadmin@ddxxxx# mtree retention-lock report generate retention-details mtrees /data/col1/jftest
Report generated on: Fri Jul  1 14:19:31 2016

Report for mtree: /data/col1/jftest
File Path        Mode        Size(Bytes)        Expiration Date
/data/col1/jftest/file1 governance 10521456 Sat Jul  2 22:35:48 2016
/data/col1/jftest/testdir/file2 governance 10521680 Sat Jul  2 22:35:42 2016
/data/col1/jftest/file3 governance 10521820 Sun Jul 10 22:36:09 2016
Total files: 3


MTreeのRetention Lockを(有効化後に)完全に無効にすることはできますか?
はい。ガバナンス モードを使用するMTreeでは、 mtree retention-lock disable コマンドを使用して実行できます。

# mtree retention-lock disable mtree [mtree]

For example:
sysadmin@xxxx# mtree retention-lock disable mtree /data/col1/rl_test
Retention-lock feature is disabled (previously enabled) for mtree /data/col1/rl_test.

Once disabled, MTree list indicates that retention lock was used against the MTree but has since been disabled, that is: 

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rl_test                             0.0   RW/RLGD   -
...
注:MTreeに対してRetention Lockが無効になった場合:
  • MTreeに書き込まれた新しいファイルはリテンション ロックできません。
  • すでにロックされているファイルは、事前に定義されたリテンション期間中、ロックされたままです(つまり、MTreeに対してリテンション ロックを無効にしても、すべてのロックは自動的に元に戻りません)。
  • リテンション ロックが無効なMTree内のファイルに対する既存のロックは、元に戻すことができません。必要なすべての復帰処理は、Retention Lockを無効にする前に実行する必要があります。
sysadmin@ddxxxx# mtree retention-lock revert /data/col1/rl_test/testfile
**** Retention-lock feature is disabled (previously enabled) for mtree which contains the path /data/col1/rl_test/testfile.
  • コンプライアンス モードを使用しているMTreeでは、リテンション ロックを無効にすることはできません。     
sysadmin@ddxxxx# mtree retention-lock disable mtree /data/col1/rl_test_comp
**** Operation is not allowed because the system is a retention-lock compliance system

リテンション ロックが有効なMTreeに対して、レプリケーションを引き続き使用できますか?
はい。Retention Lockが適用されたMTreeやファイルは、さまざまなレプリケーション トポロジーを使用してレプリケートできます。     
  • ディレクトリー レプリケーション:ガバナンス モードを使用するファイルに対してのみサポートされており、最小および最大のリテンション期間をターゲット システムにレプリケートしません。
  • MTreeレプリケーション:ガバナンス モードまたはコンプライアンス モードのデータに使用でき、最小および最大のリテンション期間をターゲット システムにレプリケートします。
  • コレクション レプリケーション:ガバナンス モードまたはコンプライアンス モードのデータに使用でき、最小および最大のリテンション期間をターゲット システムにレプリケートします。
注:リテンション ロックをターゲット システムに保存する場合、以下が必要です。
  • ソースとターゲットの両システムに、対応するリテンション ロック ライセンスがインストールされている必要があります。
  • RLC対応のMtreeをレプリケートする場合は、ソースDDとターゲットDDの両方でRLCが構成されている必要があります。構成しないと、次のエラーが表示されます。
    A compliance retention-locked MTree cannot be replicated to a destination that is not enabled for compliance retention-lock.
  • MTreeレプリケーション コンテキストでは、「Replication propagate-retention-lock」がEnabledに設定されている必要があります。
  • ディレクトリー レプリケーションによってレプリケートされるファイルについては、対応するMTreeの最小および最大のリテンション期間をターゲット システムで手動で設定する必要があります。
リテンション ロックされたファイルをレプリケートする場合、他に何か制限はありますか?
はい。Retention Lockが適用されたデータを使用するレプリケーション コンテキストの再同期(以前に構成されたが壊れたコンテキストを再確立しようとすること)が失敗する可能性があります。
 
注:
  • MTreeレプリケーションを使用している場合、ターゲットMTreeにソースに存在しないRetention Lock適用済みファイルが含まれていると、再同期に失敗します。
  • ディレクトリー レプリケーションを使用していて、ターゲットでRetention Lockは有効だが、ソースでは有効でない場合、再同期は失敗します。
注:MTreeレプリケーションを使用する場合、ターゲットMTreeにソースDDRに存在しないRetention Lock適用済みファイルが含まれていなければ、再同期は次のシナリオで成功します。
  • ソースMTreeではRetention Lockは有効になっておらず、ターゲットMTreeでは有効になっている。
  • ターゲットMTreeではRetention Lockは有効になっておらず、ソースMTreeでは有効になっている。
また、すでにMTreeレプリケーション コンテキストのメンバーであるMTreeでRetention Lockコンプライアンス モードを有効にすることはできません。このシナリオでは、以下が必要です。
  • MTreeレプリケーション コンテキストは、ソースとターゲットの両システムで壊れている必要があります。 
# replication break mtree://[destination system]/data/col1/[mtree]
  • 新しいMTreeレプリケーション コンテキストは、ソースとターゲットの両システムで作成する必要があります。 
# replication add source mtree://[source system]/data/col1/[mtree] destination mtree://[destination system/data/col1/[mtree]
  • ソース システムでリテンション ロック コンプライアンス モードを有効にする必要があります。 
# mtree retention-lock enable mode compliance mtree [mtree]
  • 新しく作成されたレプリケーション コンテキストは、ソース システムで再同期する必要があります。 
# replication resync mtree://[destination system/data/col1/[mtree]

Retention Lockが適用されたファイルは高速コピーできますか?
はい。Retention Lock適用済みのファイルは、通常どおり高速コピーすることができます。高速コピーを保持するターゲットMTreeでRetention Lockが有効になっている場合、高速コピーに対してファイルのRetention Lockが保持されます。ターゲットMTreeでRetention Lockが有効になっていない場合、高速コピーにはRetention Lockは適用されません。

リテンション ロックを使用する場合、システム機能に他の制限はありますか?
リテンション ロック コンプライアンス モードを使用しているシステムでは、次のコマンドは許可されません。 
# user reset
# filesys destroy
# filesys archive unit del [archive unit name]
このようなシステムは、USBドライブを使用してシステムに物理的にアクセスしなければ、テクニカル サポートがリカバリーのためにシングル ユーザー モードで起動することはできません。

Retention Lockコンプライアンス モードを使用するMTreeに対して、次のコマンドは許可されません。 
# mtree delete [mtree]
# mtree retention-lock reset [min-retention-period period | max-retention-period period] mtree [mtree]
# mtree retention-lock disable mtree [mtree]
# mtree retention-lock revert
ただし、DDOS 7.3以降のリリースでは、Retention Lockコンプライアンス モードが有効なMTreeは、以下の条件を満たしている場合、お客様が削除できるようにプロビジョニングされています。
  • DDはDDOS 7.3以降が動作している。
  • 削除するRLCE MTreeが空(ファイルおよびディレクトリーがゼロ)である。
  • 管理者がsecurity-officer認証に成功した。
長期保存(Cloud Tier)が設定されているシステムでは、同様の破壊的なコマンドも禁止される場合があります。以下に例を示します。 
# cloud unit del <cloud unit name>
注:Retention Lockガバナンス モードを使用するMTree(またはこのモードが有効な場合)は、MTreeにファイルが残っていない場合にのみ削除可能です。MTreeにファイルが残っている場合は、エラーが返されます。

リテンション ロックが可能なシステムでは、システム クロックは重要ですか?
はい。Retention Lockコンプライアンス モードが有効なシステムでは、システム クロックが悪意を持って改ざんされるのを防ぐため、内部「セキュリティ クロック」が有効になります(これにより、Retention Lock適用済みファイルが早期に削除される可能性があります)。セキュリティ クロックとシステム クロックの時刻は定期的に比較され、1暦年で両者の間に累積2週間のずれが生じた場合、Data Domain File System (DDFS)は自動的に無効となり、DDR上のデータにアクセスできなくなります。これは、システム クロックが突然変更され、時刻が2週間以上変更された場合にも発生することがあります。

このシナリオでは、DDFSは以下の方法で再有効化することができます。
  • DDRにログインします。
  • システム クロックが正しく設定されているかを確認します。
  • ファイル システムの有効化: 
    # filesys enable
  • プロンプトが表示されたら、セキュリティ クロックのリセットを許可するため、セキュリティの役割を持つユーザーの詳細を入力し、DDFSを有効にします。
Retention Lockコンプライアンスが有効なシステムで、システム クロックをActive Directoryと同期させることはできますか?
いいえ。Retention Lockコンプライアンスが有効な場合、CIFSサーバーはシステム時刻をActive Directoryと同期できません。システムとActive Directoryの時間差が5分を超える場合、Active Directoryユーザーがログインを試みたり、システムがActive Directoryドメインに参加しようとしたりしたときに、CIFSサーバーにエラー メッセージが表示されます。このエラーを回避するには、NTPでActive Directory時刻を構成します。

これは、Retention Lockコンプライアンスは有効でないが、Active Directoryが使用されているシステムとは対照的です。この状況では、Active DirectoryとNTPの間で時間設定の競合が発生する可能性があるため、NTPを有効にすることは推奨されません。

Retention Lock適用済みファイルを使用しているDDRの容量がいっぱいになった場合の対処方法は?
DDRに「クリーニング可能」な領域がないと仮定して(cleanを実行してもシステムの容量が一杯のまま)、その内容を確認し、次のことを判断する必要があります。
  • リテンション ロックされていないファイルは削除できます。
  • ガバナンス モードでロックされているファイルがあり、ロックを元に戻して削除することができます。
これが完了したら、再度cleanを実行して、物理的にシステムの空き容量を確保する必要があります。あるいは、システムから物理データを削除できない場合、DDRに物理ストレージを追加し、ファイル システムを拡張する必要があります(現在のDDRまたは構成で拡張がサポートされていると仮定します)。

コンプライアンス モードを使用してシステム上のファイルのみがロックされている場合、ロックを元に戻してこれらのファイルを削除することはできません。その結果、次の場合を除き、領域を解放できません。
  • 一部またはすべてのファイルがリテンション期間に達している。この後、削除してcleanを実行することができます(上記を参照)。
  • システムがUSBドライブから再インストールされる(DDR上の全データが失われる)。
  • システムに物理ストレージが追加される(上記を参照)。
注:コンプライアンス モードを使用してロックされたファイルでDDRを完全に満たすことが可能です。このシナリオでは、管理者やテクニカル サポートが領域を解放するためにできることはありません(つまり、コンプライアンス モード ロックを削除/元に戻し、対応するファイルを早期に削除する低レベルの機能はありません)。

Affected Products

Data Domain, Data Domain Retention Lock

Products

Data Domain
Article Properties
Article Number: 000079803
Article Type: Solution
Last Modified: 18 Oct 2024
Version:  20
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.