Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Stellen Sie OKM, NSE und NVE nach Bedarf wieder her – AFF A300

Beitragende

Sobald Umgebungsvariablen geprüft werden, müssen Sie spezifische Schritte für Systeme mit aktiviertem Onboard Key Manager (OKM), NetApp Storage Encryption (NSE) oder NetApp Volume Encryption (NVE) durchführen.

Bestimmen Sie den Abschnitt, den Sie zum Wiederherstellen Ihrer OKM-, NSE- oder NVE-Konfigurationen verwenden sollten:

Wenn NSE oder NVE zusammen mit Onboard Key Manager aktiviert sind, müssen die zu Beginn dieses Verfahrens erfassten Einstellungen wiederhergestellt werden.

Option 1: Wiederherstellung von NVE oder NSE bei aktiviertem Onboard Key Manager

Schritte
  1. Schließen Sie das Konsolenkabel an den Ziel-Controller an.

  2. Verwenden Sie die boot_ontap Befehl an der LOADER-Eingabeaufforderung zum Booten des Controllers.

  3. Überprüfen Sie die Konsolenausgabe:

    Wenn die Konsole angezeigt wird…​ Dann…​

    Die LOADER-Eingabeaufforderung

    Starten des Controllers zum Boot-Menü: boot_ontap menu

    Warten auf Giveback…​

    1. Eingabe Ctrl-C An der Eingabeaufforderung

    2. Bei der Nachricht: Möchten Sie den Controller anhalten, anstatt [y/n] zu warten? , Geben Sie ein: y

    3. Geben Sie an der LOADER-Eingabeaufforderung den ein boot_ontap menu Befehl.

  4. Geben Sie im Startmenü den verborgenen Befehl ein. recover_onboard_keymanager Und antworten y An der Eingabeaufforderung.

  5. Geben Sie die Passphrase für das Onboard-Schlüsselmanagement ein, das Sie zu Beginn dieses Verfahrens vom Kunden erhalten haben.

  6. Wenn Sie zur Eingabe der Sicherungsdaten aufgefordert werden, fügen Sie die zu Beginn dieses Verfahrens erfassten Sicherungsdaten ein, wenn Sie dazu aufgefordert werden. Fügen Sie die Ausgabe von ein security key-manager backup show ODER security key-manager onboard show-backup Befehl.

    Hinweis Die Daten werden von beiden ausgegeben security key-manager backup show Oder security key-manager onboard show-backup Befehl.

    Beispiel für Backup-Daten:

    ------------------------------- BACKUP-------------------------------------- TmV0QXBwIETERTABCbGaiAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA . . . H4nPQM0nrDRYRa9SCv8AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

    --------------------------------- END-BACKUP--------------------------------------------------

  7. Wählen Sie im Startmenü die Option Normal Boot aus.

    Das System wird mit gebootet Waiting for giveback…​ Eingabeaufforderung:

  8. Stellen Sie das Konsolenkabel auf den Partner-Controller um und melden Sie sich als Administrator an.

  9. Überprüfen Sie, ob der Ziel-Controller bereit ist für die Rückgabe an den storage failover show Befehl.

  10. Geben Sie nur die CFO-Aggregate mit dem Storage Failover Giveback zurück -fromnode local -only-cfo-aggregates true Befehl.

    • Wenn der Befehl aufgrund eines ausgefallenen Laufwerks ausfällt, setzen Sie die ausgefallene Festplatte physisch aus, lassen Sie sie aber in den Steckplatz, bis ein Austausch erfolgt.

    • Wenn der Befehl aufgrund einer offenen CIFS-Sitzung nicht erfolgreich ausgeführt wird, informieren Sie sich beim Kunden darüber, wie CIFS-Sitzungen abgeschlossen werden können.

      Hinweis Die Beendigung von CIFS kann zu Datenverlust führen.
    • Wenn der Befehl fehlschlägt, weil der Partner "nicht bereit" ist, warten Sie 5 Minuten, bis die NVMEMs synchronisieren.

    • Wenn der Befehl aufgrund eines NDMP-, SnapMirror- oder SnapVault-Prozesses ausfällt, deaktivieren Sie den Prozess. Weitere Informationen finden Sie im entsprechenden Documentation Center.

  11. Sobald die Rückgabe abgeschlossen ist, überprüfen Sie den Failover- und Giveback-Status mit storage failover show Und `storage failover show-GiveBack`-Befehle.

    Es werden nur die CFO-Aggregate (Root-Aggregate und Daten-Aggregate im CFO-Stil) angezeigt.

  12. Schieben Sie das Konsolenkabel auf den Ziel-Controller.

  13. Wenn Sie ONTAP 9.5 und früher ausführen, führen Sie den Key-Manager Setup-Assistenten aus:

    1. Starten Sie den Assistenten mit security key-manager setup -nodenodename Geben Sie dann bei der entsprechenden Aufforderung die Passphrase für das Onboard-Verschlüsselungsmanagement ein.

    2. Geben Sie das ein key-manager key show -detail Befehl zum Anzeigen einer detaillierten Ansicht aller im Onboard-Schlüsselmanager gespeicherten Schlüssel und zur Überprüfung des s Restored Spalte = yes Für alle Authentifizierungsschlüssel.

      Hinweis Wenn der Restored Spalte = nichts anderes als yes, Wenden Sie sich an den Kundendienst.
    3. Warten Sie 10 Minuten, bis der Schlüssel über das Cluster synchronisiert wird.

  14. Wenn Sie ONTAP 9.6 oder höher verwenden:

    1. Führen Sie die aus security key-manager onboard sync Geben Sie bei der entsprechenden Aufforderung die Passphrase ein.

    2. Geben Sie das ein security key-manager key query Befehl zum Anzeigen einer detaillierten Ansicht aller im Onboard-Schlüsselmanager gespeicherten Schlüssel und zur Überprüfung des s Restored Spalte = yes/true Für alle Authentifizierungsschlüssel.

      Hinweis Wenn der Restored Spalte = nichts anderes als yes/true, Wenden Sie sich an den Kundendienst.
    3. Warten Sie 10 Minuten, bis der Schlüssel über das Cluster synchronisiert wird.

  15. Stellen Sie das Konsolenkabel auf den Partner Controller um.

  16. Geben Sie den Ziel-Controller mithilfe des zurück storage failover giveback -fromnode local Befehl.

  17. Überprüfen Sie den Giveback-Status, 3 Minuten nachdem Berichte abgeschlossen wurden, mithilfe von storage failover show Befehl.

    Falls das Giveback nach 20 Minuten nicht abgeschlossen ist, wenden Sie sich an den Kundendienst.

  18. Geben Sie an der Clustershell-Eingabeaufforderung den ein net int show -is-home false Befehl zum Auflistung der logischen Schnittstellen, die sich nicht auf ihrem Home Controller und Port befinden.

    Wenn Schnittstellen als aufgeführt werden false, Zurücksetzen dieser Schnittstellen zurück zu ihrem Home-Port mit dem net int revert -vserver Cluster -lif nodename Befehl.

  19. Bewegen Sie das Konsolenkabel auf den Ziel-Controller, und führen Sie den aus version -v Befehl zum Prüfen der ONTAP-Versionen.

  20. Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren storage failover modify -node local -auto-giveback true Befehl.

Option 2: Stellen Sie NSE/NVE auf Systemen mit ONTAP 9.5 und früher wieder her

Schritte
  1. Schließen Sie das Konsolenkabel an den Ziel-Controller an.

  2. Verwenden Sie die boot_ontap Befehl an der LOADER-Eingabeaufforderung zum Booten des Controllers.

  3. Überprüfen Sie die Konsolenausgabe:

    Wenn die Konsole angezeigt wird…​ Dann…​

    Die Eingabeaufforderung für die Anmeldung

    Fahren Sie mit Schritt 7 fort.

    Warten auf Giveback…​

    1. Melden Sie sich beim Partner-Controller an.

    2. Überprüfen Sie, ob der Ziel-Controller bereit ist für die Rückgabe an den storage failover show Befehl.

  4. Bewegen Sie das Konsolenkabel zum Partner-Controller und geben Sie den Ziel-Controller-Storage mithilfe des zurück storage failover giveback -fromnode local -only-cfo-aggregates true local Befehl.

    • Wenn der Befehl aufgrund eines ausgefallenen Laufwerks ausfällt, setzen Sie die ausgefallene Festplatte physisch aus, lassen Sie sie aber in den Steckplatz, bis ein Austausch erfolgt.

    • Wenn der Befehl aufgrund von offenen CIFS-Sitzungen ausfällt, wenden Sie sich an den Kunden, wie CIFS-Sitzungen abgeschlossen werden können.

      Hinweis Die Beendigung von CIFS kann zu Datenverlust führen.
    • Wenn der Befehl fehlschlägt, weil der Partner „nicht bereit“ ist, warten Sie 5 Minuten, bis die NVMEMs synchronisiert werden.

    • Wenn der Befehl aufgrund eines NDMP-, SnapMirror- oder SnapVault-Prozesses ausfällt, deaktivieren Sie den Prozess. Weitere Informationen finden Sie im entsprechenden Documentation Center.

  5. Warten Sie 3 Minuten, und überprüfen Sie den Failover-Status mit storage failover show Befehl.

  6. Geben Sie an der Clustershell-Eingabeaufforderung den ein net int show -is-home false Befehl zum Auflistung der logischen Schnittstellen, die sich nicht auf ihrem Home Controller und Port befinden.

    Wenn Schnittstellen als aufgeführt werden false, Zurücksetzen dieser Schnittstellen zurück zu ihrem Home-Port mit dem net int revert -vserver Cluster -lif nodename Befehl.

  7. Verschieben Sie das Konsolenkabel auf den Ziel-Controller und führen Sie die Version aus -v command Um die ONTAP-Versionen zu prüfen.

  8. Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren storage failover modify -node local -auto-giveback true Befehl.

  9. Verwenden Sie die storage encryption disk show An der clustershell-Eingabeaufforderung zur Überprüfung der Ausgabe.

    Hinweis Dieser Befehl funktioniert nicht, wenn NVE (NetApp Volume Encryption) konfiguriert wird
  10. Verwenden Sie die Abfrage des Security Key-Managers, um die Schlüssel-IDs der Authentifizierungsschlüssel anzuzeigen, die auf den Schlüsselverwaltungsservern gespeichert sind.

    • Wenn der Restored Spalte = yes Und alle Schlüsselmanager melden sich in einem verfügbaren Zustand, gehen Sie zu Complete the Replacement Process.

    • Wenn der Restored Spalte = nichts anderes als yes, Und/oder ein oder mehrere Schlüsselmanager sind nicht verfügbar, verwenden Sie die security key-manager restore -address Befehl zum Abrufen und Wiederherstellen aller mit allen Knoten verknüpften Authentifizierungsschlüssel (AKS) und Schlüssel-IDs von allen verfügbaren Key Management-Servern.

      Überprüfen Sie die Ausgabe der Sicherheitsschlüssel-Manager-Abfrage erneut, um sicherzustellen, dass der Restored Spalte = yes Und alle wichtigen Manager sind in einem verfügbaren Zustand unterstellt

  11. Wenn das Onboard-Verschlüsselungsmanagement aktiviert ist:

    1. Verwenden Sie die security key-manager key show -detail Eine detaillierte Ansicht aller im Onboard Key Manager gespeicherten Schlüssel anzeigen.

    2. Verwenden Sie die security key-manager key show -detail Führen Sie den Befehl aus und überprüfen Sie das Restored Spalte = yes Für alle Authentifizierungsschlüssel.

      Wenn der Restored Spalte = nichts anderes als yes, Verwenden Sie die security key-manager setup -node Repaired(Target)node Befehl zum Wiederherstellen der Onboard Key Management-Einstellungen. Führen Sie den erneut aus security key-manager key show -detail Befehl zur Überprüfung Restored Spalte = yes Für alle Authentifizierungsschlüssel.

  12. Schließen Sie das Konsolenkabel an den Partner Controller an.

  13. Geben Sie den Controller mithilfe des zurück storage failover giveback -fromnode local Befehl.

  14. Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren storage failover modify -node local -auto-giveback true Befehl.

Option 3: Stellen Sie NSE/NVE auf Systemen mit ONTAP 9.6 und höher wieder her

Schritte
  1. Schließen Sie das Konsolenkabel an den Ziel-Controller an.

  2. Verwenden Sie die boot_ontap Befehl an der LOADER-Eingabeaufforderung zum Booten des Controllers.

  3. Überprüfen Sie die Konsolenausgabe:

    Wenn die Konsole angezeigt wird…​ Dann…​

    Die Eingabeaufforderung für die Anmeldung

    Fahren Sie mit Schritt 7 fort.

    Warten auf Giveback…​

    1. Melden Sie sich beim Partner-Controller an.

    2. Überprüfen Sie, ob der Ziel-Controller bereit ist für die Rückgabe an den storage failover show Befehl.

  4. Bewegen Sie das Konsolenkabel zum Partner-Controller und geben Sie den Ziel-Controller-Storage mithilfe des zurück storage failover giveback -fromnode local -only-cfo-aggregates true local Befehl.

    • Wenn der Befehl aufgrund eines ausgefallenen Laufwerks ausfällt, setzen Sie die ausgefallene Festplatte physisch aus, lassen Sie sie aber in den Steckplatz, bis ein Austausch erfolgt.

    • Wenn der Befehl aufgrund einer offenen CIFS-Sitzung nicht erfolgreich ausgeführt wird, informieren Sie sich beim Kunden darüber, wie CIFS-Sitzungen abgeschlossen werden können.

      Hinweis Die Beendigung von CIFS kann zu Datenverlust führen.
    • Wenn der Befehl fehlschlägt, weil der Partner "nicht bereit" ist, warten Sie 5 Minuten, bis die NVMEMs synchronisieren.

    • Wenn der Befehl aufgrund eines NDMP-, SnapMirror- oder SnapVault-Prozesses ausfällt, deaktivieren Sie den Prozess. Weitere Informationen finden Sie im entsprechenden Documentation Center.

  5. Warten Sie 3 Minuten, und überprüfen Sie den Failover-Status mit storage failover show Befehl.

  6. Geben Sie an der Clustershell-Eingabeaufforderung den ein net int show -is-home false Befehl zum Auflistung der logischen Schnittstellen, die sich nicht auf ihrem Home Controller und Port befinden.

    Wenn Schnittstellen als aufgeführt werden false, Zurücksetzen dieser Schnittstellen zurück zu ihrem Home-Port mit dem net int revert -vserver Cluster -lif nodename Befehl.

  7. Bewegen Sie das Konsolenkabel auf den Ziel-Controller, und führen Sie den aus version -v Befehl zum Prüfen der ONTAP-Versionen.

  8. Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren storage failover modify -node local -auto-giveback true Befehl.

  9. Verwenden Sie die storage encryption disk show An der clustershell-Eingabeaufforderung zur Überprüfung der Ausgabe.

  10. Verwenden Sie die security key-manager key query Befehl zum Anzeigen der Schlüssel-IDs der Authentifizierungsschlüssel, die auf den Schlüsselverwaltungsservern gespeichert sind.

    • Wenn der Restored Spalte = yes/true, Sie sind fertig und können den Austauschprozess abschließen.

    • Wenn der Key Manager type = external Und das Restored Spalte = nichts anderes als yes/true, Verwenden Sie die security key-manager external restore Befehl zum Wiederherstellen der Schlüssel-IDs der Authentifizierungsschlüssel.

      Hinweis Falls der Befehl fehlschlägt, wenden Sie sich an den Kundendienst.
    • Wenn der Key Manager type = onboard Und das Restored Spalte = nichts anderes als yes/true, Verwenden Sie die security key-manager onboard sync Befehl zum erneuten Synchronisieren des Key Manager-Typs.

      Überprüfen Sie mithilfe der Schlüsselabfrage für den Sicherheitsschlüssel-Manager, ob der Restored Spalte = yes/true Für alle Authentifizierungsschlüssel.

  11. Schließen Sie das Konsolenkabel an den Partner Controller an.

  12. Geben Sie den Controller mithilfe des zurück storage failover giveback -fromnode local Befehl.

  13. Stellen Sie die automatische Rückgabe wieder her, wenn Sie die Funktion mithilfe von deaktivieren storage failover modify -node local -auto-giveback true Befehl.

  14. Stellen Sie AutoSupport wieder her, wenn sie mithilfe des deaktiviert wurde system node autosupport invoke -node * -type all -message MAINT=END