Skip to main content
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Was passiert, wenn während des Startvorgangs keine Schlüsselverwaltungsserver verfügbar sind

Beitragende

ONTAP ergreift Maßnahmen, um unerwünschte Verhaltensweisen zu vermeiden, wenn ein mit NSE konfiguriertes Storage-System während des Bootens keinen der angegebenen Verschlüsselungsmanagementserver erreichen kann.

Wenn das Storage-System für NSE konfiguriert ist, werden die SEDs rekeyed und gesperrt und die SEDs eingeschaltet. Das Storage-System muss die erforderlichen Authentifizierungsschlüssel von den Verschlüsselungsmanagement-Servern abrufen, um sich bei SEDs zu authentifizieren, bevor es auf die Daten zugreifen kann.

Das Storage-System versucht, bis zu drei Stunden lang die angegebenen Schlüsselmanagementserver zu kontaktieren. Sollte das Storage-System zu diesem Zeitpunkt keinen Zugang haben, wird der Bootvorgang abgebrochen und das Storage-System stoppt.

Wenn das Speichersystem einen bestimmten Schlüsselverwaltungsserver erfolgreich kontaktiert, versucht es dann, eine SSL-Verbindung für bis zu 15 Minuten herzustellen. Wenn das Storage-System keine SSL-Verbindung zu einem angegebenen Schlüsselmanagementserver herstellen kann, wird der Bootvorgang angehalten und das Speichersystem wird angehalten.

Während das Speichersystem versucht, sich mit wichtigen Managementservern zu verbinden und eine Verbindung herzustellen, werden in der CLI detaillierte Informationen über fehlgeschlagene Kontaktversuche angezeigt. Sie können die Kontaktversuche jederzeit unterbrechen, indem Sie Strg-C drücken

Als Sicherheitsmaßnahme erlauben SEDs nur eine begrenzte Anzahl von unbefugten Zugriffsversuchen, wonach sie den Zugriff auf die vorhandenen Daten deaktivieren. Wenn das Speichersystem keine bestimmten Schlüsselverwaltungsserver kontaktieren kann, um die richtigen Authentifizierungsschlüssel zu erhalten, kann es nur versuchen, sich mit dem Standardschlüssel zu authentifizieren, der zu einem fehlgeschlagenen Versuch und einem Panikzustand führt. Wenn das Storage-System so konfiguriert ist, dass es im Falle eines Panikzustands automatisch neu gestartet wird, wird eine Boot-Schleife erzeugt, die zu kontinuierlichen fehlgeschlagenen Authentifizierungsversuchen von SEDs führt.

Das Anhalten des Storage-Systems in diesen Szenarien ist durch das Design zu verhindern, dass das Storage-System in einen Boot-Loop und möglichen unbeabsichtigten Datenverlust durch die dauerhaft gesperrten SEDs gelangt, da es die Sicherheitsgrenze einer bestimmten Anzahl aufeinander folgender fehlgeschlagener Authentifizierungsversuche überschreitet. Der Grenzwert und die Art des Sperrschutzes hängen von den Herstellungsspezifikationen und dem Typ der SED ab:

SED-Typ

Anzahl aufeinanderfolgender fehlgeschlagener Authentifizierungsversuche, die zu einer Sperrung führen

Sicherungstyp sperren, wenn die Sicherheitsgrenze erreicht ist

HDD

1024

Dauerhaft: Daten können nicht wiederhergestellt werden, selbst wenn der richtige Authentifizierungsschlüssel wieder verfügbar ist.

X440_PHM2800MCTO 800 GB NSE SSDs mit Firmware-Versionen NA00 oder NA01

5

Temporär. Die Sperrung wird nur wirksam, bis die Festplatte aus- und wieder eingeschaltet wird.

X577_PHM2800MCTO 800 GB NSE SSDs mit Firmware-Versionen NA00 oder NA01

5

Temporär. Die Sperrung wird nur wirksam, bis die Festplatte aus- und wieder eingeschaltet wird.

X440_PHM2800MCTO 800 GB NSE SSDs mit höherer Firmware-Version

1024

Dauerhaft: Daten können nicht wiederhergestellt werden, selbst wenn der richtige Authentifizierungsschlüssel wieder verfügbar ist.

X577_PHM2800MCTO 800 GB NSE SSDs mit höherer Firmware-Version

1024

Dauerhaft: Daten können nicht wiederhergestellt werden, selbst wenn der richtige Authentifizierungsschlüssel wieder verfügbar ist.

Alle anderen SSD-Modelle

1024

Dauerhaft: Daten können nicht wiederhergestellt werden, selbst wenn der richtige Authentifizierungsschlüssel wieder verfügbar ist.

Bei allen SED-Typen wird durch eine erfolgreiche Authentifizierung die Anzahl der Versuche auf Null zurückgesetzt.

Wenn dieses Szenario auftritt, bei dem das Speichersystem aufgrund eines Fehlers angehalten wird, um irgendwelche angegebenen Schlüsselverwaltungsserver zu erreichen, müssen Sie zuerst die Ursache für den Kommunikationsfehler identifizieren und korrigieren, bevor Sie versuchen, das Speichersystem weiterhin zu booten.