問題
Backup Exec 15 以降では暗号化を使用して Backup Exec データベースに機密情報を格納します。データベース暗号化キーは、ログインアカウントのクレデンシャルや暗号化されたバックアップジョブに使われるキーのような情報を暗号化するのに使われます。
次のシナリオでは、Backup Exec データベースの暗号化キーを提供する必要があります。
- Backup Exec サーバーの手動ディザスタリカバリの実行
- Simplified Disaster Recovery(SDR)を使用した Backup Exec サーバーのディザスタリカバリの実行
- 別のコンピュータに Backup Exec を移行
- Backup Exec サーバーのデータベース暗号化キーが破損または欠落している状況の解決
これらのシナリオでは暗号化キーが重要となるので、ベリタスでは Backup Exec データベースの暗号化キーをバックアップすることを推奨します。キーを安全な場所にエクスポートすることによりバックアップし、後で必要となった場合にキーにアクセスできるようにしておきます。
注: CAS/CASO (Central Admin Server Feature/Central Administration Server Option) 環境でローリングアップグレードを実行する場合は、すべての管理対象の Backup Exec サーバーが最新のバージョンにアップグレードされた場合に、集中管理サーバーのデータベース暗号化キーが生成されます。この状況では、Backup Exec 管理コンソールのホームタブには「データベース暗号化キーは作成されていません」というメッセージが表示されます。
エラーメッセージ
Backup Exec データベース暗号化キーの警告:
Backup Exec データベース暗号化キーのバックアップをまだ作成していません。後で Backup Exec サーバーを移行またはリカバリできるように、このキーを安全な場所にエクスポートすることをお勧めします。キーをエクスポートするには、[Backup Exec]ボタンをクリックして[Backup Exec の設定]、[データベースの保守とセキュリティ]、[エクスポート]の順に選択します。
UMI: V-79-13329
UMI: V-379-34580
解決策
データベースの暗号化キーのエクスポート先は以下の条件を満たす場所であることを確認します。
- エクスポート先がドライブ文字に割り当てられる物理ボリュームか、UNC パスによって指定されるネットワーク共有のどちらか (ドライブ文字にマップされるネットワーク共有はサポートされません)
- エクスポート先に十分なディスク領域がある
- Backup Exec サーバーからエクスポート先にアクセスできる
- Backup Exec にエクスポート先に対する書き込み権限がある
キーは指定した場所にエクスポートされます。キーは、一意のハッシュ値と .dek 拡張子 (a1234b89.dek など) で名前が付けられます。Backup Exec は後でキーを識別するのにファイル名を使用します。キーのファイル名やファイル内容は変更しないでください。
データベース暗号化キーをエクスポートするには、次の手順を実行します。
- 管理コンソール左上の [Backup Exec] ボタン、[構成と設定]、[Backup Exec の設定] をクリックします。
- 左側のペインで、[データベースの保守とセキュリティ] を選択します。
- 画面をスクロールし、[Backup Exec データベース暗号化キーの管理] の枠を表示します。
- [パス] フィールドに、暗号化キーをエクスポートする場所を入力します。
- [エクスポート] をクリックします。
- [OK] をクリックし設定画面を閉じます。
注1: キーを他の場所にエクスポートする場合は、手順 4 と 5 を繰り返します。
注2: CAS 環境の場合は、集中管理サーバーおよび各々の管理対象 Backup Exec サーバーで上述のエクスポート手順を繰り返す必要があります。
適用対象
Backup Exec 15 以降