EKM 變更之后AS400 上磁帶驗證EKM磁帶加密

tomroom

EKM  磁帶加密的服務器 若有變更之后  需要AS400 上測試驗證下磁帶加密是否正常。
下面場景: EKM變更 維護了DR端的EKM服務器，需要通過AS400驗證EKM加密有效性，AS400 SE 變更生產AS400上磁帶庫設置指向DR端 EKM服務器，用生產磁帶庫里磁帶（OP用作當晚跑批備份2盤已經加密初始化的磁帶）來驗證DR EKM有效性（生產和DR 的EKM用相同的密鑰）。


1.        WEB登陸生產磁帶庫  https  
ID: admin
2.        把生產磁帶庫里磁帶從Drive驅動器里，move到空槽位
（磁帶已經挪到Drive驅動器里的，會導致系統(tǒng)已經認證過加密，導致EKM變更后直接去讀此之前已經在驅動器里的磁帶無法驗證DR EKM 是否有效）
3.        檢查確認當前磁帶庫里磁帶是加密方式。
磁帶庫Web頁面左側Mointor Library –>Inventory  察看右側磁帶list中comment 是Encrypted 證明磁帶是加密的，可以用來驗證


4.        記錄下當前EKM 配置
Configure Library->Encryption 右邊 記錄下指向生產EKM配置EKM Server IP：10.223.128.33




5.        修改帶庫EKM配置指向DR EKM
以上2處EKM   IP  address兩處IP都修改為 DR EKM 服務器地址 10.222.128.17 （生產磁帶庫到DR EKM 10.222.128.17   3801端口防火墻之前已經開通）



6.        登陸AS400  tap01 從vary  on狀態(tài)變?yōu)?vary off
sgsecofr登陸生產AS400  WRKDEVD把磁帶機的DEVD ：tap01 從vary  on狀態(tài)變?yōu)?vary off。
這個很重要（讓AS400后續(xù)刷新 EKM變更）

7.        在磁帶庫里WEB界面重新啟動磁帶庫
（為了刷新磁帶機EKM磁帶設置變更）。
如下圖：Sevice Library  —>Reboot


8.        等待磁帶機重新啟動之后初始化和Scan  ready（web界面有進度條）
9.        磁帶庫里把一盤磁帶move到Drive驅動器里（選擇Before卷標）。
10.        把AS400 TAP01   VERY ON
11.        運行命令chktap  tap01 檢查對加密的磁帶讀。
若提示如下磁帶卷標found on device TAP01 表明EKM正常，若正常就把磁帶機vary off



12.        AS400 TAP01  Device狀態(tài)變?yōu)閂ARY OFF。若磁帶無法識別需要關閉WRKPRB報錯
我們這次遇到DR EKM變更后不正常。提示TAP01 NOT READY  就是DR EKM不正常。（DR EKM 豆會回退） DR EKM不正常WRKPRB里會有一個報錯，需要立即關閉close，不然會觸發(fā)報警。 同時TAP01  Device狀態(tài)變?yōu)镕ail狀態(tài)需要VARY OFF

13.        恢復生產磁帶機EKM配置.
把生產磁帶庫里EKM 恢復指向 生產EKM  IP
14.        把磁帶從Drive里挪到帶庫空槽。
15.        REBOOT重啟動磁帶庫.等待磁帶庫狀態(tài)ready和磁帶Scan完成。
16.        帶庫里Move磁帶到驅動器Drive 。
17.         AS400 vary on 磁帶庫 帶機TAP01
18.        CHKTAP TAP01  檢測 磁帶機讀加密過磁帶  
As400 5250提示 ：識別出磁帶 Volume xxx found on device TAP01