Hitachi

 ボリュームセキュリティ クイックリファレンス 

1.9.2 Encryption License Key操作時のエラーと対策

トラブルシューティングEncryption License Keyの操作中に発生したエラーの対処方法については、マニュアルStorage Navigator メッセージガイドを参照してください。

Storage Navigatorに関する一般的なエラーと対策については、マニュアルHitachi Device Manager - Storage Navigatorユーザガイドを参照してください。

エラー

対策

暗号化鍵の操作(バックアップ/リストア)ができない。

次のことを確認してください。

  • Encryption License Keyプログラムプロダクトのライセンスが有効であるか、期限切れになっていないか

  • セキュリティ管理者(参照・編集)ロールが割り当てられているか

  • 鍵管理サーバに接続してバックアップ/リストアしている場合、鍵管理サーバとの接続に問題はないか

  • 鍵管理サーバに接続してバックアップしている場合、鍵管理サーバがバックアップできる鍵の数を超えていないか

  • 鍵管理サーバに接続してバックアップ/リストアしている場合、鍵管理サーバ内の鍵の数が増えたことでタイムアウトが発生していないか

  • 最新の暗号化鍵をリストアしているか、二次バックアップ後に暗号化鍵が変更されていないか

  • SVPのRSA鍵交換を無効化している場合、SVPは鍵管理サーバと、次の暗号スイートを使用して通信します。

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

    鍵管理サーバが、上記の暗号スイートをサポートしているか確認してください。

    サポートしていない場合は、SVPのRSA鍵交換を有効に設定してください。

暗号化鍵を作成/削除できない。

次のことを確認してください。

  • Encryption License Keyプログラムプロダクトのライセンスが有効であるか、期限切れになっていないか

  • セキュリティ管理者(参照・編集)ロールが割り当てられているか

  • 鍵管理サーバに接続して暗号化鍵を生成/削除している場合、鍵管理サーバとの接続に問題はないか

  • SVPのRSA鍵交換を無効化している場合、SVPは鍵管理サーバと、次の暗号スイートを使用して通信します。

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

    鍵管理サーバが、上記の暗号スイートをサポートしているか確認してください。

    サポートしていない場合は、SVPのRSA鍵交換を有効に設定してください。

パリティグループに暗号化を設定できない。

次のことを確認してください。

  • Encryption License Keyプログラムプロダクトのライセンスが有効であるか、期限切れになっていないか

  • パリティグループに属するボリュームがすべて閉塞状態であるか

パリティグループに設定した暗号化を無効にできない。

パリティグループに属するボリュームがすべて閉塞状態であるかを確認してください。

テスト通信が成功しない。

  • 鍵管理サーバとの接続設定が正しいかどうか、次の項目を確認してください。

    • ホスト名

    • ポート番号

    • クライアント証明書ファイル

    • ルート証明書ファイル

  • 通信に時間が掛かっている場合は、次の項目を調整すれば通信が成功することがあります。

    • タイムアウト

    • リトライ間隔

    • リトライ回数

  • SVPのRSA鍵交換を無効化している場合、SVPは鍵管理サーバと、次の暗号スイートを使用して通信を行います。

    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

    • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

    鍵管理サーバが、上記の暗号スイートをサポートしているか確認してください。

    サポートしていない場合は、SVPのRSA鍵交換を有効に設定してください。

  • 証明書チェーンの階層数を確認してください。階層の上限は5です。証明書チェーンの階層数が5以下の証明書を使用してください。

暗号化編集ウィザードの操作が失敗したが、暗号化の状態([無効]または[有効])は暗号化編集ウィザードで設定した内容に切り替わっている。

暗号化の切り替えは成功していますが、その後のフォーマットが失敗しています。

メッセージの内容を確認してエラーを取り除き、フォーマットを再度実行してください。

暗号化鍵の操作が03005 068905で失敗した。ストレージシステム側でエラーが発生しました。鍵管理サーバから暗号化鍵を取得できていない可能性があります。

すべてのボリュームが閉塞し、SIMコード661000または661001が報告されている場合、次の対策を実施してください。

  1. 鍵管理サーバとの接続を回復させ、[暗号化環境設定編集]画面にて[サーバ構成テスト]の[チェック]をクリックして、接続テストが正常終了することを確認してください。

  2. 問い合わせ先に連絡し、ストレージシステムの再起動を依頼してください。

  3. 再起動後、閉塞していたすべてのボリュームが回復していることを確認してください。

その他の場合は、次の対策を実施してください。

  1. 装置状態を確認し、閉塞部位があれば閉塞部位を回復してください。

    閉塞部位がなければ失敗した暗号化鍵の操作を再度実施してください。

  2. 回復後、失敗した暗号化鍵の操作を再度実施してください。

暗号化環境設定が(00002-058578)で失敗した。

[暗号化環境設定編集]画面で初めて暗号化環境を設定したときに(00002-058578)で失敗した場合は、次の対策を実施してください。

  1. しばらくしてから[ファイル]‐[すべて更新]を選択して、構成情報を再読み込みしてください。

  2. 暗号化環境設定を初期化してください。

  3. 再度、暗号化環境を設定してください。

暗号化環境設定が完了してから再度[暗号化環境設定編集]画面で設定したときに、(00002-058578)で失敗した場合は、次の対策を実施してください。

  1. しばらくしてから[ファイル]‐[すべて更新]を選択して、構成情報を再読み込みしてください。

  2. 再度、暗号化環境を設定してください。

テスト通信は成功したが、次のエラーが表示された。

10126-105022 接続されている鍵管理サーバに、必要な機能がサポートされていません。

鍵管理サーバの設定に必要な機能が、接続している鍵管理サーバではサポートされていません。「1.3.2 鍵管理サーバの要件」を確認して、鍵管理サーバのソフトウェアを最新にしてください。

未使用鍵(属性が「空き」の暗号化鍵)があるのに、次のエラーが表示されて暗号化編集ウィザードの操作が失敗する。

03005-108104 空きの鍵数が不足しています。

暗号化編集ウィザードの前に実行した暗号化環境設定編集ウィザードが、暗号化に対応したディスクボードの障害により失敗している可能性があります。[タスク]画面を確認して、暗号化環境設定編集ウィザードが失敗していないかどうかを確認してください。暗号化環境設定編集ウィザードが失敗している場合は、メッセージの内容を確認してエラーを取り除き、暗号化環境設定を初期化した後、暗号化環境設定編集ウィザードおよび暗号化編集ウィザードを再度実行してください。

未使用鍵(属性が「空き」の暗号化鍵)を削除した後、SIMコード660100または660200が報告された。

未使用鍵(属性が「空き」の暗号化鍵)の数が保守作業に必要な閾値を下回っている可能性があります。作成可能な最大数の暗号化鍵を作成しておくことを推奨します。

暗号化環境設定の初期化が失敗した。

次の対策を実施してください。

  1. 次に示すハードウェアが閉塞状態であるか確認してください。

    • 暗号化に対応したコントローラ(VSP G150VSP G350VSP G370VSP F350、およびVSP F370VSP E590VSP E790の場合)

    • 暗号化に対応したディスクボード(EDKB(VSP G700VSP G900VSP F700、およびVSP F900の場合)

    • 暗号化に対応したNVMeドライブ用のディスクボード(EDKBN)(VSP E990の場合)

  2. 閉塞状態である場合:

    SVPあり構成の場合はStorage Navigatorの[暗号化鍵]画面を開き、属性がKEKとCEKの両方、またはいずれか一方の暗号化鍵のみの状態になっているかを確認してください。

    SVPなし構成の場合はREST APIを使用して、暗号化鍵の個数を取得し、属性がKEKとCEKの両方、またはいずれか一方の暗号化鍵のみの状態になっているかを確認してください。

  3. 属性がKEKとCEKの両方、またはいずれか一方の暗号化鍵のみの状態になっている場合:

    SVPあり構成の場合はStorage NavigatorSVPなし構成の場合はREST APIを使用して、作成可能な最大数の未使用鍵(属性が「空き」の暗号化鍵)を作成してください。 REST APIを使用して、暗号化鍵を生成した場合、KART40325のエラーが出ることがありますが、暗号化鍵の個数を取得して必要な数が作成できていれば問題ありません。それ以外のエラーの場合は、エラーメッセージにしたがって対処したあと、再度暗号化鍵を作成してください。

  4. 問い合わせ先に連絡し、次に示すハードウェアの回復を依頼してください。

    • 暗号化に対応したコントローラ(VSP G150VSP G350VSP G370VSP F350、およびVSP F370VSP E590VSP E790の場合)

    • 暗号化に対応したディスクボード(EDKB(VSP G700VSP G900VSP F700、およびVSP F900の場合)

    • 暗号化に対応したNVMeドライブ用のディスクボード(EDKBN)(VSP E990の場合)

鍵管理サーバを別サーバへ移行するための暗号化環境設定が失敗した。

次の対策を実施してください。

  1. [暗号化環境設定編集]画面にて、プライマリサーバとセカンダリサーバの設定項目が変更されていることを確認してください。

  2. [鍵暗号化鍵更新]画面で、[鍵管理サーバに鍵暗号化鍵を新規作成する]チェックボックスを選択して、新しい鍵管理サーバに鍵暗号化鍵を新規作成してください。

    詳細手順は、「1.7.1 鍵暗号化鍵を更新する」を参照してください。

  3. 1.4.5 鍵管理サーバに接続して暗号化鍵をバックアップする」を参照して、新しい鍵管理サーバに暗号化鍵をバックアップしてください。

ページの先頭へ

Hitachi Virtual Storage Platform (VSP) E590, E790, E990 (SVOS RF 9.6)

Hitachi Virtual Storage Platform (VSP) F350, F370, F700, F900 (SVOS RF 9.6)

Hitachi Virtual Storage Platform (VSP) G130, G150, G350, G370, G700, G900 (SVOS RF 9.6)