EKM 变更之后AS400 上磁带验证EKM磁带加密

tomroom

EKM  磁带加密的服务器 若有变更之后  需要AS400 上测试验证下磁带加密是否正常。
下面场景: EKM变更 维护了DR端的EKM服务器，需要通过AS400验证EKM加密有效性，AS400 SE 变更生产AS400上磁带库设置指向DR端 EKM服务器，用生产磁带库里磁带（OP用作当晚跑批备份2盘已经加密初始化的磁带）来验证DR EKM有效性（生产和DR 的EKM用相同的密钥）。


1.        WEB登陆生产磁带库  https  
ID: admin
2.        把生产磁带库里磁带从Drive驱动器里，move到空槽位
（磁带已经挪到Drive驱动器里的，会导致系统已经认证过加密，导致EKM变更后直接去读此之前已经在驱动器里的磁带无法验证DR EKM 是否有效）
3.        检查确认当前磁带库里磁带是加密方式。
磁带库Web页面左侧Mointor Library –>Inventory  察看右侧磁带list中comment 是Encrypted 证明磁带是加密的，可以用来验证

1

4.        记录下当前EKM 配置
Configure Library->Encryption 右边 记录下指向生产EKM配置EKM Server IP：10.223.128.33

2

5.        修改带库EKM配置指向DR EKM
以上2处EKM   IP  address两处IP都修改为 DR EKM 服务器地址 10.222.128.17 （生产磁带库到DR EKM 10.222.128.17   3801端口防火墙之前已经开通）

3

6.        登陆AS400  tap01 从vary  on状态变为 vary off
sgsecofr登陆生产AS400  WRKDEVD把磁带机的DEVD ：tap01 从vary  on状态变为 vary off。
这个很重要（让AS400后续刷新 EKM变更）

7.        在磁带库里WEB界面重新启动磁带库
（为了刷新磁带机EKM磁带设置变更）。
如下图：Sevice Library  —>Reboot

4

8.        等待磁带机重新启动之后初始化和Scan  ready（web界面有进度条）
9.        磁带库里把一盘磁带move到Drive驱动器里（选择Before卷标）。
10.        把AS400 TAP01   VERY ON
11.        运行命令chktap  tap01 检查对加密的磁带读。
若提示如下磁带卷标found on device TAP01 表明EKM正常，若正常就把磁带机vary off



12.        AS400 TAP01  Device状态变为VARY OFF。若磁带无法识别需要关闭WRKPRB报错
我们这次遇到DR EKM变更后不正常。提示TAP01 NOT READY  就是DR EKM不正常。（DR EKM 豆会回退） DR EKM不正常WRKPRB里会有一个报错，需要立即关闭close，不然会触发报警。 同时TAP01  Device状态变为Fail状态需要VARY OFF

5

13.        恢复生产磁带机EKM配置.
把生产磁带库里EKM 恢复指向 生产EKM  IP
14.        把磁带从Drive里挪到带库空槽。
15.        REBOOT重启动磁带库.等待磁带库状态ready和磁带Scan完成。
16.        带库里Move磁带到驱动器Drive 。
17.         AS400 vary on 磁带库 带机TAP01
18.        CHKTAP TAP01  检测 磁带机读加密过磁带  
As400 5250提示 ：识别出磁带 Volume xxx found on device TAP01