Deployment Guide

1. 请确保 EKM 3.0 服务器正在运行且配置正确。

2. 登录到用于 TL2000/TL4000 的 RMU GUI（需要以管理员/服务身份登录）。

3. 导航至 Configure Library（配置库）。

4. 导航至 Encryption（加密）。

5. 将 Encryption Policy（加密策略）设置更改为 Internal Label – Selective Encryption（内部标记 – 选择性加

密）。

6. 向要使用的介质提交一项写作业（例如，快速擦除、深度擦除、或备份）。

要验证加密已被覆盖，请执行下列步骤：

1. 登录到用于 TL2000/4000 的 RMU GUI。

2. 导航至 Monitor Library（监测库），然后转到 Inventory（库存）。

3. 请单击下拉菜单选择适当的磁带盒。

4. 请核实 Comment（说明）部分显示 Not Encrypted（未加密）。

仅当所有需要的介质都已覆盖后才可以移除或卸载 EKM 3.0。Dell 建议您在 EKM 3.0 GUI 中对重要的文件进行备

份并且备份到外部来源例如可移动驱动器中。如果必须覆盖更多的磁带这将使 EKM 3.0 可还原。

我新安装的 EKM 3.0 有问题且需要重新安装。我怎样才能知道该 EKM 3.0 是否曾提供过密钥？

1. 请打开一个命令提示符并导航至核查日志文件目录。

在 Windows 中

，核查文件位于 <

root

>:\Dell\EKM\products\tklm\logs\audit\tklm_audit.txt。

在 Linux 中

，核查文件位于： /opt/dell/ekm/products/tklm/logs/audit/tklm_audit.log。

2. 将当前核查日志文件复制到一个临时文件以便将其打开。当前核查文件处于工作状态，在被更新时不能

打开。

3. 在文本编辑器（例如，写字板）中打开该临时备份。查找驱动器序列号。如果有项目存在，则已提供过

密钥。如果 volser 项为空白，这是密钥路径诊断的结果，则您需要在该文件中查找更多的与驱动器序列号

关联的项目来确定。

小心: 如果曾经提供过密钥，在卸载 EKM 3.0 之前您必须在受影响的介质上对数据解密。

当我将磁带库配置为使用库管理型加密（ library-managed encryption）时，我的备份应用程序会受到什么影

响？

当您在磁带库上启用了库管理型加密并且配置了启用加密的分区时，对驱动器设置的更改将应用在这些分区中

的驱动器上。在配置启用加密的分区后，您必须停止和重新启动备份应用程序服务以确保备份应用程序能识别

驱动器中的加密设置。

备注: 如果使用了库管理型加密，磁带备份应用程序将不会显示加密已启用。磁带库将把该分区显示为加

密已启用。库管理型加密对磁带备份应用程序是透明的。仅当应用程序（例如，Symantec，CommVault

等）向驱动器提供加密密钥时，磁带备份应用程序才将加密显示为已启用。

EKM 3.0 如何处理新驱动器的添加或坏驱动器的更换？

您可以通过自动查找或手动方式对 EKM 3.0 添加或更换驱动器。要通过自动查找方式添加驱动器，请参阅向设

备组添加设备。

Dell 推荐您使用自动查找，因为手动添加必须输入 12 位数字的驱动器序列号（10 位数字序列号加上两位前导

的零）。如果担心安全问题，您可以在磁带库中打开自动查找并运行测试备份或密钥路径诊断程序以向驱动器

表添加必要的驱动器。然后您可以关闭自动查找以防止新驱动器获取密钥。只要 EKM 3.0 能够认证厂家分配给

驱动器的数字签名，EKM 3.0 就接受密钥请求。密钥在密钥库中以密钥组形式分组存放，在添加驱动器后您可

将密钥组与新的/更换的驱动器相关联。

备注: 如果您要手动添加设备，请参阅 TKLM 文档。有关如何访问 TKLM 文档的信息，请参阅 EKM 3.0 安装

介质上的 ReadThisFirst.txt 文件中的“文档与参考资料”部分。