ISP (IBM Spectrum Protect) Windows-Client (ehemals TSM Windows-Client) konfigurieren

Nach der Installation des ISP-Clients (hier: Version 8.1.2) muss dieser konfiguriert werden. Alle getroffenen Konfigurationsparameter werden in der Optionsdatei dsm.opt gespeichert. Sie enthält Angaben zum Sicherungsserver, Optionen zur Datenübertragung, Berechtigungsoptionen, Verarbeitungsoptionen für das Sichern und Archivieren, Zeitplanungsoptionen und andere Optionen. Das Erzeugen der Datei beziehungsweise Änderungen in der Datei dsm.opt können mit Hilfe der grafischen Benutzerschnittstelle unter Windows vorgenommen werden.

• Grundkonfiguration
• Optionale Konfigurationsmöglichkeiten
• 1) SSL-Verbindung (verschlüsselter Datentransfer) einrichten
• 2) Protokolle
• 2a) Fehlerprotokoll aktivieren
• 2b) Planungsprotokoll aktivieren
• 3) Detaillierte Ausgabe unterdrücken
• 4) Kennwortzugriff

Grundkonfiguration

Die Grundkonfiguration wird beim erstmaligen Start des ISP-Client eingerichtet. Dazu wird der IBM Spectrum Protect Client gestartet (Start unter Windows 10: "Windows Symbol > IBM Spectrum Protect > Sichern-Archivieren - GUI").

Es startet der Eingangsbildschirm des "Assistenten für die IBM Spectrum Protect-Clientkonfiguration", der im ersten Konfigurationsschritt die Clientoptionsdatei (dsm.opt) über "Weiter >" anlegen möchte.

Über Selektion des Optionspunktes "Neue Optionsdatei erstellen" wird die Datei dsm.opt durch Klicken auf die Schaltfläche "Weiter >" erstellt.

Der ISP-Knotenname, der bei der ISP Rechner Registrierung vergeben wurde (hier: MYCLIENT), ist in das Eingabefeld "Welcher ISP-Knotenname soll verwendet werden?" einzutragen.

Als Übertragungsmethode wird TCP/IP ausgewählt und mit "Weiter >" bestätigt.

Als TCP/IP-Parameter werden erwartet:

• Server-Adresse des ISP-Servers: backup.uni-osnabrueck.de
• Anschluß: 1500

Die jetzt angezeigte "Empfohlene Einschluss-/Ausschlussliste" wird über "Weiter >" zunächst übernommen.

Hinweis: Die Einschluss- beziehungsweise Ausschlusslisten werden detailliert in den Texten "Sichern/Zurückschreiben von Daten mit dem ISP Windows Client" und "Archivieren/Abrufen von Daten mit dem ISP Windows Client" beschrieben.

Jetzt wird die Dateiausschlussauswahl angezeigt. Die Voreinstellungen sollten ebenfalls zunächst mit "Weiter >" übernommen werden.

Als Sicherungsart sollte die Teilsicherung (Erläuterung: Eine Teilsicherung entspricht einem inkrementellen Backup) ausgewählt werden. In der Domänenliste werden die zu sichernden Laufwerke (hier: blau markiert) ausgewählt. Mit Weiter startet das nächste Dialogfenster des Assistenten.

Die Basiskonfiguration ist jetzt fast fertig und muss über Anwenden bestätigt werden.

Es meldet sich der ISP-Server mit dem folgenden Anmeldebildschirm. Im Eingabefeld Benutzer-ID erscheint der bei der ISP Rechner Registrierung vergebene Knotenname (hier: MYCLIENT). Das Eingabefeld Kennwort erwartet das zugehörige Passwort. Die Anmeldung an den ISP-Server erfolgt über die Schaltfläche Anmelden.

Die Grundkonfiguration des ISP-Client wird durch einen Klick auf die Schaltfläche "Fertig stellen" beendet.

Optionale Konfigurationsmöglichkeiten

Die folgenden Abschnitte beschreiben die wichtigsten, bzw. am häufigsten genutzten Konfigurationsmöglichkeiten des ISP-Clients. Die Beschreibung aller Konfigurationsparameter ist in den ISP-Client-Handbüchern (PDF) nachzulesen.

1) SSL-Verbindung (verschlüsselter Datentransfer) einrichten

Die Verbindung zwischen ISP-Client und ISP-Server kann über eine SSL-Verschlüsselung gesichert werden. Dies garantiert eine verschlüsselte Datenübertragung der Backup-Daten zum ISP-Server. Die SSL-Verschlüsselung lässt sich nur bei clientinitiierten Verbindungen (siehe: "Sichern/Zurückschreiben von Daten mit dem ISP Windows Client" im Abschnitt Zeitgesteuerte Sicherung) nutzen. Automatische vom ISP-Server angestoßene Backups im Planungsmodus Systemanfrage (siehe: "Zeitgesteuerte Sicherung unter Windows vom ISP-Server initiiert" im Abschnitt Planungsmodus "Systemanfrage"), können nur unverschlüsselt übertragen werden.
Der folgende Abschnitt beschreibt die benötigten Arbeitsschritte zum Einrichten einer SSL-Verbindung.

In der Version 8.1.2 des "ISP Windows Clients" ist das IBM Global Security Kit integriert. Es dient zum Erzeugen und Verwalten der für die SSL-Verschlüsselung benötigten Schlüsseldatenbank. Es enthält das im Folgenden verwendete Kommandozeilentool "gsk<version>capicmd[_64]", wobei <version> die Hauptversion des installierten GSKit (entweder 7 oder 8) ist und das Suffix _64 bei einer 64-Bit-Installation angehängt wird (hier: gsk8capicmd_64).

Um eine verschlüsselte Datenübertragung zu nutzen, muss das Rootzertifikat der T-Telesec in die Schlüsseldatenbank des ISP-Client importiert werden. Es steht unter dem Link rootcert.cer zum Download zur Verfügung. Für den Importvorgang wird eine Eingabeaufforderung mit administrativen Rechten gestartet. (Hinweis: Alle dort verwendeten Befehle müssen unter einer Benutzerkennung ausgeführt werden, die administrative Rechte besitzt.)

Starten der Eingabeaufforderung

Im Windows Startmenü wird der Begriff Eingabeaufforderung eingegeben. In der Suchtrefferliste wird diese angezeigt und mit der rechten Maustaste angeklickt. Aus dem Kontextmenü ist der Befehl "Als Administrator ausführen" auszuwählen.

Erweitern der PATH-Variablen

Die PATH-Variable muss um die Bibliotheks- und Binärpfade des IBM Global Security Kit erweitert werden.
Dazu kann der folgende Befehl genutzt werden:

set PATH=C:\Programme\Common Files\Tivoli\TSM\api64\gsk8\bin\;C:\Programme\Common Files\Tivoli\TSM\api64\gsk8\lib64;%PATH%

Einfahren des Rootzertifikates

Das Rootzertifikat der T-Telesec wird in das Verzeichnis kopiert, das die Schlüsseldatenbank für den Import (hier: C:\Program Files\Tivoli\TSM\baclient\dsmcert.kdb) und die zugehörende Stashdatei (hier: C:\Program Files\Tivoli\TSM\baclient\dsmcert.sth) enthält.
(Hinweis: Wurde bei der Installation des ISP-Client keine Schlüsseldatenbank angelegt, muss diese neu erzeugt und initialisiert werden. Dazu steht der folgende Kommandozeilenbefehl zur Verfügung: gsk8capicmd_64 -keydb -create -populate -db dsmcert.kdb -pw <password> -stash)

Es ist sinnvoll, vor der Befehsausführung in das Installationsverzeichnis des Kommandozeilentools gsk8capicmd_64 (hier: C:\Programme\Tivoli\TSM\baclient) zu wechseln. Das Rootzertifikat der T-Telesec wird jetzt über den folgenden Befehl in die Schlüsseldatenbank dsmcert.kdb importiert.

gsk8capicmd_64 -cert -add -db dsmcert.kdb -stashed -label "Telekom Root G2" -file rootcert.cer

Kontrollbefehl zum Anzeigen des Zertifikates

Durch den folgenden Befehl lässt sich das in die Schlüsseldatenbank dsmcert.kdb importierte "Telekom Root G2" Zertifikat detailliert anzeigen:

gsk8capicmd_64 -cert -details -db dsmcert.kdb -stashed -label "Telekom Root G2"

Jetzt wird der IBM Spectrum Protect Client gestartet und aus dem Menüpunkt Editieren wird der Untermenüpunkt Clientvorgaben ausgewählt.

Auf der Karteikarte Übertragung  ist der Serveranschlussport auf 1503 zu setzen und die Option "Verwenden Sie Secure Socket Layer (SSL)" wird ausgewählt. Die Einstellungen werden über OK bestätigt und in die Konfigurationsdatei dsm.opt übertragen. Jetzt ist die gesicherte Datenübertragung aktiviert.

Im Menüpunkt Datei des IBM Spectrum Protect Client wird der Punkt Verbindungsdaten ausgewählt. Er zeigt an, mit welchen SSL-Informationen die verschlüsselte Datenübertragung (hier: TLSv1.1 AES-256) realisiert wird.

2) Protokolle

Der ISP-Client kann Fehler- und Planungsereignisse (siehe: Zeitgesteuerte Sicherung unter Windows vom ISP-Server initiiert) protokollieren.

2a) Fehlerprotokoll aktivieren

Fehler werden in die Fehlerprotokolldatei dsmerror.log (Ablageort: "C:\Programme\Tivoli\tsm\baclient\") geschrieben.

Im IBM Spectrum Protect Client wird aus dem Menüpunkt Editieren der Untermenüpunkt Clientvorgaben ausgewählt.

Auf der Karteikarte Allgemein wird bis zur Sektion Fehlerprotokoll gescrollt. Im Textfeld "Name der Protokolldatei" wird der Speicherort und der Name der Fehlerprotokolldatei ("C:\Programme\Tivoli\tsm\baclient\dsmerror.log") angezeigt. Die maximale Aufbewahrungsdauer wird durch Auswahl der Option "Alte Einträge bereinigen" und Eingabe der Dauer in Tagen (hier: 7) eingestellt. Mit OK werden die getroffenen Einstellungen für das Fehlerprotokoll übernommen.

Hinweis: Durch Aktivieren der Option "Bereinigte Einträge sichern" lassen sich alte Einträge in der Datei dsmerlog.pru sichern.
Soll die maximale Größe der Fehlerprotokolldatei beschränkt werden, muss das Optionsfeld "Umlauf für Fehlerprotokolldatei aktivieren" selektiert werden. Anschließend wird die maximale Größe der Datei in Megabyte angegeben.

2b) Planungsprotokoll

Planungsprotokollinformationen (siehe Zeitgesteuerte Sicherung unter Windows vom ISP-Server initiiert) werden in der Datei dsmsched.log gespeichert. Sie wird im selben Verzeichnis ("C:\Programme\Tivoli\tsm\baclient\") wie die Fehlerprotokolldatei angelegt.

Im IBM Spectrum Protect Client wird aus dem Menüpunkt Editieren der Untermenüpunkt Clientvorgaben ausgewählt.

Auf der Karteikarte Scheduler des Profileditors wird bis zur Kategorie Planungsprotokoll gescrollt. Das Textfeld "Name der Protokolldatei" zeigt den Speicherort und den Namen des Planungsprotokolls an ("C:\Programme\Tivoli\tsm\baclient\dsmsched.log").
Die maximale Aufbewahrungsdauer wird durch Auswahl der Option "Alte Einträge bereinigen" und Eingabe der Dauer in Tagen (hier: 7) eingestellt. Mit OK werden die getroffenen Einstellungen für das Planungsprotokoll übernommen.

Hinweis: Soll die maximale Größe der Planungsprotokolldatei beschränkt werden, muss das Optionsfeld "Umlauf für Schedulerprotokolldatei aktivieren" selektiert werden. Anschließend wird die maximale Größe der Datei in Megabyte angegeben.
Durch Aktivieren der Option "Bereinigte Einträge sichern" lassen sich alte Log-Einträge in der Datei dsmsched.pru sichern.

3) Detaillierte Ausgabe unterdrücken

Während einer Sicherung oder Archivierung werden standardmäßig detaillierte Informationen über jede gesicherte Datei angezeigt und in die Logdateien geschrieben. Ist dieses Verhalten unerwünscht, kann es durch die im folgenden beschriebenen Einstellungen unterdrückt werden.

Im IBM Spectrum Protect Client wird aus dem Menüpunkt Editieren der Untermenüpunkt Clientvorgaben ausgewählt.

Auf der Karteikarte Befehlszeile ist ein Häkchen vor die Option "Keine Verarbeitungsdaten auf dem Bildschirm anzeigen" zu setzen. Mit OK werden die getroffenen Angaben übernommen.

4) Kennwortzugriff

Standardmäßig wird bei jeder Verbindung des "ISP Windows Clients" mit dem "ISP Server", das bei der Rechner Registrierung eingetragene Passwort abgefragt. Bei einer zeitgesteuerten Sicherung (siehe: "Sichern/Zurückschreiben von Daten mit dem ISP Windows Client" im Abschnitt Zeitgesteuerte Sicherung) oder einer skriptgesteuerten Sicherung (siehe: "Sichern/Zurückschreiben von Daten mit dem ISP Windows Client" im Abschnitt ISP-Sicherung beim Abmelden des Benutzers ausführen) ist es nicht möglich, ein Kennwort einzugeben. In diesen Fällen ist es notwendig, das Kennwort in verschlüsselter Form auf dem Client-Rechner zu hinterlegen. Der ISP-Windows-Client speichert das Kennwort in der Registry des Windows-Betriebssystems.

Im IBM Spectrum Protect Client wird aus dem Menüpunkt Editieren der Untermenüpunkt Clientvorgaben ausgewählt. Anschließend wird auf der Karteikarte Berechtigung die Option "Kennwort generieren" ausgewählt. Mit OK werden die Einstellungen übernommen.