リリース・ノートには、このリリースのOracle Key Vaultの新機能、最新の製品ソフトウェアおよびドキュメントのダウンロード方法、およびOracle Key Vaultの既知の問題の対処方法が記載されています。
1.1 Oracle Key Vaultのこのリリースの変更点
Oracle Key Vaultのこのリリースでは、大規模な企業でOracle Key Vaultの使用を強化する新機能が導入されています。
- 通常の管理者によるエンドポイントおよびエンドポイント・グループの管理を可能にする新しい権限
Oracle Key VaultのRESTfulサービスは、自動エンドポイント・エンロールに使用されます。
親トピック: リリース・ノート
1.1.1 通常の管理者によるエンドポイントおよびエンドポイント・グループの管理を可能にする新しい権限
Oracle Key VaultのRESTfulサービスは、自動エンドポイント・エンロールに使用されます。
Oracle Key Vaultの通常ユーザーは、管理ロールを付与される必要なしにエンドポイントおよびエンドポイント・グループの管理が認可されるようになりました。これまで、ユーザーにはエンドポイントを管理するためのシステム管理者ロールと、エンドポイント・グループを管理するためのキー管理者ロールが必要でした。これらは強力な管理ロールです。これらの管理ロールによって提供される機能のすべてが、すべてのOracle Key Vault操作で必要になるわけではありません。RESTfulサービスを使用してOracle Key Vaultエンドポイントを設定するユーザーには、エンドポイント・エンロール、プロビジョニングおよびエンドポイント・グループの設定に対する権限が必要です。Oracle Key Vaultリリース18.6では、通常のユーザーに対してエンドポイントの作成、エンドポイントの管理、エンドポイント・グループの作成およびエンドポイント・グループの管理権限を付与できます。さらに、新しい権限により、エンドポイントとエンドポイント・グループの異なるセットを管理するユーザーの間で分離が可能になります。これらのユーザーは、管理権限がある一連のエンドポイントおよびエンドポイント・グループの管理を完全に制御できますが、管理ロールを持つユーザーとは異なり、他のエンドポイントやエンドポイント・グループに影響を与えることはできません。
親トピック: Oracle Key Vaultのこのリリースの変更点
1.2 Oracle Key Vaultのソフトウェアおよびドキュメントのダウンロード
最新バージョンのOracle Key Vaultのソフトウェアおよびドキュメントはいつでもダウンロードできます。
1.2.1 Oracle Key Vaultインストール・ソフトウェアのダウンロード
新規インストールの場合は、Software Delivery CloudからOracle Key Vaultソフトウェアをダウンロードできます。このパッケージは、Oracle Key Vaultのアップグレードには使用できません。既存のOracle Key Vaultデプロイメントからのアップグレードの場合、アップグレード手順を記載したreadmeファイルを含んだMy Oracle Support WebサイトからOracle Key Vaultのアップグレード・ソフトウェアをダウンロードできます。
1.3.1.1 HP-UXシステムで、SELECT FROM V$ENCRYPTION_KEYSを実行するとORA-28407が返されることがある
問題: HP-UXオペレーティング・システムで、長時間実行されているデータベース・プロセスまたはセッションで実行された次のような透過的データ暗号化(TDE)問合せで、ORA-28407 ハードウェア・セキュリティ・モジュール・エラーが検出されましたというエラーが発生することがあります。
SELECT * FROM V$ENCRYPTION_KEYS;
これは、PTHREAD_KEYS_MAX設定によって制御されるプロセスごとのキーの合計数に関するシステムによる制限にプロセスが達したか、超過したため、システムがそれ以上スレッド固有のデータ・キーを作成できなかったためです。通常、PTHREAD_KEYS_MAXは128に設定されています。
回避策: データベース・セッションを切り替えて、TDE問合せを再実行します。セッションを切り替えることができない場合は、データベースおよびリスナーを開始する前に、PTHREAD_USER_KEYS_MAXに16384を設定します。
バグ番号: 28270280
親トピック: 一般的な問題
1.3.1.2 複数回ログインに失敗すると、ユーザーがロックされ、ログイン不能になる
問題: 現在のパスワード・ポリシーでは、ユーザーがパスワードを連続して3回間違って入力した場合、ユーザー・アカウントが1日間ロックされます。このため、そのユーザーは24時間のロックアウト期間が経過した後にのみログインできます。
回避策: パスワードをノートにとって、安全に保管して参照できるようにします。
バグ番号: 23300720
親トピック: 一般的な問題
1.3.1.3 問題の修正後もリストにOKVアラートが表示される
問題: ユーザーがパスワードを変更した後でも、ユーザー・パスワードの期限切れのアラートが引き続き表示されます。
回避策: Oracle Key Vault管理コンソールで、「Reports」、「Configure Reports」の順に選択します。「User Password Expiration」オプションの選択を解除します。または、アラートを無視します。
バグ番号: 27620622
親トピック: 一般的な問題
1.3.1.4 Java Keystoreがokvutilユーティリティの-oオプションを使用してアップロードされた場合、秘密キーが上書きされない
問題: okvutil uploadコマンドの-oオプションを使用して、Java keystore (JKS)またはJava Cryptography Extension keystore (JCEKS)をOracle Key Vaultサーバーにアップロードした場合、ユーザー定義のキーは上書きされません。
回避策: ウォレットから秘密キーを削除し、そのキーを再度アップロードします。
バグ番号: 26887060
親トピック: 一般的な問題
1.3.1.5 FIPSモードのOracle Key Vaultの起動時の警告
Warning : Error inserting
serpent_avx2(/lib/modules/4.1.12-124.34.1.1.el6uek.x86_64/kernerl/arch/x86/crypto/serpent_avx2):
No such deviceこれらは、FIPSモードで使用できない、またはサポートされていない暗号の命令セットがロードされていないことを示す、画面にスローされる情報メッセージです。これらの警告は無視しても支障ありません。
回避策: なし。
バグ番号: 30844891
親トピック: 一般的な問題
1.3.2.1 18.1からアップグレードする場合にアップグレード前のスクリプトがノードに読取り/書込みピアがあるかどうかを誤判断する
cluster_preupgrade_181.shが、現在実行されているノードに読取り/書込みピア・ノードがあるかどうかを確認しようとします。以前、読取り/書込みピアがあったノードが、その後クラスタから削除された場合(現在のノードの読取り/書込みピアとして置き換えられていない)、これは誤って判断されます。スクリプトを実行すると、次のようなエラー・メッセージが表示されます。Blocking user operations on the UI... Stopping the downstream extract... Patching downstream extract parameter file... Restarting the downstream extract... Sleeping for 10 to let the extract finish starting... Error: finished applying files but failed to restart the downstream extract. Restart it by navigating to the monitoring page and pressing the "Restart Serivces" button.
回避策: このメッセージが表示されても、アップグレード前のスクリプトを実行したノードに現在読取り/書込みピアがない場合は、エラー・メッセージを無視して残りのアップグレードを通常どおり続行できます。このメッセージが、現在読取り/書込みピアがあるノードで発生した場合は、このメッセージを無視できません。
バグ番号: 32539731
親トピック: アップグレードの問題
1.3.2.2 アップグレードしたプライマリ/スタンバイOracle Key Vault 18.xサーバーのペア解除が権限の問題で失敗することがある
ORA-48141: error creating directory during ADR initialization: [/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv] ORA-48189: OS command to create directory failed
/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリに正しい権限が設定されていることを確認してください。
- sshを使用してユーザー
supportとしてプライマリOracle Key Vaultシステムにログインします。$ ssh support@okv_instance_ip_address rootユーザーに切り替えます。support$ su - root
/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの権限を確認します。root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
出力は次のようになります。drwxr-xr-x 2 root oinstall 4096 Apr 24 22:01 metadata_pv
- 前述の例のようにディレクトリの所有者がユーザー
rootの場合は、次のコマンドを実行します。root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv
ファイルをリストして、所有者がoracleになったことを確認します。root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
出力は次のようになります。drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv
バグ番号: 29693700
親トピック: アップグレードの問題
1.3.2.3 アップグレードする前にペア解除されたOKVシステムでは、DB_UNIQUE_NAMEをリセットする必要がある
問題: ペア解除される前はOracle Key Vault 12.2高可用性(現在はプライマリ-スタンバイ)構成の一部で、その後アップグレードされたOracle Key Vaultシステムでは、DB_UNIQUE_NAMEパラメータにDBFWDB_HA1またはDBFWDB_HA2が設定されています。このパラメータは、システムをクラスタ・モードに変換する前に、DBFWDBにリセットする必要があります。そうしないと、クラスタへのノードの追加に失敗します。
- sshを使用してユーザー
supportとしてプライマリOracle Key Vaultシステムにログインします。$ ssh support@okv_instance_ip_address rootユーザーに切り替えます。support$ su - root
/var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pvディレクトリの所有者およびグループを確認します。root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
出力は次のようになります。drwxr-xr-x 2 root oinstall 4096 Apr 24 22:01 metadata_pv
- 前述の例のようにディレクトリの所有者がユーザー
rootの場合は、次のコマンドを実行します。root# chown oracle:oinstall /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb/metadata_pv
ファイルをリストして、所有者がoracleになったことを確認します。root# ls -l /var/lib/oracle/diag/rdbms/dbfwdb/dbfwdb
出力は次のようになります。drwxr-xr-x 2 oracle oinstall 4096 Apr 24 22:01 metadata_pv
- ユーザー
oracleに切り替えます。root# su oracle
- SQL*Plusを開始します。
oracle$ sqlplus / as sysdba
- 次の文を実行します。
show parameter db_unique_name;
DB_UNIQUE_NAMEがDBFWDB以外である場合は、次のコマンドを実行します。alter system set db_unique_name='DBFWDB' scope=spfile; exit
rootユーザーとして、次のコマンドを実行します。oracle$ service dbfwdb stop oracle$ service dbfwdb start
DB_UNIQUE_NAMEパラメータが変更されたことを確認します。SQL*Plusを開始します。oracle$ sqlplus / as sysdba
- 次の文を実行します。
show parameter db_unique_name
返される出力は次の出力と一致するはずです。NAME TYPE VALUE --------------------- ----------- ----------- db_unique_name string DBFWDB
バグ番号: 29696058
親トピック: アップグレードの問題
1.3.3.1 プライマリ/スタンバイ・ペアでのスイッチオーバー時に、監査証跡がリモートのsyslogに送信されない
説明: プライマリにsyslogが構成されている場合は、監査ログもsyslogに書き込まれます。スイッチオーバー時に、監査ログがsyslogに書き込まれないことがあります。これはスタンバイにsyslogが構成されていないためです。syslogはプライマリとスタンバイで別個に構成する必要があります。
回避策: スイッチオーバー後にスタンバイにsyslogを構成し、監査ログがsyslogに書き込まれるようにします。
バグ番号: 28790364
親トピック: プライマリ/スタンバイの問題
1.3.3.2 プライマリ/スタンバイでのフェイルオーバーでSSHトンネル・ステータスが無効として表示される
問題: フェイルオーバー操作の後、新しいOracle Key Vaultプライマリ・サーバーでSSHトンネルの正しいステータスが表示されません。SSHトンネルが使用可能になったときに、SSHトンネルが無効として表示されます。ダッシュボードにもSSHトンネルの設定が失敗したことを警告するアラートが表示されます。これは、フェイルオーバー操作の後、同じサービス・エンドポイントとしてのデータベースに対してOracle Key Vaultが2つのSSHトンネルを確立しようとするためであり、間違ったステータスとなり、ダッシュボードにアラートが表示されます。サービス・エンドポイントとしてのデータベースへの2番目のSSHトンネルは、Oracle Key Vaultサーバーとサービス・エンドポイントとしてのデータベースの間の接続性に影響しません。サービス・エンドポイントとしてのデータベースへの最初のSSHトンネルは、フェイルオーバー後に機能して使用可能です。
回避策: フェイルオーバー後、新しいOracle Key Vaultプライマリ・サーバーでは、使用可能という正しいSSHステータスが表示され、サービス・エンドポイントとしてのデータベースに接続されます。サービス・エンドポイントとしてのデータベースでokvutil listを使用して、SSHトンネルのステータスを確認することもできます。
バグ番号: 24679516
親トピック: プライマリ/スタンバイの問題
1.3.3.3 HA 12.2 BP5からペア解除し、新しいOKVサーバーに再度ペアリングしてもスタンドアロンと表示される
問題: Oracle Key Vault 12.2.0.5.0以降を実行しているペア解除されたOracle Key Vaultプライマリ・サーバーを新しくインストールされたOracle Key Vaultサーバーとペアリングした場合、「Primary-Standby」ページの「Current status」でサーバーがスタンドアロン・モードであると表示されます。スタンドアロン・ステータスは、プライマリ-スタンバイ構成が失敗したことを示します。プライマリ-スタンバイ設定が失敗するのは、プライマリ・サーバーのSSH構成が再度有効にされないためです。
回避策: Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、SSH構成を無効にして再度有効にします。プライマリ・サーバーをスタンバイ・サーバーとペア解除して、プライマリ・サーバーでプライマリ-スタンバイ構成を実行した後に、SSH構成を無効にして再度有効にする必要があります。
ノート:
Oracle Key Vaultが実行されているペア解除されたOracle Key Vaultプライマリ・サーバーをペアリングする前に、他のすべてのブラウザ・インスタンスを閉じたことを確認します。バグ番号: 26617880
親トピック: プライマリ/スタンバイの問題
1.3.3.4 管理された停止がプライマリOKVで行われたときに、フェイルオーバーの問題が発生する
問題: プライマリ/スタンバイ・ペアのプライマリOracle Key Vaultノードでは、管理された停止が定期的に実行されます。たとえば、ユーザーが、管理コンソールの電源オフ・ボタンを押すか、端末から停止コマンドを実行して、停止を実行します。これが発生すると、フェイルオーバー操作は行われず、スタンバイOracle Key Vaultノードはプライマリ・サーバーとして引き継ぎません。これはプライマリOracle Key Vaultサーバーの/var/lock/subsys/dbfwdbファイルの存在によって予想できます。管理された停止時にプライマリにこのファイルが存在する場合、フェイルオーバーは行われません。存在しない場合は、フェイルオーバーが行われます。
プライマリでの電源喪失、データベースの障害などの他の状況では、このファイルが存在しているかどうかにかかわらず、フェイルオーバーは引き続き行われます。
回避策: スタンバイ・ノードが新しいプライマリ・ノードとして引き継がれるように管理された停止を実行する場合は、かわりにスイッチオーバーを実行します。
バグ番号: 29666606
親トピック: プライマリ/スタンバイの問題
1.3.3.5 プライマリおよびスタンバイが異なるRO制限モード構成の場合にHA設定が成功する
問題: プライマリ/スタンバイ構成を行うとき、ペアリング前に一方のOracle Key Vaultサーバーでは読取り専用制限モードが有効にされ、他方のOracle Key Vaultサーバーでは無効にされている場合に、構成が成功します。プライマリ-スタンバイ・デプロイメントでは、この不一致は問題と混乱に繋がる場合があります。
回避策: Oracle Key Vault管理コンソールを使用して、両方のサーバーに同じ読取り専用制限モード状態が適用されていることを確認します。これを行うには、「System」タブを選択して、「Primary-Standby」を選択します。「Allow Read-Only Restricted Mode」オプションを選択します。その後、各サーバーにプライマリ-スタンバイ構成を適用します。
バグ番号: 26536033
親トピック: プライマリ/スタンバイの問題
1.3.4 マルチマスター・クラスタの問題
この項では、マルチマスター・クラスタ構成に固有のOracle Key Vaultの問題について説明します。
- OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある
- 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない
- 再起動後の読取り専用制限モードでの読取り/書込みノード
- OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ
- MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある
- 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある
- 18.1クラスタで読取り/書込みノードを強制削除してからアップグレードすると、上位バージョンで、強制削除されたノードを置換できないことがある
- Oracle Key Vault 18.1、18.2または18.3のクラスタ・ノードからのバックアップ(その後アップグレードされ、別のクラスタの作成に使用)で、読取り/書込みピアを追加できないことがある
- サーバー証明書のローテーション後にクラスタ・サービス・ステータスが停止になる
- バックアップの実行中にクラスタの最初のノードを作成しようとすると、再起動するまでUIが使用できなくなる
親トピック: 既知の問題
1.3.4.1 OKVクラスタで複数のシステム障害が発生した後に、レプリケーションの再開が失敗することがある
問題: GoldenGateのバグ29624366が原因で、Oracle Key Vaultクラスタで複数のシステム障害が発生した後に、一部のノードからのレプリケーションの再開に失敗することがあります。特に、これが発生すると、GoldenGateのReplicatが終了し、GoldenGate証跡ファイルの新しい変更ログを処理できません。
回避策: そのようなReplicatの位置を手動で変更して、証跡ファイル内のエラーのあるレコードをスキップするか、障害の発生したOracle Key Vaultノードをクラスタから強制的に削除し、新しいノードを追加してそれに置き換えます。
バグ番号: 29700647
親トピック: マルチマスター・クラスタの問題
1.3.4.2 候補ノードに変換された後にOKVノードで変更されたシステム設定がコントローラ・ノードに反映されない
問題: Oracle Key Vaultノードが候補ノードに変換された後にシステム設定が変更され、コントローラ・ノードがその候補ノードの設定を最初に検証しようとして失敗した場合、更新された設定はコントローラ・ノードに反映されません。ペアリング・プロセスは、コントローラおよび候補ノードの両方で中断する必要があります。
回避策: なし。候補ノードに変換してクラスタに追加する前に、Oracle Key Vaultノードのシステム設定がクラスタの設定と一致していることを確認します。
バグ番号: 29430349
親トピック: マルチマスター・クラスタの問題
1.3.4.3 再起動後の読取り専用制限モードでの読取り/書込みノード
問題: 読取り/書込みノードを再起動すると、ノードまたはその読取り/書込みピアが読取り専用制限モードでスタックすることがあります。
回避策: ノードを再起動する際、ノードの読取り/書込みピア・ノードが一時的に読取り専用制限モードで稼働するのは正常です。ただし、ノードの起動が完了するとすぐに、読取り/書込みピアは数分以内に読取り/書込みモードに戻ります。再起動されたノードは読取り専用制限モードで起動することがありますが、同様に数分以内に読取り/書込みモードに戻ります。ただし、ノードまたはその読取り/書込みピアが読取り専用制限モードのままになっていない場合、REDO送信がスタックしている可能性があります。読取り専用制限モードのままでノードを再起動すると修正できます。
バグ番号: 30589921
親トピック: マルチマスター・クラスタの問題
1.3.4.4 OGGに引き続き必要なアーカイブ・ログのRMANによる自動クリーン・アップ
問題: RMANは、高速リカバリ領域のアーカイブ・ログを自動的に管理します。通常の状況では、Oracle GoldenGateで引き続き必要とされているアーカイブ・ログはRMANによって削除されません。ただし、領域が不足すると、RMANは必要なアーカイブ・ログをクリーン・アップすることがあります。このようなアーカイブ・ログがクリーン・アップされると、現在のノードからノードの読取り/書込みピア・ノードを除いた他のすべてのノードへのレプリケーションが中断されます。Oracle Key Vaultでは、高速リカバリ領域の定期的なクリーン・アップを実行してこの問題を緩和しようとしますが、まれに、高速リカバリ領域が一杯になり、この問題が発生することがあります。
回避策: 高速リカバリ領域での領域不足の原因を特定し、問題を修正します。ディスク領域にタブを保持することで、高速リカバリ領域での領域不足を特定できます。高速リカバリ領域は、/var/lib/oracle/fast_recovery_area/下にあります。
バグ番号: 30558372
親トピック: マルチマスター・クラスタの問題
1.3.4.5 MDNDよりも時間がかかる場合、Oracle Key Vaultでは有効化が終了しないようにする必要がある
問題: 「Maximum Disable Node Duration」時間制限より前にOracle Key Vaultノードを有効または無効にしたが、「Maximum Disable Node Duration」時間制限が失効する前に有効化が終了しない場合、クラスタ内の不一致の原因となるアーカイブ・ログおよび証跡ファイルのクリーン・アップが行われる可能性があります。この場合、有効化プロセスを終了させないでください。
回避策: 有効化を終了するのに「Maximum Disable Node Duration」期間より長くかかる場合、クラスタからノードを削除または強制削除します。
バグ番号: 30533066
親トピック: マルチマスター・クラスタの問題
1.3.4.6 12.2 BP4以前からのアップグレードの場合、クラスタに変換する前に証明書をローテーションする必要がある
問題: Oracle Key Vault 12.2 BP4から18.2までをOracle Key Vault 18.4にアップグレードしようとして、アップグレード前に新しい証明書を生成しない場合は、次のエラー・メッセージを受信します。
Failed to convert server to cluster node, detected use of weak signature
algorithms in OKV server credentials. Please perform a certificate rotation
operation before converting this server to a cluster node.- Oracle Key Vault 12.2 BP4から12.2 BP11にアップグレードして、証明書ローテーション操作を実行します。
- Oracle Key Vault 12.2 BP11からOracle Key Vaultリリース18.4にアップグレードします。
バグ番号: 30673249
親トピック: マルチマスター・クラスタの問題
1.3.4.7 18.1クラスタで読取り/書込みノードを強制削除してからアップグレードすると、上位バージョンで、強制削除されたノードを置換できないことがある
問題: 読取り/書込みノードを強制削除するときは、まず、停止する必要があります。しかし、GoldenGateのバグ30413969が原因で、強制削除されたノードを停止すると、削除されたノードの読取り/書込みピア・ノードでのダウンストリーム抽出が完全にはクリーンアップされません。このバグの回避策は、Oracle Key Vaultバージョン18.2以上では存在します。ただし、読取り/書込みノードが強制削除されたOracle Key Vault 18.1マルチマスター・クラスタからアップグレードする場合、アップグレード後にノードを置換しようとすると、バージョン18.1で強制削除が発生したときにクリーンアップが実行されなかったため、依然として成功しません。
回避策: 次のステップは慎重に実行する必要があります。これらのステップを誤ったOracle Key Vaultサーバーで実行するとレプリケーションが中断され、ステップを実行されたノードを強制削除する必要があります。
ssh support@Oracle_Key_Vault_IP_address
su - root
su - oracle
/var/lib/oracle/dbfw/bin/sqlplus / as sysdba
exec sys.dbms_xstream_adm.drop_outbound('OGG$OKV_DEXT');
exec sys.dbms_streams_adm.remove_queue('OGG$Q_OKV_DEXT', TRUE, TRUE);前述のステップがノードAで正常に実行されたら、それをコントローラ・ノードとして使用し、別のノードをノードAの読取り/書込みピアとしてクラスタに追加できます。
バグ番号: 31216736
親トピック: マルチマスター・クラスタの問題
1.3.4.8 Oracle Key Vault 18.1、18.2または18.3のクラスタ・ノードからのバックアップ(その後アップグレードされ、別のクラスタの作成に使用)で、読取り/書込みピアを追加できないことがある
問題: クラスタ・ノードで作成されたバックアップをスタンドアロンOracle Key Vaultサーバーにリストアする場合、Oracle Key Vault上のデータベースのglobal_nameは、バックアップが作成されたクラスタ・ノードのglobal_nameに応じて、DBFWDB.DBFWDBまたはDBFWDB_HA2.DBFWDBのいずれかになります。global_nameがDBFWDB_HA2.DBFWDBで、スタンドアロンOracle Key Vaultサーバーがクラスタ・ノードに変換される場合、global_nameの不一致が原因で、読取り/書込みピア・ノードを正常に追加できません。グローバル名は、バージョン18.4以上では、バックアップのリストア時に修正されますが、バックアップが下位バージョンで作成およびリストアされた場合、18.4以上にアップグレードした後でも問題は解消されません。
global_nameがDBFWDB_HA2.DBFWDBであることを確認するためのものです。このselect文で返されたglobal_nameがDBFWDB_HA2.DBFWDBでない場合、またはサーバーがすでにクラスタ・ノードに変換されている場合は、global_nameの更新を続行しないでください。ssh support@Oracle_Key_Vault_IP_address
su - root
su - oracle
/var/lib/oracle/dbfw/bin/sqlplus / as sysdba
select global_name from global_name;
alter database rename global_name to DBFWDB.DBFWDB;バグ番号: 31241245
親トピック: マルチマスター・クラスタの問題
1.3.4.9 サーバー証明書のローテーション後にクラスタ・サービス・ステータスが停止になる
問題: サーバー証明書をローテーションすると、証明書を置換するために複数のプロセスが停止します。ただし、通常の状況では、停止後すぐに再起動されます。証明書のローテーション中またはその後、「Monitoring」ページの「Cluster」タブで、1つ以上のクラスタ・サービスが稼働していないことを示す下向き矢印が「Cluster Services Status」に表示されることがあります。これにより、このノードとの間でのレプリケーションが中断します。数分を超えて解消されない場合、このバグが発生した可能性があります。
回避策: この問題が発生した場合は、「Monitoring」ページの「Restart Cluster Services」ボタンをクリックして、クラスタ・サービスの再起動を試行します。数分後、ページをリフレッシュします。「Cluster Services Status」に赤い下向き矢印がまだ表示される場合は、Oracleサポートに問い合せてください。
バグ番号: 31371440
親トピック: マルチマスター・クラスタの問題
1.3.4.10 バックアップの実行中にクラスタの最初のノードを作成しようとすると、再起動するまでUIが使用できなくなる
問題: スタンドアロンのOracle Key Vaultサーバーをマルチマスター・クラスタの最初のノードに変換するとき、現在進行中のバックアップがある場合、2つの操作間の相互作用によってユーザー・インタフェースが正しく動作しなくなり、両方の操作が失敗することがあります。その後、ユーザー・インタフェースに移動するとログイン・ページが表示されますが、ログインしようとすると失敗し、最終的に「Server Error 500」メッセージが表示されます。
回避策: この問題が発生した場合は、Oracle Key Vaultサーバーを再起動する必要があります。これにより、再度ログインできるようになります。必要に応じて、バックアップおよびクラスタ・ノードへの変換を再試行できます。
バグ番号: 31891079
親トピック: マルチマスター・クラスタの問題
1.4.1 Oracle TDEとOracle Key Vaultの統合
使用しているOracle DatabaseのバージョンおよびTDEの機能によっては、スムーズな運用のためにOracleデータベースにパッチ適用する必要がある場合があります。
MOS-NOTEのドキュメントID 2535751.1を参照して、使用しているデプロイメントにデータベース・パッチが必要かどうかを確認します。
MOS-NOTEには、Oracle Key Vaultをキーストアとして使用するように構成されたOracle Database Transparent Data Encryption (TDE)機能の既知の問題がリストされています。このドキュメントには問題を解決するための修正もリストされており、Oracle Database TDEとOracle Key Vaultをよりスムーズに統合できます。問題は、不具合、簡略化された操作によるユーザーの負荷の軽減、またはTDEとOKVの統合の改善です。このドキュメントは、データベース管理者、およびOracle Key Vaultを使用してTDEマスター・キーを管理する担当のユーザーを対象としています。
親トピック: Oracle Key Vaultに関する考慮事項
1.4.2 レポートがマルチマスター・クラスタの監査レプリケーションの影響を受ける
ホームページのOracle Key Vaultのレポートおよび詳細は、Oracle Key Vault監査レコードから生成されます。監査レプリケーションがオフにされている場合、各ノードにはそのノードで行われた操作のレポートが表示されます。監査レプリケーションがオンにされている場合、各ノードにはクラスタのすべてのノードで行われた操作のレポートが表示されます。
監査レプリケーションをオフにして、Oracle Audit Vault and Database Firewall (AVDF)などのセキュリティ情報およびイベント管理(SIEM)ソリューションを使用して、すべてのノードから監査レコードを収集することをお薦めします。
親トピック: Oracle Key Vaultに関する考慮事項
1.4.3 マルチマスター・クラスタでの更新は単一インスタンスでの更新より遅い
マルチマスター・クラスタの更新ではオブジェクトの存在がチェックされることがあり、クラスタ内のすべてのノードがスキャンされて更新操作が遅くなります。時間はクラスタ内のノード数に比例して増加します。更新は完了までに数分かかることがあります。
TDEマスター暗号化キーの設定およびローテーションが、更新操作の例です。
親トピック: Oracle Key Vaultに関する考慮事項
1.5 サポートされるデータベースのバージョン
次のバージョンのOracle Databaseは、Oracle Key Vault 18.6でサポートされます。
- 互換性パラメータを11.2に設定したOracle DB 11.2
- 互換性パラメータを11.2に設定したOracle DB 12.1
- Oracle DB 12.2
- Oracle DB 18c
- Oracle DB 19c
親トピック: リリース・ノート
1.6 リリース18.6に含まれているクリティカル・パッチ更新
Oracle Key Vaultリリース18.6では、Oracle Database 18 (18.12 DB RU)の2020年10月のリリース・アップデートを組み込むために、基盤となるインフラストラクチャが更新されました。詳細についてはサインインしてください。
https://www.oracle.com/security-alerts/cpuoct2020.html
Oracle Key Vaultリリース18.6には、JavaおよびOracle Linux (OL)オペレーティング・システムのセキュリティおよび安定性に関する修正も含まれています。
親トピック: リリース・ノート
1.7 ドキュメントのアクセシビリティについて
Oracleのアクセシビリティについての詳細情報は、Oracle Accessibility ProgramのWeb サイト(http://www.oracle.com/pls/topic/lookup?ctx=acc&id=docacc)を参照してください。
Oracleサポートへのアクセス
サポートをご契約のお客様には、My Oracle Supportを通して電子支援サービスを提供しています。詳細情報はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=infoか、聴覚に障害のあるお客様はhttp://www.oracle.com/pls/topic/lookup?ctx=acc&id=trsを参照してください。
親トピック: リリース・ノート
Oracle Key Vaultリリース・ノート, リリース18.6
F40164-02
2021年3月
Copyright © 2014, 2021, Oracle and/or its affiliates.
このソフトウェアおよび関連ドキュメントの使用と開示は、ライセンス契約の制約条件に従うものとし、知的財産に関する法律により保護されています。ライセンス契約で明示的に許諾されている場合もしくは法律によって認められている場合を除き、形式、手段に関係なく、いかなる部分も使用、複写、複製、翻訳、放送、修正、ライセンス供与、送信、配布、発表、実行、公開または表示することはできません。このソフトウェアのリバース・エンジニアリング、逆アセンブル、逆コンパイルは互換性のために法律によって規定されている場合を除き、禁止されています。
ここに記載された情報は予告なしに変更される場合があります。また、誤りが無いことの保証はいたしかねます。誤りを見つけた場合は、オラクル社までご連絡ください。
このソフトウェアまたは関連ドキュメントを、米国政府機関もしくは米国政府機関に代わってこのソフトウェアまたは関連ドキュメントをライセンスされた者に提供する場合は、次の通知が適用されます。
米国政府機関エンド・ユーザー: オラクル社のプログラム(オペレーティング・システム、統合ソフトウェア、提供されたハードウェアに対して組み込まれたか、インストールされたか、アクティブ化されたプログラム、およびそのようなプログラムの変更版など)、およびオラクル社によるコンピュータ・ドキュメント、または米国政府機関エンド・ユーザーに提供されたかそれらがアクセスしたその他のOracleデータは、適用可能な連邦政府調達規則および政府機関固有の補足規則に準拠した「商用コンピュータ・ソフトウェア」または「商用コンピュータ・ソフトウェア・ドキュメント」です。As such, the use, reproduction, duplication, release, display, disclosure, modification, preparation of derivative works, and/or adaptation of i) Oracle programs (including any operating system, integrated software, any programs embedded, installed or activated on delivered hardware, and modifications of such programs), ii) Oracle computer documentation and/or iii) other Oracle data, is subject to the rights and limitations specified in the license contained in the applicable contract.The terms governing the U.S. Government’s use of Oracle cloud services are defined by the applicable contract for such services.No other rights are granted to the U.S. Government.
このソフトウェアもしくはハードウェアは様々な情報管理アプリケーションでの一般的な使用のために開発されたものです。このソフトウェアもしくはハードウェアは、危険が伴うアプリケーション(人的傷害を発生させる可能性があるアプリケーションを含む)への用途を目的として開発されていません。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用する際、安全に使用するために、適切な安全装置、バックアップ、冗長性(redundancy)、その他の対策を講じることは使用者の責任となります。このソフトウェアもしくはハードウェアを危険が伴うアプリケーションで使用したことに起因して損害が発生しても、オラクル社およびその関連会社は一切の責任を負いかねます。
OracleおよびJavaはOracle Corporationおよびその関連企業の登録商標です。その他の名称は、それぞれの所有者の商標または登録商標です。
Intel、Intel Insideは、Intel Corporationの商標または登録商標です。すべてのSPARCの商標はライセンスをもとに使用し、SPARC International, Inc.の商標または登録商標です。AMD、Epyc、AMDロゴは、Advanced Micro Devices, Inc.の商標または登録商標です。UNIXはThe Open Groupの登録商標です。
このソフトウェアまたはハードウェア、そしてドキュメントは、第三者のコンテンツ、製品、サービスへのアクセス、あるいはそれらに関する情報を提供することがあります。適用されるお客様とOracle Corporationとの間の契約に別段の定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスに関して一切の責任を負わず、いかなる保証もいたしません。適用されるお客様とOracle Corporationとの間の契約に定めがある場合を除いて、Oracle Corporationおよびその関連会社は、第三者のコンテンツ、製品、サービスへのアクセスまたは使用によって損失、費用、あるいは損害が発生しても一切の責任を負いかねます。