Dell Encryption
Administrator-Dienstprogramme
Anmerkungen, Vorsichtshinweise und Warnungen
ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen
können.
VORSICHT: Ein VORSICHTSHINWEIS macht darauf aufmerksam, dass bei Nichtbefolgung von Anweisungen eine Beschädigung
der Hardware oder ein Verlust von Daten droht, und zeigt auf, wie derartige Probleme vermieden werden können.
WARNUNG: Durch eine WARNUNG werden Sie auf Gefahrenquellen hingewiesen, die materielle Schäden, Verletzungen oder
sogar den Tod von Personen zur Folge haben können.
© 2018 Dell Inc. Alle Rechte vorbehalten.Dell, EMC und andere Marken sind Marken von Dell Inc. oder deren
Tochtergesellschaften. Andere Marken können Marken ihrer jeweiligen Inhaber sein.
In den Dokumenten zu Dell Encryption, Endpoint Security Suite Pro, Endpoint Security Suite Enterprise und Data Guardian verwendete
eingetragene Marken und Marken: DellTM und das Logo von Dell, Dell PrecisionTM, OptiPlexTM, ControlVaultTM, LatitudeTM, XPS® und
KACETM sind Marken von Dell Inc. Cylance®, CylancePROTECT und das Cylance Logo sind eingetragene Marken von Cylance, Inc. in den
USA. und anderen Ländern. McAfee® und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, Inc. in den USA und
anderen Ländern. Intel®, Pentium®, Intel Core Inside Duo®, Itanium®, und Xeon® sind eingetragene Marken der Intel Corporation in den
USA und anderen Ländern. Adobe®, Acrobat® und Flash® sind eingetragene Marken von Adobe Systems Incorporated. Authen Tec® und
Eikon® sind eingetragene Marken von Authen Tec. AMD® ist eine eingetragene Marke von Advanced Micro Devices, Inc. Microsoft®,
Windows® und Windows Server®, Internet Explorer®, MS-DOS®, Windows Vista®, MSN®, ActiveX®, Active Directory®, Access®,
ActiveSync®, BitLocker®, BitLocker To Go®, Excel®, Hyper-V®, Silverlight®, Outlook®, PowerPoint®, OneDrive®, SQL Server®, und
Visual C++® sind entweder Marken oder eingetragene Marken von Microsoft Corporation in den USA und/oder anderen Ländern.
VMware® ist eine eingetragene Marke oder eine Marke von VMware, Inc. in den USA oder anderen Ländern. Box® ist eine eingetragene
Marke von Box. DropboxSM ist eine Dienstleistungsmarke von Dropbox, Inc. GoogleTM, AndroidTM, GoogleTM ChromeTM, GmailTM,
YouTube® und GoogleTM Play sind entweder Marken oder eingetragene Marken von Google Inc. in den Vereinigten Staaten oder anderen
Ländern. Apple®, Aperture®, App StoreSM, Apple Remote DesktopTM, Apple TV®, Boot CampTM, FileVaultTM, iCloud®SM, iPad®,
iPhone®, iPhoto®, iTunes Music Store®, Macintosh®, Safari® und Siri® sind entweder Dienstleistungsmarken, Marken oder eingetragene
Marken von Apple, Inc. in den Vereinigten Staaten oder anderen Ländern. GO ID®, RSA® und SecurID® sind eingetragene Marken von Dell
EMC. EnCaseTM™ und Guidance Software® sind entweder Marken oder eingetragene Marken von Guidance Software. Entrust® ist eine
eingetragene Marke von Entrust®, Inc. in den USA und anderen Ländern. InstallShield® ist eine eingetragene Marke von Flexera Software
in den USA, China, der EU, Hong Kong, Japan, Taiwan und Großbritannien. Micron® und RealSSD® sind eingetragene Marken von Micron
Technology, Inc. in den USA und anderen Ländern. Mozilla® Firefox® ist eine eingetragene Marke von Mozilla Foundateion in den USA
und/oder anderen Ländern. iOS® ist eine Marke oder eingetragene Marke von Cisco Systems, Inc. in den USA und bestimmten anderen
Ländern und wird in Lizenz verwendet. Oracle® und Java® sind eingetragene Marken von Oracle und/oder seinen Tochtergesellschaften.
Andere Namen können Marken ihrer jeweiligen Inhaber sein. SAMSUNGTM™ ist eine Marke von SAMSUNG in den USA oder anderen
Ländern. Seagate® ist eine eingetragene Marke von Seagate Technology LLC in den USA und/oder anderen Ländern. Travelstar® ist eine
eingetragene Marke von HGST, Inc. in den USA und anderen Ländern. UNIX® ist eine eingetragene Marke von The Open Group.
VALIDITYTM™ ist eine Marke von Validity Sensors, Inc. in den USA und anderen Ländern. VeriSign® und andere zugehörige Marken sind
Marken oder eingetragene Marken von VeriSign, Inc. oder seinen Tochtergesellschaften und verbundenen Unternehmen in den USA und
anderen Ländern und werden von der Symantec Corporation in Lizenz verwendet. KVM on IP® ist eine eingetragene Marke von Video
Products. Yahoo!® ist eine eingetragene Marke von Yahoo! Inc. Dieses Produkt verwendet Teile des Programms 7-Zip. Der Quellcode ist
unter 7-zip.org verfügbar. Die Lizenzierung erfolgt gemäß der GNU LGPL-Lizenz und den unRAR-Beschränkungen (7-zip.org/license.txt).
Administrator-Dienstprogramme
2017 - 08
Rev. A01
Inhaltsverzeichnis
1 Einleitung....................................................................................................................................................... 4
Kontaktaufnahme mit dem Dell ProSupport...................................................................................................................4
2 Administrator-Download-Dienstprogramm (CMGAd).....................................................................................5
Verwenden des forensischen Modus...............................................................................................................................5
Verwenden des Admin-Modus......................................................................................................................................... 6
3 Administrator-Ausführungsdienstprogramm (CMGAlu)..................................................................................7
Verwenden des forensischen Modus...............................................................................................................................7
Syntax des forensischen Modus.................................................................................................................................7
Verwenden des Admin-Modus......................................................................................................................................... 8
Syntax des Admin-Modus...........................................................................................................................................8
Verwenden des Sicherungsdateimodus.......................................................................................................................... 9
Syntax des Sicherungsdateimodus............................................................................................................................ 9
4 Administrator-Entsperrungsdienstprogramm (CMGAu)................................................................................10
Oine Arbeiten mit einer bereits heruntergeladenen Datei........................................................................................ 10
Ausführen von „Jetzt Herunterladen“ im forensischen Modus.................................................................................. 10
Ausführen von „Jetzt herunterladen“ im Admin-Modus.............................................................................................. 11
Administrator-Dienstprogramme
Inhaltsverzeichnis
3
Einleitung
Dieses Dokument beschreibt Dienstprogramme zum Abrufen des Verschlüsselungsschlüssels und zum Zugri auf Dateien. Die
Dienstprogramme bieten die folgenden Funktionen:
Schlüssel herunterladen – Mit CMGAd können Administratoren Schlüsseldatenpakete zur Verwendung auf einem Computer
herunterladen, der nicht mit einem Server verbunden ist.
Jobs starten – Der Befehl CMGAlu erlaubt es Administratoren, während eines laufenden Prozesses benutzer- oder allgemein
verschlüsselte Dateien auf einem Computer zu entsperren.
Dateien entsperren – Der Befehl CMGAu gewährt Administratoren Zugri auf benutzer-, allgemein oder mit SDE verschlüsselte Dateien
auf einem Slave-Laufwerk, einem Computer, der in einer vorinstallierten Umgebung hochgefahren wurde, oder einem Computer, bei dem
kein aktivierter Benutzer angemeldet ist.
Kontaktaufnahme mit dem Dell ProSupport
Telefonischen Support rund um die Uhr für Ihr Dell Produkt erhalten Sie unter der Rufnummer 877-459-7304, Durchwahl 4310039.
1
Zusätzlich steht Ihnen unser Online-Support für Dell Produkte unter dell.com/support zur Verfügung. Der Online-Support enthält Treiber,
Handbücher, technische Ratgeber, FAQs und eine Beschreibung festgestellter Probleme.
Halten Sie bei Ihrem Anruf Ihren Service Code bereit, damit wir Sie schneller mit dem richtigen Ansprechpartner für Ihr technisches
Problem verbinden können.
Telefonnummern außerhalb der Vereinigten Staaten nden Sie unter Dell ProSupport – Internationale Telefonnummern.
4 Administrator-Dienstprogramme
Einleitung
Administrator-Download-Dienstprogramm
(CMGAd)
Mit diesem Dienstprogramm können Sie Schlüsseldatenpakete zur Verwendung auf einem Computer herunterladen, der nicht mit einem
Dell Server verbunden ist. Diese Oine-Pakete können von den Administrator-Dienstprogrammen verwendet werden.
Je nachdem, welche Befehlszeilenparameter an die Anwendung übergeben werden, verwendet das Dienstprogramm eine der folgenden
Methoden zum Herunterladen von Schlüsselpaketen:
• Forensischer Modus – wird bei Ausführung des Befehlszeilenparameters -f verwendet oder wenn kein Befehlszeilenparameter
verwendet wird.
• Admin-Modus – wird bei Ausführung des Befehlszeilenparameters -a verwendet.
Die Protokolldateien benden sich unter C:\ProgramData\CmgAdmin.log
Verwenden des forensischen Modus
2
1 Doppelklicken Sie auf cmgad.exe beim Start des Dienstprogramms oder önen Sie eine Eingabeauorderung, wo sich CMGAd
bendet, und geben Sie
2 Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
Parameter für den forensischen
Modus
URL des Geräteservers: Vollständig qualizierte URL des Security Servers (Device Servers). Das Format lautet: https://
Dell Admin: Name des Administrators mit forensischen Zugrisrechten, z. B. „hschmidt“ (aktiviert in der
Passwort Passwort des forensischen Administrators.
MCID Rechner-ID, z. B. rechnerID.domain.com
DCID Die ersten acht Stellen der 16-stelligen Shield-ID.
TIPP:
In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind, empehlt es sich,
beide einzugeben. Jeder Parameter enthält verschiedene Informationen, die von diesem Dienstprogramm verwendet werden.
cmgad.exe -f (oder cmgad.exe) ein.
Beschreibung
securityserver.domain.com:8443/xapi/.
Bei älteren Versionen als Dell Server v7.7 gilt das Format https://deviceserver.domain.com:8081/
xapi (andere Portnummer, ohne den nachfolgenden Schrägstrich).
Verwaltungskonsole)
Klicken Sie auf Weiter.
3 Geben Sie unter Passphrase eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss mindestens acht
Zeichen enthalten, darunter mindestens einen Buchstaben und eine Zier. Bestätigen Sie die Passphrase.
Administrator-Dienstprogramme
Administrator-Download-Dienstprogramm (CMGAd)
5
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Klicken Sie anschließend auf Fertig stellen.
Verwenden des Admin-Modus
Der Security Management Server Virtual verwendet den Key Server nicht, d. h. im Admin-Modus kann kein Schlüsselpaket über den
Security Management Server Virtual abgerufen werden. Verwenden Sie den forensischen Modus, um das Schlüsselpaket zu erhalten, wenn
der Client auf einem Security Management Server Virtual aktiviert ist.
1 Önen Sie am Speicherort von CMGAd eine Befehlseingabe, und geben Sie cmgad.exe -a ein.
2 Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
Parameter für den AdminModus
Server: Vollständig qualizierter Hostname des Key Servers, z. B. „keyserver.domain.com“
Portnummer Der Standardport ist 8050.
Server-Konto Der Domänenbenutzer, unter dem der Key Server ausgeführt wird. Das Format lautet DOMÄNE
Beschreibung
\Benutzername. Der Domänenbenutzer, der das Dienstprogramm ausführt, muss über die
Berechtigung zum Download vom Key Server verfügen.
MCID Rechner-ID, z. B. rechnerID.domain.com
DCID Die ersten acht Stellen der 16-stelligen Shield-ID.
TIPP:
In der Regel genügt es, entweder die MCID oder die DCID anzugeben. Wenn jedoch beide Werte bekannt sind, empehlt es sich,
beide einzugeben. Jeder Parameter enthält verschiedene Informationen, die von diesem Dienstprogramm verwendet werden.
Klicken Sie auf Weiter.
3 Geben Sie unter Passphrase eine Passphrase ein, um die heruntergeladene Datei zu schützen. Die Passphrase muss mindestens acht
Zeichen enthalten, darunter mindestens einen Buchstaben und eine Zier.
Bestätigen Sie die Passphrase.
Akzeptieren Sie entweder die Standardwerte für Dateinamen und Speicherort oder klicken Sie auf …, um einen anderen Speicherort
auszuwählen.
Klicken Sie auf Weiter.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Klicken Sie anschließend auf Fertig stellen.
Administrator-Dienstprogramme
6
Administrator-Download-Dienstprogramm (CMGAd)
3
Administrator-Ausführungsdienstprogramm
(CMGAlu)
Dieses Dienstprogramm erlaubt es Administratoren, während eines laufenden Prozesses benutzer- oder allgemein verschlüsselte Dateien
auf einem Computer zu entsperren.
Mit diesem Dienstprogramm können Aufträge über eine Management Console gestartet werden. Das Dienstprogramm muss auf den
Zielcomputer kopiert werden. Jeder Auftrag, für den der Zugri auf benutzer- oder allgemein verschlüsselte Dateien erforderlich ist, wird so
geändert, dass er die Befehlszeile für den Management-Auftrag an das Dienstprogramm übergibt und dieses so ausführt. Nach Abschluss
des Prozesses wird auch das Dienstprogramm beendet.
Je nachdem, welche Befehlszeilenparameter an die Anwendung übergeben werden, verwendet das Dienstprogramm eine der folgenden
Methoden zum Entsperren von Dateien:
• Forensischer Modus – wird bei Ausführung des Befehlszeilenparameters -f verwendet oder wenn kein Parameter an die Befehlszeile
weitergeleitet wird.
• Admin-Modus – wird bei Ausführung des Befehlszeilenparameters -k verwendet.
• Sicherungsdateimodus – wird bei Ausführung des Befehlszeilenparameters -b verwendet.
Die Protokolldateien benden sich unter C:\ProgramData\CmgAdmin.log
Verwenden des forensischen Modus
Syntax des forensischen Modus
CmgAlu -f -vX -aAdminName -AAdminPwd [-r] [-XURL [-dMCID] [-sSCID]] „Befehl“
Parameter für den forensischen Modus
-f Gibt an, dass der forensische Modus verwendet werden soll.
-vX X steht für die Protokollierungsebene. Die Protokollebene ist ein Wert von 0 bis 5 (0 = keine
Protokolle/5 = Debug-Ebene).
AdminPwd Passwort des forensischen Administrators.
AdminName Benutzername des Administrators mit den forensischen Administrator-
Anmeldeinformationen
-r Weist das Dienstprogramm an, die URL des Device Servers und die MCID (bzw. SCID) des
Computers aus der Registrierung zu laden.
Beschreibung
Wenn „–r“ nicht angegeben wurde, müssen die URL des Servers und die MCID (bzw.
SCID) angegeben werden.
URL Vollständige URL des Geräteservers
Administrator-Ausführungsdienstprogramm (CMGAlu)
Administrator-Dienstprogramme
7
Parameter für den forensischen Modus Beschreibung
Bei älteren Versionen als Dell Server v7.7 gilt das Format https://deviceserver.domain.com:
8081/xapi.
Bei Versionen ab Dell Server v7.7 gilt das Format https://deviceserver.domain.com:8443/
xapi/.
MCID Geräte-ID für das zu entsperrende Gerät.
MCID wird auch als eindeutige Geräte-ID oder Hostname bezeichnet.
SCID Shield-ID für das zu entsperrende Gerät.
SCID wird auch als DCID oder Wiederherstellungs-ID bezeichnet.
-? Befehlszeilenhilfe.
Verwenden des Admin-Modus
Syntax des Admin-Modus
CmgAlu -k -vX -aServerPrincipal -pPort [-r] [-XServer [-dMCID] [-sSCID]] „Befehl“
Parameter für den Admin-Modus
-k Gibt an, dass der Kerberos (Admin-Modus) verwendet werden soll. Für CmgAlu muss die k-Kennzeichnung im Admin-Modus arbeiten.
-vX X steht für die Protokollierungsebene. Die Protokollebene ist ein Wert von 0 bis 5 (0 = keine
Protokolle/5 = Debug-Ebene).
ServerPrincipal Das AD-Konto (Domänenkonto), unter dem der Key Server ausgeführt wird.
Port Der TCP-Port für die Verbindung zum Key Server.
Server Name/IP-Adresse des Key Server.
-r Weist das Dienstprogramm an, den Namen des Key Server und die MCID (bzw. SCID) des
Computers aus der Registrierung zu laden.
Wenn –r nicht übergeben wird, müssen der Name des Key Server und die MCID (bzw.
SCID) angegeben werden.
MCID Geräte-ID für das zu entsperrende Gerät.
MCID wird auch als eindeutige Geräte-ID oder Hostname bezeichnet.
SCID Shield-ID für das zu entsperrende Gerät.
SCID wird auch als DCID oder Wiederherstellungs-ID bezeichnet.
Beschreibung
-? Befehlszeilenhilfe.
8 Administrator-Dienstprogramme
Administrator-Ausführungsdienstprogramm (CMGAlu)
Verwenden des Sicherungsdateimodus
Syntax des Sicherungsdateimodus
CmgAlu -vX -b"FilePath" -ABackupPwd „Befehl“
Parameter für den Sicherungsdateimodus Beschreibung
-vX X steht für die Protokollierungsebene. Die Protokollebene ist ein Wert von 0 bis 5 (0 = keine
Protokolle/5 = Debug-Ebene).
-b"FilePath" Der Dateisystempfad zur Sicherungsdatei; dabei handelt es sich in der Regel entweder um
eine LSA-Wiederherstellungsdatei oder eine Ausgabedatei, die von CMGAd
heruntergeladen wurden.
-BackupPwd Das Passwort, das für die Erstellung der Sicherungsdatei verwendet wurde.
-? Befehlszeilenhilfe.
Administrator-Dienstprogramme
Administrator-Ausführungsdienstprogramm (CMGAlu)
9
Administrator-Entsperrungsdienstprogramm
(CMGAu)
Dieses Dienstprogramm gewährt Zugri auf benutzer-, allgemein oder mit SDE verschlüsselte Dateien auf einem Slave-Laufwerk, einem
Computer, der in einer vorinstallierten Umgebung hochgefahren wurde, oder einem Computer, bei dem kein aktivierter Benutzer
angemeldet ist.
Dieses Dienstprogramm verwendet die folgende Methode zum Herunterladen eines Schlüsseldatenpakets:
• Forensischer Modus – wird bei Ausführung des Befehlszeilenparameters -f verwendet oder wenn kein Befehlszeilenparameter
verwendet wird.
• Admin-Modus – wird bei Ausführung des Befehlszeilenparameters -a verwendet.
Die Protokolldateien benden sich unter C:\ProgramData\CmgAdmin.log
Oine Arbeiten mit einer bereits heruntergeladenen
4
Datei
Wenn Sie mit einer bereits heruntergeladenen Datei oine arbeiten, funktioniert CMGAu ungeachtet des Startverfahrens wie gewohnt. Der
Ablauf ist immer gleich, egal, ob Sie das Dienstprogramm per Doppelklick auf die EXE-Datei, ohne Programmschalter in einer Befehlszeile
oder unter Verwendung des -f-Programmschalters in der Befehlszeile starten.
1 Önen Sie am Speicherort von CMGAu eine Befehlseingabe und geben Sie cmgau.exe ein.
2 Wählen Sie Ja, mit bereits heruntergeladener Datei oine arbeiten aus. Klicken Sie auf Weiter >.
3 Wählen Sie unter Heruntergeladene Datei den Speicherort der gespeicherten Schlüsseldaten aus. Diese Datei wurde beim Verwenden
des Administrator-Download-Dienstprogramms gespeichert.
Geben Sie unter Passphrase die Passphrase ein, mit der die Schlüsseldaten geschützt wurden. Diese Passphrase wurde beim
Verwenden des Administrator-Download-Dienstprogramms eingerichtet.
Klicken Sie auf Weiter >.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Wenn Sie die Bearbeitung der verschlüsselten Dateien abgeschlossen haben, klicken Sie auf Fertig stellen. Nachdem Sie auf
Fertigstellen geklickt haben, sind die verschlüsselten Dateien nicht mehr verfügbar.
Ausführen von „Jetzt Herunterladen“ im forensischen Modus
1 Önen Sie am Speicherort von CMGAu eine Befehlseingabe und geben Sie cmgau.exe ein.
2 Wählen Sie Nein, Download von einem Server jetzt durchführen. Klicken Sie auf Weiter >.
3 Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
10 Administrator-Dienstprogramme
Administrator-Entsperrungsdienstprogramm (CMGAu)
Option Beschreibung
Device Server-URL: Vollständige URL des Geräteservers.
Bei älteren Versionen als Dell Server v7.7 gilt das Format https://deviceserver.domain.com:8081/xapi.
Bei Versionen ab Dell Server v7.7 gilt das Format https://deviceserver.domain.com:8443/xapi/.
Dell Admin: Name des Administrators mit forensischen Zugrisrechten, z. B. „hschmidt“ (aktiviert in der Verwaltungskonsole)
Passwort: Passwort des forensischen Administrators.
MCID: Rechner-ID, z. B. rechnerID.domain.com
DCID: Die ersten acht Stellen der 16-stelligen Shield-ID.
Klicken Sie auf
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Wenn Sie die Bearbeitung der verschlüsselten Dateien abgeschlossen haben, klicken Sie auf Fertig stellen. Nachdem Sie auf
Fertigstellen
Weiter >.
geklickt haben, sind die verschlüsselten Dateien nicht mehr verfügbar.
Ausführen von „Jetzt herunterladen“ im AdminModus
1 Önen Sie am Speicherort von CMGAu eine Befehlseingabe und geben Sie cmgau.exe -a ein.
2 Wählen Sie Nein, Download von einem Server durchführen. Klicken Sie auf Weiter >.
3 Geben Sie die folgenden Informationen ein (einige Felder sind möglicherweise bereits ausgefüllt).
Parameter für den AdminModus
Server: Vollständig qualizierter Hostname des Key Servers, z. B. keyserver.domain.com
Portnummer: Der Standardport ist 8050.
Serverkonto: Der Domänenbenutzer, unter dem der Key Server ausgeführt wird. Das Format lautet DOMÄNE
MCID: Rechner-ID, z. B. rechnerID.domain.com
DCID: Die ersten acht Stellen der 16-stelligen Shield-ID.
Beschreibung
\Benutzername. Der Domänenbenutzer, der das Dienstprogramm ausführt, muss über die Berechtigung
zum Download vom Key Server verfügen.
Klicken Sie auf Weiter >.
Eine Meldung zeigt an, dass die Schlüsseldaten erfolgreich entsperrt wurden. Die Dateien sind jetzt frei zugänglich.
4 Wenn Sie die Bearbeitung der verschlüsselten Dateien abgeschlossen haben, klicken Sie auf Fertig stellen. Nachdem Sie auf
Fertigstellen
geklickt haben, sind die verschlüsselten Dateien nicht mehr verfügbar.
Administrator-Dienstprogramme
Administrator-Entsperrungsdienstprogramm (CMGAu)
11
Loading...