Voorbereidingen voor het implementeren van DPM-servers
Belangrijk
Deze versie van Data Protection Manager (DPM) heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar DPM 2022.
Er zijn enkele planningsstappen die u moet overwegen voordat u begint met het implementeren van uw DPM-servers (System Center Data Protection Manager):
Plannen voor DPM-serverimplementatie: bepaal hoeveel DPM-servers u nodig hebt en waar u deze wilt plaatsen.
Firewallinstellingen plannen: krijg informatie over firewall-, poort- en protocolinstellingen op de DPM-server, beveiligde machines en een externe SQL Server als u er een instelt.
Gebruikersmachtigingen verlenen: geef op wie kan communiceren met DPM.
Plannen voor DPM-serverimplementaties
Bepaal eerst hoeveel servers u nodig hebt:
Met DPM kunnen maximaal 600 volumes worden beveiligd. Om dit maximum aantal te kunnen beveiligen, heeft DPM 120 TB per DPM-server nodig.
Maximaal 2000 databases kunnen worden beveiligd door één DPM-server (aanbevolen schijfgrootte 80 TB).
Eén DPM-server kan tot 3000 clientcomputers en 100 servers beveiligen.
- Voor het plannen van DPM-servercapaciteit kunt u de DPM-opslagcalculators gebruiken. Deze rekenmachines zijn Excel-bladen en zijn specifiek voor de werkbelasting. Ze begeleiden het aantal vereiste DPM-servers, processorkern, RAM, aanbevelingen voor virtueel geheugen en vereiste opslagcapaciteit. Omdat deze rekenmachines workloadspecifiek zijn, moet u de aanbevolen instellingen combineren en overwegen in combinatie met de systeemvereisten en uw specifieke bedrijfstopologie en vereisten, waaronder gegevensbron- en opslaglocaties, nalevings- en SLA-vereisten en behoeften voor herstel na noodgevallen. De rekenmachines zijn voor DPM 2010 uitgebracht, maar blijven relevant voor nieuwere versies van DPM.
Vervolgens bepaalt u waar u de servers wilt plaatsen:
DPM moet worden geïmplementeerd in een Active Directory-domein (Windows Server 2008 of hoger).
Bij het bepalen van de locatie van uw DPM-server, moet u rekening houden met de netwerkbandbreedte tussen de DPM-server en de beveiligde computers. Als u gegevens beschermt via een WAN (wide area network), is een minimale netwerkbandbreedte van 512 kilobits per seconde (Kbps) vereist.
DPM ondersteunt teamnetwerkadapters (NIC's). Gekoppelde NIC's zijn meerdere fysieke adapters die zijn geconfigureerd om te worden behandeld als een enkele adapter door het besturingssysteem. Gekoppelde NIC's bieden meer bandbreedte door de beschikbare bandbreedte te combineren, waarbij elke adapter wordt gebruikt en failover naar de resterende adapter wanneer een adapter uitvalt. DPM kan gebruikmaken van de verhoogde bandbreedte die wordt bereikt met behulp van een teamadapter op de DPM-server.
Een andere overweging voor de locatie van uw DPM-servers is de noodzaak om tapes en tapewisselaars handmatig te beheren, zoals het toevoegen van nieuwe tapes aan de bibliotheek of het verwijderen van tapes voor een extern archief.
Een DPM-server kan resources binnen een domein of tussen domeinen binnen een forest beveiligen die een tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt. Als er geen tweerichtingsvertrouwensrelatie tussen domeinen is, hebt u een afzonderlijke DPM-server voor elk domein nodig. Een DPM-server kan gegevens in forests beveiligen als er een tweerichtingsvertrouwensrelatie op forestniveau tussen de forests is.
Bekijk de netwerkbandbreedte tussen de DPM-server en de beveiligde computers. Als u gegevens beveiligt via een WAN, is er een minimale netwerkbandbreedte van 512 Kbps vereist. Houd er rekening mee dat DPM ondersteuning biedt voor gekoppelde NIC's die meer bandbreedte bieden door de beschikbare bandbreedte voor elke netwerkadapter te combineren met failover als een adapter uitvalt.
Firewallinstellingen en gebruikersmachtigingen plannen
Firewallinstellingen
Firewallinstellingen voor DPM-implementatie zijn vereist op de DPM-server op de computers die u wilt beveiligen en op de SQL Server die wordt gebruikt voor de DPM-database als u deze op afstand uitvoert. Als Windows Firewall is ingeschakeld wanneer u DPM installeert, worden de firewallinstellingen op de DPM-server automatisch geconfigureerd met de DPM-installatie. Deze firewallinstellingen worden samengevat in de volgende tabel.
| Locatie | Regel | Details | Protocol | Poort |
|---|---|---|---|---|
| DPM-server | System Center <versie> Data Protection Manager DCOM-instelling | Wordt gebruikt voor DCOM-communicatie tussen de DPM-server en beveiligde machines. | DCOM | 135/TCP dynamisch |
| DPM-server | System Center <version> Data Protection Manager | Uitzondering voor Msdpm.exe (de DPM-service). Wordt uitgevoerd op de DPM-server. | Alle protocollen | Alle poorten |
| DPM-server Beveiligde machines |
System Center <version> Data Protection Management Replication Agent | Uitzondering voor Dpmra.exe (beveiligingsagent die wordt gebruikt om back-ups van gegevens te maken en gegevens te herstellen). Wordt uitgevoerd op de DPM-server en beveiligde machines. | Alle protocollen | Alle poorten |
| Beveiligde machines | Een binnenkomende uitzondering configureren voor sqserv.exe | |||
| Beveiligde machines | DPM geeft opdracht aan de beveiligingsagent met DCOM-aanroepen naar de agent. U moet de bovenste poorten (1024-65535) openen om DPM te laten communiceren. | DCOM | 135/TCP dynamisch | |
| Beveiligde machines | Het DPM-gegevenskanaal is TCP. De DPM-server en de beveiligde computers initiëren een verbinding. DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719. | TCP | 5718/TCP 5719/TCP |
|
| Beveiligde machines | Wordt gebruikt voor hostnaamomzetting tussen DPM/beveiligde computer en de domeincontroller. | DNS | 53/UDP | |
| Beveiligde machines | Wordt gebruikt voor verificatie van het verbindingseindpunt, tussen DPM/beveiligde computer en de domeincontroller. | Kerberos | 88/UDP 88/TCP |
|
| Beveiligde machines | Wordt gebruikt voor query's tussen de DPM-server en de domeincontroller. | LDAP | 389/TCP 389/UDP |
|
| Beveiligde machines | Wordt gebruikt voor verschillende bewerkingen tussen 1) DPM en beveiligde computers, 2) DPM en de domeincontroller 3) beveiligde computers en de domeincontroller. Wordt ook gebruikt voor SMB die rechtstreeks wordt gehost op TCP/IP voor DPM-functies. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Externe SQL Server | Schakel TCP/IP in voor het DPM-exemplaar van SQL Server met het volgende: standaardcontrole op fouten; controle van wachtwoordbeleid inschakelen. | |||
| Externe SQL Server | Configureer een binnenkomende uitzondering voor sqservr.exe voor het DPM-exemplaar van SQL Server om TCP op poort 80 toe te staan. De rapportserver luistert naar HTTP-aanvragen op poort 80. | |||
| Externe SQL Server | Standaardexemplaar van database-engine luistert op TCP-poort 1443. Kan worden gewijzigd. Als u de SQL Server Browser-service wilt gebruiken om verbinding te maken op een niet-standaardpoort, stelt uDP-poort 1434 in. |
|||
| Externe SQL Server | Benoemd exemplaar van SQL Server gebruikt standaard dynamische poorten. Kan worden gewijzigd. | |||
| Externe SQL Server | RPC inschakelen |
Gebruikersmachtigingen toekennen
Voordat u begint met een DPM-implementatie, moet u controleren of de juiste gebruikers de vereiste bevoegdheden hebben gekregen om de verschillende taken uit te voeren. Deze worden samengevat in de volgende tabel.
| DPM-taak | Benodigde machtigingen |
|---|---|
| De DPM-server aan een domein toevoegen | Domeinbeheerdersaccount of gebruikersrecht om een werkstation toe te voegen aan het domein |
| DPM installeren | Beheerdersaccount op de DPM-server |
| Een DPM-beveiligingsagent installeren op een computer die u wilt beveiligen | Domeinaccount dat zich in de lokale beheerdersgroep op de computer bevindt |
| AD-schema uitbreiden om herstel door eindgebruikers mogelijk te maken | Schema beheerdersbevoegdheden voor het domein |
| AD-container maken om herstel door eindgebruikers mogelijk te maken | Beheerdersbevoegdheden domein |
| DPM-server toestemming geven om containerinhoud te wijzigen | Beheerdersbevoegdheden domein |
| Herstel door eindgebruikers op de DPM-server inschakelen | Beheerdersaccount op de DPM-server |
| Herstelpuntclientsoftware installeren op de beveiligde computer | Beheer-account op de computer |
| Toegang tot eerdere versies van beveiligde gegevens vanaf een beveiligde computer | Gebruikersaccount met toegang tot beveiligde share |
| SharePoint-gegevens herstellen | SharePoint-farmbeheerder die ook een beheerder is op de front-end webserver waarop de beveiligingsagent is geïnstalleerd. |
Notitie
DPM-server en beveiligde computer communiceren met behulp van DCOM. Tijdens de installatie van DPMRA wordt het account van de DPM-server toegevoegd aan de beveiligingsgroep Gedistribueerde COM-gebruikers op de beveiligde computer.
Voor de beveiliging van domeincontrollers worden Active Directory-beveiligingsgroepen gemaakt voor elk van de beveiligde domeincontrollers, met de namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME en DPMRATRUSTEDDPMRAS$DCNAME.