Przygotowanie do wdrożenia serwerów programu DPM
Przed rozpoczęciem wdrażania serwerów programu System Center Data Protection Manager (DPM) należy wziąć pod uwagę kilka kroków planowania:
Planowanie wdrożenia serwera programu DPM — określ, ile serwerów programu DPM będzie potrzebnych i gdzie je umieścić.
Planowanie ustawień zapory — uzyskaj informacje o ustawieniach zapory, portów i protokołów na serwerze programu DPM, chronionych maszynach oraz zdalnym serwerze SQL, jeśli go konfigurujesz.
Udzielanie uprawnień użytkownika — określ, kto może korzystać z programu DPM.
Planowanie wdrożenia serwera programu DPM
Najpierw określ liczbę potrzebnych serwerów:
Program DPM może chronić maksymalnie 600 woluminów. Aby chronić ten maksymalny rozmiar, program DPM potrzebuje 120 TB na jeden serwer DPM.
Pojedynczy serwer PROGRAMU DPM może chronić maksymalnie 2000 baz danych (zalecany rozmiar dysku 80 TB).
Pojedynczy serwer DPM może chronić maksymalnie 3000 komputerów użytkowników i 100 serwerów.
- Do planowania pojemności serwera DPM można użyć kalkulatorów pojemności magazynu DPM. Te kalkulatory są arkuszami programu Excel i są dostosowane do konkretnego obciążenia. Zawierają one wskazówki dotyczące liczby wymaganych serwerów programu DPM, rdzenia procesora, pamięci RAM, zaleceń dotyczących pamięci wirtualnej i wymaganej pojemności magazynu. Ponieważ te kalkulatory są specyficzne dla obciążenia, należy połączyć zalecane ustawienia i rozważyć je razem z wymaganiami systemowymi, topologią biznesową i specyficznymi dla firmy wymaganiami, w tym lokalizacjami źródeł danych i przechowywania, wymaganiami dotyczącymi zgodności z przepisami, umowami o poziom usług (SLA) oraz potrzebami związanymi z odzyskiwaniem po awarii. Należy pamiętać, że kalkulatory zostały wydane dla programu DPM 2010, ale pozostają istotne dla nowszych wersji programu DPM.
Następnie dowiesz się, jak zlokalizować serwery:
Program DPM musi zostać wdrożony w domenie usługi Active Directory (system Windows Server 2008 lub nowszy).
Podczas podejmowania decyzji, gdzie zlokalizować serwer programu DPM, należy wziąć pod uwagę przepustowość sieci między serwerem programu DPM a komputerami chronionymi. Jeśli dane mają być chronione w sieci rozległej (WAN), minimalna wymagana przepustowość sieci wynosi 512 kilobitów na sekundę (Kb/s).
Program DPM obsługuje karty sieciowe w trybie zespolonym. Zespołowe karty sieciowe to wiele kart fizycznych skonfigurowanych do traktowania jako pojedynczej karty przez system operacyjny. Połączone karty sieciowe zapewniają zwiększoną przepustowość, łącząc dostępną przepustowość każdej karty i przełączając się awaryjnie na pozostałą kartę w razie awarii. Program DPM może korzystać ze zwiększonej przepustowości osiągniętej przy użyciu scalowanego adaptera na serwerze DPM.
Inną kwestią dotyczącą lokalizacji serwerów programu DPM jest ręczne zarządzanie taśmami i bibliotekami taśm, takimi jak dodawanie nowych taśm do biblioteki lub usuwanie taśm dla archiwum poza siedzibą firmy.
Serwer programu DPM może chronić zasoby w domenie lub w domenach w lesie, które mają dwukierunkową relację zaufania z domeną, w której znajduje się serwer DPM. Jeśli nie istnieje dwukierunkowa relacja zaufania między domenami, potrzebujesz oddzielnego serwera DPM dla każdej domeny. Serwer programu DPM może chronić dane między lasami, jeśli między lasami istnieje dwukierunkowa relacja zaufania na poziomie lasu.
Należy wziąć pod uwagę przepustowość sieci między serwerem programu DPM a komputerami chronionymi. W przypadku ochrony danych za pośrednictwem sieci WAN wymagana jest minimalna przepustowość sieci wynosząca 512 KB/s. Należy pamiętać, że DPM obsługuje zespołowe karty sieciowe, które zapewniają zwiększoną przepustowość poprzez łączenie dostępnej przepustowości każdej karty sieciowej oraz zapewniają przełączenie awaryjne w przypadku awarii karty.
Planowanie ustawień zapory i uprawnień użytkownika
Ustawienia zapory
Ustawienia zapory dla wdrożenia programu DPM są wymagane na serwerze programu DPM, na maszynach, które chcesz chronić, oraz na serwerze SQL Używanym dla bazy danych programu DPM, jeśli używasz go zdalnie. Jeśli zapora systemu Windows jest włączona podczas instalowania programu DPM, instalator programu DPM automatycznie konfiguruje ustawienia zapory na serwerze DPM. Ustawienia zapory zostały podsumowane w poniższej tabeli.
| Lokalizacja | Reguła | Szczegóły | Protokół | Port |
|---|---|---|---|---|
| Serwer programu DPM | Ustawienie DCOM programu System Center Data Protection Manager <wersja> | Służy do komunikacji DCOM między serwerem programu DPM i chronionymi maszynami. | DCOM | 135/TCP (Dynamiczny) |
| Serwer programu DPM | Wersja programu< System Center >Data Protection Manager | Wyjątek dla programu Msdpm.exe (usługi programu DPM). Uruchamiany na serwerze DPM. | Wszystkie protokoły | Wszystkie porty |
| Serwer programu DPM Chronione maszyny |
Agent replikacji zarządzania ochroną danych w wersji< programu System Center > | Wyjątek dla Dpmra.exe (usługa agenta ochrony używana do tworzenia kopii zapasowych i przywracania danych). Działa na serwerze programu DPM i chronionych maszynach. | Wszystkie protokoły | Wszystkie porty |
| Chronione maszyny | Skonfiguruj wyjątek przychodzący dla sqserv.exe | |||
| Chronione maszyny | Program DPM wydaje polecenie agentowi ochrony poprzez wywołania DCOM do tego agenta. Aby program DPM komunikował się, musisz otworzyć górne porty (1024-65535). | DCOM | 135/TCP (dynamiczny) | |
| Chronione maszyny | Kanał danych programu DPM to TCP. Zarówno serwer programu DPM, jak i chronione maszyny inicjują połączenia. Program DPM komunikuje się z koordynatorem agentów przez port 5718 oraz z agentem ochrony przez port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Chronione maszyny | Służy do rozpoznawania nazw hostów między programem DPM/komputerem chronionym i kontrolerem domeny. | DNS | 53/UDP | |
| Chronione maszyny | Służy do uwierzytelniania punktu końcowego połączenia między programem DPM/komputerem chronionym i kontrolerem domeny. | Kerberos | 88/UDP 88/TCP |
|
| Chronione maszyny | Służy do obsługi zapytań między serwerem programu DPM a kontrolerem domeny. | LDAP | 389/TCP 389/UDP |
|
| Chronione maszyny | Używane w przypadku różnych operacji między 1) programem DPM i chronionymi maszynami, 2) programem DPM i kontrolerem domeny 3) Chronionymi maszynami i kontrolerem domeny. Jest również używany do bezpośredniej obsługi protokołu SMB hostowanego w protokole TCP/IP dla funkcji programu DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Zdalny serwer SQL | Włącz protokół TCP/IP dla wystąpienia SQL Server DPM, z następującymi ustawieniami: domyślna kontrola niepowodzeń; włącz sprawdzanie zgodności z zasadami haseł. | |||
| Zdalny SQL Server | Włącz przychodzący wyjątek dla sqservr.exe w instancji SQL Server DPM, aby zezwolić na protokół TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80. | |||
| Zdalny SQL Server | Domyślne wystąpienie silnika bazy danych nasłuchuje na porcie TCP 1443. Można modyfikować. Aby użyć usługi SQL Server Browser do nawiązania połączenia na porcie inny niż domyślny, ustaw port UDP 1434. |
|||
| Zdalny SQL Server | Nazwane wystąpienie programu SQL Server domyślnie używa portów dynamicznych. Można modyfikować. | |||
| Zdalny serwer SQL | Włącz RPC |
Udzielanie uprawnień użytkownika
Przed rozpoczęciem wdrażania programu DPM sprawdź, czy odpowiedni użytkownicy otrzymali wymagane uprawnienia do wykonywania różnych zadań. Zostały one podsumowane w poniższej tabeli.
| Zadanie programu DPM | Wymagane uprawnienia |
|---|---|
| Dodaj serwer DPM do domeny | Konto administratora domeny lub prawo użytkownika do dodawania stacji roboczej do domeny |
| Instalowanie programu DPM | Konto administratora na serwerze programu DPM |
| Zainstaluj agenta ochrony programu DPM na maszynie, którą chcesz chronić | Konto domeny, które znajduje się w grupie administratorów lokalnych na maszynie |
| Rozszerzanie schematu usługi AD w celu włączenia odzyskiwania przez użytkownika końcowego | Uprawnienia administratora schematu dla domeny |
| Utwórz kontener AD w celu włączenia odzyskiwania danych przez użytkownika. | Uprawnienia administratora domeny |
| Udzielanie serwerowi programu DPM uprawnień do zmiany zawartości kontenera | Uprawnienia administratora domeny |
| Włącz odzyskiwanie dla użytkownika końcowego na serwerze DPM | Konto administratora na serwerze programu DPM |
| Instalowanie oprogramowania klienckiego punktu odzyskiwania na chronionej maszynie | Konto administratora na maszynie |
| Uzyskiwanie dostępu do poprzednich wersji chronionych danych z chronionej maszyny | Konto użytkownika z dostępem do chronionego udziału |
| Odzyskiwanie danych programu SharePoint | Administrator farmy programu SharePoint, który jest również administratorem na serwerze frontonu sieci Web, na którym zainstalowano agenta ochrony. |
Uwaga
Serwer programu DPM i chroniony komputer komunikują się przy użyciu DCOM. Podczas instalacji programu DPMRA konto serwera programu DPM jest dodawane do grupy zabezpieczeń Użytkownicy protokołu COM rozproszonych na komputerze chronionym.
W przypadku ochrony kontrolera domeny grupy zabezpieczeń usługi Active Directory zostaną utworzone dla każdego z chronionych kontrolerów domeny o nazwach DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME i DPMRATRUSTEDDPMRAS$DCNAME.