Przygotowanie do wdrożenia serwerów programu DPM
Przed rozpoczęciem wdrażania serwerów programu System Center Data Protection Manager (DPM) należy wziąć pod uwagę kilka kroków planowania:
Planowanie wdrożenia serwera programu DPM — określ, ile serwerów programu DPM będzie potrzebnych i gdzie je umieścić.
Planowanie ustawień zapory — uzyskaj informacje o ustawieniach zapory, portu i protokołu na serwerze programu DPM, chronionych maszynach i zdalnym programie SQL Server, jeśli konfigurujesz je.
Udzielanie uprawnień użytkownika — określ, kto może korzystać z programu DPM.
Planowanie wdrożenia serwera programu DPM
Najpierw określ liczbę potrzebnych serwerów:
Program DPM może chronić maksymalnie 600 woluminów. Aby chronić ten maksymalny rozmiar, program DPM potrzebuje 120 TB na serwer PROGRAMU DPM.
Pojedynczy serwer PROGRAMU DPM może chronić maksymalnie 2000 baz danych (zalecany rozmiar dysku 80 TB).
Pojedynczy serwer PROGRAMU DPM może chronić maksymalnie 3000 komputerów klienckich i 100 serwerów.
- W przypadku planowania pojemności serwera programu DPM można użyć kalkulatorów magazynu programu DPM. Te kalkulatory to arkusze programu Excel i są specyficzne dla obciążenia. Zawierają one wskazówki dotyczące liczby wymaganych serwerów programu DPM, rdzenia procesora, pamięci RAM, zaleceń dotyczących pamięci wirtualnej i wymaganej pojemności magazynu. Ponieważ te kalkulatory są specyficzne dla obciążenia, należy połączyć zalecane ustawienia i rozważyć je wraz z wymaganiami systemowymi oraz określonymi wymaganiami i wymaganiami biznesowymi, w tym źródła danych i lokalizacji przechowywania, wymagań dotyczących zgodności i umowy SLA oraz potrzeb związanych z odzyskiwaniem po awarii. Należy pamiętać, że kalkulatory zostały wydane dla programu DPM 2010, ale pozostają istotne dla nowszych wersji programu DPM.
Następnie dowiesz się, jak zlokalizować serwery:
Program DPM musi zostać wdrożony w domenie usługi Active Directory (system Windows Server 2008 lub nowszy).
Podczas podejmowania decyzji, gdzie zlokalizować serwer programu DPM, należy wziąć pod uwagę przepustowość sieci między serwerem programu DPM a komputerami chronionymi. Jeśli dane mają być chronione w sieci rozległej (WAN), minimalna wymagana przepustowość sieci wynosi 512 kilobitów na sekundę (Kb/s).
Program DPM obsługuje zespołowe karty sieciowe (KARTY sieciowe). Zespołowe karty sieciowe to wiele kart fizycznych skonfigurowanych do traktowania jako pojedynczej karty przez system operacyjny. Zespołowe karty sieciowe zapewniają zwiększoną przepustowość, łącząc dostępną przepustowość przy użyciu każdej karty i przejścia w tryb failover do pozostałej karty w przypadku awarii karty. Program DPM może używać zwiększonej przepustowości osiągniętej przy użyciu kart sieciowych na serwerze programu DPM.
Inną kwestią dotyczącą lokalizacji serwerów programu DPM jest ręczne zarządzanie taśmami i bibliotekami taśm, takimi jak dodawanie nowych taśm do biblioteki lub usuwanie taśm dla archiwum poza siedzibą firmy.
Serwer programu DPM może chronić zasoby w domenie lub domenach w lesie, który ma dwukierunkową relację zaufania z domeną, w którym znajduje się serwer programu DPM. Jeśli nie istnieje dwukierunkowa relacja zaufania między domenami, potrzebujesz oddzielnego serwera DPM dla każdej domeny. Serwer programu DPM może chronić dane między lasami, jeśli między lasami istnieje dwukierunkowa relacja zaufania na poziomie lasu.
Należy wziąć pod uwagę przepustowość sieci między serwerem programu DPM a komputerami chronionymi. W przypadku ochrony danych za pośrednictwem sieci WAN wymagana jest minimalna przepustowość sieci wynosząca 512 KB/s. Należy pamiętać, że program DPM obsługuje zespołowe karty sieciowe, które zapewniają zwiększoną przepustowość, łącząc przepustowość dostępną dla każdej karty sieciowej i trybu failover w przypadku awarii karty sieciowej.
Planowanie ustawień zapory i uprawnień użytkownika
Ustawienia zapory
Ustawienia zapory dla wdrożenia programu DPM są wymagane na serwerze programu DPM, na maszynach, które chcesz chronić, oraz na serwerze SQL Używanym dla bazy danych programu DPM, jeśli używasz go zdalnie. Jeśli zapora systemu Windows jest włączona podczas instalowania programu DPM, instalator programu DPM automatycznie konfiguruje ustawienia zapory na serwerze DPM. Ustawienia zapory zostały podsumowane w poniższej tabeli.
| Lokalizacja | Reguła | Szczegóły | Protokół | Port |
|---|---|---|---|---|
| Serwer programu DPM | Ustawienie DCOM programu System Center <w wersji> programu Data Protection Manager | Służy do komunikacji DCOM między serwerem programu DPM i chronionymi maszynami. | DCOM | 135/TCP (dynamiczny) |
| Serwer programu DPM | Wersja programu> System Center <Data Protection Manager | Wyjątek dla programu Msdpm.exe (usługi programu DPM). Uruchamiany na serwerze DPM. | Wszystkie protokoły | Wszystkie porty |
| Serwer programu DPM Chronione maszyny |
Agent replikacji zarządzania ochroną danych w wersji> programu System Center < | Wyjątek dla Dpmra.exe (usługa agenta ochrony używana do tworzenia kopii zapasowych i przywracania danych). Działa na serwerze programu DPM i chronionych maszynach. | Wszystkie protokoły | Wszystkie porty |
| Chronione maszyny | Konfigurowanie wyjątku przychodzącego dla sqserv.exe | |||
| Chronione maszyny | Program DPM wydaje polecenie agentowi ochrony z wywołaniami DCOM agenta. Aby program DPM komunikował się, musisz otworzyć górne porty (1024-65535). | DCOM | 135/TCP (dynamiczny) | |
| Chronione maszyny | Kanał danych programu DPM to TCP. Zarówno serwer programu DPM, jak i chronione maszyny inicjują połączenia. Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Chronione maszyny | Służy do rozpoznawania nazw hostów między programem DPM/komputerem chronionym i kontrolerem domeny. | DNS | 53/UDP | |
| Chronione maszyny | Służy do uwierzytelniania punktu końcowego połączenia między programem DPM/komputerem chronionym i kontrolerem domeny. | Kerberos | 88/UDP 88/TCP |
|
| Chronione maszyny | Służy do obsługi zapytań między serwerem programu DPM a kontrolerem domeny. | LDAP | 389/TCP 389/UDP |
|
| Chronione maszyny | Używane w przypadku różnych operacji między 1) programem DPM i chronionymi maszynami, 2) programem DPM i kontrolerem domeny 3) Chronionymi maszynami i kontrolerem domeny. Jest również używany do bezpośredniej obsługi protokołu SMB hostowanego w protokole TCP/IP dla funkcji programu DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Zdalny program SQL Server | Włącz protokół TCP/IP dla wystąpienia programu SQL Server programu DPM z następującymi: domyślna inspekcja błędów; włącz sprawdzanie zasad haseł. | |||
| Zdalny program SQL Server | Włącz wyjątek przychodzący dla sqservr.exe dla wystąpienia programu SQL Server programu DPM, aby zezwolić na protokół TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80. | |||
| Zdalny program SQL Server | Domyślne wystąpienie aparatu bazy danych nasłuchuje na porcie TCP 1443. Można modyfikować. Aby użyć usługi SQL Server Browser do nawiązania połączenia na porcie inny niż domyślny, ustaw port UDP 1434. |
|||
| Zdalny program SQL Server | Nazwane wystąpienie programu SQL Server domyślnie używa portów dynamicznych. Można modyfikować. | |||
| Zdalny program SQL Server | Włączanie procedury RPC |
Udzielanie uprawnień użytkownika
Przed rozpoczęciem wdrażania programu DPM sprawdź, czy odpowiedni użytkownicy otrzymali wymagane uprawnienia do wykonywania różnych zadań. Zostały one podsumowane w poniższej tabeli.
| Zadanie programu DPM | Wymagane uprawnienia |
|---|---|
| Dodawanie serwera PROGRAMU DPM do domeny | Konto administratora domeny lub prawo użytkownika do dodawania stacji roboczej do domeny |
| Instalowanie programu DPM | Konto administratora na serwerze programu DPM |
| Instalowanie agenta ochrony programu DPM na maszynie, którą chcesz chronić | Konto domeny, które znajduje się w grupie administratorów lokalnych na maszynie |
| Rozszerzanie schematu usługi AD w celu włączenia odzyskiwania przez użytkownika końcowego | Uprawnienia administratora schematu dla domeny |
| Tworzenie kontenera usługi AD w celu włączenia odzyskiwania przez użytkownika końcowego | Uprawnienia administratora domeny |
| Udzielanie serwerowi programu DPM uprawnień do zmiany zawartości kontenera | Uprawnienia administratora domeny |
| Włączanie odzyskiwania przez użytkownika końcowego na serwerze programu DPM | Konto administratora na serwerze programu DPM |
| Instalowanie oprogramowania klienckiego punktu odzyskiwania na chronionej maszynie | Konto administratora na maszynie |
| Uzyskiwanie dostępu do poprzednich wersji chronionych danych z chronionej maszyny | Konto użytkownika z dostępem do chronionego udziału |
| Odzyskiwanie danych programu SharePoint | Administrator farmy programu SharePoint, który jest również administratorem na serwerze frontonu sieci Web, na którym zainstalowano agenta ochrony. |
Uwaga
Serwer programu DPM i komputer chroniony komunikują się przy użyciu modelu DCOM. Podczas instalacji programu DPMRA konto serwera programu DPM jest dodawane do grupy zabezpieczeń Użytkownicy protokołu COM rozproszonych na komputerze chronionym.
W przypadku ochrony kontrolera domeny grupy zabezpieczeń usługi Active Directory zostaną utworzone dla każdego z chronionych kontrolerów domeny o nazwach DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME i DPMRATRUSTEDDPMRAS$DCNAME.