Compartilhar via


Prepare-se para implantar servidores DPM

Há algumas etapas de planejamento a serem consideradas antes de começar a implantar seus servidores DPM (Data Protection Manager) do System Center:

  • Planejar a implantação do servidor DPM – descubra quantos servidores DPM você precisará e onde colocá-los.

  • Planejar configurações de firewall – obtenha informações sobre configurações de firewall, porta e protocolo no servidor DPM, computadores protegidos e um SQL Server remoto, se você estiver configurando um.

  • Conceder permissões de usuário – especifique quem pode interagir com o DPM.

Planejar a implantação do servidor DPM

Primeiro, determine quantos servidores você precisará:

  • O DPM pode proteger até 600 volumes. Para proteger esse tamanho máximo, o DPM precisa de 120 TB por servidor DPM.

  • Um único servidor DPM pode proteger até 2000 bancos de dados (tamanho de disco recomendado de 80 TB).

  • Um único servidor DPM pode proteger até 3000 computadores cliente e 100 servidores.

    • Para o planejamento da capacidade do servidor DPM, você pode usar as calculadoras de armazenamento do DPM. Essas calculadoras são planilhas do Excel e são específicas da carga de trabalho. Eles orientam sobre o número de servidores DPM necessários, núcleo do processador, RAM, recomendações de memória virtual e capacidade de armazenamento necessária. Como essas calculadoras são específicas da carga de trabalho, você precisará combinar as configurações recomendadas e considerá-las junto com os requisitos do sistema e sua topologia e requisitos de negócios específicos, incluindo locais de armazenamento e fonte de dados, requisitos de conformidade e SLA e necessidades de recuperação de desastre. Observe que as calculadoras foram lançadas para o DPM 2010, mas permanecem relevantes para versões posteriores do DPM.

Em seguida, descubra como localizar os servidores:

  • O DPM deve ser implantado em um domínio do Active Directory (Windows Server 2008 em diante).

  • Ao decidir onde localizar o servidor DPM, considere a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se estiver protegendo dados em uma WAN (Rede de Longa Distância), haverá um requisito mínimo de largura de banda da rede de 512 Kbps por segundo.

  • O DPM dá suporte a NICs (adaptadores de rede agrupados). Os NICs agrupados são vários adaptadores físicos configurados para serem tratados como um único adaptador pelo sistema operacional. As NICs agrupadas fornecem maior largura de banda combinando a largura de banda disponível, usando cada adaptador e failover para o adaptador restante quando um adaptador falha. O DPM pode usar a largura de banda aumentada obtida usando um adaptador agrupado no servidor DPM.

  • Outra consideração para o local dos servidores DPM é a necessidade de gerenciar fitas e bibliotecas de fitas manualmente, como adicionar novas fitas à biblioteca ou remover fitas para um arquivo morto externo.

  • Um servidor DPM pode proteger recursos em um domínio ou em domínios dentro de uma floresta que tenha uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado. Se não houver uma relação de confiança bidirecional entre domínios, você precisará de um servidor DPM separado para cada domínio. Um servidor DPM pode proteger dados entre florestas se houver uma relação de confiança bidirecional no nível da floresta entre as florestas.

  • Considere a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se você estiver protegendo dados em uma WAN, há um requisito mínimo de largura de banda de rede de 512 Kbps. Observe que o DPM dá suporte a NICs agrupadas que fornecem maior largura de banda combinando a largura de banda disponível para cada adaptador de rede e failover se um adaptador falhar.

Planejar configurações de firewall e permissões de usuário

Configurações de firewall

As configurações de firewall para implantação do DPM são necessárias no servidor DPM, nos computadores que você deseja proteger e no SQL Server usado para o banco de dados do DPM, se você estiver executando-o remotamente. Se o Firewall do Windows estiver habilitado quando você instalar o DPM, a instalação do DPM definirá automaticamente as configurações de firewall no servidor DPM. As configurações do firewall estão resumidas na tabela a seguir.

Location Regra Detalhes Protocolo Porta
Servidor DPM System Center <version> Configuração do DCOM do Data Protection Manager Usado para comunicação DCOM entre o servidor DPM e computadores protegidos. DCOM 135/TCP Dinâmico
Servidor DPM System Center <version> Data Protection Manager Exceção do Msdpm.exe (serviço DPM). É executado no servidor DPM. Todos os protocolos Todas as portas
Servidor DPM

Computadores protegidos
System Center <version> Agente de Replicação do Data Protection Management Exceção para Dpmra.exe (serviço de agente de proteção usado para fazer backup e restaurar dados). É executado no servidor DPM e em computadores protegidos. Todos os protocolos Todas as portas
Computadores protegidos Configurar uma exceção de entrada para sqserv.exe
Computadores protegidos O DPM emite o comando para o agente de proteção com chamadas DCOM para o agente. Você precisará abrir as portas superiores (1024-65535) para que o DPM se comunique. DCOM 135/TCP Dinâmico
Computadores protegidos O canal de dados do DPM é TCP. O servidor DPM e os computadores protegidos iniciam conexões. O DPM comunica-se com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719. TCP 5718/TCP

5719/TCP
Computadores protegidos Usado para resolução de nome de host entre o DPM/computador protegido e o controlador de domínio. DNS 53/UDP
Computadores protegidos Usado para autenticação do ponto de extremidade de conexão, entre o DPM/computador protegido e o controlador de domínio. Kerberos 88/UDP

88/TCP
Computadores protegidos Usado para consultas entre o servidor DPM e o controlador de domínio. LDAP 389/TCP

389/UDP
Computadores protegidos Usado para operações diversas entre 1) DPM e computadores protegidos, 2) DPM e o controlador de domínio 3) Computadores protegidos e o controlador de domínio. Também usado para SMB hospedado diretamente no TCP/IP para funções do DPM. NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
SQL Server Remoto Habilite o TCP/IP para a instância do DPM do SQL Server com o seguinte: auditoria de falha padrão; Ative a verificação de política de senha.
SQL Server Remoto Habilite a exceção de entrada para sqservr.exe para que a instância do DPM do SQL Server permita o TCP na porta 80. O servidor de relatório escuta as solicitações HTTP na porta 80.
SQL Server Remoto A instância padrão do mecanismo de banco de dados escuta na porta TCP 1443. Pode ser modificado.

Para usar o serviço Navegador do SQL Server para se conectar em uma porta não padrão, defina a porta UDP 1434.
SQL Server Remoto A instância nomeada do SQL Server usa portas dinâmicas por padrão. Pode ser modificado.
SQL Server Remoto Habilitar RPC

Conceder permissões de usuário

Antes de iniciar uma implantação do DPM, verifique se os usuários apropriados receberam os privilégios necessários para executar as várias tarefas. Esses métodos estão resumidos na tabela a seguir.

Tarefa do DPM Permissões necessárias
Adicionar o servidor DPM a um domínio Conta de administrador de domínio ou direito de usuário para adicionar uma estação de trabalho ao domínio
Instalar o DPM Conta de administrador no servidor DPM
Instalar um agente de proteção do DPM em um computador que você deseja proteger Conta de domínio que está no grupo de administradores locais no computador
Estenda o esquema do AD para permitir a recuperação do usuário final Privilégios de administrador de esquema para o domínio
Criar contêiner do AD para permitir a recuperação do usuário final Privilégios de administrador de domínio
Conceder permissão ao servidor DPM para alterar o conteúdo do contêiner Privilégios de administrador de domínio
Habilitar a recuperação do usuário final no servidor DPM Conta de administrador no servidor DPM
Instalar o software cliente do ponto de recuperação no computador protegido Conta de administrador na máquina
Acessar versões anteriores de dados protegidos de uma máquina protegida Conta de usuário com acesso ao compartilhamento protegido
Recuperar dados do SharePoint Administrador de farm do SharePoint que também é administrador do servidor Web front-end no qual o agente de proteção está instalado.

Observação

O servidor DPM e o computador protegido se comunicam usando DCOM. Durante a instalação do DPMRA, a conta do servidor DPM é adicionada ao grupo de segurança Usuários COM Distribuídos no computador protegido.

Para proteção do controlador de domínio, os grupos de segurança do Active Directory serão criados para cada um dos controladores de domínio protegidos, com os nomes DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME e DPMRATRUSTEDDPMRAS$DCNAME.