Подготовка к развертыванию серверов DPM
Перед развертыванием серверов System Center Data Protection Manager (DPM) необходимо выполнить несколько действий по планированию.
Планирование развертывания сервера DPM— узнайте, сколько серверов DPM вам потребуется и где их разместить.
Планирование параметров брандмауэра: получение сведений о настройках брандмауэра, портов и протоколов на сервере DPM, защищаемых компьютерах и удаленном SQL Server при его настройке.
Предоставление разрешений пользователям. Укажите, кто может взаимодействовать с DPM.
Планирование развертывания сервера DPM
Сначала определите, сколько серверов потребуется:
DPM может защитить до 600 томов. Для того чтобы защитить этот максимальный размер, DPM требуется 120 ТБ на сервер DPM.
Один сервер DPM может защитить до 2000 баз данных (рекомендуемый размер диска — 80 ТБ).
Один сервер DPM может защитить до 3000 клиентских компьютеров и 100 серверов.
- Для планирования емкости сервера DPM можно использовать калькуляторы хранилища DPM. Эти калькуляторы являются листами Excel и зависят от рабочей нагрузки. В них описывается количество необходимых серверов DPM, ядра процессора, ОЗУ, рекомендаций по виртуальной памяти и требуемой емкости хранилища. Так как эти калькуляторы зависят от рабочей нагрузки, вам потребуется объединить рекомендуемые параметры и рассмотреть их вместе с требованиями к системе и конкретной бизнес-топологией и требованиями, включая расположения источника данных и хранилища, требования соответствия и соглашения об уровне обслуживания, а также потребности аварийного восстановления. Обратите внимание, что калькуляторы были выпущены для DPM 2010, но остаются актуальными для более поздних версий DPM.
Затем выясните, как найти серверы:
DPM необходимо развернуть в домене Active Directory (Windows Server 2008 и более поздних версий).
При выборе расположения сервера DPM рассмотрите пропускную способность сети между сервером DPM и защищенными компьютерами. Если необходимо обеспечить защиту данных в глобальной сети (WAN), минимальная пропускная способность — 512 килобит в секунду (Кбит/с).
DPM поддерживает агрегацию сетевых адаптеров (NIC). Объединенные сетевые адаптеры — это несколько физических адаптеров, настроенных так, чтобы операционная система рассматривала их как один. Объединенные сетевые адаптеры обеспечивают увеличенную пропускную способность, путем объединения доступных ресурсов сети, используя каждый адаптер и переход на другой адаптер в случае отказа адаптера. DPM может использовать увеличенную пропускную способность, достигнутую с помощью объединенного адаптера на сервере DPM.
Другой вопрос о расположении серверов DPM — это необходимость управления лентами и ленточными библиотеками вручную, например добавление новых лент в библиотеку или удаление лент для внесайтового архива.
Сервер DPM может защитить ресурсы в домене или между доменами в лесу, который имеет двусторонние отношения доверия с доменом, в котором расположен сервер DPM. Если между доменами нет двустороннего доверия, вам нужен отдельный сервер DPM для каждого домена. Сервер DPM может защитить данные в лесах, если между лесами существует двустороннее доверие на уровне леса.
Примите во внимание пропускную способность сети между сервером DPM и защищаемыми компьютерами. При защите данных по глобальной сети требуется минимальная пропускная способность сети в 512 КБ. Обратите внимание, что DPM поддерживает объединенные сетевые адаптеры, которые обеспечивают повышенную пропускную способность путем объединения пропускных способностей каждого адаптера и аварийного переключения при сбое адаптера.
Планирование параметров брандмауэра и разрешений пользователя
Параметры брандмауэра
Параметры брандмауэра для развертывания DPM необходимы на сервере DPM, на компьютерах, которые необходимо защитить, и на SQL Server, используемом для базы данных DPM, если она выполняется удаленно. Если брандмауэр Windows включен при установке DPM, программа установки DPM автоматически настраивает параметры брандмауэра на сервере DPM. Параметры брандмауэра приведены в следующей таблице.
| Расположение | Правило | Сведения | Протокол | Порт |
|---|---|---|---|---|
| DPM-сервер | Параметр DCOM в Data Protection Manager для System Center <версия> | Используется для обмена данными DCOM между сервером DPM и защищенными компьютерами. | DCOM | 135/TCP, динамический |
| DPM-сервер | Версия Data Protection Manager для System Center <> | Исключение для файла Msdpm.exe (служба DPM). Работает на сервере DPM. | Все протоколы | Все порты |
| DPM-сервер Защищенные компьютеры |
Агент репликации управления защитой данных версии <для System Center> | Исключение для Dpmra.exe (служба агента защиты, используемая для резервного копирования и восстановления данных). Выполняется на сервере DPM и защищенных компьютерах. | Все протоколы | Все порты |
| Защищенные компьютеры | Настройка входящего исключения для sqserv.exe | |||
| Защищенные компьютеры | DPM отдает команду агенту защиты с помощью вызовов DCOM. Для взаимодействия DPM необходимо открыть верхние порты (1024-65535). | DCOM | 135/TCP, динамический | |
| Защищенные компьютеры | Канал данных DPM — TCP. Сервер DPM и защищенные компьютеры инициируют подключения. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719. | TCP | 5718/TCP 5719/TCP |
|
| Защищенные компьютеры | Используется для разрешения имен хостов между DPM/защищенной машиной и контроллером домена. | Система доменных имен (DNS) | 53/UDP | |
| Защищенные компьютеры | Используется для проверки подлинности конечной точки подключения между DPM/защищенным компьютером и контроллером домена. | Kerberos | 88/UDP 88/TCP |
|
| Защищенные компьютеры | Используется для запросов между сервером DPM и контроллером домена. | LDAP | 389/TCP 389/UDP |
|
| Защищенные компьютеры | Используется для других операций между 1) DPM и защищенными компьютерами, 2) DPM и контроллером домена 3) Защищенные компьютеры и контроллер домена. Также используется для SMB, размещенного непосредственно на TCP/IP для функций DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Удаленный сервер SQL | Включите TCP/IP для экземпляра DPM SQL Server следующим образом: аудит сбоя по умолчанию; включите проверку политики паролей. | |||
| Удаленный SQL Server | Включите входящее исключение для sqservr.exe для экземпляра DPM SQL Server, чтобы разрешить TCP через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80. | |||
| Удаленный SQL Server | Экземпляр движка базы данных по умолчанию прослушивает TCP-порт 1443. Можно изменить. Чтобы использовать службу SQL Server Browser для подключения на нестандартный порт, установите UDP-порт 1434. |
|||
| Удаленный сервер баз данных SQL | Именованный экземпляр SQL Server использует динамические порты по умолчанию. Можно изменить. | |||
| Удаленный SQL Server | Включите RPC |
Предоставление разрешений пользователям
Перед началом развертывания DPM убедитесь, что соответствующие пользователи получили необходимые привилегии для выполнения различных задач. Они представлены в таблице ниже.
| Задача DPM | Необходимые разрешения |
|---|---|
| Добавление сервера DPM в домен | Учетная запись администратора домена или право пользователя на добавление рабочей станции в домен |
| Установка DPM | Учетная запись администратора на сервере DPM |
| Установка агента защиты DPM на компьютере, который требуется защитить | Учетная запись домена, которая находится в группе локальных администраторов на компьютере |
| Расширить схему AD, чтобы позволить восстановление конечными пользователями | Права администратора схемы для домена |
| Создайте контейнер AD для активации восстановления конечных пользователей | Права администратора домена |
| Предоставьте серверу DPM разрешение на изменение содержимого контейнера | Права администратора домена |
| Включение восстановления конечных пользователей на сервере DPM | Учетная запись администратора на сервере DPM |
| Установка клиентского программного обеспечения точки восстановления на защищенном компьютере | Учетная запись администратора на компьютере |
| Доступ к предыдущим версиям защищенных данных с защищенного компьютера | Учетная запись пользователя с доступом к защищенному общему ресурсу |
| Восстановление данных SharePoint | Администратор фермы SharePoint, который также является администратором на интерфейсном веб-сервере, на котором установлен агент защиты. |
Примечание.
Сервер DPM и защищенный компьютер взаимодействуют с помощью DCOM. Во время установки DPMRA учетная запись сервера DPM добавляется в группу безопасности распределенных пользователей COM на защищенном компьютере.
Для защиты контроллера домена группы безопасности Active Directory будут созданы для каждого защищенного контроллера домена с именами DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME и DPMRATRUSTEDDPMRAS$DCNAME.