Gör dig redo att distribuera DPM-servrar
Det finns några planeringssteg att tänka på innan du börjar distribuera dina System Center Data Protection Manager-servrar (DPM):
Planera för DPM-serverdistribution – Ta reda på hur många DPM-servrar du behöver och var du ska placera dem.
Planera brandväggsinställningar – Hämta information om brandväggs-, port- och protokollinställningar på DPM-servern, skyddade datorer och en fjärransluten SQL Server om du konfigurerar en.
Bevilja användarbehörigheter – Ange vem som kan interagera med DPM.
Planera för DPM-serverdistribution
Bestäm först hur många servrar du behöver:
DPM kan skydda upp till 600 volymer. För att skydda den här maximala storleken behöver DPM 120 TB per DPM-server.
En enda DPM-server kan skydda upp till 2 000 databaser (rekommenderad diskstorlek 80 TB).
En enda DPM-server kan skydda upp till 3 000 klientdatorer och 100 servrar.
- För planering av DPM-serverkapacitet kan du använda DPM-lagringskalkylatorer. Dessa kalkylatorer är Excel-blad och är arbetsbelastningsspecifika. De vägleder om antalet DPM-servrar som krävs, processorkärna, RAM-minne, rekommendationer för virtuellt minne och nödvändig lagringskapacitet. Eftersom dessa kalkylatorer är arbetsbelastningsspecifika måste du kombinera de rekommenderade inställningarna och överväga dem tillsammans med systemkraven och din specifika affärstopologi och krav, inklusive datakälla och lagringsplatser, efterlevnads- och serviceavtalskrav och haveriberedskapsbehov. Observera att kalkylatorerna släpptes för DPM 2010 men fortfarande är relevanta för senare DPM-versioner.
Ta sedan reda på hur du hittar servrarna:
DPM måste distribueras i en Active Directory-domän (Windows Server 2008 och senare).
När du bestämmer var du ska hitta DPM-servern bör du överväga nätverksbandbredden mellan DPM-servern och de skyddade datorerna. Om du skyddar data via ett WAN (Wide Area Network) finns det ett minimikrav på nätverksbandbredd på 512 kilobit per sekund (kbit/s).
DPM stöder teamindelade nätverkskort (NIC). Teamindelade nätverkskort är flera fysiska kort som är konfigurerade för att behandlas som ett enda kort av operativsystemet. Teamade nätverkskort ger ökad bandbredd genom att kombinera den tillgängliga bandbredden från varje kort och växlar till det återstående kortet vid fel på ett kort. DPM kan använda den ökade bandbredd som uppnås med hjälp av en sammanfogad adapter på DPM-servern.
Ett annat övervägande för platsen för DPM-servrarna är behovet av att hantera band och bandbibliotek manuellt, till exempel att lägga till nya band i biblioteket eller ta bort band för ett arkiv utanför platsen.
En DPM-server kan skydda resurser inom en domän eller mellan domäner i en skog som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i. Om det inte finns ett dubbelriktat förtroende mellan domäner behöver du en separat DPM-server för varje domän. En DPM-server kan skydda data mellan skogar om det finns ett dubbelriktat förtroende på skogsnivå mellan skogarna.
Överväg nätverksbandbredden mellan DPM-servern och de skyddade datorerna. Om du skyddar data via ett WAN finns det ett minimikrav på nätverksbandbredd på 512 kbit/s. Observera att DPM stöder teamindelade nätverkskort som ger ökad bandbredd genom att kombinera tillgänglig bandbredd för varje nätverkskort och redundans om ett kort misslyckas.
Planera brandväggsinställningar och användarbehörigheter
Brandväggsinställningar
Brandväggsinställningar för DPM-distribution krävs på DPM-servern, på datorer som du vill skydda och på DEN SQL Server som används för DPM-databasen om du kör den via fjärranslutning. Om Windows-brandväggen är aktiverad när du installerar DPM konfigurerar DPM-installationen automatiskt brandväggsinställningarna på DPM-servern. Brandväggsinställningarna sammanfattas i följande tabell.
| Plats | Regel | Detaljer | Protokoll | Hamn |
|---|---|---|---|---|
| DPM-server | DCOM-inställning för System Center <version> Data Protection Manager | Används för DCOM-kommunikation mellan DPM-servern och skyddade datorer. | DCOM | 135/TCP Dynamisk |
| DPM-server | System Center <version> Data Protection Manager | Undantag för Msdpm.exe (DPM-tjänsten). Körs på DPM-servern. | Alla protokoll | Alla portar |
| DPM-server Skyddade datorer |
Replikeringsagent för System Center <version> Data Protection Management | Undantag för Dpmra.exe (skyddsagenttjänsten som används för att säkerhetskopiera och återställa data). Körs på DPM-servern och skyddade datorer. | Alla protokoll | Alla portar |
| Skyddade datorer | Konfigurera ett inkommande undantag för sqserv.exe | |||
| Skyddade datorer | DPM skickar kommandon till skyddsagenten genom DCOM-anrop. Du måste öppna de övre portarna (1024-65535) för att DPM ska kunna kommunicera. | DCOM | Dynamisk 135/TCP | |
| Skyddade datorer | DPM-datakanalen är TCP. Både DPM-servern och de skyddade datorerna initierar anslutningar. DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Skyddade datorer | Används för värdnamnsmatchning mellan DPM/skyddad dator och domänkontrollanten. | DNS (Domännamnssystem) | 53/UDP | |
| Skyddade datorer | Används för autentisering av anslutningsslutpunkten, mellan DPM/skyddad dator och domänkontrollanten. | Kerberos | 88/UDP 88/TCP |
|
| Skyddade datorer | Används för frågor mellan DPM-servern och domänkontrollanten. | LDAP | 389/TCP 389/UDP |
|
| Skyddade datorer | Används för diverse åtgärder mellan 1) DPM och skyddade datorer, 2) DPM och domänkontrollanten 3) Skyddade datorer och domänkontrollanten. Används även för SMB som är direkt värdad via TCP/IP för DPM-funktioner. | Netbios | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Fjärr-SQL Server | Aktivera TCP/IP för DPM-instansen av SQL Server med följande: standardfelgranskning; aktivera lösenordsprincipkontroll. | |||
| Fjärr-SQL Server | Aktivera inkommande undantag för sqservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-begäranden på port 80. | |||
| Fjärr-SQL Server | Standardinstansen av databasmotorn lyssnar på TCP-port 1443. Kan ändras. Om du vill använda SQL Server Browser-tjänsten för att ansluta på en icke-standardport anger du UDP-port 1434. |
|||
| Fjärr-SQL Server | Den namngivna instansen av SQL Server använder dynamiska portar som standard. Kan ändras. | |||
| Fjärr-SQL Server | Aktivera RPC |
Bevilja användarbehörigheter
Innan du påbörjar en DPM-distribution kontrollerar du att lämpliga användare har beviljats de behörigheter som krävs för att utföra de olika uppgifterna. Dessa sammanfattas i följande tabell.
| DPM-uppgift | Behörigheter som krävs |
|---|---|
| Lägga till DPM-servern i en domän | Domänadministratörskonto eller användarbehörighet för att lägga till en arbetsstation i domänen |
| Installera DPM | Administratörskonto på DPM-servern |
| Installera en DPM-skyddsagent på en dator som du vill skydda | Domänkonto som finns i den lokala administratörsgruppen på datorn |
| Utöka AD-schemat för att möjliggöra återställning av slutanvändare | Schemaadministratörsbehörigheter för domänen |
| Skapa en AD-container för att möjliggöra slutanvändaråterställning | Domänadministratörsbehörigheter |
| Ge DPM-servern behörighet att ändra innehållet i containern | Domänadministratörsbehörigheter |
| Aktivera slutanvändarens återställning på DPM-servern | Administratörskonto på DPM-servern |
| Installera klientprogrammet för återställningspunkter på den skyddade datorn | Administratörskonto på datorn |
| Få åtkomst till tidigare versioner av skyddade data från en skyddad dator | Användarkonto med åtkomst till skyddad resurs |
| Återställa SharePoint-data | SharePoint-servergruppsadministratör som också är administratör på klientwebbservern där skyddsagenten är installerad. |
Anteckning
DPM-servern och den skyddade datorn kommunicerar med DCOM. Under DPMRA-installationen läggs DPM-serverns konto till i distribuerade COM-användare säkerhetsgrupp på den skyddade datorn.
För domänkontrollantskydd skapas Active Directory-säkerhetsgrupper för var och en av de skyddade domänkontrollanterna, med namnen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAMEoch DPMRATRUSTEDDPMRAS$DCNAME.