准备好部署 DPM 服务器

在开始部署 System Center Data Protection Manager (DPM) 服务器之前,需要考虑几个规划步骤:

规划 DPM 服务器部署

首先,确定需要多少台服务器:

  • DPM 最多可以保护 600 个卷。 若要保护此最大大小,DPM 需要每个 DPM 服务器 120 TB。

  • 单个 DPM 服务器最多可以保护 2000 个数据库(建议的磁盘大小为 80 TB)。

  • 单个 DPM 服务器最多可以保护 3000 台客户端计算机和 100 台服务器。

    • 对于 DPM 服务器容量规划,可以使用 DPM 存储计算器。 这些计算器是 Excel 工作表,特定于工作负荷。 它们指南介绍了所需的 DPM 服务器数、处理器核心、RAM、虚拟内存建议和所需的存储容量。 由于这些计算器是特定于工作负荷的,因此你需要将建议的设置与系统要求和特定的业务拓扑和要求(包括数据源和存储位置、合规性和 SLA 要求以及灾难恢复需求)组合在一起。 请注意,计算器已针对 DPM 2010 发布,但仍与更高版本的 DPM 版本相关。

然后找出如何查找服务器:

  • DPM 必须部署在 Active Directory 域(Windows Server 2008 及更高版本) 中。

  • 确定在何处定位 DPM 服务器时,请考虑 DPM 服务器与受保护计算机之间的网络带宽。 如果要通过广域网 (WAN) 来保护数据,则最低网络带宽要求为 512 千位每秒 (Kbps)。

  • DPM 支持组合网络适配器(NIC)。 成组 NIC 是指配置后由操作系统视为单个适配器的多个物理适配器。 组合 NIC 通过将可用带宽组合在一起,并在适配器发生故障时故障转移到剩余适配器,从而提供更高的带宽。 DPM 可以使用 DPM 服务器上的组合适配器实现的带宽增加。

  • DPM 服务器位置的另一个考虑因素是需要手动管理磁带和磁带库,例如向库添加新磁带或删除异地存档的磁带。

  • DPM 服务器可以保护域内或林中具有双向信任关系的域内的资源,该域与 DPM 服务器所在的域具有双向信任关系。 如果没有跨域的双向信任,则需要为每个域创建单独的 DPM 服务器。 如果林之间存在林级双向信任,DPM 服务器可以保护林中的数据。

  • 请考虑 DPM 服务器与受保护计算机之间的网络带宽。 如果要通过 WAN 保护数据,则最低网络带宽要求为 512 Kbps。 请注意,DPM 支持组合 NIC,这些 NIC 通过将可用于每个网络适配器的带宽组合在一起,并在适配器发生故障时进行故障转移,从而提供更高的带宽。

规划防火墙设置和用户权限

防火墙设置

在 DPM 服务器上、要保护的计算机以及用于 DPM 数据库的 SQL Server 上,如果远程运行 DPM 数据库,则需要 DPM 部署的防火墙设置。 如果在安装 DPM 时启用了 Windows 防火墙,则 DPM 安装程序会自动在 DPM 服务器上配置防火墙设置。 下表汇总了防火墙设置。

位置 规则 详细信息 协议 端口
DPM 服务器 System Center <version> Data Protection Manager DCOM 设置 用于 DPM 服务器与受保护计算机之间的 DCOM 通信。 DCOM 135/TCP 动态
DPM 服务器 System Center <version> Data Protection Manager Msdpm.exe 例外(DPM 服务)。 在 DPM 服务器上运行。 所有协议 所有端口
DPM 服务器

受保护的计算机
System Center <version> Data Protection Management 复制代理 Dpmra.exe例外(用于备份和还原数据的保护代理服务)。 在 DPM 服务器和受保护的计算机上运行。 所有协议 所有端口
受保护的计算机 为sqserv.exe配置传入异常
受保护的计算机 DPM 向保护代理发出命令,并使用对代理的 DCOM 调用。 需要打开上层端口(1024-65535),以便 DPM 进行通信。 DCOM 135/TCP 动态
受保护的计算机 DPM 数据通道为 TCP。 DPM 服务器和受保护的计算机都启动连接。 DPM 在端口 5718 上与代理协调器通信,在端口 5719 上与保护代理通信。 TCP 5718/TCP

5719/TCP
受保护的计算机 用于 DPM/受保护计算机和域控制器之间的主机名解析。 DNS 53/UDP
受保护的计算机 用于在 DPM/受保护的计算机和域控制器之间对连接终结点进行身份验证。 Kerberos 88/UDP

88/TCP
受保护的计算机 用于 DPM 服务器和域控制器之间的查询。 LDAP 389/TCP

389/UDP
受保护的计算机 用于 1) DPM 和受保护计算机之间的杂项操作,2) DPM 和域控制器 3) 受保护的计算机和域控制器。 还用于直接托管在 TCP/IP 上的 SMB 作为 DPM 函数。 NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
远程 SQL Server 为 SQL Server 的 DPM 实例启用 TCP/IP,如下所示:默认失败审核;启用密码策略检查。
远程 SQL Server 为 SQL Server 的 DPM 实例启用sqservr.exe传入异常,以允许端口 80 上的 TCP。 报表服务器在端口 80 上侦听 HTTP 请求。
远程 SQL Server 数据库引擎的默认实例侦听 TCP 端口 1443。 可以修改。

使用 SQL Server Browser 服务在非默认端口集 UDP 端口 1434 上进行连接。
远程 SQL Server SQL Server 的命名实例默认使用动态端口。 可以修改。
远程 SQL Server 启用 RPC

授予用户权限

在开始 DPM 部署之前,请验证是否已向相应的用户授予执行各种任务所需的权限。 下表汇总了这些更新。

DPM 任务 所需权限
将 DPM 服务器添加到域 将工作站添加到域的域管理员帐户或用户权限
安装 DPM DPM 服务器上的管理员帐户
在要保护的计算机上安装 DPM 保护代理 计算机上的本地管理员组中的域帐户
扩展 AD 架构以启用最终用户恢复 域的架构管理员权限
创建 AD 容器以启用最终用户恢复 域管理员权限
授予 DPM 服务器更改容器内容的权限 域管理员权限
在 DPM 服务器上启用最终用户恢复 DPM 服务器上的管理员帐户
在受保护的计算机上安装恢复点客户端软件 计算机上的管理员帐户
从受保护的计算机访问以前版本的受保护数据 有权访问受保护共享的用户帐户
恢复 SharePoint 数据 SharePoint 场管理员,也是安装保护代理的前端 Web 服务器上的管理员。

注意

DPM 服务器和受保护的计算机使用 DCOM 进行通信。 在 DPMRA 安装过程中,DPM 服务器的帐户将添加到 受保护计算机上的分布式 COM 用户 安全组。

对于域控制器保护,将为每个受保护的域控制器创建 Active Directory 安全组,其名称为 DPMRADCOMTRUSTEDMACHINES$DCNAMEDPMRADMTRUSTEDMACHINES$DCNAMEDPMRATRUSTEDDPMRAS$DCNAME