Vorbereiten der Bereitstellung von DPM-Servern
Es gibt einige Planungsschritte, die Sie berücksichtigen sollten, bevor Sie mit der Bereitstellung Ihrer System Center Data Protection Manager (DPM)-Server beginnen:
Planen der DPM-Serverbereitstellung – Ermitteln Sie, wie viele DPM-Server Sie benötigen und wo sie platziert werden sollen.
Planen von Firewalleinstellungen – Abrufen von Informationen zu Firewall-, Port- und Protokolleinstellungen auf dem DPM-Server, geschützten Computern und einem REMOTE-SQL Server, wenn Sie eins einrichten.
Erteilen von Benutzerberechtigungen – Geben Sie an, wer mit DPM interagieren kann.
Planen der DPM-Serverbereitstellung
Ermitteln Sie zunächst, wie viele Server Sie benötigen:
DPM kann bis zu 600 Volumes schützen. Um diese maximale Größe zu schützen, benötigt DPM 120 TB pro DPM-Server.
Ein einzelner DPM-Server kann bis zu 2000 Datenbanken schützen (empfohlene Datenträgergröße 80 TB).
Ein einzelner DPM-Server kann bis zu 3000 Clientcomputer und 100 Server schützen.
- Für die Planung der DPM-Serverkapazität können Sie die DPM-Speicherrechner verwenden. Diese Rechner sind Excel-Blätter und arbeitslastspezifisch. Sie führen zu der Anzahl der erforderlichen DPM-Server, Prozessorkern, RAM, Empfehlungen für virtuelle Speicher und erforderliche Speicherkapazität. Da diese Rechner arbeitslastspezifisch sind, müssen Sie die empfohlenen Einstellungen kombinieren und sie zusammen mit den Systemanforderungen und Ihren spezifischen Geschäftstopologien und Anforderungen berücksichtigen, einschließlich Datenquellen- und Speicherorte, Compliance- und SLA-Anforderungen sowie Notfallwiederherstellungsanforderungen. Beachten Sie, dass die Rechner für DPM 2010 veröffentlicht wurden, aber für spätere DPM-Versionen relevant bleiben.
Ermitteln Sie dann, wie Sie die Server finden:
DPM muss in einer Active Directory-Domäne (ab Windows Server 2008) bereitgestellt werden.
Berücksichtigen Sie bei der Entscheidung, wo Der DPM-Server gefunden werden soll, die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN (Wide Area Network) schützen, besteht eine Mindestanforderungen an die Netzwerkbandbreite von 512 Kilobit pro Sekunde (KBPs).
DPM unterstützt teamierte Netzwerkadapter (NICs). Teamierte NICs sind mehrere physische Adapter, die so konfiguriert sind, dass sie vom Betriebssystem als einzelner Adapter behandelt werden. Teamierte NICs bieten eine höhere Bandbreite, indem sie die verfügbare Bandbreite mithilfe der einzelnen Adapter und des Failovers auf den verbleibenden Adapter kombinieren, wenn ein Adapter fehlschlägt. DPM kann die erhöhte Bandbreite nutzen, die mit einem teamierten Adapter auf dem DPM-Server erzielt wird.
Eine weitere Überlegung für den Standort Ihrer DPM-Server ist die Notwendigkeit, Band- und Bandbibliotheken manuell zu verwalten, z. B. das Hinzufügen neuer Tapes zur Bibliothek oder das Entfernen von Tapes für ein offsite-Archiv.
Ein DPM-Server kann Ressourcen innerhalb einer Domäne oder domänenübergreifend innerhalb einer Gesamtstruktur schützen, die eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet. Wenn es keine bidirektionale Vertrauensstellung zwischen Domänen gibt, benötigen Sie einen separaten DPM-Server für jede Domäne. Ein DPM-Server kann Daten in Gesamtstrukturen schützen, wenn zwischen den Gesamtstrukturen eine bidirektionale Vertrauensstellung auf Gesamtstrukturebene besteht.
Berücksichtigen Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN schützen, gibt es eine Mindestanforderungen an die Netzwerkbandbreite von 512 KBit/s. Beachten Sie, dass DPM teamierte NICs unterstützt, die eine höhere Bandbreite bieten, indem Bandbreite für jeden Netzwerkadapter und Failover kombiniert wird, wenn ein Adapter fehlschlägt.
Planen von Firewalleinstellungen und Benutzerberechtigungen
Firewalleinstellungen
Firewalleinstellungen für die DPM-Bereitstellung sind auf dem DPM-Server, auf Computern, die Sie schützen möchten, und auf dem SQL Server erforderlich, der für die DPM-Datenbank verwendet wird, wenn Sie sie remote ausführen. Wenn die Windows-Firewall beim Installieren von DPM aktiviert ist, konfiguriert das DPM-Setup automatisch die Firewalleinstellungen auf dem DPM-Server. Die Firewalleinstellungen werden in der folgenden Tabelle zusammengefasst.
Location | Regel | Details | Protocol | Port |
---|---|---|---|---|
DPM-Server | System Center <Version> Data Protection Manager DCOM-Einstellung | Wird für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern verwendet. | DCOM | 135/TCP Dynamic |
DPM-Server | System Center <Version> Data Protection Manager | Ausnahme für Msdpm.exe (DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
DPM-Server Geschützte Computer |
System Center <Version> Data Protection Management Replikations-Agent | Ausnahme für Dpmra.exe (Schutz-Agent-Dienst zum Sichern und Wiederherstellen von Daten). Wird auf dem DPM-Server und geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
Geschützte Computer | Konfigurieren einer eingehenden Ausnahme für sqserv.exe | |||
Geschützte Computer | DPM gibt den Befehl an den Schutz-Agent mit DCOM-Aufrufen an den Agent aus. Sie müssen die oberen Ports (1024-65535) öffnen, damit DPM kommunizieren kann. | DCOM | 135/TCP Dynamic | |
Geschützte Computer | Der DPM-Datenkanal ist TCP. Sowohl der DPM-Server als auch die geschützten Computer initiieren Verbindungen. DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719. | TCP | 5718/TCP 5719/TCP |
|
Geschützte Computer | Wird für die Hostnamenauflösung zwischen DPM/geschützten Computern und dem Domänencontroller verwendet. | Domain Name System | 53/UDP | |
Geschützte Computer | Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM/geschützten Computern und dem Domänencontroller verwendet. | Kerberos | 88/UDP 88/TCP |
|
Geschützte Computer | Wird für Abfragen zwischen dem DPM-Server und dem Domänencontroller verwendet. | LDAP | 389/TCP 389/UDP |
|
Geschützte Computer | Wird für verschiedene Vorgänge zwischen 1) DPM und geschützten Computern verwendet, 2) DPM und der Domänencontroller 3) Geschützte Computer und der Domänencontroller. Wird auch für SMB direkt auf TCP/IP für DPM-Funktionen gehostet. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
Remotecomputer mit SQL Server | Aktivieren Sie TCP/IP für die DPM-Instanz von SQL Server mit folgendem: Standardfehlerüberwachung; aktivieren Sie die Kennwortrichtlinienüberprüfung. | |||
Remotecomputer mit SQL Server | Aktivieren Sie die eingehende Ausnahme für sqservr.exe für die DPM-Instanz von SQL Server, um TCP auf Port 80 zuzulassen. Der Berichtsserver lauscht auf HTTP-Anforderungen an Port 80. | |||
Remotecomputer mit SQL Server | Standardinstanz des Datenbankmoduls lauscht auf TCP-Port 1443. Kann geändert werden. So verwenden Sie den SQL Server-Browserdienst, um eine Verbindung mit einem nicht standardmäßigen PORT-Satz UDP-Port 1434 herzustellen. |
|||
Remotecomputer mit SQL Server | Die benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports. Kann geändert werden. | |||
Remotecomputer mit SQL Server | Aktivieren von RPC |
Benutzerberechtigungen erteilen
Bevor Sie mit einer DPM-Bereitstellung beginnen, stellen Sie sicher, dass den entsprechenden Benutzern die erforderlichen Berechtigungen zum Ausführen der verschiedenen Aufgaben erteilt wurden. Eine Zusammenfassung finden Sie in der folgenden Tabelle:
DPM-Aufgabe | Berechtigungen erforderlich |
---|---|
Hinzufügen des DPM-Servers zu einer Domäne | Domänenadministratorkonto oder Benutzerrecht zum Hinzufügen einer Arbeitsstation zur Domäne |
Installieren von DPM | Administratorkonto auf dem DPM-Server |
Installieren eines DPM-Schutz-Agents auf einem Computer, den Sie schützen möchten | Domänenkonto, das sich in der Gruppe der lokalen Administratoren auf dem Computer befindet |
Erweitern des AD-Schemas zum Aktivieren der Endbenutzerwiederherstellung | Schemaadministratorberechtigungen für die Domäne |
Erstellen eines AD-Containers zum Aktivieren der Endbenutzerwiederherstellung | Domänenadministratorberechtigungen |
Erteilen der DPM-Serverberechtigung zum Ändern von Containerinhalten | Domänenadministratorberechtigungen |
Aktivieren der Endbenutzerwiederherstellung auf dem DPM-Server | Administratorkonto auf dem DPM-Server |
Installieren der Wiederherstellungspunkt-Clientsoftware auf dem geschützten Computer | Administratorkonto auf dem Computer |
Zugreifen auf frühere Versionen von geschützten Daten von einem geschützten Computer | Benutzerkonto mit Zugriff auf geschützte Freigabe |
Wiederherstellen von SharePoint-Daten | SharePoint-Farmadministrator, der auch ein Administrator auf dem Front-End-Webserver ist, auf dem der Schutz-Agent installiert ist. |
Hinweis
DPM-Server und geschützter Computer kommunizieren mit DCOM. Während der DPMRA-Installation wird das Konto des DPM-Servers der Sicherheitsgruppe "Verteilte COM-Benutzer " auf dem geschützten Computer hinzugefügt.
Für den Domänencontrollerschutz werden Active Directory-Sicherheitsgruppen für jeden der geschützten Domänencontroller mit den Namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME und DPMRATRUSTEDDPMRAS$DCNAME erstellt.