Prepararsi alla distribuzione di server DPM
Prima di iniziare a distribuire i server System Center Data Protection Manager (DPM) è necessario eseguire alcuni passaggi di pianificazione:
Pianificare la distribuzione del server DPM: determinare il numero di server DPM necessari e la posizione in cui inserirli.
Pianificare le impostazioni del firewall: ottenere informazioni sulle impostazioni del firewall, della porta e del protocollo nel server DPM, nei computer protetti e in un'istanza remota di SQL Server, se ne sta configurando una.
Concedere le autorizzazioni utente: specificare chi può interagire con DPM.
Pianificare la distribuzione del server DPM
Prima di tutto, determinare il numero di server necessari:
DPM può proteggere fino a 600 volumi. Per proteggere queste dimensioni massime, DPM richiede 120 TB per ogni server DPM.
Un singolo server DPM può proteggere fino a 2000 database (dimensioni del disco consigliate 80 TB).
Un singolo server DPM può proteggere fino a 3000 computer client e 100 server.
- Per la pianificazione della capacità del server DPM, è possibile usare i calcolatori di archiviazione DPM. Questi calcolatori sono fogli di Excel e sono specifici del carico di lavoro. Guidano il numero di server DPM necessari, core del processore, RAM, raccomandazioni sulla memoria virtuale e capacità di archiviazione necessaria. Poiché questi calcolatori sono specifici del carico di lavoro, è necessario combinare le impostazioni consigliate e valutarle insieme ai requisiti di sistema e alla topologia e ai requisiti aziendali specifici, inclusi i percorsi di origine dati e archiviazione, i requisiti di conformità e contratto di servizio e le esigenze di ripristino di emergenza. Si noti che i calcolatori sono stati rilasciati per DPM 2010, ma rimangono rilevanti per le versioni successive di DPM.
Capire quindi come individuare i server:
DPM deve essere distribuito in un dominio di Active Directory (Windows Server 2008 e versioni successive).
Quando si decide dove individuare il server DPM, prendere in considerazione la larghezza di banda di rete tra il server DPM e i computer protetti. Per proteggere i dati in una rete WAN (Wide Area Network), è richiesta una larghezza di banda di rete minima pari a 512 Kbps (kilobit al secondo).
DPM supporta schede di rete in team. I gruppi NIC sono più schede di rete fisiche configurate in modo da essere considerate come una singola scheda dal sistema operativo. Le schede di interfaccia di rete in team offrono una maggiore larghezza di banda combinando la larghezza di banda disponibile, usando ogni scheda e il failover alla scheda rimanente in caso di errore di una scheda. DPM può usare la maggiore larghezza di banda ottenuta usando una scheda in team nel server DPM.
Un'altra considerazione per la posizione dei server DPM è la necessità di gestire manualmente nastri e librerie di nastri, ad esempio l'aggiunta di nuovi nastri alla libreria o la rimozione di nastri per un archivio fuori sede.
Un server DPM può proteggere le risorse all'interno di un dominio o tra domini all'interno di una foresta con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM. Se non esiste un trust bidirezionale tra domini, è necessario un server DPM separato per ogni dominio. Un server DPM può proteggere i dati tra foreste se è presente un trust bidirezionale a livello di foresta tra le foreste.
Tieni conto della larghezza di banda di rete tra il server DPM e i computer protetti. Se si proteggono i dati tramite una rete WAN, è previsto un requisito minimo di larghezza di banda di rete di 512 Kbps. Si noti che DPM supporta schede di interfaccia di rete in team che offrono una maggiore larghezza di banda combinando la larghezza di banda disponibile per ogni scheda di rete e failover in caso di errore di una scheda.
Pianificare le impostazioni del firewall e le autorizzazioni utente
Impostazioni del firewall
Le impostazioni del firewall per la distribuzione DPM sono necessarie nel server DPM, nei computer da proteggere e nel server SQL usato per il database DPM se è in esecuzione in remoto. Se Windows Firewall è abilitato quando si installa DPM, il programma di installazione di DPM configura automaticamente le impostazioni del firewall nel server DPM. Le impostazioni del firewall sono riepilogate nella tabella seguente.
| Ufficio | Regola | Dettagli | Protocollo | Porta |
|---|---|---|---|---|
| Server DPM | Impostazione DCOM di System Center <version> Data Protection Manager | Usato per la comunicazione DCOM tra il server DPM e i computer protetti. | DCOM | 135/TCP dinamica |
| Server DPM | System Center <version> Data Protection Manager | Eccezione per Msdpm.exe (il servizio DPM). Eseguita nel server DPM. | Tutti i protocolli | Tutte le porte |
| Server DPM Computer protetti |
Agente di replica di Gestione della protezione dei dati della versione> di System Center < | Eccezione per Dpmra.exe (servizio agente protezione usato per eseguire il backup e il ripristino dei dati). Viene eseguito nel server DPM e nei computer protetti. | Tutti i protocolli | Tutte le porte |
| Computer protetti | Configurare un'eccezione in ingresso per sqserv.exe | |||
| Computer protetti | DPM emette il comando per l'agente protezione con chiamate DCOM all'agente. Sarà necessario aprire le porte superiori (1024-65535) per consentire a DPM di comunicare. | DCOM | 135/TCP dinamica | |
| Computer protetti | Il canale dati DPM è TCP. Sia il server DPM che i computer protetti avviano le connessioni. DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719. | TCP | 5718/TCP 5719/TCP |
|
| Computer protetti | Usato per la risoluzione dei nomi host tra DPM/computer protetto e il controller di dominio. | DNS | 53/UDP | |
| Computer protetti | Usato per l'autenticazione dell'endpoint di connessione, tra DPM/computer protetto e il controller di dominio. | Kerberos | 88/UDP 88/TCP |
|
| Computer protetti | Usato per le query tra il server DPM e il controller di dominio. | LDAP | 389/TCP 389/UDP |
|
| Computer protetti | Usato per operazioni varie tra 1) DPM e computer protetti, 2) DPM e il controller di dominio 3) Computer protetti e controller di dominio. Usato anche per SMB ospitato direttamente su TCP/IP per le funzioni DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server remoto | Abilitare TCP/IP per l'istanza DPM di SQL Server con il controllo degli errori predefinito: abilitare il controllo dei criteri delle password. | |||
| SQL Server remoto | Abilitare l'eccezione in ingresso per sqservr.exe per l'istanza DPM di SQL Server per consentire TCP sulla porta 80. Il server di report è in attesa delle richieste HTTP sulla porta 80. | |||
| SQL Server remoto | L'istanza predefinita del motore di database è in ascolto sulla porta TCP 1443. Può essere modificato. Per usare il servizio SQL Server Browser per connettersi a una porta non predefinita, impostare la porta UDP 1434. |
|||
| SQL Server remoto | Per impostazione predefinita, l'istanza denominata di SQL Server usa porte dinamiche. Può essere modificato. | |||
| SQL Server remoto | Abilitare RPC |
Concedere autorizzazioni utente
Prima di iniziare una distribuzione DPM, verificare che agli utenti appropriati siano stati concessi i privilegi necessari per eseguire le varie attività. Questi report sono riepilogati nella tabella seguente.
| Attività DPM | Autorizzazioni necessarie |
|---|---|
| Aggiungere il server DPM a un dominio | Account amministratore di dominio o diritto utente per aggiungere una workstation al dominio |
| Installare DPM | Account amministratore nel server DPM |
| Installare un agente protezione DPM in un computer da proteggere | Account di dominio che si trova nel gruppo degli amministratori locali nel computer |
| Estendere lo schema di ACTIVE Directory per abilitare il ripristino dell'utente finale | Privilegi di amministratore dello schema per il dominio |
| Creare un contenitore di Active Directory per abilitare il ripristino dell'utente finale | Privilegi di amministratore di dominio |
| Concedere all'utente l'autorizzazione del server DPM per modificare il contenuto del contenitore | Privilegi di amministratore di dominio |
| Abilitare il ripristino dell'utente finale nel server DPM | Account amministratore nel server DPM |
| Installare il software client del punto di ripristino nel computer protetto | Account amministratore nel computer |
| Accedere alle versioni precedenti dei dati protetti da un computer protetto | Account utente con accesso alla condivisione protetta |
| Ripristinare i dati di SharePoint | Amministratore della farm di SharePoint che è anche un amministratore nel server Web front-end in cui è installato l'agente protezione. |
Nota
Il server DPM e il computer protetto comunicano tramite DCOM. Durante l'installazione di DPMRA, l'account del server DPM viene aggiunto al gruppo di sicurezza Utenti COM distribuiti nel computer protetto.
Per la protezione del controller di dominio, i gruppi di sicurezza di Active Directory verranno creati per ognuno dei controller di dominio protetti, con i nomi DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME e DPMRATRUSTEDDPMRAS$DCNAME.