DPM サーバーを展開する準備をする
System Center Data Protection Manager (DPM) サーバーの展開を開始する前に考慮すべきいくつかの計画手順があります。
DPM サーバーの展開を計画する - 必要な DPM サーバーの数と配置場所を確認します。
ファイアウォール設定を計画する - DPM サーバー、保護されたマシン、リモート SQL Server のファイアウォール、ポート、プロトコルの設定に関する情報を取得します (設定する場合)。
ユーザーのアクセス許可を付与する - DPM と対話できるユーザーを指定します。
DPM サーバーの展開を計画する
まず、必要なサーバーの数を決定します。
DPM は、最大 600 個のボリュームを保護できます。 この最大サイズを保護するには、DPM サーバーあたり 120 TB が必要です。
1 台の DPM サーバーで最大 2,000 個のデータベースを保護できます (推奨されるディスク サイズは 80 TB)。
1 台の DPM サーバーで、最大 3,000 台のクライアント コンピューターと 100 台のサーバーを保護できます。
- DPM サーバーの容量計画には、 DPM ストレージ計算ツールを使用できます。 これらの電卓は Excel シートであり、ワークロード固有です。 必要な DPM サーバーの数、プロセッサ コア、RAM、仮想メモリの推奨事項、および必要な記憶域容量について説明します。 これらの計算ツールはワークロード固有であるため、推奨設定を組み合わせて、データ ソースとストレージの場所、コンプライアンスと SLA の要件、ディザスター リカバリーのニーズなど、システム要件と特定のビジネス トポロジと要件と一緒に検討する必要があります。 計算ツールは DPM 2010 用にリリースされましたが、それ以降の DPM バージョンには引き続き関係があることに注意してください。
次に、サーバーを見つける方法を確認します。
DPM は Active Directory ドメイン (Windows Server 2008 以降) に展開する必要があります。
DPM サーバーの場所を決定する場合は、DPM サーバーと保護されたコンピューターの間のネットワーク帯域幅を考慮してください。 ワイド エリア ネットワーク (WAN) を介してデータを保護する場合は、ネットワーク帯域幅の最小要件が 512 キロビット/秒 (Kbps) と定められています。
DPM では、チーム化されたネットワーク アダプター (NIC) がサポートされます。 チーミングされた NIC とは、オペレーティング システムが 1 つのアダプターと見なすように構成された複数の物理アダプターのことです。 チーミングされた NIC は、使用可能な帯域幅を組み合わせることで帯域幅を増やし、各アダプターを使用し、アダプターが失敗したときに残りのアダプターにフェールオーバーします。 DPM は、DPM サーバー上のチーミングされたアダプターを使用して、達成される帯域幅の増加を使用できます。
DPM サーバーの場所に関するもう 1 つの考慮事項は、新しいテープをライブラリに追加したり、オフサイト アーカイブ用のテープを削除したりするなど、テープとテープ ライブラリを手動で管理する必要がある場合です。
DPM サーバーは、ドメイン内のリソース、または DPM サーバーが配置されているドメインと双方向の信頼関係を持つフォレスト内のドメイン間でリソースを保護できます。 ドメイン間で双方向の信頼がない場合は、ドメインごとに個別の DPM サーバーが必要です。 フォレスト間にフォレスト レベルの双方向の信頼がある場合、DPM サーバーはフォレスト間でデータを保護できます。
DPM サーバーと保護対象のコンピューター間のネットワーク帯域幅を考慮してください。 WAN 経由でデータを保護する場合、ネットワーク帯域幅の最小要件は 512 Kbps です。 DPM では、各ネットワーク アダプターで使用可能な帯域幅を組み合わせて帯域幅を増やし、アダプターで障害が発生した場合にフェールオーバーする、チーム化された NIC がサポートされていることに注意してください。
ファイアウォール設定とユーザーのアクセス許可を計画する
ファイアウォールの設定
DPM 展開のファイアウォール設定は、DPM サーバー、保護するマシン、DPM データベースに使用される SQL Server (リモートで実行している場合) で必要です。 DPM のインストール時に Windows ファイアウォールが有効になっている場合、DPM セットアップによって DPM サーバーのファイアウォール設定が自動的に構成されます。 ファイアウォールの設定を次の表にまとめます。
| 場所 | Rule | 詳細 | プロトコル | Port |
|---|---|---|---|---|
| DPM サーバー | System Center <version> Data Protection Manager DCOM の設定 | DPM サーバーと保護されたマシン間の DCOM 通信に使用されます。 | DCOM | 135/TCP 動的 |
| DPM サーバー | System Center <version> Data Protection Manager | Msdpm.exe (DPM サービス) の例外です。 DPM サーバーで実行します。 | すべてのプロトコル | すべてのポート |
| DPM サーバー 保護されたマシン |
System Center <version> Data Protection Management レプリケーション エージェント | Dpmra.exeの例外 (データのバックアップと復元に使用される保護エージェント サービス)。 DPM サーバーと保護されたマシンで実行されます。 | すべてのプロトコル | すべてのポート |
| 保護されたマシン | sqserv.exeの受信例外を構成する | |||
| 保護されたマシン | DPM は、エージェントへの DCOM 呼び出しで保護エージェントにコマンドを発行します。 DPM が通信するには、上部のポート (1024- 65535) を開く必要があります。 | DCOM | 135/TCP 動的 | |
| 保護されたマシン | DPM データ チャネルは TCP です。 DPM サーバーと保護されたマシンの両方が接続を開始します。 DPM は、ポート 5718 でエージェント コーディネーターと通信し、ポート 5719 で保護エージェントと通信します。 | TCP | 5718/TCP 5719/TCP |
|
| 保護されたマシン | DPM/保護されたマシンとドメイン コントローラーの間のホスト名解決に使用されます。 | DNS | 53/UDP | |
| 保護されたマシン | 接続エンドポイント、DPM/保護されたマシン、およびドメイン コントローラーの間の認証に使用されます。 | Kerberos | 88/UDP 88/TCP |
|
| 保護されたマシン | DPM サーバーとドメイン コントローラーの間のクエリに使用されます。 | LDAP | 389/TCP 389/UDP |
|
| 保護されたマシン | 1) DPM と保護されたマシン、2) DPM とドメイン コントローラー 3) 保護されたマシンとドメイン コントローラーの間のその他の操作に使用されます。 また、DPM 関数の TCP/IP で直接ホストされる SMB にも使用されます。 | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| リモート SQL Server | SQL Server の DPM インスタンスに対して TCP/IP を有効にします。既定のエラー監査。パスワード ポリシー チェックを有効にします。 | |||
| リモート SQL Server | SQL Server の DPM インスタンスのsqservr.exeの受信例外を有効にして、ポート 80 で TCP を許可します。 レポート サーバーは、ポート 80 で HTTP 要求をリッスンします。 | |||
| リモート SQL Server | データベース エンジンの既定のインスタンスは、TCP ポート 1443 でリッスンします。 変更できます。 SQL Server Browser サービスを使用して、既定以外のポート セット UDP ポート 1434 で接続する場合。 |
|||
| リモート SQL Server | SQL Server の名前付きインスタンスでは、既定で動的ポートが使用されます。 変更できます。 | |||
| リモート SQL Server | RPC を有効にする |
ユーザーのアクセス許可を付与する
DPM の展開を開始する前に、さまざまなタスクを実行するために必要な特権が適切なユーザーに付与されていることを確認します。 これらの概要を次の表に示します。
| DPM タスク | 必要なアクセス許可 |
|---|---|
| DPM サーバーをドメインに追加する | ドメインにワークステーションを追加するドメイン管理者アカウントまたはユーザー権限 |
| DPM をインストールする | DPM サーバーの管理者アカウント |
| 保護するコンピューターに DPM 保護エージェントをインストールする | コンピューター上のローカル管理者グループにあるドメイン アカウント |
| AD スキーマを拡張してエンド ユーザーの回復を有効にする | ドメインのスキーマ管理者特権 |
| エンド ユーザーの回復を有効にする AD コンテナーを作成する | ドメイン管理者特権 |
| コンテナーの内容を変更するための DPM サーバーのアクセス許可を付与する | ドメイン管理者特権 |
| DPM サーバーでエンド ユーザーの回復を有効にする | DPM サーバーの管理者アカウント |
| 保護されたコンピューターに回復ポイント クライアント ソフトウェアをインストールする | コンピューターの管理者アカウント |
| 保護されたコンピューターから保護されたデータの以前のバージョンにアクセスする | 保護された共有へのアクセス権を持つユーザー アカウント |
| SharePoint データを回復する | 保護エージェントがインストールされているフロントエンド Web サーバーの管理者でもある SharePoint ファーム管理者。 |
Note
DPM サーバーと保護されたコンピューターは、DCOM を使用して通信します。 DPMRA のインストール中に、DPM サーバーのアカウントが保護されたコンピューターの Distributed COM Users セキュリティ グループに追加されます。
ドメイン コントローラー保護の場合、Active Directory セキュリティ グループは、保護された各ドメイン コントローラーに対して作成されます。名前は DPMRADCOMTRUSTEDMACHINES$DCNAME、 DPMRADMTRUSTEDMACHINES$DCNAME、および DPMRATRUSTEDDPMRAS$DCNAME。