Příprava k nasazení serverů DPM
Než začnete nasazovat servery system Center Data Protection Manageru (DPM), zvažte několik kroků plánování:
Plánování nasazení serveru DPM – zjistěte, kolik serverů DPM budete potřebovat a kam je umístit.
Plánování nastavení brány firewall – Informace o nastavení brány firewall, portu a protokolu na serveru DPM, chráněných počítačích a vzdáleném SQL Serveru, pokud ho nastavujete.
Udělení uživatelských oprávnění – Určete, kdo může pracovat s APLIKACÍ DPM.
Plánování nasazení serveru DPM
Nejprve určete, kolik serverů budete potřebovat:
DPM může chránit až 600 svazků. K ochraně této maximální velikosti potřebuje DPM 120 TB na server DPM.
Jeden server DPM může chránit až 2 000 databází (doporučená velikost disku 80 TB).
Jeden server DPM může chránit až 3 000 klientských počítačů a 100 serverů.
- Pro plánování kapacity serveru DPM můžete použít kalkulačky úložiště DPM. Tyto kalkulačky jsou excelové listy a jsou specifické pro úlohy. Průvodce počtem požadovaných serverů DPM, jádrem procesoru, pamětí RAM, doporučeními pro virtuální paměť a požadovanou kapacitou úložiště. Vzhledem k tomu, že tyto kalkulačky jsou specifické pro úlohy, budete muset zkombinovat doporučená nastavení a zvážit je společně s požadavky na systém a konkrétní obchodní topologii a požadavky, včetně zdrojů dat a umístění úložiště, požadavků na dodržování předpisů a smlouvy SLA a požadavků na zotavení po havárii. Mějte na paměti, že kalkulačky byly vydány pro DPM 2010, ale zůstávají relevantní pro novější verze DPM.
Pak zjistěte, jak servery najít:
APLIKACE DPM musí být nasazená v doméně služby Active Directory (Windows Server 2008 a novější).
Při rozhodování o umístění serveru DPM zvažte šířku pásma sítě mezi serverem DPM a chráněnými počítači. Pokud chráníte data přes síť WAN (Wide Area Network), existuje požadavek na minimální šířku pásma sítě 512 kilobitů za sekundu (Kbps).
DPM podporuje seskupené síťové adaptéry (NIC). Seskupené síťové karty jsou několik fyzických adaptérů, které jsou nakonfigurované tak, aby byly považovány za jeden adaptér operačního systému. Seskupené síťové karty poskytují větší šířku pásma kombinováním dostupné šířky pásma, přičemž každý adaptér a převzetí služeb při selhání adaptéru se zbývajícím adaptérem nezdaří. APLIKACE DPM může použít zvýšenou šířku pásma dosaženou pomocí seskupovaného adaptéru na serveru DPM.
Dalším aspektem umístění serverů DPM je potřeba spravovat pásky a knihovny pásek ručně, jako je přidání nových pásek do knihovny nebo odebrání pásek pro archiv mimo pracoviště.
Server DPM může chránit prostředky v rámci domény nebo napříč doménami v doménové struktuře, která má obousměrný vztah důvěryhodnosti s doménou, ve které je umístěn server DPM. Pokud mezi doménami neexistuje obousměrný vztah důvěryhodnosti, potřebujete pro každou doménu samostatný server DPM. Server DPM může chránit data napříč doménovými strukturami, pokud mezi doménovými strukturami existuje obousměrný vztah důvěryhodnosti.
Vezměte v úvahu šířku pásma sítě mezi serverem DPM a chráněnými počítači. Pokud chráníte data přes síť WAN, existuje minimální požadavek na šířku pásma sítě 512 kB/s. Aplikace DPM podporuje seskupené síťové karty, které poskytují větší šířku pásma kombinováním šířky pásma dostupné pro každý síťový adaptér a převzetí služeb při selhání adaptéru.
Plánování nastavení brány firewall a uživatelských oprávnění
Nastavení brány firewall
Nastavení brány firewall pro nasazení APLIKACE DPM se vyžaduje na serveru DPM, na počítačích, které chcete chránit, a na SQL Serveru používaném pro databázi DPM, pokud ji spouštíte vzdáleně. Pokud je při instalaci aplikace DPM povolená brána Windows Firewall, instalační program APLIKACE DPM automaticky nakonfiguruje nastavení brány firewall na serveru DPM. Nastavení brány firewall jsou shrnutá v následující tabulce.
| Umístění | Pravidlo | Detaily | Protokol | Port |
|---|---|---|---|---|
| Server DPM | System Center <version> Data Protection Manager – nastavení modelu DCOM | Používá se pro komunikaci modelu DCOM mezi serverem DPM a chráněnými počítači. | DCOM | Dynamická 135/TCP |
| Server DPM | System Center <version> Data Protection Manager | Výjimka pro Msdpm.exe (služba DPM). Běží na serveru DPM. | Všechny protokoly | Všechny porty |
| Server DPM Chráněné počítače |
Agent replikace správy ochrany dat ve verzi> system Center < | Výjimka pro Dpmra.exe (služba agenta ochrany použitá k zálohování a obnovení dat). Běží na serveru DPM a chráněných počítačích. | Všechny protokoly | Všechny porty |
| Chráněné počítače | Konfigurace příchozí výjimky pro sqserv.exe | |||
| Chráněné počítače | Dpm vydává příkaz agenta ochrany s voláním modelu DCOM agenta. Budete muset otevřít horní porty (1024-65535), aby aplikace DPM komunikuje. | DCOM | Dynamická 135/TCP | |
| Chráněné počítače | Datový kanál DPM je TCP. Jak server DPM, tak chráněné počítače inicializuje připojení. DPM komunikuje s koordinátorem agenta na portu 5718 a s agentem ochrany na portu 5719. | TCP | 5718/TCP 5719/TCP |
|
| Chráněné počítače | Používá se k překladu názvů hostitelů mezi počítačem chráněným aplikací DPM a řadičem domény. | DNS | 53/UDP | |
| Chráněné počítače | Používá se k ověřování koncového bodu připojení, mezi počítačem DPM nebo chráněným počítačem a řadičem domény. | Kerberos | 88/UDP 88/TCP |
|
| Chráněné počítače | Používá se pro dotazy mezi serverem DPM a řadičem domény. | LDAP | 389/TCP 389/UDP |
|
| Chráněné počítače | Používá se pro různé operace mezi 1) DPM a chráněnými počítači, 2) DPM a řadičem domény 3) Chráněné počítače a řadič domény. Používá se také pro protokol SMB přímo hostovaný na protokolu TCP/IP pro funkce DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Vzdálený SQL Server | Povolte tcp/IP pro instanci DPM SQL Serveru s následujícím kódem: výchozí audit selhání; povolte kontrolu zásad hesel. | |||
| Vzdálený SQL Server | Povolte příchozí výjimku pro sqservr.exe pro instanci APLIKACE DPM SQL Serveru tak, aby na portu 80 povolil protokol TCP. Server sestav naslouchá požadavkům HTTP na portu 80. | |||
| Vzdálený SQL Server | Výchozí instance databázového stroje naslouchá na portu TCP 1443. Lze upravit. Chcete-li použít službu SQL Server Browser pro připojení na ne-výchozí port nastavit UDP port 1434. |
|||
| Vzdálený SQL Server | Pojmenovaná instance SQL Serveru ve výchozím nastavení používá dynamické porty. Lze upravit. | |||
| Vzdálený SQL Server | Povolení RPC |
Udělení uživatelských oprávnění
Než začnete s nasazením APLIKACE DPM, ověřte, zda mají příslušní uživatelé udělená požadovaná oprávnění k provádění různých úloh. Ty jsou shrnuté v následující tabulce.
| Úloha DPM | Požadovaná oprávnění |
|---|---|
| Přidání serveru DPM do domény | Účet správce domény nebo uživatelské právo přidat pracovní stanici do domény |
| Instalace APLIKACE DPM | Účet správce na serveru DPM |
| Instalace agenta ochrany DPM na počítač, který chcete chránit | Doménový účet, který je ve skupině místních správců na počítači |
| Rozšíření schématu AD pro povolení obnovení koncových uživatelů | Oprávnění správce schématu pro doménu |
| Vytvoření kontejneru AD pro povolení obnovení koncových uživatelů | Oprávnění správce domény |
| Udělení oprávnění serveru DPM ke změně obsahu kontejneru | Oprávnění správce domény |
| Povolení obnovení koncového uživatele na serveru DPM | Účet správce na serveru DPM |
| Instalace klientského softwaru bodu obnovení na chráněném počítači | Účet správce na počítači |
| Přístup k předchozím verzím chráněných dat z chráněného počítače | Uživatelský účet s přístupem k chráněné sdílené složce |
| Obnovení dat SharePointu | Správce farmy SharePointu, který je také správcem front-endového webového serveru, na kterém je nainstalovaný agent ochrany. |
Poznámka:
Server DPM a chráněný počítač komunikují pomocí modelu DCOM. Během instalace aplikace DPMRA se účet serveru DPM přidá do skupiny zabezpečení Distributed COM Users na chráněném počítači.
Pro ochranu řadiče domény se vytvoří skupiny zabezpečení služby Active Directory pro každý z chráněných řadičů domény s názvy DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME a DPMRATRUSTEDDPMRAS$DCNAME.