Vorbereiten auf die Bereitstellung von DPM-Servern
Wichtig
Diese Version von Data Protection Manager (DPM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.
Es müssen einige Planungsschritte berücksichtigt werden, bevor Sie mit der Bereitstellung Ihrer System Center Data Protection Manager-Server (DPM) beginnen:
Planen der Bereitstellung von DPM-Servern: Ermitteln Sie, wie viele DPM-Server erforderlich sind und wo diese platziert werden.
Planen von Firewalleinstellungen: Erhalten Sie Informationen zu Firewall-, Port- und Protokolleinstellungen auf dem DPM-Server, geschützten Computern und einem Remote-SQL Server, wenn Sie einen einrichten.
Gewähren von Benutzerberechtigungen: Geben Sie an, wer mit DPM interagieren kann.
Plan der Bereitstellung von DPM-Servern
Bestimmen Sie zunächst, wie viele Server Sie benötigen:
DPM kann bis zu 600 Volumes schützen. Zum Schutz dieser Maximalgröße benötigt DPM 120 TB pro DPM-Server.
Ein DPM-Server kann bis zu 2000 Datenbanken schützen (empfohlene Datenträgergröße von 80 TB).
Ein einzelner DPM-Server kann bis zu 3000 Clientcomputer und 100 Server schützen.
- Für die Planung der DPM-Serverkapazität können Sie die DPM-Speicherrechner verwenden. Diese Rechner sind Excel-Blätter und workloadspezifisch. Sie informieren über die Anzahl der erforderlichen DPM-Server, Prozessorkern, RAM, Empfehlungen für virtuellen Arbeitsspeicher und erforderliche Speicherkapazität. Da diese Rechner workloadspezifisch sind, müssen Sie die empfohlenen Einstellungen kombinieren und sie zusammen mit den Systemanforderungen und Ihren spezifischen Geschäftstopologien und Anforderungen berücksichtigen, einschließlich Datenquellen- und Speicherstandorten, Compliance- und SLA-Anforderungen sowie Anforderungen an die Notfallwiederherstellung. Diese Rechner wurden für DPM 2010 veröffentlicht, bleiben aber für nachfolgende DPM-Versionen relevant.
Ermitteln Sie dann, wie Sie die Server finden:
DPM muss in einer Active Directory-Domäne (Windows Server 2008 oder höher) bereitgestellt werden.
Berücksichtigen Sie bei der Entscheidung über den Standort des DPM-Servers die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Daten über ein Wide Area Network (WAN) geschützt werden, ist eine Netzwerkbandbreite von mindestens 512 kBit/s erforderlich.
Von DPM werden Netzwerkschnittstellenkarten (NIC) unterstützt, die in einem Team verwendet werden. In einem Team verwendete NIC sind mehrere physische Adapter, die so konfiguriert wurden, dass sie vom Betriebssystem als einzelner Adapter behandelt werden. Team niCs bieten eine höhere Bandbreite, indem sie die verfügbare Bandbreite kombinieren, indem sie jeden Adapter und ein Failover auf den verbleibenden Adapter verwenden, wenn ein Adapter ausfällt. DPM kann die erhöhte Bandbreite nutzen, die durch die Verwendung eines teamierten Adapters auf dem DPM-Server erreicht wird.
Ein weiterer Aspekt für den Speicherort Ihrer DPM-Server ist die Notwendigkeit, Bänder und Bandbibliotheken manuell zu verwalten, z. B. das Hinzufügen neuer Bänder zur Bibliothek oder das Entfernen von Bändern für ein externes Archiv.
Ein DPM-Server kann Ressourcen innerhalb einer Domäne oder domänenübergreifend innerhalb einer Gesamtstruktur schützen, die eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet. Wenn keine bidirektionale Vertrauensstellung zwischen Domänen vorhanden ist, benötigen Sie für jede Domäne einen separaten DPM-Server. Ein DPM-Server kann Daten gesamtstrukturübergreifend schützen, wenn zwischen den Gesamtstrukturen eine bidirektionale Vertrauensstellung auf Gesamtstrukturebene besteht.
Betrachten Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN schützen, ist eine Netzwerkbandbreite von mindestens 512 KBit/s erforderlich. Beachten Sie, dass DPM teamed NICs unterstützt, die höhere Bandbreite bieten, indem die verfügbare Bandbreite für jeden Netzwerkadapter und ein Failover bei einem Adapterfehler kombiniert wird.
Planen von Firewalleinstellungen und Benutzerberechtigungen
Firewalleinstellungen
Firewalleinstellungen für die DPM-Bereitstellung sind auf dem DPM-Server, auf zu schützenden Computern und auf dem SQL Server für die DPM-Datenbank erforderlich, wenn die Ausführung remote erfolgt. Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, werden die Firewalleinstellungen auf dem DPM-Server vom DPM-Setup automatisch konfiguriert. Die Firewalleinstellungen sind in der folgenden Tabelle zusammengefasst.
Standort | Regel | Details | Protocol | Port |
---|---|---|---|---|
DPM-Server | System Center <Version> Data Protection Manager DCOM-Einstellung | Wird für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern verwendet. | DCOM | 135/TCP Dynamic |
DPM-Server | System Center <Version> Data Protection Manager | Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
DPM-Server Geschützte Computer |
System Center <Version> Data Protection Management Replikations-Agent | Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst für das Sichern und Wiederherstellen von Daten). Wird auf dem DPM-Server und auf geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
Geschützte Computer | Konfigurieren einer eingehenden Ausnahme für sqserv.exe | |||
Geschützte Computer | DPM gibt den Befehl an den Schutz-Agent mit DCOM-Aufrufen des Agents aus. Sie müssen die oberen Ports (1024-65535) öffnen, damit DPM kommunizieren kann. | DCOM | 135/TCP Dynamic | |
Geschützte Computer | Der DPM-Datenkanal verwendet TCP. Sowohl der DPM-Server als auch die geschützten Computer stellen Verbindungen her. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719. | TCP | 5718/TCP 5719/TCP |
|
Geschützte Computer | Wird für die Hostnamenauflösung zwischen DPM/geschütztem Computer und dem Domänencontroller verwendet. | DNS | 53/UDP | |
Geschützte Computer | Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM/geschütztem Computer und dem Domänencontroller verwendet. | Kerberos | 88/UDP 88/TCP |
|
Geschützte Computer | Wird für Abfragen zwischen dem DPM-Server und dem Domänencontroller verwendet. | LDAP | 389/TCP 389/UDP |
|
Geschützte Computer | Verwendet für sonstige Vorgänge zwischen 1) DPM und geschützten Computern, 2) DPM und dem Domänencontroller 3) geschützten Computern und dem Domänencontroller. Wird auch für SMB verwendet, die direkt auf TCP/IP für DPM-Funktionen gehostet wird. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
Remotecomputer mit SQL Server | Aktivieren Sie TCP/IP für die DPM-instance von SQL Server wie folgt: Standardfehlerüberwachung; Aktivieren der Kennwortrichtlinienüberprüfung. | |||
Remotecomputer mit SQL Server | Aktivieren Sie eine eingehende Ausnahme für „sqservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen. | |||
Remotecomputer mit SQL Server | Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Kann geändert werden Um den SQL Server Browserdienst zum Herstellen einer Verbindung an einem nicht standardmäßigen Port zu verwenden, legen Sie UDP-Port 1434 fest. |
|||
Remotecomputer mit SQL Server | Eine benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports. Kann geändert werden | |||
Remotecomputer mit SQL Server | Aktivieren von RPC |
Grant user permissions
Bevor Sie mit einer DPM-Bereitstellung beginnen, vergewissern Sie sich, dass den entsprechenden Benutzern die erforderlichen Berechtigungen zum Ausführen der verschiedenen Aufgaben erteilt wurden. Diese werden in der folgenden Tabelle zusammengefasst.
DPM-Aufgabe | Berechtigungen erforderlich |
---|---|
Hinzufügen des DPM-Servers zu einer Domäne | Domänenadministratorkonto oder Benutzerrecht zum Hinzufügen einer Arbeitsstation zur Domäne |
Installieren von DPM | Administratorkonto auf dem DPM-Server |
Installieren eines DPM-Schutz-Agents auf einem Computer, den Sie schützen möchten | Domänenkonto, das sich in der gruppe der lokalen Administratoren auf dem Computer befindet |
Erweitern des AD-Schemas zum Aktivieren der Endbenutzerwiederherstellung | Schemaadministratorrechte für die Domäne |
Erstellen eines AD-Containers zum Aktivieren der Endbenutzerwiederherstellung | Domänenadministratorrechte |
Gewähren der Berechtigung zum Ändern der Containerinhalte durch den DPM-Server | Domänenadministratorrechte |
Aktivieren der Endbenutzerwiederherstellung auf dem DPM-Server | Administratorkonto auf dem DPM-Server |
Installieren der Wiederherstellungspunktclientsoftware auf dem geschützten Computer | Admin Konto auf dem Computer |
Zugreifen auf frühere Versionen geschützter Daten von einem geschützten Computer aus | Benutzerkonto mit Zugriff auf die geschützte Freigabe |
Wiederherstellen von SharePoint-Daten | SharePoint-Farmadministrator, der auch Administrator auf dem Front-End-Webserver ist, auf dem der Schutz-Agent installiert ist. |
Hinweis
DPM-Server und geschützter Computer kommunizieren über DCOM. Während der DPMRA-Installation wird das Konto des DPM-Servers der Sicherheitsgruppe Verteilte COM-Benutzer auf dem geschützten Computer hinzugefügt.
Für den Domänencontrollerschutz werden Active Directory-Sicherheitsgruppen für jeden der geschützten Domänencontroller mit den Namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME und DPMRATRUSTEDDPMRAS$DCNAME erstellt.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für