Vorbereiten der Bereitstellung von DPM-Servern
Es gibt einige Planungsschritte, die Sie berücksichtigen sollten, bevor Sie mit der Bereitstellung Ihrer System Center Data Protection Manager (DPM)-Server beginnen:
Planen der DPM-Serverbereitstellung: Ermitteln Sie, wie viele DPM-Server Sie benötigen und wo sie platziert werden sollen.
Planen von Firewalleinstellungen: Informieren Sie sich über die Firewall-, Port- und Protokolleinstellungen auf dem DPM-Server, auf geschützten Computern und einem Remote-SQL-Server, falls Sie einen einrichten.
Erteilen von Benutzerberechtigungen: Geben Sie an, wer mit DPM interagieren kann.
Planen der DPM-Serverbereitstellung
Ermitteln Sie zunächst, wie viele Server Sie benötigen:
DPM kann bis zu 600 Volumes schützen. Um diese maximale Größe zu schützen, benötigt DPM 120 TB pro DPM-Server.
Ein einzelner DPM-Server kann bis zu 2000 Datenbanken schützen (empfohlene Datenträgergröße 80 TB).
Ein einzelner DPM-Server kann bis zu 3000 Clientcomputer und 100 Server schützen.
- Für die Planung der DPM-Serverkapazität können Sie die DPM-Speicherrechner verwenden. Diese Rechner sind Excel-Tabellen und auf bestimmte Workloads ausgelegt. Sie geben Auskunft über die Anzahl der erforderlichen DPM-Server, Prozessorkerne, RAM, Empfehlungen für virtuellen Speicher und die erforderliche Speicherkapazität. Da diese Rechner Workload-spezifisch sind, müssen Sie die empfohlenen Einstellungen kombinieren und sie zusammen mit den Systemanforderungen und Ihrer spezifischen Geschäftstopologie und Ihren Anforderungen, einschließlich Datenquellen und Speicherorten, Compliance- und SLA-Anforderungen sowie Disaster-Recovery-Anforderungen, berücksichtigen. Beachten Sie, dass die Rechner für DPM 2010 veröffentlicht wurden, aber auch für spätere DPM-Versionen relevant bleiben.
Ermitteln Sie dann, wie Sie die Server lokalisieren können:
DPM muss in einer Active Directory-Domäne (ab Windows Server 2008) bereitgestellt werden.
Bei der Entscheidung, wo Sie Ihren DPM-Server aufstellen, sollten Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern berücksichtigen. Wenn Sie Daten über ein Wide Area Network (WAN) schützen, benötigen Sie eine Mindestnetzwerkbandbreite von 512 Kilobit pro Sekunde (KBit/s).
DPM unterstützt gruppierte Netzwerkadapter (NICs). Gruppierte NICs sind mehrere physische Adapter, die so konfiguriert sind, dass sie vom Betriebssystem als ein einziger Adapter behandelt werden. Gruppierte NICs bieten eine höhere Bandbreite, indem sie die verfügbare Bandbreite kombinieren, wobei jeder Adapter und die Ausfallsicherung auf den verbleibenden Adapter verwendet wird, wenn ein Adapter ausfällt. DPM kann die erhöhte Bandbreite nutzen, die durch die Verwendung eines gruppierten Adapters auf dem DPM-Server erreicht wird.
Ein weiterer Grund für die Wahl des Standorts Ihrer DPM-Server ist die Notwendigkeit, Bänder und Bandbibliotheken manuell zu verwalten, z. B. das Hinzufügen neuer Bänder zur Bibliothek oder das Entfernen von Bändern für ein externes Archiv.
Ein DPM-Server kann Ressourcen innerhalb einer Domäne oder domänenübergreifend innerhalb einer Gesamtstruktur schützen, die eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet. Wenn es keine bidirektionale Vertrauensstellung zwischen Domänen gibt, benötigen Sie einen separaten DPM-Server für jede Domäne. Ein DPM-Server kann Daten in allen Gesamtstrukturen schützen, wenn zwischen den Gesamtstrukturen eine gegenseitige Vertrauensstellung auf Gesamtstrukturebene besteht.
Berücksichtigen Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN schützen, ist eine Netzwerkbandbreite von mindestens 512 KBit/s erforderlich. Beachten Sie, dass DPM gruppierte NICs im Team unterstützt, die eine höhere Bandbreite bieten, indem sie die für jeden Netzwerkadapter verfügbare Bandbreite kombinieren und bei einem Adapterausfall einen Failover durchführen.
Planen von Firewalleinstellungen und Benutzerberechtigungen
Firewalleinstellungen
Firewall-Einstellungen für die DPM-Bereitstellung sind auf dem DPM-Server, auf den Computern, die Sie schützen möchten, und auf dem SQL-Server erforderlich, der für die DPM-Datenbank verwendet wird, wenn Sie diese remote ausführen. Wenn die Windows-Firewall aktiviert ist, während Sie DPM installieren, konfiguriert das DPM-Setup automatisch die Firewalleinstellungen auf dem DPM-Server. Die Firewall-Einstellungen sind in der folgenden Tabelle zusammengefasst.
| Location | Regel | Details | Protocol | Port |
|---|---|---|---|---|
| DPM-Server | System Center <Version> Data Protection Manager DCOM-Einstellung | Wird für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern verwendet. | DCOM | 135/TCP Dynamic |
| DPM-Server | System Center <Version> Data Protection Manager | Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. | Alle Protokolle | Alle Ports |
| DPM-Server Geschützte Computer |
System Center <Version> Data Protection Management Replikations-Agent | Ausnahme für Dpmra.exe (Schutz-Agent-Dienst, der zum Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. | Alle Protokolle | Alle Ports |
| Geschützte Computer | Konfigurieren einer eingehenden Ausnahme für sqserv.exe | |||
| Geschützte Computer | DPM erteilt dem Schutz-Agenten einen Befehl mit DCOM-Aufrufen an den Agenten. Sie müssen die oberen Ports (1024-65535) öffnen, damit DPM kommunizieren kann. | DCOM | 135/TCP Dynamic | |
| Geschützte Computer | Der DPM-Datenkanal ist TCP. Sowohl der DPM-Server als auch die geschützten Computer initiieren Verbindungen. DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Geschützte Computer | Wird für die Hostnamenauflösung zwischen DPM/geschützten Computern und dem Domänencontroller verwendet. | Domain Name System | 53/UDP | |
| Geschützte Computer | Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM/geschützten Computern und dem Domänencontroller verwendet. | Kerberos | 88/UDP 88/TCP |
|
| Geschützte Computer | Wird für Abfragen zwischen dem DPM-Server und dem Domänencontroller verwendet. | LDAP | 389/TCP 389/UDP |
|
| Geschützte Computer | Wird für verschiedene Vorgänge zwischen 1) DPM und geschützten Computern, 2) DPM und dem Domänencontroller 3) geschützten Computern und dem Domänencontroller verwendet. Wird auch für direkt auf TCP/IP gehostete SMB für DPM-Funktionen verwendet. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Remotecomputer mit SQL Server | Aktivieren Sie TCP/IP für die DPM-Instanz von SQL Server mit folgendem: Standardfehlerüberwachung; Kennwortrichtlinienüberprüfung aktivieren. | |||
| Remotecomputer mit SQL Server | Aktivieren Sie die eingehende Ausnahme für sqservr.exe für die DPM-Instanz von SQL Server, um TCP auf Port 80 zuzulassen. Standardmäßig lauscht der Berichtsserver HTTP-Anforderungen an Port 80. | |||
| Remotecomputer mit SQL Server | Die Standardinstanz der Datenbank-Engine lauscht auf TCP-Port 1443. Kann geändert werden. Um den SQL Server Browser-Dienst für die Verbindung über einen nicht standardmäßigen Port zu verwenden, stellen Sie den UDP-Port 1434 ein. |
|||
| Remotecomputer mit SQL Server | Das genannte Beispiel von SQL Server verwendet standardmäßig dynamische Ports. Kann geändert werden. | |||
| Remotecomputer mit SQL Server | Aktivieren von RPC |
Benutzerberechtigungen erteilen
Bevor Sie mit einer DPM-Bereitstellung beginnen, stellen Sie sicher, dass den entsprechenden Benutzenden die erforderlichen Berechtigungen zum Ausführen der verschiedenen Aufgaben erteilt wurden. Eine Zusammenfassung finden Sie in der folgenden Tabelle:
| DPM-Aufgabe | Berechtigungen erforderlich |
|---|---|
| Hinzufügen des DPM-Servers zu einer Domäne | Domänenadministratorkonto oder Benutzerrecht zum Hinzufügen einer Arbeitsstation zur Domäne |
| Installieren von DPM | Adminkonto auf dem DPM-Server |
| Installieren eines DPM-Schutzmittels auf einem Computer, den Sie schützen möchten | Domänenkonto, das sich in der Gruppe der lokalen Admins auf dem Computer befindet |
| Erweitern des AD-Schemas zum Aktivieren der Endbenutzerwiederherstellung | Schema-Adminberechtigungen für die Domäne |
| Erstellen eines AD-Containers zum Aktivieren der Endbenutzerwiederherstellung | Domänen-Adminberechtigungen |
| Erteilen der DPM-Serverberechtigung zum Ändern von Containerinhalten | Domänen-Adminberechtigungen |
| Aktivieren der Endbenutzerwiederherstellung auf dem DPM-Server | Adminkonto auf dem DPM-Server |
| Installieren der Wiederherstellungspunkt-Clientsoftware auf dem geschützten Computer | Adminkonto auf dem Computer |
| Zugreifen auf frühere Versionen von geschützten Daten von einem geschützten Computer | Benutzerkonto mit Zugriff auf geschützte Freigabe |
| Wiederherstellen von SharePoint-Daten | SharePoint-Farmadmin, der auch ein Admin auf dem Front-End-Webserver ist, auf dem der Schutz-Agent installiert ist. |
Hinweis
DPM-Server und geschützter Computer kommunizieren mit DCOM. Während der DPMRA-Installation wird das Konto des DPM-Servers der Sicherheitsgruppe Distributed COM-Benutzer auf dem geschützten Computer hinzugefügt.
Zum Schutz der Domänencontroller werden für jeden der geschützten Domänencontroller Active Directory-Sicherheitsgruppen mit den Namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME und DPMRATRUSTEDDPMRAS$DCNAME erstellt.