Vorbereiten auf die Bereitstellung von DPM-Servern

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf DPM 2022 durchzuführen.

Es müssen einige Planungsschritte berücksichtigt werden, bevor Sie mit der Bereitstellung Ihrer System Center Data Protection Manager-Server (DPM) beginnen:

Plan der Bereitstellung von DPM-Servern

Bestimmen Sie zunächst, wie viele Server Sie benötigen:

  • DPM kann bis zu 600 Volumes schützen. Zum Schutz dieser Maximalgröße benötigt DPM 120 TB pro DPM-Server.

  • Ein DPM-Server kann bis zu 2000 Datenbanken schützen (empfohlene Datenträgergröße von 80 TB).

  • Ein einzelner DPM-Server kann bis zu 3000 Clientcomputer und 100 Server schützen.

    • Für die Planung der DPM-Serverkapazität können Sie die DPM-Speicherrechner verwenden. Diese Rechner sind Excel-Blätter und workloadspezifisch. Sie informieren über die Anzahl der erforderlichen DPM-Server, Prozessorkern, RAM, Empfehlungen für virtuellen Arbeitsspeicher und erforderliche Speicherkapazität. Da diese Rechner workloadspezifisch sind, müssen Sie die empfohlenen Einstellungen kombinieren und sie zusammen mit den Systemanforderungen und Ihren spezifischen Geschäftstopologien und Anforderungen berücksichtigen, einschließlich Datenquellen- und Speicherstandorten, Compliance- und SLA-Anforderungen sowie Anforderungen an die Notfallwiederherstellung. Diese Rechner wurden für DPM 2010 veröffentlicht, bleiben aber für nachfolgende DPM-Versionen relevant.

Ermitteln Sie dann, wie Sie die Server finden:

  • DPM muss in einer Active Directory-Domäne (Windows Server 2008 oder höher) bereitgestellt werden.

  • Berücksichtigen Sie bei der Entscheidung über den Standort des DPM-Servers die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Daten über ein Wide Area Network (WAN) geschützt werden, ist eine Netzwerkbandbreite von mindestens 512 kBit/s erforderlich.

  • Von DPM werden Netzwerkschnittstellenkarten (NIC) unterstützt, die in einem Team verwendet werden. In einem Team verwendete NIC sind mehrere physische Adapter, die so konfiguriert wurden, dass sie vom Betriebssystem als einzelner Adapter behandelt werden. Team niCs bieten eine höhere Bandbreite, indem sie die verfügbare Bandbreite kombinieren, indem sie jeden Adapter und ein Failover auf den verbleibenden Adapter verwenden, wenn ein Adapter ausfällt. DPM kann die erhöhte Bandbreite nutzen, die durch die Verwendung eines teamierten Adapters auf dem DPM-Server erreicht wird.

  • Ein weiterer Aspekt für den Speicherort Ihrer DPM-Server ist die Notwendigkeit, Bänder und Bandbibliotheken manuell zu verwalten, z. B. das Hinzufügen neuer Bänder zur Bibliothek oder das Entfernen von Bändern für ein externes Archiv.

  • Ein DPM-Server kann Ressourcen innerhalb einer Domäne oder domänenübergreifend innerhalb einer Gesamtstruktur schützen, die eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet. Wenn keine bidirektionale Vertrauensstellung zwischen Domänen vorhanden ist, benötigen Sie für jede Domäne einen separaten DPM-Server. Ein DPM-Server kann Daten gesamtstrukturübergreifend schützen, wenn zwischen den Gesamtstrukturen eine bidirektionale Vertrauensstellung auf Gesamtstrukturebene besteht.

  • Betrachten Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN schützen, ist eine Netzwerkbandbreite von mindestens 512 KBit/s erforderlich. Beachten Sie, dass DPM teamed NICs unterstützt, die höhere Bandbreite bieten, indem die verfügbare Bandbreite für jeden Netzwerkadapter und ein Failover bei einem Adapterfehler kombiniert wird.

Planen von Firewalleinstellungen und Benutzerberechtigungen

Firewalleinstellungen

Firewalleinstellungen für die DPM-Bereitstellung sind auf dem DPM-Server, auf zu schützenden Computern und auf dem SQL Server für die DPM-Datenbank erforderlich, wenn die Ausführung remote erfolgt. Wenn die Windows-Firewall bei der Installation von DPM aktiviert ist, werden die Firewalleinstellungen auf dem DPM-Server vom DPM-Setup automatisch konfiguriert. Die Firewalleinstellungen sind in der folgenden Tabelle zusammengefasst.

Standort Regel Details Protocol Port
DPM-Server System Center <Version> Data Protection Manager DCOM-Einstellung Wird für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern verwendet. DCOM 135/TCP Dynamic
DPM-Server System Center <Version> Data Protection Manager Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. Alle Protokolle Alle Ports
DPM-Server

Geschützte Computer
System Center <Version> Data Protection Management Replikations-Agent Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst für das Sichern und Wiederherstellen von Daten). Wird auf dem DPM-Server und auf geschützten Computern ausgeführt. Alle Protokolle Alle Ports
Geschützte Computer Konfigurieren einer eingehenden Ausnahme für sqserv.exe
Geschützte Computer DPM gibt den Befehl an den Schutz-Agent mit DCOM-Aufrufen des Agents aus. Sie müssen die oberen Ports (1024-65535) öffnen, damit DPM kommunizieren kann. DCOM 135/TCP Dynamic
Geschützte Computer Der DPM-Datenkanal verwendet TCP. Sowohl der DPM-Server als auch die geschützten Computer stellen Verbindungen her. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719. TCP 5718/TCP

5719/TCP
Geschützte Computer Wird für die Hostnamenauflösung zwischen DPM/geschütztem Computer und dem Domänencontroller verwendet. DNS 53/UDP
Geschützte Computer Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM/geschütztem Computer und dem Domänencontroller verwendet. Kerberos 88/UDP

88/TCP
Geschützte Computer Wird für Abfragen zwischen dem DPM-Server und dem Domänencontroller verwendet. LDAP 389/TCP

389/UDP
Geschützte Computer Verwendet für sonstige Vorgänge zwischen 1) DPM und geschützten Computern, 2) DPM und dem Domänencontroller 3) geschützten Computern und dem Domänencontroller. Wird auch für SMB verwendet, die direkt auf TCP/IP für DPM-Funktionen gehostet wird. NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
Remotecomputer mit SQL Server Aktivieren Sie TCP/IP für die DPM-instance von SQL Server wie folgt: Standardfehlerüberwachung; Aktivieren der Kennwortrichtlinienüberprüfung.
Remotecomputer mit SQL Server Aktivieren Sie eine eingehende Ausnahme für „sqservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.
Remotecomputer mit SQL Server Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Kann geändert werden

Um den SQL Server Browserdienst zum Herstellen einer Verbindung an einem nicht standardmäßigen Port zu verwenden, legen Sie UDP-Port 1434 fest.
Remotecomputer mit SQL Server Eine benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports. Kann geändert werden
Remotecomputer mit SQL Server Aktivieren von RPC

Grant user permissions

Bevor Sie mit einer DPM-Bereitstellung beginnen, vergewissern Sie sich, dass den entsprechenden Benutzern die erforderlichen Berechtigungen zum Ausführen der verschiedenen Aufgaben erteilt wurden. Diese werden in der folgenden Tabelle zusammengefasst.

DPM-Aufgabe Berechtigungen erforderlich
Hinzufügen des DPM-Servers zu einer Domäne Domänenadministratorkonto oder Benutzerrecht zum Hinzufügen einer Arbeitsstation zur Domäne
Installieren von DPM Administratorkonto auf dem DPM-Server
Installieren eines DPM-Schutz-Agents auf einem Computer, den Sie schützen möchten Domänenkonto, das sich in der gruppe der lokalen Administratoren auf dem Computer befindet
Erweitern des AD-Schemas zum Aktivieren der Endbenutzerwiederherstellung Schemaadministratorrechte für die Domäne
Erstellen eines AD-Containers zum Aktivieren der Endbenutzerwiederherstellung Domänenadministratorrechte
Gewähren der Berechtigung zum Ändern der Containerinhalte durch den DPM-Server Domänenadministratorrechte
Aktivieren der Endbenutzerwiederherstellung auf dem DPM-Server Administratorkonto auf dem DPM-Server
Installieren der Wiederherstellungspunktclientsoftware auf dem geschützten Computer Admin Konto auf dem Computer
Zugreifen auf frühere Versionen geschützter Daten von einem geschützten Computer aus Benutzerkonto mit Zugriff auf die geschützte Freigabe
Wiederherstellen von SharePoint-Daten SharePoint-Farmadministrator, der auch Administrator auf dem Front-End-Webserver ist, auf dem der Schutz-Agent installiert ist.

Hinweis

DPM-Server und geschützter Computer kommunizieren über DCOM. Während der DPMRA-Installation wird das Konto des DPM-Servers der Sicherheitsgruppe Verteilte COM-Benutzer auf dem geschützten Computer hinzugefügt.

Für den Domänencontrollerschutz werden Active Directory-Sicherheitsgruppen für jeden der geschützten Domänencontroller mit den Namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME und DPMRATRUSTEDDPMRAS$DCNAME erstellt.