Freigeben über


Vorbereiten der Bereitstellung von DPM-Servern

Es gibt einige Planungsschritte, die Sie berücksichtigen sollten, bevor Sie mit der Bereitstellung Ihrer System Center Data Protection Manager (DPM)-Server beginnen:

Planen der DPM-Serverbereitstellung

Ermitteln Sie zunächst, wie viele Server Sie benötigen:

  • DPM kann bis zu 600 Volumes schützen. Um diese maximale Größe zu schützen, benötigt DPM 120 TB pro DPM-Server.

  • Ein einzelner DPM-Server kann bis zu 2000 Datenbanken schützen (empfohlene Datenträgergröße 80 TB).

  • Ein einzelner DPM-Server kann bis zu 3000 Clientcomputer und 100 Server schützen.

    • Für die Planung der DPM-Serverkapazität können Sie die DPM-Speicherrechner verwenden. Diese Rechner sind Excel-Tabellen und auf bestimmte Workloads ausgelegt. Sie geben Auskunft über die Anzahl der erforderlichen DPM-Server, Prozessorkerne, RAM, Empfehlungen für virtuellen Speicher und die erforderliche Speicherkapazität. Da diese Rechner Workload-spezifisch sind, müssen Sie die empfohlenen Einstellungen kombinieren und sie zusammen mit den Systemanforderungen und Ihrer spezifischen Geschäftstopologie und Ihren Anforderungen, einschließlich Datenquellen und Speicherorten, Compliance- und SLA-Anforderungen sowie Disaster-Recovery-Anforderungen, berücksichtigen. Beachten Sie, dass die Rechner für DPM 2010 veröffentlicht wurden, aber auch für spätere DPM-Versionen relevant bleiben.

Ermitteln Sie dann, wie Sie die Server lokalisieren können:

  • DPM muss in einer Active Directory-Domäne (ab Windows Server 2008) bereitgestellt werden.

  • Bei der Entscheidung, wo Sie Ihren DPM-Server aufstellen, sollten Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern berücksichtigen. Wenn Sie Daten über ein Wide Area Network (WAN) schützen, benötigen Sie eine Mindestnetzwerkbandbreite von 512 Kilobit pro Sekunde (KBit/s).

  • DPM unterstützt gruppierte Netzwerkadapter (NICs). Gruppierte NICs sind mehrere physische Adapter, die so konfiguriert sind, dass sie vom Betriebssystem als ein einziger Adapter behandelt werden. Gruppierte NICs bieten eine höhere Bandbreite, indem sie die verfügbare Bandbreite kombinieren, wobei jeder Adapter und die Ausfallsicherung auf den verbleibenden Adapter verwendet wird, wenn ein Adapter ausfällt. DPM kann die erhöhte Bandbreite nutzen, die durch die Verwendung eines gruppierten Adapters auf dem DPM-Server erreicht wird.

  • Ein weiterer Grund für die Wahl des Standorts Ihrer DPM-Server ist die Notwendigkeit, Bänder und Bandbibliotheken manuell zu verwalten, z. B. das Hinzufügen neuer Bänder zur Bibliothek oder das Entfernen von Bändern für ein externes Archiv.

  • Ein DPM-Server kann Ressourcen innerhalb einer Domäne oder domänenübergreifend innerhalb einer Gesamtstruktur schützen, die eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet. Wenn es keine bidirektionale Vertrauensstellung zwischen Domänen gibt, benötigen Sie einen separaten DPM-Server für jede Domäne. Ein DPM-Server kann Daten in allen Gesamtstrukturen schützen, wenn zwischen den Gesamtstrukturen eine gegenseitige Vertrauensstellung auf Gesamtstrukturebene besteht.

  • Berücksichtigen Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN schützen, ist eine Netzwerkbandbreite von mindestens 512 KBit/s erforderlich. Beachten Sie, dass DPM gruppierte NICs im Team unterstützt, die eine höhere Bandbreite bieten, indem sie die für jeden Netzwerkadapter verfügbare Bandbreite kombinieren und bei einem Adapterausfall einen Failover durchführen.

Planen von Firewalleinstellungen und Benutzerberechtigungen

Firewalleinstellungen

Firewall-Einstellungen für die DPM-Bereitstellung sind auf dem DPM-Server, auf den Computern, die Sie schützen möchten, und auf dem SQL-Server erforderlich, der für die DPM-Datenbank verwendet wird, wenn Sie diese remote ausführen. Wenn die Windows-Firewall aktiviert ist, während Sie DPM installieren, konfiguriert das DPM-Setup automatisch die Firewalleinstellungen auf dem DPM-Server. Die Firewall-Einstellungen sind in der folgenden Tabelle zusammengefasst.

Location Regel Details Protocol Port
DPM-Server System Center <Version> Data Protection Manager DCOM-Einstellung Wird für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern verwendet. DCOM 135/TCP Dynamic
DPM-Server System Center <Version> Data Protection Manager Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. Alle Protokolle Alle Ports
DPM-Server

Geschützte Computer
System Center <Version> Data Protection Management Replikations-Agent Ausnahme für Dpmra.exe (Schutz-Agent-Dienst, der zum Sichern und Wiederherstellen von Daten verwendet wird). Wird auf dem DPM-Server und geschützten Computern ausgeführt. Alle Protokolle Alle Ports
Geschützte Computer Konfigurieren einer eingehenden Ausnahme für sqserv.exe
Geschützte Computer DPM erteilt dem Schutz-Agenten einen Befehl mit DCOM-Aufrufen an den Agenten. Sie müssen die oberen Ports (1024-65535) öffnen, damit DPM kommunizieren kann. DCOM 135/TCP Dynamic
Geschützte Computer Der DPM-Datenkanal ist TCP. Sowohl der DPM-Server als auch die geschützten Computer initiieren Verbindungen. DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719. TCP 5718/TCP

5719/TCP
Geschützte Computer Wird für die Hostnamenauflösung zwischen DPM/geschützten Computern und dem Domänencontroller verwendet. Domain Name System 53/UDP
Geschützte Computer Wird für die Authentifizierung des Verbindungsendpunkts zwischen DPM/geschützten Computern und dem Domänencontroller verwendet. Kerberos 88/UDP

88/TCP
Geschützte Computer Wird für Abfragen zwischen dem DPM-Server und dem Domänencontroller verwendet. LDAP 389/TCP

389/UDP
Geschützte Computer Wird für verschiedene Vorgänge zwischen 1) DPM und geschützten Computern, 2) DPM und dem Domänencontroller 3) geschützten Computern und dem Domänencontroller verwendet. Wird auch für direkt auf TCP/IP gehostete SMB für DPM-Funktionen verwendet. NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
Remotecomputer mit SQL Server Aktivieren Sie TCP/IP für die DPM-Instanz von SQL Server mit folgendem: Standardfehlerüberwachung; Kennwortrichtlinienüberprüfung aktivieren.
Remotecomputer mit SQL Server Aktivieren Sie die eingehende Ausnahme für sqservr.exe für die DPM-Instanz von SQL Server, um TCP auf Port 80 zuzulassen. Standardmäßig lauscht der Berichtsserver HTTP-Anforderungen an Port 80.
Remotecomputer mit SQL Server Die Standardinstanz der Datenbank-Engine lauscht auf TCP-Port 1443. Kann geändert werden.

Um den SQL Server Browser-Dienst für die Verbindung über einen nicht standardmäßigen Port zu verwenden, stellen Sie den UDP-Port 1434 ein.
Remotecomputer mit SQL Server Das genannte Beispiel von SQL Server verwendet standardmäßig dynamische Ports. Kann geändert werden.
Remotecomputer mit SQL Server Aktivieren von RPC

Benutzerberechtigungen erteilen

Bevor Sie mit einer DPM-Bereitstellung beginnen, stellen Sie sicher, dass den entsprechenden Benutzenden die erforderlichen Berechtigungen zum Ausführen der verschiedenen Aufgaben erteilt wurden. Eine Zusammenfassung finden Sie in der folgenden Tabelle:

DPM-Aufgabe Berechtigungen erforderlich
Hinzufügen des DPM-Servers zu einer Domäne Domänenadministratorkonto oder Benutzerrecht zum Hinzufügen einer Arbeitsstation zur Domäne
Installieren von DPM Adminkonto auf dem DPM-Server
Installieren eines DPM-Schutzmittels auf einem Computer, den Sie schützen möchten Domänenkonto, das sich in der Gruppe der lokalen Admins auf dem Computer befindet
Erweitern des AD-Schemas zum Aktivieren der Endbenutzerwiederherstellung Schema-Adminberechtigungen für die Domäne
Erstellen eines AD-Containers zum Aktivieren der Endbenutzerwiederherstellung Domänen-Adminberechtigungen
Erteilen der DPM-Serverberechtigung zum Ändern von Containerinhalten Domänen-Adminberechtigungen
Aktivieren der Endbenutzerwiederherstellung auf dem DPM-Server Adminkonto auf dem DPM-Server
Installieren der Wiederherstellungspunkt-Clientsoftware auf dem geschützten Computer Adminkonto auf dem Computer
Zugreifen auf frühere Versionen von geschützten Daten von einem geschützten Computer Benutzerkonto mit Zugriff auf geschützte Freigabe
Wiederherstellen von SharePoint-Daten SharePoint-Farmadmin, der auch ein Admin auf dem Front-End-Webserver ist, auf dem der Schutz-Agent installiert ist.

Hinweis

DPM-Server und geschützter Computer kommunizieren mit DCOM. Während der DPMRA-Installation wird das Konto des DPM-Servers der Sicherheitsgruppe Distributed COM-Benutzer auf dem geschützten Computer hinzugefügt.

Zum Schutz der Domänencontroller werden für jeden der geschützten Domänencontroller Active Directory-Sicherheitsgruppen mit den Namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME und DPMRATRUSTEDDPMRAS$DCNAME erstellt.