Partager via


Préparer le déploiement de serveurs DPM

Il existe quelques étapes de planification à prendre en compte avant de commencer à déployer vos serveurs System Center Data Protection Manager (DPM) :

  • Planifier le déploiement du serveur DPM : déterminez le nombre de serveurs DPM dont vous aurez besoin et où les placer.

  • Planifier les paramètres de pare-feu : obtenez des informations sur le pare-feu, le port et les paramètres de protocole sur le serveur DPM, les machines protégées et un serveur SQL Server distant si vous configurez un seul serveur.

  • Accorder des autorisations utilisateur : spécifiez qui peut interagir avec DPM.

Planifier le déploiement du serveur DPM

Tout d’abord, déterminez le nombre de serveurs dont vous aurez besoin :

  • DPM peut protéger jusqu’à 600 volumes. Pour protéger cette taille maximale, DPM a besoin de 120 To par serveur DPM.

  • Un seul serveur DPM peut protéger jusqu’à 2 000 bases de données (taille de disque recommandée de 80 To).

  • Un seul serveur DPM peut protéger jusqu’à 3 000 ordinateurs clients et 100 serveurs.

    • Pour la planification de la capacité du serveur DPM, vous pouvez utiliser les calculatrices de stockage DPM. Ces calculatrices sont des feuilles Excel et sont spécifiques à la charge de travail. Ils guident le nombre de serveurs DPM requis, de cœur de processeur, de RAM, de recommandations de mémoire virtuelle et de capacité de stockage requise. Étant donné que ces calculatrices sont spécifiques à la charge de travail, vous devez combiner les paramètres recommandés et les prendre en compte avec la configuration système requise et la topologie et les exigences spécifiques de votre entreprise, notamment les emplacements de source de données et de stockage, les exigences de conformité et de contrat sla et les besoins en matière de récupération d’urgence. Notez que les calculatrices ont été publiées pour DPM 2010, mais restent pertinentes pour les versions ultérieures de DPM.

Déterminez ensuite comment localiser les serveurs :

  • DPM doit être déployé dans un domaine Active Directory (Windows Server 2008 et versions ultérieures).

  • Lorsque vous décidez où localiser votre serveur DPM, tenez compte de la bande passante réseau entre le serveur DPM et les ordinateurs protégés. Si vous protégez des données sur un réseau étendu (WAN), une bande passante réseau minimale de 512 Ko par seconde (Kbits/s) est requise.

  • DPM prend en charge les cartes réseau associées. Les NIC associées sont un ensemble de cartes physiques configurées pour être considérées comme une seule carte par le système d'exploitation. Les cartes réseau associées fournissent une bande passante accrue en combinant la bande passante disponible, en utilisant chaque adaptateur et en basculant vers l’adaptateur restant en cas d’échec d’une carte. DPM peut utiliser la bande passante accrue obtenue à l’aide d’une carte associée sur le serveur DPM.

  • Une autre considération pour l’emplacement de vos serveurs DPM est la nécessité de gérer manuellement les bandes et les bibliothèques de bandes, telles que l’ajout de nouvelles bandes à la bibliothèque ou la suppression de bandes pour une archive hors site.

  • Un serveur DPM peut protéger les ressources au sein d’un domaine ou entre des domaines au sein d’une forêt qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM. S’il n’existe pas d’approbation bidirectionnelle entre les domaines, vous avez besoin d’un serveur DPM distinct pour chaque domaine. Un serveur DPM peut protéger les données entre les forêts s’il existe une approbation bidirectionnelle au niveau de la forêt entre les forêts.

  • Tenez compte de la bande passante réseau entre le serveur DPM et les ordinateurs protégés. Si vous protégez des données via un réseau étendu, il existe une exigence minimale de bande passante réseau de 512 Kbits/s. Notez que DPM prend en charge les cartes réseau associées qui fournissent une bande passante accrue en combinant la bande passante disponible pour chaque carte réseau et le basculement en cas d’échec d’une carte.

Planifier les paramètres de pare-feu et les autorisations utilisateur

Paramètres du pare-feu

Les paramètres de pare-feu pour le déploiement DPM sont requis sur le serveur DPM, sur les machines que vous souhaitez protéger et sur le serveur SQL Server utilisé pour la base de données DPM si vous l’exécutez à distance. Si le Pare-feu Windows est activé lorsque vous installez DPM, la configuration de DPM configure automatiquement les paramètres de pare-feu sur le serveur DPM. Les paramètres de pare-feu sont résumés dans le tableau suivant.

Emplacement Règle Détails Protocole Port
Serveur DPM Paramètre DCOM System Center <version> Data Protection Manager Utilisé pour la communication DCOM entre le serveur DPM et les machines protégées. DCOM 135/TCP dynamique
Serveur DPM System Center <version> Data Protection Manager Exception pour Msdpm.exe (service DPM). S'exécute sur le serveur DPM. Tous les protocoles Tous les ports
Serveur DPM

Machines protégées
Agent de réplication System Center <version> Data Protection Manager Exception pour Dpmra.exe (service agent de protection utilisé pour sauvegarder et restaurer des données). S’exécute sur le serveur DPM et les machines protégées. Tous les protocoles Tous les ports
Machines protégées Configurer une exception entrante pour sqserv.exe
Machines protégées DPM émet une commande à l’agent de protection avec des appels DCOM à l’agent. Vous devez ouvrir les ports supérieurs (1024-65535) pour que DPM communique. DCOM 135/TCP dynamique
Machines protégées Le canal de données DPM est TCP. Le serveur DPM et les machines protégées initient des connexions. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719. TCP 5718/TCP

5719/TCP
Machines protégées Utilisé pour la résolution de noms d’hôte entre l’ordinateur DPM/protégé et le contrôleur de domaine. DNS 53/UDP
Machines protégées Utilisé pour l’authentification du point de terminaison de connexion, entre la machine DPM/protégée et le contrôleur de domaine. Kerberos 88/UDP

88/TCP
Machines protégées Utilisé pour les requêtes entre le serveur DPM et le contrôleur de domaine. LDAP 389/TCP

389/TCP
Machines protégées Utilisé pour les opérations diverses entre 1) DPM et les machines protégées, 2) DPM et le contrôleur de domaine 3) Machines protégées et contrôleur de domaine. Également utilisé pour SMB directement hébergé sur TCP/IP pour les fonctions DPM. NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
Serveur SQL Server distant Activez TCP/IP pour l’instance DPM de SQL Server avec les éléments suivants : audit d’échec par défaut ; activez la vérification de la stratégie de mot de passe.
Serveur SQL Server distant Activez l’exception entrante pour sqservr.exe pour l’instance DPM de SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80.
Serveur SQL Server distant L’instance par défaut du moteur de base de données écoute sur le port TCP 1443. Peut être modifié.

Pour utiliser le service SQL Server Browser pour vous connecter sur un port UDP défini par défaut 1434.
Serveur SQL Server distant L’instance nommée de SQL Server utilise des ports dynamiques par défaut. Peut être modifié.
Serveur SQL Server distant Activer RPC

Attribution des autorisations utilisateur

Avant de commencer un déploiement DPM, vérifiez que les utilisateurs appropriés ont reçu les privilèges requis pour effectuer les différentes tâches. Celles-ci sont récapitulées dans le tableau ci-dessous.

Tâche DPM Autorisations nécessaires
Ajouter le serveur DPM à un domaine Compte d’administrateur de domaine ou droit d’utilisateur pour ajouter une station de travail au domaine
Installation de DPM Compte d’administrateur sur le serveur DPM
Installer un agent de protection DPM sur un ordinateur que vous souhaitez protéger Compte de domaine qui se trouve dans le groupe d’administrateurs locaux sur l’ordinateur
Étendre le schéma AD pour activer la récupération des utilisateurs finaux Privilèges d’administrateur de schéma pour le domaine
Créer un conteneur AD pour activer la récupération des utilisateurs finaux Privilèges d’administrateur de domaine
Accorder l’autorisation du serveur DPM pour modifier le contenu du conteneur Privilèges d’administrateur de domaine
Activer la récupération des utilisateurs finaux sur le serveur DPM Compte d’administrateur sur le serveur DPM
Installer le logiciel client du point de récupération sur l’ordinateur protégé Compte d’administrateur sur l’ordinateur
Accéder aux versions précédentes des données protégées à partir d’un ordinateur protégé Compte d’utilisateur ayant accès au partage protégé
Récupérer des données SharePoint Administrateur de batterie de serveurs SharePoint qui est également administrateur sur le serveur web frontal sur lequel l’agent de protection est installé.

Remarque

Le serveur DPM et l’ordinateur protégé communiquent à l’aide de DCOM. Pendant l’installation de DPMRA, le compte du serveur DPM est ajouté au groupe de sécurité Utilisateurs COM distribués sur l’ordinateur protégé.

Pour la protection du contrôleur de domaine, les groupes de sécurité Active Directory sont créés pour chacun des contrôleurs de domaine protégés, avec les noms DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME et DPMRATRUSTEDDPMRAS$DCNAME.