Amorçage hors connexion à l’aide d’Azure Data Box pour DPM et MABS
Remarque
Cette fonctionnalité s’applique à Data Protection Manager (DPM) 2019 UR2 (et versions ultérieures) et à MABS v3 UR2 (et versions ultérieures).
Cet article explique comment vous pouvez utiliser Azure Data Box pour amorcer des données de sauvegarde initiales hors connexion de DPM et MABS dans un coffre Azure Recovery Services.
Vous pouvez utiliser Azure Data Box pour amorcer vos sauvegardes DPM/MABS initiales volumineuses hors connexion (sans utiliser de réseau) dans un coffre Recovery Services. Ce processus permet de gagner du temps et d’économiser de la bande passante réseau, qui serait sinon consommée pour déplacer de grandes quantités de données de sauvegarde en ligne sur un réseau à latence élevée.
La sauvegarde hors connexion basée sur Azure Data Box offre deux avantages distincts par rapport à la sauvegarde hors connexion basée sur le service Azure Import/Export :
Vous n’avez pas besoin de fournir vos propres disques et connecteurs compatibles avec Azure. Azure Data Box fournit les disques associés à la référence SKU Data Box sélectionnée.
Data Protection Manager (AGENT MARS) peut écrire directement des données de sauvegarde sur les références SKU prises en charge d’Azure Data Box. Grâce à cette capacité, vous n’avez plus besoin d’approvisionner un emplacement intermédiaire pour vos données de sauvegarde initiales. Vous n’avez pas non plus besoin d’utilitaires pour formater et copier ces données sur les disques.
Plateformes prises en charge
Les plateformes suivantes sont prises en charge :
- Windows Server 2019 64 bits (Standard, Datacenter, Essentials)
- Windows Server 2016 64 bits (Standard, Datacenter, Essentials)
Taille des données de sauvegarde et SKU Data Box prises en charge
Les SKU Data Box suivants sont pris en charge :
Taille des données de sauvegarde (après compression par MARS)* par serveur | SKU Azure Data Box pris en charge |
---|---|
<= 7,2 To | Azure Data Box Disk |
> 7,2 To et <= 80 To** | Azure Data Box (100 To) |
* Les taux de compression habituels varient entre 10 et 20 %.
**Écrivez-nous à l’adresse SystemCenterFeedback@microsoft.com si vous prévoyez d’avoir plus de 80 To de données de sauvegarde initiales pour une source de données unique.
Important
Les données de sauvegarde initiales provenant d’une source de données unique doivent se trouver sur un seul appareil Azure Data Box ou Azure Data Box Disk. Il n’est pas possible de les partager entre plusieurs appareils de SKU identiques ou différents. En revanche, Azure Data Box peut contenir des sauvegardes initiales provenant de plusieurs sources de données.
Avant de commencer
L’agent MARS exécuté sur DPM/MABS doit être mis à niveau vers la dernière version (2.0.9171.0 ou version ultérieure).
Vérifiez les points suivants :
Abonnement Azure et autorisations nécessaires
Un abonnement Azure valide.
L’utilisateur désigné pour exécuter la stratégie de sauvegarde hors connexion doit être propriétaire de l’abonnement Azure.
Vérifiez que vous avez les autorisations nécessaires pour créer l’application Microsoft Entra. Le workflow Offline Backup (sauvegarde hors connexion) crée une application Microsoft Entra dans l’abonnement associé au compte Stockage Azure. Cette application permet au service Sauvegarde Azure d’accéder de manière sécurisée et délimitée au service Azure Import, qui est nécessaire au workflow de sauvegarde hors connexion.
Le travail Data Box et le coffre Recovery Services (dans lequel les données doivent être amorcées) doivent obligatoirement être disponibles dans le même abonnement.
Notes
Nous vous recommandons de situer le compte de stockage cible et le coffre Recovery Services dans la même région. Cependant, cela n’est pas obligatoire.
Commander et recevoir l’appareil Data Box
Assurez-vous que les appareils Data Box requis sont dans l’état Livré avant de déclencher la sauvegarde hors connexion. Pour commander le SKU qui répond le mieux à vos besoins, reportez-vous à Taille des données de sauvegarde et SKU Data Box pris en charge. Suivez les étapes décrites dans cet article pour commander et recevoir vos appareils Data Box.
Important
Ne sélectionnez pas BlobStorage pour le type de compte. Le serveur DPM/MABS exige un compte qui prend en charge les objets blob de pages, ce qui n’est pas possible quand BlobStorage est sélectionné. Sélectionnez le type de compteStockage V2 (v2 universel) lors de la création du compte de stockage cible pour votre travail Azure Data Box.
Configurer un ou plusieurs appareils Azure Data Box
Quand vous recevez l’appareil Azure Data Box, selon la référence SKU Azure Data Box que vous avez commandée, effectuez les étapes décrites dans les sections appropriées ci-dessous pour configurer et préparer les appareils Data Box afin de permettre au serveur DPM/MABS d’identifier et de transférer les données de sauvegarde initiales.
Configurer Azure Data Box Disk
Si vous avez commandé un ou plusieurs disques Azure Data Box (jusqu’à 8 To chacun), suivez les étapes mentionnées ici pour déballer, connecter et déverrouiller votre disque Data Box Disk.
Notes
Il est possible que le serveur DPM/MABS ne dispose pas d’un port USB. Dans cette situation, vous pouvez connecter votre disque Azure Data Box Disk à un autre serveur/client et exposer la racine de l’appareil en tant que partage réseau.
Configurer Azure Data Box
Si vous avez commandé un disque Azure Data Box (jusqu’à 100 To), suivez les étapes mentionnées ici pour configurer votre disque Data Box.
Monter votre disque Azure Data Box en tant que système local
Le serveur DPM/MABS fonctionne dans le contexte du système local et nécessite donc de fournir le même niveau de privilège au chemin de montage où le disque Azure Data Box est connecté. Suivez les étapes ci-dessous pour vérifier que vous pouvez monter votre appareil Data Box en tant que système local à l’aide du protocole NFS.
Activez la fonctionnalité Client pour NFS sur le serveur DPM/MABS. Spécifiez une autre source : WIM:D:\Sources\Install.wim:4
Téléchargez PSExec à partir de https://download.sysinternals.com/files/PSTools.zip sur le serveur DPM/MABS.
Ouvrez une invite de commandes avec élévation de privilèges et exécutez la commande suivante avec le répertoire contenant PSExec.exe comme répertoire actif.
psexec.exe -s -i cmd.exe
La fenêtre de commande qui s’ouvre à l’issue de la commande ci-dessus se trouve dans le contexte du système local. Utilisez cette fenêtre de commande pour exécuter les étapes de montage du partage d’objets blob de pages Azure en tant que lecteur réseau sur votre serveur Windows.
Suivez les étapes décrites ici pour connecter votre serveur DPM/MABS à l’appareil Data Box par le biais de NFS, puis exécutez la commande suivante à l’invite de commandes du système local pour monter le partage d’objets blob de pages Azure :
mount -o nolock \\<DeviceIPAddres>\<StorageAccountName_PageBlob X:
Une fois monté, vérifiez si vous pouvez accéder à X: à partir de votre serveur. Si vous le pouvez, passez à la section suivante de cet article.
Transférer les données de sauvegarde initiales aux appareils Azure Data Box
Sur votre serveur DPM/MABS, suivez les étapes pour créer un groupe de protection. Si vous ajoutez une protection en ligne au groupe de protection existant, cliquez avec le bouton droit sur le groupe de protection existant, puis sélectionnez Ajouter une de protection en ligne et commencez à partir de l’étape 8.
Dans la page Sélectionner les membres du groupe, spécifiez les ordinateurs et sources que vous souhaitez sauvegarder.
Dans la page Sélectionner la méthode de protection des données, indiquez comment vous souhaitez gérer la sauvegarde à court terme et à long terme. Veillez à sélectionner Je voudrais une protection en ligne.
Dans la page Sélectionner les objectifs à court terme, indiquez comment vous voulez sauvegarder dans le stockage à court terme sur le disque.
Dans la page Vérifier l’allocation de disque, consultez l’espace disque du pool de stockage alloué au groupe de protection.
Dans la page Choisir la méthode de création de réplica, sélectionnez Automatiquement sur le réseau.
Dans la page Sélectionner les options de vérification de cohérence, indiquez comment vous voulez automatiser les vérifications de cohérence.
Dans la page Spécifier les données de protection en ligne, sélectionnez le membre pour lequel activer la protection en ligne.
Dans la page Spécifier une planification de sauvegarde en ligne, spécifiez la fréquence des sauvegardes incrémentielles sur Azure.
Dans la page Spécifier une stratégie de rétention en ligne, vous pouvez préciser la façon dont les points de récupération créés à partir des sauvegardes quotidiennes, hebdomadaires, mensuelles et annuelles sont conservés dans Azure.
Dans l’écran Choisir la réplication en ligne de l’assistant, choisissez l’option Transférer à l’aide de disques appartenant à Microsoft, puis sélectionnez Suivant.
Connectez-vous à Azure lorsque vous y êtes invité à l’aide des informations d’identification d’utilisateur qui disposent d’un accès propriétaire à l’abonnement Azure. Une fois la connexion établie, l’écran suivant s’affiche :
Le serveur DPM/MABS récupère ensuite les travaux Data Box inclus dans l’abonnement dont l’état est Livré.
Notes
La première connexion prend plus de temps que la normale. Le module Azure PowerShell est installé en arrière-plan, et l’application Microsoft Entra est également inscrite.
- Les modules PowerShell suivants sont installés :
- AzureRM.Profile 5.8.3
- AzureRM.Resources 6.7.3
- AzureRM.Storage 5.2.0
- Azure.Storage 4.6.1 - L’application Microsoft Entra est inscrite en tant que GUID d’objet AzureOfflineBackup_< de l’utilisateur>.
- Les modules PowerShell suivants sont installés :
Sélectionnez la commande Data Box appropriée pour laquelle vous avez déballé, connecté et déverrouillé votre disque Data Box. Sélectionnez Suivant.
Dans l’écran Détecter le Data Box, entrez le chemin d’accès de votre appareil Data Box, puis sélectionnez Détecter l’appareil.
Important
Indiquez le chemin réseau du répertoire racine du disque Azure Data Box. Ce répertoire doit contenir un répertoire portant le nom PageBlob comme illustré ci-dessous :
Par exemple, si le chemin du disque est
\\mydomain\myserver\disk1\
et si Disk1 contient un répertoire appelé PageBlob, le chemin à fournir dans le serveur DPM/MABS est\\mydomain\myserver\disk1\
. Si vous configurez un appareil Azure Data Box de 100 To, indiquez le chemin réseau d’appareil\\<DeviceIPAddress>\<StorageAccountName>_PageBlob
suivant.Sélectionnez Suivant. Dans la page Résumé, vérifiez vos paramètres puis sélectionnez Créer un groupe.
L’écran suivant confirme que le groupe de protection a bien été créé.
Sélectionnez Fermer dans l’écran ci-dessus.
Après cela, la réplication initiale des données se produit sur le disque DPM/MABS. Une fois la protection terminée, l’état du groupe indique l’état de protection OK sur la page Protection.
Pour lancer la copie de sauvegarde hors connexion sur votre appareil Azure Data Box, faites un clic droit sur le groupe de protection, puis choisissez l’option Créer un point de récupération. Sélectionnez ensuite l’option Protection en ligne .
Le serveur DPM/MABS commence à sauvegarder les données que vous avez sélectionnées sur l’appareil Azure Data Box. Cette opération peut prendre quelques heures ou quelques jours selon le volume de données et la vitesse de connexion entre le serveur sur lequel est installé le serveur DPM/MABS et le disque Azure Data Box Disk.
Vous pouvez surveiller l’état du travail dans le volet Surveillance. Une fois la sauvegarde des données terminée, un écran semblable à celui-ci apparaît :
Étapes à l’issue de la sauvegarde
Effectuez ces étapes une fois que la sauvegarde des données sur l’Azure Data Box Disk a réussi.
Effectuez les étapes décrites dans cet article pour expédier le disque Azure Data Box à Azure. Si vous avez utilisé un appareil Azure Data Box de 100 To, effectuez ces étapes pour expédier l’Azure Data Box à Azure.
Supervisez le travail Data Box dans le portail Azure. Une fois le travail Azure Data Box effectué, le serveur DPM/MABS déplace automatiquement les données du compte de stockage vers le coffre Recovery Services au moment de la sauvegarde planifiée suivante. Il marque ensuite le travail de sauvegarde comme étant Terminé si un point de récupération a été créé avec succès.
Notes
Le serveur DPM/MABS déclenche les sauvegardes aux heures planifiées pendant la création du groupe de protection. Toutefois, ces travaux indiquent En attente de la fin du travail Azure Data Box tant que le travail n’est pas terminé.
Une fois que le serveur DPM/MABS a réussi à créer un point de récupération correspondant à la sauvegarde initiale, vous pouvez supprimer le compte de stockage (ou son contenu spécifique) associé au travail Azure Data Box.
Dépannage
L’agent Data Protection Manager sur le serveur DPM crée une application Microsoft Entra pour vous, dans votre locataire. Cette application nécessite un certificat à des fins d’authentification. Celui-ci est créé et chargé lors de la configuration de la stratégie d’amorçage hors connexion.
Nous utilisons Azure PowerShell pour créer et charger le certificat sur l’application Microsoft Entra.
Problème
Au moment de la configuration de la sauvegarde hors connexion, en raison d’un bogue dans l’applet de commande Azure PowerShell, vous ne pouvez pas ajouter plusieurs certificats à la même application Microsoft Entra que celle créée par l’agent Sauvegarde Microsoft Azure. Vous êtes concerné si vous avez configuré une stratégie d’amorçage hors connexion pour le même serveur ou un autre serveur.
Vérifier si le problème est provoqué par cette cause racine spécifique
Pour vous assurer que l’échec est dû au problème ci-dessus, effectuez l’une des opérations suivantes :
Étape 1
Regardez si vous voyez apparaître l’un des messages d’erreur suivants dans la console DPM/MABS au cours de la configuration de la sauvegarde hors connexion :
Impossible de créer une stratégie de sauvegarde en mode hors connexion pour le compte Azure actif, car les informations d'authentification de ce serveur n'ont pas pu être chargées sur Azure. (ID : 100242)
Impossible de transmettre à Azure les appels de service nécessaires pour interroger l'état de la tâche d'importation et déplacer les données de sauvegarde dans le coffre Recovery Services. (ID:100230)
Étape 2
- Ouvrez le dossier Temp dans le chemin d’installation (le chemin par défaut du dossier temporaire est C:\Program Files\Microsoft Azure Recovery Services Agent\Temp). Recherchez le fichier CBUICurr et ouvrez-le.
- Dans le fichier CBUICurr, faites défiler jusqu’à la dernière ligne et vérifiez si l’échec est dû à l’erreur « Impossible de créer des informations d’identification d’application Microsoft Entra dans le compte du client. Exception : La mise à jour des informations d’identification existantes avec <un GUID> KeyId n’est pas autorisée ».
Solution de contournement
Pour résoudre ce problème, effectuez les étapes suivantes et réessayez de configurer la stratégie.
Connectez-vous sur la page de connexion Azure qui apparaît dans l’interface utilisateur DPM/MABS avec un autre compte doté d’un accès administrateur à l’abonnement pour lequel le travail Data Box est créé.
Si aucun autre serveur n’a d’amorçage hors connexion configuré et ne dépend de l’application
AzureOfflineBackup_<Azure User Id>
, supprimez cette application depuis le portail Microsoft Azure > Microsoft Entra ID > Inscriptions d’applications.Remarque
Vérifiez si l’application
AzureOfflineBackup_<Azure User Id>
n’a pas d’autre amorçage hors connexion configuré et si aucun autre serveur ne dépend de cette application. Accédez à Paramètres > Clés sous la section Clés publiques. Elle ne doit pas avoir d’autres clés publiques ajoutées. Examinez la capture d’écran suivante à des fins de référence :
Étape 3 :
À partir du serveur DPM/MABS sur lequel vous essayez de configurer la sauvegarde hors connexion, réalisez les actions suivantes :
Ouvrez l’onglet Gérer l’application de certificat d’ordinateur>Personnel et recherchez le certificat portant le nom
CB_AzureADCertforOfflineSeeding_<ResourceId>
.Sélectionnez le certificat ci-dessus, cliquez avec le bouton droit sur Toutes les tâches et exportez-le sans clé privée, au format .cer.
Accédez à l’application de sauvegarde hors connexion Azure mentionnée au point 2. Dans Paramètres>Clés>Télécharger la clé publique, chargez le certificat exporté à l’étape précédente.
Sur le serveur, ouvrez le Registre en tapant regedit dans la fenêtre Exécuter.
Accédez à Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider dans le Registre. Cliquez avec le bouton droit sur CloudBackupProvider et ajoutez une nouvelle valeur de chaîne nommée
AzureADAppCertThumbprint_<Azure User Id>
.Notes
Pour récupérer l’identifiant utilisateur Azure, effectuez l’une des actions suivantes :
- À partir du PowerShell connecté à Azure, exécutez la commande
Get-AzureRmADUser -UserPrincipalName "Account Holder's email as defined in the portal"
. - Accédez au chemin du Registre
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\DbgSettings\OnlineBackup
avec le nom CurrentUserId.
- À partir du PowerShell connecté à Azure, exécutez la commande
Cliquez avec le bouton droit sur la chaîne ajoutée à l’étape ci-dessus, puis sélectionnez Modifier. Dans la valeur, fournissez l’empreinte du certificat que vous avez exporté au point 2, puis sélectionnez OK.
Pour obtenir la valeur de l’empreinte numérique, double-cliquez sur le certificat, puis sélectionnez Détails et faites défiler jusqu’à voir le champ d’empreinte numérique. Sélectionnez Empreinte et copiez la valeur.