Amorçage hors connexion à l’aide d’Azure Data Box (préversion)

Notes

Cette fonctionnalité s’applique à Data Protection Manager (DPM) 2019 UR2 et versions ultérieures.

Cet article explique comment utiliser Azure Data Box pour amorcer des données de sauvegarde initiales hors connexion de DPM vers un coffre Azure Recovery Services.

Vous pouvez utiliser Azure Data Box pour amorcer vos sauvegardes DPM initiales volumineuses hors connexion (sans utiliser le réseau) dans un coffre Recovery Services. Ce processus permet de gagner du temps et d’économiser de la bande passante réseau, qui serait sinon consommée pour déplacer de grandes quantités de données de sauvegarde en ligne sur un réseau à latence élevée. Actuellement, cette fonctionnalité est uniquement disponible en tant que version préliminaire.

La sauvegarde hors connexion basée sur Azure Data Box offre deux avantages distincts par rapport à la sauvegarde hors connexion basée sur le service Azure Import/Export :

• Vous n’avez pas besoin de fournir vos propres disques et connecteurs compatibles avec Azure. Azure Data Box fournit les disques associés à la référence SKU Data Box sélectionnée.

• Le service Sauvegarde Azure (agent MARS) peut écrire directement des données de sauvegarde sur les références SKU prises en charge d’Azure Data Box. Grâce à cette capacité, vous n’avez plus besoin d’approvisionner un emplacement intermédiaire pour vos données de sauvegarde initiales. Vous n’avez pas non plus besoin d’utilitaires pour formater et copier ces données sur les disques.

Plateformes prises en charge

Les plateformes suivantes sont prises en charge :

• Windows Server 2019 64 bits (Standard, Datacenter, Essentials)
• Windows Server 2016 64 bits (Standard, Datacenter, Essentials)

Taille des données de sauvegarde et SKU Data Box prises en charge

Les SKU Data Box suivants sont pris en charge :

Taille des données de sauvegarde (après compression par MARS)* par serveur	SKU Azure Data Box pris en charge
<= 7,2 To	Azure Data Box Disk
> 7,2 To et <= 80 To**	Azure Data Box (100 To)

* Les taux de compression habituels varient entre 10 et 20 %.
**Écrivez-nous à l’adresse SystemCenterFeedback@microsoft.com si vous prévoyez d’avoir plus de 80 To de données de sauvegarde initiales pour une source de données unique.

Important

Les données de sauvegarde initiales d’une seule source de données doivent être contenues dans un seul disque Azure Data Box ou Azure Data Box et ne peuvent pas être partagées entre plusieurs appareils des mêmes références SKU ou différentes. Toutefois, un Azure Data Box peut contenir des sauvegardes initiales de plusieurs sources de données.

Avant de commencer

L’agent MARS s’exécutant sur DPM doit être mis à niveau vers la dernière version (2.0.9171.0 ou ultérieur).

Vérifiez les points suivants :

Abonnement Azure et autorisations nécessaires

• Un abonnement Azure valide.
• L’utilisateur désigné pour exécuter la stratégie de sauvegarde hors connexion doit être propriétaire de l’abonnement Azure.
• Le travail Data Box et le coffre Recovery Services vers lequel les données doivent être amorcées doivent être disponibles dans les mêmes abonnements.

  Notes

  Nous recommandons que le compte de stockage cible et le coffre Recovery Services se trouvent dans la même région. Toutefois, cela n’est pas une obligation.

Commander et recevoir l’appareil Data Box

Vérifiez que les appareils Data Box requis sont à l’état Livré avant de déclencher la sauvegarde hors connexion. Pour commander la référence SKU la plus adaptée à vos besoins, consultez Taille des données de sauvegarde et références SKU Data Box prises en charge. Suivez les étapes décrites dans cet article pour commander et recevoir vos appareils Data Box.

Important

Ne sélectionnez pas BlobStorage pour le type de compte. Le serveur DPM nécessite un compte qui prend en charge les objets blob de pages qui n’est pas pris en charge lorsque BlobStorage est sélectionné. Sélectionnez Stockage v2 (v2 universel) comme Type de compte lors de la création du compte de stockage cible pour votre travail Azure Data Box.

Configurer un ou plusieurs appareils Azure Data Box

Une fois que vous avez reçu l’appareil Azure Data Box, en fonction de la référence SKU Azure Data Box que vous avez commandée, effectuez les étapes décrites dans les sections appropriées ci-dessous pour configurer et préparer le ou les appareils Data Box pour que le serveur DPM identifie et transfère les données de sauvegarde initiales.

Configurer le disque Azure Data Box

Si vous avez commandé un ou plusieurs disques Azure Data Box (jusqu’à 8 To chacun), suivez les étapes mentionnées ici pour déballer, connecter et déverrouiller votre disque Data Box Disk.

Notes

Il est possible que le DPM n’ait pas de port USB. Dans ce cas, vous pouvez raccorder votre disque Azure Data Box à un autre serveur/client et exposer la racine de l’appareil en tant que partage réseau.

Configurer Azure Data Box

Si vous avez commandé un disque Azure Data Box (jusqu’à 100 To), suivez les étapes mentionnées ici pour configurer votre disque Data Box.

Monter votre Azure Data Box en tant que système local

Le serveur DPM opère dans le contexte Système ; le même niveau de privilège doit par conséquent être fourni au chemin de montage où l’Azure Data Box est raccordé. Suivez les étapes ci-dessous pour vous assurer que vous êtes en mesure de monter votre appareil Data Box en tant que système local à l’aide du protocole NFS.

1. Activez la fonctionnalité Client pour NFS sur le serveur DPM. Spécifiez une autre source : WIM:D:\Sources\Install.wim:4

2. Téléchargez PSExec à partir de https://download.sysinternals.com/files/PSTools.zip sur le serveur DPM.

3. Ouvrez une invite de commandes avec élévation de privilèges et exécutez la commande suivante avec le répertoire contenant PSExec.exe en tant que répertoire actif.

   psexec.exe  -s  -i  cmd.exe
   

4. La fenêtre de commande qui s’ouvre à la suite de la commande ci-dessus est dans le contexte Système local. Utilisez cette fenêtre de commande pour exécuter les étapes de montage du partage d’objets blob de pages Azure en tant que lecteur réseau sur votre serveur Windows.

5. Effectuez ces étapes pour connecter votre serveur DPM à l’appareil Data Box via NFS et exécutez la commande suivante à l’invite de commandes Système local pour monter le partage d’objets blob de pages Azure :

   mount -o nolock \\<DeviceIPAddres>\<StorageAccountName_PageBlob X:
   

6. Une fois monté, vérifiez si vous pouvez accéder à X: à partir de votre serveur. Si oui, passez à la section suivante de cet article.

Transférer les données de sauvegarde initiales aux appareils Azure Data Box

1. Sur votre serveur DPM, effectuez les étapes pour créer un groupe de protection. Si vous ajoutez une protection en ligne au groupe de protection existant, cliquez avec le bouton droit sur le groupe de protection existant, puis sélectionnez Ajouter une protection en ligne et commencez à l’étape 8.

2. Dans la page Sélectionner les membres du groupe, spécifiez les ordinateurs et les sources que vous souhaitez sauvegarder.

3. Dans la page Sélectionner une méthode de protection des données , spécifiez la façon dont vous souhaitez gérer la sauvegarde à court et à long terme. Veillez à sélectionner Je veux une protection en ligne.

   

4. Dans la page Sélectionner les objectifs à court terme, indiquez comment vous voulez sauvegarder dans le stockage à court terme sur le disque.

5. Dans la page Vérifier l’allocation de disque, consultez l’espace disque du pool de stockage alloué au groupe de protection.

6. Dans la page Choisir la méthode de création de réplica, sélectionnez Automatiquement sur le réseau.

7. Dans la page Sélectionner les options de vérification de cohérence, choisissez comment vous souhaitez automatiser les vérifications de cohérence.

8. Dans la page Indiquer les données de protection en ligne, sélectionnez le membre pour lequel vous souhaitez activer la protection en ligne.

   

9. Dans la page Spécifier une planification de sauvegarde en ligne, spécifiez la fréquence des sauvegardes incrémentielles sur Azure.

10. Dans la page Spécifier une stratégie de rétention en ligne, indiquez la façon dont les points de récupération créés à partir des sauvegardes quotidiennes/hebdomadaires/mensuelles/annuelles sont conservés dans Azure.

11. Dans l’écran Choisir la réplication en ligne de l’Assistant, choisissez l’option Transférer à l’aide de disques appartenant à Microsoft , puis sélectionnez Suivant.

    

12. Connectez-vous à Azure lorsque vous y êtes invité, en utilisant les informations d’identification de l’utilisateur disposant d’un accès propriétaire sur l’abonnement Azure. Une fois la connexion réussie, l’écran suivant s’affiche :

    

    Le serveur DPM récupère ensuite dans l’abonnement les travaux Data Box qui sont à l’état Livré.

    Notes

    La première connexion prend plus de temps que d’habitude. Le module Azure PowerShell est installé en arrière-plan, et l’application Azure AD est également inscrite.

    • Les modules PowerShell suivants sont installés :
      - AzureRM.Profile 5.8.3
      - AzureRM.Resources 6.7.3
      - AzureRM.Storage 5.2.0
      - Azure.Storage 4.6.1
      
    • L’application Azure AD est inscrite en tant que AzureOfflineBackup_<GUID d’objet de l’utilisateur>.

13. Sélectionnez la commande Data Box appropriée pour laquelle vous avez déballé, connecté et déverrouillé votre disque Data Box. Sélectionnez Suivant.

    

14. Dans l’écran Détecter la DataBox , entrez le chemin d’accès de votre appareil Data Box, puis sélectionnez Détecter l’appareil.

    

    Important

    Indiquez le chemin réseau du répertoire racine du disque Azure Data Box. Ce répertoire doit contenir un répertoire portant le nom PageBlob comme illustré ci-dessous :

    

    Par exemple, si le chemin du disque est \\mydomain\myserver\disk1\ et que disk1 contient un répertoire nommé PageBlob, le chemin à fournir dans l’Assistant du serveur DPM est \\mydomain\myserver\disk1\. Si vous configurez un appareil Azure Data Box de 100 To, indiquez ce qui suit comme chemin réseau de l’appareil \\<DeviceIPAddress>\<StorageAccountName>_PageBlob.

15. Sélectionnez Suivant. Dans la page Résumé, vérifiez vos paramètres puis sélectionnez Créer un groupe.

    

    L’écran suivant confirme que le groupe de protection a bien été créé.

    

16. Sélectionnez Fermer dans l’écran ci-dessus.

    Avec cela, la réplication initiale des données se produit sur le disque DPM. Une fois la protection terminée, l’état du groupe indique que l’état de la protection est OK dans la page Protection.

17. Pour lancer la copie de sauvegarde hors connexion sur votre appareil Azure Data Box, cliquez avec le bouton de droite sur Groupe de protection, puis choisissez l’option Créer un point de récupération. Sélectionnez ensuite l’option Protection en ligne .

    

    

Le serveur DPM commence à sauvegarder les données que vous avez sélectionnées sur l’appareil Azure Data Box. Cela peut prendre de quelques heures à quelques jours, en fonction de la taille des données et de la vitesse de connexion entre le serveur DPM et l’Azure Data Box Disk.

Vous pouvez superviser l’état du travail dans le volet Supervision. Une fois la sauvegarde des données terminée, un écran semblable à celui ci-dessous s’affiche :

Étapes à l’issue de la sauvegarde

Effectuez ces étapes une fois que la sauvegarde des données sur l’Azure Data Box Disk a réussi.

• Effectuez les étapes décrites dans cet article pour expédier le disque Azure Data Box à Azure. Si vous avez utilisé un appareil Azure Data Box de 100 To, effectuez ces étapes pour expédier l’Azure Data Box à Azure.

• Supervisez le travail Data Box dans le portail Azure. Une fois le travail Azure Data Box Terminé, le serveur DPM déplace automatiquement les données du compte de stockage vers le coffre Recovery Services lors de la prochaine sauvegarde planifiée. Il marque ensuite le travail de sauvegarde comme étant Terminé si un point de récupération a été créé avec succès.

  Notes

  Le serveur DPM déclenche les sauvegardes aux heures planifiées pendant la création du groupe de protection. Toutefois, ces travaux indiqueront En attente de la fin du travail Azure Data Box jusqu’à ce que le travail soit terminé.

• Une fois que le serveur DPM a créé un point de récupération correspondant à la sauvegarde initiale, vous pouvez supprimer le compte de stockage (ou le contenu spécifique) associé au travail Azure Data Box.

Dépannage

L’agent Microsoft Sauvegarde Azure (MAB) sur le serveur DPM crée une application Azure AD pour vous dans votre locataire. Cette application nécessite un certificat à des fins d’authentification. Celui-ci est créé et chargé lors de la configuration de la stratégie d’amorçage hors connexion.

Nous utilisons Azure PowerShell pour créer et charger le certificat sur l’application Azure AD.

Problème

Au moment de la configuration de la sauvegarde hors connexion, en raison d’un défaut de code connu dans l’applet de commande Azure PowerShell, vous ne pouvez pas ajouter plusieurs certificats à la même application Azure AD créée par l’agent MAB. Cela vous aura un impact si vous avez configuré une stratégie d’amorçage hors connexion pour le même serveur ou un autre.

Vérifier si le problème est provoqué par cette cause racine spécifique

Pour vérifier si l’échec est dû au problème ci-dessus, effectuez l’une des étapes suivantes :

Étape 1

Regardez si vous voyez apparaître l’un des messages d’erreur suivants dans la console DPM/MABS au cours de la configuration de la sauvegarde hors connexion :

Impossible de créer une stratégie de sauvegarde en mode hors connexion pour le compte Azure actif, car les informations d'authentification de ce serveur n'ont pas pu être chargées sur Azure. (ID : 100242)

Impossible de transmettre à Azure les appels de service nécessaires pour interroger l'état de la tâche d'importation et déplacer les données de sauvegarde dans le coffre Recovery Services. (ID:100230)

Étape 2

1. Ouvrez le dossier temp dans le chemin d’installation (le chemin du dossier temporaire par défaut est C:\Program Files\Microsoft Azure Recovery Services Agent\Temp). Recherchez le fichier CBUICurr et ouvrez-le.
2. Dans le fichier CBUICurr, faites défiler jusqu’à la dernière ligne et case activée si l’échec est dû à Impossible de créer des informations d’identification d’application Azure AD dans le compte du client. Exception : La mise à jour des informations d’identification existantes avec KeyId <n’est> pas autorisée.

Solution de contournement

Pour résoudre ce problème, effectuez les étapes ci-dessous et réessayez d’appliquer la configuration de stratégie.

1. Connectez-vous à la page de connexion Azure qui s’affiche dans l’interface utilisateur du serveur DPM à l’aide d’un autre compte avec un accès administrateur sur l’abonnement sur lequel le travail d’exportation d’importation sera créé.

2. Si aucun autre serveur n’a configuré l’amorçage hors connexion et qu’aucun autre serveur ne dépend de l’applicationAzureOfflineBackup_<Azure User Id>, supprimez cette application de Portail Azure > Microsoft Entra ID > inscriptions d'applications.

   Notes

   Vérifiez si l’application AzureOfflineBackup_<Azure User Id> n’a pas d’autre amorçage hors connexion configuré et si aucun autre serveur ne dépend de cette application. Accédez à Paramètres > Clés sous la section Clés publiques . Aucune autre clé publique ne doit être ajoutée. Examinez la capture d’écran suivante à des fins de référence :

   

Étape 3 :

À partir du serveur DPM que vous essayez de configurer la sauvegarde hors connexion, effectuez les actions suivantes :

1. Ouvrez l’onglet Gérer l’application de certificat d’ordinateur>Personnel et recherchez le certificat nommé CB_AzureADCertforOfflineSeeding_<ResourceId>.

2. Sélectionnez le certificat ci-dessus, cliquez avec le bouton droit sur Toutes les tâches et exportez-le sans clé privée, au format .cer.

3. Accédez à l’application de sauvegarde hors connexion Azure mentionnée au point 2. Dans les paramètres>Clés>charger la clé publique, chargez le certificat exporté à l’étape ci-dessus.

   

4. Sur le serveur, ouvrez le Registre en tapant regedit dans la fenêtre Exécuter.

5. Accédez à Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider dans le Registre. Cliquez avec le bouton droit sur CloudBackupProvider et ajoutez une nouvelle valeur de chaîne nommée AzureADAppCertThumbprint_<Azure User Id>.

   Notes

   Pour récupérer l’identifiant utilisateur Azure, effectuez l’une des actions suivantes :

   • À partir du PowerShell connecté à Azure, exécutez la commande Get-AzureRmADUser -UserPrincipalName "Account Holder's email as defined in the portal".
   • Accédez au chemin du Registre Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\DbgSettings\OnlineBackup avec le nom CurrentUserId.

6. Cliquez avec le bouton droit sur la chaîne ajoutée à l’étape ci-dessus, puis sélectionnez Modifier. Dans la valeur, fournissez l’empreinte du certificat que vous avez exporté au point 2, puis sélectionnez OK.

7. Pour obtenir la valeur de l’empreinte numérique, double-cliquez sur le certificat, puis sélectionnez Détails et faites défiler jusqu’à ce que le champ d’empreinte s’affiche. Sélectionnez Empreinte et copiez la valeur.

   

Étapes suivantes

• Amorçage hors connexion à l’aide de son propre disque (à l’aide du service Azure Import/Export).