Préparer le déploiement des serveurs DPM
Important
Cette version de Data Protection Manager (DPM) a atteint la fin du support. Nous vous recommandons de mettre à niveau vers DPM 2022.
Quelques étapes de planification sont à suivre avant de commencer à déployer vos serveurs System Center Data Protection Manager (DPM) :
Planifier le déploiement des serveurs DPM - Déterminez le nombre de serveurs DPM dont vous avez besoin et leur emplacement.
Planifier les paramètres de pare-feu : obtenez des informations sur les paramètres de pare-feu, de port et de protocole sur le serveur DPM, les machines protégées et un SQL Server distant si vous en configurez un.
Accorder des autorisations aux utilisateurs - Spécifiez qui peut interagir avec DPM.
Planifier le déploiement de serveurs DPM
Tout d’abord, déterminez le nombre de serveurs dont vous aurez besoin :
DPM peut protéger jusqu’à 600 volumes. Pour protéger cette taille maximale, DPM a besoin de 120 To par serveur DPM.
Un seul serveur DPM peut protéger jusqu’à 2 000 bases de données (taille de disque recommandée de 80 To).
Un seul serveur DPM peut protéger jusqu'à 3 000 ordinateurs clients et 100 serveurs.
- Pour la planification de la capacité du serveur DPM, vous pouvez utiliser les calculatrices de stockage DPM. Ces calculatrices sont des feuilles Excel et sont spécifiques à la charge de travail. Ils indiquent le nombre de serveurs DPM requis, le cœur de processeur, la RAM, les recommandations de mémoire virtuelle et la capacité de stockage requise. Étant donné que ces calculatrices sont spécifiques à la charge de travail, vous devez combiner les paramètres recommandés et les prendre en compte avec la configuration système requise et la topologie et les exigences spécifiques de votre entreprise, y compris les emplacements de source de données et de stockage, les exigences de conformité et de contrat SLA, et les besoins de récupération d’urgence. Notez que les calculatrices ont été publiées pour DPM 2010, mais qu’elles restent pertinentes pour les versions ultérieures de DPM.
Déterminez ensuite comment localiser les serveurs :
DPM doit être déployé dans un domaine Active Directory (Windows Server 2008 et versions ultérieures).
Quand vous décidez de l’emplacement de votre serveur DPM, tenez compte de la bande passante réseau entre le serveur DPM et les ordinateurs protégés. Si vous protégez des données sur un réseau étendu (WAN), une bande passante réseau minimale de 512 Ko par seconde (Kbits/s) est requise.
DPM prend en charge les cartes réseau associées. Les NIC associées sont un ensemble de cartes physiques configurées pour être considérées comme une seule carte par le système d'exploitation. Les cartes réseau associées fournissent une bande passante accrue en combinant la bande passante disponible, en utilisant chaque carte et en basculant vers la carte restante en cas de défaillance d’une carte. DPM peut utiliser la bande passante accrue obtenue à l’aide d’une carte associée sur le serveur DPM.
Un autre point à prendre en compte pour l’emplacement de vos serveurs DPM est la nécessité de gérer manuellement les bandes et les bibliothèques de bandes, par exemple en ajoutant de nouvelles bandes à la bibliothèque ou en supprimant des bandes pour une archive hors site.
Un serveur DPM peut protéger des ressources au sein d’un domaine ou entre des domaines au sein d’une forêt qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM. Si cette relation n’existe pas entre les domaines, vous devez avoir un serveur DPM distinct pour chaque domaine. Un serveur DPM peut protéger des données dans une forêt s’il existe une approbation bidirectionnelle au niveau de la forêt entre les forêts.
Tenez compte de la bande passante réseau entre le serveur DPM et les ordinateurs protégés. Si vous protégez des données sur un wan, la bande passante réseau minimale requise est de 512 Kbits/s. Notez que DPM prend en charge les cartes réseau associées qui fournissent une bande passante accrue en combinant la bande passante disponible pour chaque carte réseau et le basculement en cas de défaillance d’une carte.
Planifier les paramètres de pare-feu et les autorisations des utilisateurs
Paramètres du pare-feu
Les paramètres de pare-feu pour le déploiement de DPM sont obligatoires sur le serveur DPM, sur les ordinateurs à protéger et sur le serveur SQL Server utilisé pour la base de données DPM si vous l’exécutez à distance. Si le Pare-feu Windows est activé lorsque vous installez DPM, le programme d’installation de DPM configure automatiquement les paramètres de pare-feu sur le serveur DPM. Les paramètres de pare-feu sont résumées dans le tableau suivant.
| Localisation | Règle | Détails | Protocole | Port |
|---|---|---|---|---|
| Serveur DPM | Paramètre DCOM System Center <version> Data Protection Manager | Utilisé pour la communication DCOM entre le serveur DPM et les machines protégées. | DCOM | 135/TCP dynamique |
| Serveur DPM | System Center <version> Data Protection Manager | Exception pour Msdpm.exe (service DPM). S'exécute sur le serveur DPM. | Tous les protocoles | Tous les ports |
| Serveur DPM Ordinateurs protégés |
Agent de réplication System Center <version> Data Protection Manager | Exception pour Dpmra.exe (service d’agent de protection utilisé pour sauvegarder et restaurer les données). S’exécute sur le serveur DPM et les machines protégées. | Tous les protocoles | Tous les ports |
| Ordinateurs protégés | Configurer une exception entrante pour sqserv.exe | |||
| Ordinateurs protégés | DPM émet une commande à l’agent de protection avec des appels DCOM à l’agent. Vous devez ouvrir les ports supérieurs (1024-65535) pour que DPM communique. | DCOM | 135/TCP dynamique | |
| Ordinateurs protégés | Le canal de données DPM est TCP. Le serveur DPM et les ordinateurs protégés établissent des connexions. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Ordinateurs protégés | Utilisé pour la résolution de noms d’hôte entre DPM/machine protégée et le contrôleur de domaine. | DNS | 53/UDP | |
| Ordinateurs protégés | Utilisé pour l’authentification du point de terminaison de connexion, entre DPM/machine protégée et le contrôleur de domaine. | Kerberos | 88/UDP 88/TCP |
|
| Ordinateurs protégés | Utilisé pour les requêtes entre le serveur DPM et le contrôleur de domaine. | LDAP | 389/TCP 389/UDP |
|
| Ordinateurs protégés | Utilisé pour des opérations diverses entre (1) DPM et les ordinateurs protégés, 2) DPM et le contrôleur de domaine et (3) les ordinateurs protégés et le contrôleur de domaine. Également utilisé pour SMB hébergé directement sur TCP/IP pour les fonctions DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Serveur SQL Server distant | Activez TCP/IP pour le instance DPM de SQL Server avec les éléments suivants : audit d’échec par défaut ; activer la vérification de la stratégie de mot de passe. | |||
| Serveur SQL Server distant | Activez une exception entrante pour sqservr.exe pour l’instance DPM de SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80. | |||
| Serveur SQL Server distant | L’instance par défaut du moteur de base de données écoute sur le port TCP 1443. Modifiable. Pour utiliser le service SQL Server Browser pour vous connecter à un port autre que celui par défaut, définissez le port UDP 1434. |
|||
| Serveur SQL Server distant | L’instance nommée de SQL Server utilise des ports dynamiques par défaut. Modifiable. | |||
| Serveur SQL Server distant | Activation de RPC |
Grant user permissions
Avant de commencer un déploiement DPM, vérifiez que les utilisateurs appropriés ont reçu les privilèges nécessaires pour effectuer les différentes tâches. Ceux-ci sont résumés dans le tableau ci-après.
| Tâche DPM | Autorisations nécessaires |
|---|---|
| Ajouter le serveur DPM à un domaine | Compte d’administrateur de domaine ou droit d’utilisateur pour ajouter une station de travail au domaine |
| Installation de DPM | Compte d’administrateur sur le serveur DPM |
| Installer un agent de protection DPM sur une machine que vous souhaitez protéger | Compte de domaine qui se trouve dans le groupe des administrateurs locaux sur l’ordinateur |
| Étendre le schéma AD pour activer la récupération par l’utilisateur final | Privilèges d’administrateur de schéma pour le domaine |
| Créer un conteneur AD pour activer la récupération par l’utilisateur final | Privilèges d’administrateur de domaine |
| Accorder au serveur DPM une autorisation de modification du contenu du conteneur | Privilèges d’administrateur de domaine |
| Activer la récupération de l’utilisateur final sur le serveur DPM | Compte d’administrateur sur le serveur DPM |
| Installer le logiciel client du point de récupération sur l’ordinateur protégé | Administration compte sur l’ordinateur |
| Accéder aux versions précédentes des données protégées à partir d’un ordinateur protégé | Compte d’utilisateur avec accès au partage protégé |
| Récupérer des données SharePoint | Administrateur de batterie de serveurs SharePoint également administrateur sur le serveur web frontal sur lequel l’agent de protection est installé. |
Notes
Le serveur DPM et l’ordinateur protégé communiquent à l’aide de DCOM. Pendant l’installation de DPMRA, le compte du serveur DPM est ajouté au groupe de sécurité Utilisateurs COM distribués sur l’ordinateur protégé.
Pour la protection des contrôleurs de domaine, des groupes de sécurité Active Directory sont créés pour chacun des contrôleurs de domaine protégés, avec les noms DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME et DPMRATRUSTEDDPMRAS$DCNAME.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour