Préparer le déploiement de serveurs DPM
Il existe quelques étapes de planification à prendre en compte avant de commencer à déployer vos serveurs System Center Data Protection Manager (DPM) :
Planifier le déploiement du serveur DPM : déterminez le nombre de serveurs DPM dont vous aurez besoin et où les placer.
Planifier les paramètres de pare-feu : obtenez des informations sur le pare-feu, le port et les paramètres de protocole sur le serveur DPM, les machines protégées et un serveur SQL Server distant si vous configurez un seul serveur.
Accorder des autorisations utilisateur : spécifiez qui peut interagir avec DPM.
Planifier le déploiement du serveur DPM
Tout d’abord, déterminez le nombre de serveurs dont vous aurez besoin :
DPM peut protéger jusqu’à 600 volumes. Pour protéger cette taille maximale, DPM a besoin de 120 To par serveur DPM.
Un seul serveur DPM peut protéger jusqu’à 2 000 bases de données (taille de disque recommandée de 80 To).
Un seul serveur DPM peut protéger jusqu’à 3 000 ordinateurs clients et 100 serveurs.
- Pour la planification de la capacité du serveur DPM, vous pouvez utiliser les calculatrices de stockage DPM. Ces calculatrices sont des feuilles Excel et sont spécifiques à la charge de travail. Ils guident le nombre de serveurs DPM requis, de cœur de processeur, de RAM, de recommandations de mémoire virtuelle et de capacité de stockage requise. Étant donné que ces calculatrices sont spécifiques à la charge de travail, vous devez combiner les paramètres recommandés et les prendre en compte avec la configuration système requise et la topologie et les exigences spécifiques de votre entreprise, notamment les emplacements de source de données et de stockage, les exigences de conformité et de contrat sla et les besoins en matière de récupération d’urgence. Notez que les calculatrices ont été publiées pour DPM 2010, mais restent pertinentes pour les versions ultérieures de DPM.
Déterminez ensuite comment localiser les serveurs :
DPM doit être déployé dans un domaine Active Directory (Windows Server 2008 et versions ultérieures).
Lorsque vous décidez où localiser votre serveur DPM, tenez compte de la bande passante réseau entre le serveur DPM et les ordinateurs protégés. Si vous protégez des données sur un réseau étendu (WAN), une bande passante réseau minimale de 512 Ko par seconde (Kbits/s) est requise.
DPM prend en charge les cartes réseau associées. Les NIC associées sont un ensemble de cartes physiques configurées pour être considérées comme une seule carte par le système d'exploitation. Les cartes réseau associées fournissent une bande passante accrue en combinant la bande passante disponible, en utilisant chaque adaptateur et en basculant vers l’adaptateur restant en cas d’échec d’une carte. DPM peut utiliser la bande passante accrue obtenue à l’aide d’une carte associée sur le serveur DPM.
Une autre considération pour l’emplacement de vos serveurs DPM est la nécessité de gérer manuellement les bandes et les bibliothèques de bandes, telles que l’ajout de nouvelles bandes à la bibliothèque ou la suppression de bandes pour une archive hors site.
Un serveur DPM peut protéger les ressources au sein d’un domaine ou entre des domaines au sein d’une forêt qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM. S’il n’existe pas d’approbation bidirectionnelle entre les domaines, vous avez besoin d’un serveur DPM distinct pour chaque domaine. Un serveur DPM peut protéger les données entre les forêts s’il existe une approbation bidirectionnelle au niveau de la forêt entre les forêts.
Tenez compte de la bande passante réseau entre le serveur DPM et les ordinateurs protégés. Si vous protégez des données via un réseau étendu, il existe une exigence minimale de bande passante réseau de 512 Kbits/s. Notez que DPM prend en charge les cartes réseau associées qui fournissent une bande passante accrue en combinant la bande passante disponible pour chaque carte réseau et le basculement en cas d’échec d’une carte.
Planifier les paramètres de pare-feu et les autorisations utilisateur
Paramètres du pare-feu
Les paramètres de pare-feu pour le déploiement DPM sont requis sur le serveur DPM, sur les machines que vous souhaitez protéger et sur le serveur SQL Server utilisé pour la base de données DPM si vous l’exécutez à distance. Si le Pare-feu Windows est activé lorsque vous installez DPM, la configuration de DPM configure automatiquement les paramètres de pare-feu sur le serveur DPM. Les paramètres de pare-feu sont résumés dans le tableau suivant.
| Emplacement | Règle | Détails | Protocole | Port |
|---|---|---|---|---|
| Serveur DPM | Paramètre DCOM System Center <version> Data Protection Manager | Utilisé pour la communication DCOM entre le serveur DPM et les machines protégées. | DCOM | 135/TCP dynamique |
| Serveur DPM | System Center <version> Data Protection Manager | Exception pour Msdpm.exe (service DPM). S'exécute sur le serveur DPM. | Tous les protocoles | Tous les ports |
| Serveur DPM Machines protégées |
Agent de réplication System Center <version> Data Protection Manager | Exception pour Dpmra.exe (service agent de protection utilisé pour sauvegarder et restaurer des données). S’exécute sur le serveur DPM et les machines protégées. | Tous les protocoles | Tous les ports |
| Machines protégées | Configurer une exception entrante pour sqserv.exe | |||
| Machines protégées | DPM émet une commande à l’agent de protection avec des appels DCOM à l’agent. Vous devez ouvrir les ports supérieurs (1024-65535) pour que DPM communique. | DCOM | 135/TCP dynamique | |
| Machines protégées | Le canal de données DPM est TCP. Le serveur DPM et les machines protégées initient des connexions. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Machines protégées | Utilisé pour la résolution de noms d’hôte entre l’ordinateur DPM/protégé et le contrôleur de domaine. | DNS | 53/UDP | |
| Machines protégées | Utilisé pour l’authentification du point de terminaison de connexion, entre la machine DPM/protégée et le contrôleur de domaine. | Kerberos | 88/UDP 88/TCP |
|
| Machines protégées | Utilisé pour les requêtes entre le serveur DPM et le contrôleur de domaine. | LDAP | 389/TCP 389/TCP |
|
| Machines protégées | Utilisé pour les opérations diverses entre 1) DPM et les machines protégées, 2) DPM et le contrôleur de domaine 3) Machines protégées et contrôleur de domaine. Également utilisé pour SMB directement hébergé sur TCP/IP pour les fonctions DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Serveur SQL Server distant | Activez TCP/IP pour l’instance DPM de SQL Server avec les éléments suivants : audit d’échec par défaut ; activez la vérification de la stratégie de mot de passe. | |||
| Serveur SQL Server distant | Activez l’exception entrante pour sqservr.exe pour l’instance DPM de SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80. | |||
| Serveur SQL Server distant | L’instance par défaut du moteur de base de données écoute sur le port TCP 1443. Peut être modifié. Pour utiliser le service SQL Server Browser pour vous connecter sur un port UDP défini par défaut 1434. |
|||
| Serveur SQL Server distant | L’instance nommée de SQL Server utilise des ports dynamiques par défaut. Peut être modifié. | |||
| Serveur SQL Server distant | Activer RPC |
Attribution des autorisations utilisateur
Avant de commencer un déploiement DPM, vérifiez que les utilisateurs appropriés ont reçu les privilèges requis pour effectuer les différentes tâches. Celles-ci sont récapitulées dans le tableau ci-dessous.
| Tâche DPM | Autorisations nécessaires |
|---|---|
| Ajouter le serveur DPM à un domaine | Compte d’administrateur de domaine ou droit d’utilisateur pour ajouter une station de travail au domaine |
| Installation de DPM | Compte d’administrateur sur le serveur DPM |
| Installer un agent de protection DPM sur un ordinateur que vous souhaitez protéger | Compte de domaine qui se trouve dans le groupe d’administrateurs locaux sur l’ordinateur |
| Étendre le schéma AD pour activer la récupération des utilisateurs finaux | Privilèges d’administrateur de schéma pour le domaine |
| Créer un conteneur AD pour activer la récupération des utilisateurs finaux | Privilèges d’administrateur de domaine |
| Accorder l’autorisation du serveur DPM pour modifier le contenu du conteneur | Privilèges d’administrateur de domaine |
| Activer la récupération des utilisateurs finaux sur le serveur DPM | Compte d’administrateur sur le serveur DPM |
| Installer le logiciel client du point de récupération sur l’ordinateur protégé | Compte d’administrateur sur l’ordinateur |
| Accéder aux versions précédentes des données protégées à partir d’un ordinateur protégé | Compte d’utilisateur ayant accès au partage protégé |
| Récupérer des données SharePoint | Administrateur de batterie de serveurs SharePoint qui est également administrateur sur le serveur web frontal sur lequel l’agent de protection est installé. |
Remarque
Le serveur DPM et l’ordinateur protégé communiquent à l’aide de DCOM. Pendant l’installation de DPMRA, le compte du serveur DPM est ajouté au groupe de sécurité Utilisateurs COM distribués sur l’ordinateur protégé.
Pour la protection du contrôleur de domaine, les groupes de sécurité Active Directory sont créés pour chacun des contrôleurs de domaine protégés, avec les noms DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME et DPMRATRUSTEDDPMRAS$DCNAME.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour