Felkészülés DPM-kiszolgálók telepítésére
Fontos
A Data Protection Manager (DPM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a DPM 2022-re.
A System Center Data Protection Manager- (DPM-) kiszolgálók üzembe helyezésének megkezdése előtt figyelembe kell vennie néhány tervezési lépést:
DPM-kiszolgálók telepítésének tervezése - Gondolja végig, hány DPM-kiszolgálóra van szüksége és hol kívánja elhelyezni azokat.
Tűzfalbeállítások tervezése – A DPM-kiszolgálón, a védett gépeken és a távoli SQL Server vonatkozó információk lekérése a DPM-kiszolgálón található tűzfal-, port- és protokollbeállításokról.
A felhasználó jogok kiosztása - Adja meg, hogy kik dolgozhatnak a DPM-mel.
DPM-kiszolgáló rendszerbe állításának tervezése
Először határozza meg, hogy hány kiszolgálóra lesz szüksége:
A DPM legfeljebb 600 kötet védelmére képes. A maximális méret védelméhez a DPM-nek DPM-kiszolgálónként 120 TB helyre van szüksége.
Egyetlen DPM-kiszolgáló legfeljebb 2000 adatbázist védhet (ajánlott lemezméret: 80 TB).
Egyelten DPM-kiszolgáló legfeljebb 3000 ügyfélszámítógépet és 100 kiszolgálót védhet.
- A DPM-kiszolgáló kapacitástervezéséhez használhatja a DPM-tárolókalkulátorokat. Ezek a számológépek Excel-lapok, és munkaterhelés-specifikusak. Útmutatást adnak a szükséges DPM-kiszolgálók számáról, a processzormagról, a RAM-ról, a virtuális memóriára vonatkozó javaslatokról és a szükséges tárkapacitásról. Mivel ezek a kalkulátorok munkaterhelés-specifikusak, össze kell kapcsolnia az ajánlott beállításokat, és figyelembe kell vennie őket a rendszerkövetelményekkel, az adott üzleti topológiával és követelményekkel, beleértve az adatforrások és tárolási helyek, a megfelelőségi és SLA-követelmények, valamint a vészhelyreállítási igényeket. A számítási eszközöket a DPM 2010 verzióhoz adták ki, de a DPM újabb verzióival is használhatók.
Ezek után tervezze meg a kiszolgálók elhelyezését:
A DPM-et egy Active Directory-tartományban kell telepíteni (a Windows Server 2008 és későbbi verziói esetén).
Amikor a DPM-kiszolgáló helyéről dönt, vegye figyelembe a DPM-kiszolgáló és a védett számítógépek közötti hálózati sávszélességet. Ha nagykiterjedésű hálózaton (WAN-on) keresztül védi az adatokat, legalább 512 Kbps hálózati sávszélességre lesz szükség.
A DPM támogatja az összevont hálózati adaptereket (NIC-k). Az összevont hálózati adapter több fizikai adapterből áll, amelyek úgy vannak beállítva, hogy az operációs rendszer egyetlen adapterként kezelje őket. A csoportosított hálózati adapterek a rendelkezésre álló sávszélesség kombinálásával növelik a sávszélességet, az egyes adapterek használatával és a fennmaradó adapterre való feladatátvétellel, ha egy adapter meghibásodik. A DPM használhatja a DPM-kiszolgálón található összevonásos adapter használatával elért nagyobb sávszélességet.
A DPM-kiszolgálók helyének másik szempontja a szalagok és szalagtárak manuális kezelése, például új szalagok hozzáadása a tárhoz vagy szalagok eltávolítása egy külső archívumból.
A DPM-kiszolgálók megvédhetik az erőforrásokat egy tartományban vagy egy erdőben lévő tartományok között, amelyek kétirányú megbízhatósági kapcsolatban vannak azzal a tartománnyal, amelyben a DPM-kiszolgáló található. Ha nincs kétirányú megbízhatósági kapcsolatot a tartományok között, akkor külön DPM-kiszolgáló szükséges minden egyes tartományhoz. A DPM-kiszolgáló több erdőben is képes az adatok védelmére, ha az erdők között erdőszintű kétirányú megbízhatósági kapcsolat van.
Vegye figyelembe a hálózati sávszélességet a DPM-kiszolgáló és a védett számítógépek között. Ha WAN-kapcsolaton keresztül védi az adatokat, a hálózati sávszélességre vonatkozó minimális követelmény 512 Kbps. Vegye figyelembe, hogy a DPM támogatja azokat a csoportosított hálózati adaptereket, amelyek nagyobb sávszélességet biztosítanak az egyes hálózati adapterek számára elérhető sávszélesség és a feladatátvétel kombinálásával, ha egy adapter meghibásodik.
A tűzfalbeállítások és a felhasználói engedélyek tervezése
Tűzfalbeállítások
A DPM-telepítéshez tűzfalbeállításokra van szükség a DPM-kiszolgálón, a védeni kívánt gépeken és a DPM-adatbázishoz használt SQL Server kiszolgálón, ha távolról futtatja. Ha a DPM telepítésekor engedélyezve van a Windows tűzfal, akkor a DPM beállítása automatikusan konfigurálja a tűzfalbeállításokat a DPM-kiszolgálón. A tűzfalbeállításokat a következő táblázat foglalja össze.
| Hely | Szabály | Részletek | Protokoll | Port |
|---|---|---|---|---|
| DPM-kiszolgáló | System Center-verzió <> – Data Protection Manager DCOM-beállítás | A DPM-kiszolgáló és a védett gépek közötti DCOM-kommunikációhoz használatos. | DCOM | 135/TCP dinamikus |
| DPM-kiszolgáló | A System Center <Data Protection Manager verziója> | Az Msdpm.exe (a DPM-szolgáltatás) kivételei. A DPM-kiszolgálón fut. | Minden protokoll | Minden port |
| DPM-kiszolgáló Védett gépek |
System Center-verzió <> – Adatvédelmi felügyeleti replikációs ügynök | A Dpmra.exe (az adatok biztonsági mentéséhez és visszaállításához használt védelmi ügynök szolgáltatás) állománnyal kapcsolatos kivétel. A DPM-kiszolgálón és a védett gépeken fut. | Minden protokoll | Minden port |
| Védett gépek | Bejövő kivétel konfigurálása sqserv.exe | |||
| Védett gépek | A DPM kiadja a védelmi ügynök parancsát az ügynökhöz intézett DCOM-hívásokkal. A DPM kommunikációhoz meg kell nyitnia a felső portokat (1024-65535). | DCOM | 135/TCP dinamikus | |
| Védett gépek | A DPM adatcsatornája a TCP protokollt használja. Mind a DPM-kiszolgáló, mind a védett számítógépek kezdeményeznek kapcsolatokat. A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál. | TCP | 5718/TCP 5719/TCP |
|
| Védett gépek | A DPM/védett gép és a tartományvezérlő közötti állomásnévfeloldáshoz használatos. | DNS | 53/UDP | |
| Védett gépek | A DPM/védett gép és a tartományvezérlő közötti kapcsolati végpont hitelesítéséhez használatos. | Kerberos | 88/UDP 88/TCP |
|
| Védett gépek | A DPM-kiszolgáló és a tartományvezérlő közötti lekérdezésekhez használatos. | LDAP | 389/TCP 389/UDP |
|
| Védett gépek | Különböző műveletekhez használatos 1) a DPM és a védett számítógépek, 2) a DPM és a tartományvezérlő és 3) a védett számítógépek és a tartományvezérlő között. A DPM-függvényekhez közvetlenül TCP/IP-n üzemeltetett SMB-hez is használatos. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Távoli SQL Server | Engedélyezze a TCP/IP-t a SQL Server DPM-példányához a következőkkel: alapértelmezett hibanaplózás; jelszóházirend-ellenőrzés engedélyezése. | |||
| Távoli SQL Server | Engedélyezzen egy bejövő kivételt az sqservr.exe folyamatra vonatkozóan az SQL Server DPM-példánya számára a TCP engedélyezéséhez a 80-as porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket. | |||
| Távoli SQL Server | Az adatbázismotor alapértelmezett példánya az 1443-as TCP-portot figyeli. Módosítható. Ha a SQL Server Browser szolgáltatással szeretne csatlakozni egy nem alapértelmezett porton, állítsa be az 1434-ben beállított UDP-portot. |
|||
| Távoli SQL Server | Az SQL-kiszolgáló megnevezett példánya alapértelmezés szerint dinamikus portokat használ. Módosítható. | |||
| Távoli SQL Server | RPC engedélyezése |
Felhasználói engedélyek megadása
A DPM üzembe helyezése előtt ellenőrizze, hogy a megfelelő felhasználók megkapták-e a különböző feladatok elvégzéséhez szükséges jogosultságokat. Ezeket az alábbi táblázat foglalja össze:
| DPM-feladat | Szükséges engedélyek |
|---|---|
| A DPM-kiszolgáló felvétele tartományba | Tartományi rendszergazdai fiók vagy felhasználó jogosultsága munkaállomás hozzáadásához a tartományhoz |
| A DPM telepítése | Rendszergazdai fiók a DPM-kiszolgálón |
| DPM védelmi ügynök telepítése egy védeni kívánt gépre | Tartományi fiók, amely a helyi rendszergazdák csoportjában található a számítógépen |
| Az AD-séma kiterjesztése a végfelhasználói helyreállítás engedélyezéséhez | Séma-rendszergazdai jogosultságok a tartományhoz |
| AD-tároló létrehozása a végfelhasználói helyreállítás engedélyezéséhez | Tartománygazdai jogosultságok |
| A tárolók tartalma módosításának engedélyezése a DPM-kiszolgáló számára | Tartománygazdai jogosultságok |
| Végfelhasználói helyreállítás engedélyezése a DPM-kiszolgálón | Rendszergazdai fiók a DPM-kiszolgálón |
| Helyreállítási pont ügyfélszoftverének telepítése a védett gépen | Rendszergazda fiók a gépen |
| Védett adatok korábbi verzióinak elérése védett gépről | Felhasználói fiók, hozzáféréssel a védett megosztáshoz |
| SharePoint-adatok helyreállítása | SharePoint farm-rendszergazda, amely egyben rendszergazda azon az előtérbeli webkiszolgálón is, amelyek a védelmi ügynök telepítve van. |
Megjegyzés
A DPM-kiszolgáló és a védett számítógép a DCOM használatával kommunikál. A DPMRA telepítése során a DPM-kiszolgáló fiókja hozzá lesz adva az Elosztott COM-felhasználók biztonsági csoporthoz a védett számítógépen.
A tartományvezérlők védelméhez minden védett tartományvezérlőhöz létrejönnek Active Directory biztonsági csoportok DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME és DPMRATRUSTEDDPMRAS$DCNAME néven.