Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A System Center Data Protection Manager (DPM) kiszolgálók üzembe helyezésének megkezdése előtt érdemes megfontolni néhány tervezési lépést:
DPM-kiszolgáló üzembe helyezési tervezése – Megtudhatja, hogy hány DPM-kiszolgálóra lesz szüksége, és hol helyezze el őket.
Tűzfalbeállítások tervezése – Ha beállít egyet, információt kaphat a DPM-kiszolgálón, a védett gépeken és a távoli SQL Serveren található tűzfal-, port- és protokollbeállításokról.
Felhasználói engedélyek megadása – Adja meg, hogy ki használhatja a DPM-et.
A DPM-kiszolgáló üzembe helyezésének megtervezése
Először határozza meg, hogy hány kiszolgálóra lesz szüksége:
A DPM akár 600 kötet védelmét is képes biztosítani. A maximális méret védelméhez a DPM-nek DPM-kiszolgálónként 120 TB-ra van szüksége.
Egyetlen DPM-kiszolgáló akár 2000 adatbázist is képes védeni (ajánlott lemezméret: 80 TB).
Egyetlen DPM-kiszolgáló legfeljebb 3000 ügyfélszámítógépet és 100 kiszolgálót képes megvédeni.
- A DPM-kiszolgáló kapacitástervezéséhez használhatja a DPM storage-kalkulátorokat. Ezek a számológépek Excel-lapok, és munkaterhelés-specifikusak. Útmutatást adnak a szükséges DPM-kiszolgálók számáról, a processzormagról, a RAM-ról, a virtuális memóriára vonatkozó javaslatokról és a szükséges tárkapacitásról. Mivel ezek a kalkulátorok munkaterhelés-specifikusak, egyesítenie kell az ajánlott beállításokat, és figyelembe kell vennie őket a rendszerkövetelményekkel és az adott üzleti topológiával és követelményekkel, beleértve az adatforrásokat és a tárolóhelyeket, a megfelelőségi és SLA-követelményeket, valamint a vészhelyreállítási igényeket. Vegye figyelembe, hogy a számológépek megjelentek a DPM 2010-hez, de a későbbi DPM-verziók esetében továbbra is relevánsak maradnak.
Ezután állapítsa meg, hogyan keresse meg a kiszolgálókat:
A DPM-et Active Directory-tartományban kell üzembe helyezni (Windows Server 2008-tól kezdve).
A DPM-kiszolgáló helyének meghatározásakor vegye figyelembe a DPM-kiszolgáló és a védett számítógépek közötti hálózati sávszélességet. Ha nagy területű hálózaton (WAN) keresztül védi az adatokat, a hálózati sávszélességre vonatkozó minimális követelmény másodpercenként 512 kilobit (Kbps).
A DPM támogatja a csoportos hálózati adaptereket (NIC-ket). A csoportosított hálózati adapterek több fizikai adapterek, amelyek úgy vannak konfigurálva, hogy az operációs rendszer egyetlen adapterként kezelje őket. A csoportosított hálózati adapterek nagyobb sávszélességet biztosítanak a rendelkezésre álló sávszélesség kombinálásával, az egyes adapterek használatával és a fennmaradó adapterre való feladatátvétellel, ha egy adapter meghibásodik. A DPM használhatja a DPM-kiszolgálón egy csoportosított adapter használatával elért nagyobb sávszélességet.
A DPM-kiszolgálók helyének egy másik szempontja a szalagok és szalagtárak manuális kezelése, például új szalagok hozzáadása a tárhoz vagy szalagok eltávolítása egy külső archívumhoz.
A DPM-kiszolgálók megvédhetik az erőforrásokat egy tartományon belül vagy egy erdő tartományai között, amelyek kétirányú megbízhatósági kapcsolatban vannak azzal a tartománnyal, amelyben a DPM-kiszolgáló található. Ha nincs kétirányú megbízhatóság a tartományok között, minden tartományhoz külön DPM-kiszolgálóra van szükség. A DPM-kiszolgálók akkor védhetik az erdőkben lévő adatokat, ha erdőszintű kétirányú megbízhatóság van az erdők között.
Vegye figyelembe a DPM-kiszolgáló és a védett számítógépek közötti hálózati sávszélességet. Ha WAN-kapcsolaton keresztül védi az adatokat, a hálózati sávszélesség minimális követelménye 512 kb/s. Vegye figyelembe, hogy a DPM támogatja azokat a csoportos hálózati adaptereket, amelyek nagyobb sávszélességet biztosítanak az egyes hálózati adapterekhez rendelkezésre álló sávszélesség és a feladatátvétel kombinálásával, ha egy adapter meghibásodik.
Tűzfalbeállítások és felhasználói engedélyek tervezése
Tűzfalbeállítások
A DPM üzembe helyezéséhez tűzfalbeállításokra van szükség a DPM-kiszolgálón, a védeni kívánt gépeken és a DPM-adatbázishoz használt SQL Serveren, ha távolról futtatja. Ha a DPM telepítésekor engedélyezve van a Windows tűzfal, akkor a DPM-beállítás automatikusan konfigurálja a DPM-kiszolgálón a tűzfalbeállításokat. A tűzfalbeállításokat az alábbi táblázat foglalja össze.
| Hely | Szabály | Részletek | Protokoll | Kikötő |
|---|---|---|---|---|
| DPM-kiszolgáló | System Center <verzió> Data Protection Manager DCOM-beállítás | A DPM-kiszolgáló és a védett gépek közötti DCOM-kommunikációhoz használatos. | DCOM | 135/TCP Dynamic |
| DPM-kiszolgáló | A System Center <Data Protection Manager> verziója | Kivétel Msdpm.exe (a DPM szolgáltatás) esetében. A DPM-kiszolgálón fut. | Minden protokoll | Minden port |
| DPM-kiszolgáló Védett gépek |
System Center <verzió> adatvédelmi felügyelet replikációs ügynök | Kivétel Dpmra.exe (az adatok biztonsági mentéséhez és visszaállításához használt védelmi ügynök szolgáltatás). A DPM-kiszolgálón és a védett gépeken fut. | Minden protokoll | Minden port |
| Védett gépek | Konfigurálj egy bejövő kivételt sqserv.exe-hoz | |||
| Védett gépek | A DPM kiadja a védelmi ügynök parancsát az ügynökhöz intézett DCOM-hívásokkal. Meg kell nyitnod a felső portokat (1024-65535), hogy a DPM kommunikálni tudjon. | DCOM | 135/TCP Dynamic | |
| Védett gépek | A DPM-adatcsatorna TCP. A DPM-kiszolgáló és a védett gépek is kezdeményeznek kapcsolatokat. A DPM az 5718-os porton lévő ügynökkoordinátorsal és az 5719-ben lévő védelmi ügynökkel kommunikál. | TCP | 5718/TCP 5719/TCP |
|
| Védett gépek | A DPM/védett gép és a tartományvezérlő közötti állomásnévfeloldáshoz használatos. | DNS (Domain névrendszer) | 53/UDP | |
| Védett gépek | A kapcsolati végpont hitelesítésére szolgál a DPM/védett gép és a tartományvezérlő között. | Kerberos | 88/UDP 88/TCP |
|
| Védett gépek | A DPM-kiszolgáló és a tartományvezérlő közötti lekérdezésekhez használatos. | LDAP hozzáférési protokoll | 389/TCP 389/UDP |
|
| Védett gépek | Az 1) DPM és a védett gépek, 2) a DPM és a tartományvezérlő 3) védett gépek és a tartományvezérlő közötti vegyes műveletekhez használatos. A DPM funkciókhoz közvetlenül a TCP/IP-n használt SMB szolgáltatásokhoz is használják. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Távoli SQL Server | Engedélyezze a TCP/IP-t az SQL Server DPM-példányához a következőkkel: alapértelmezett hibanaplózás; jelszóházirend-ellenőrzés engedélyezése. | |||
| Távoli SQL Server | Engedélyezze a bejövő kivételt sqservr.exe az SQL Server DPM-példánya számára, hogy engedélyezze a TCP-t a 80-s porton. A jelentéskészítő kiszolgáló figyeli a HTTP-kéréseket a 80-as porton. | |||
| Távoli SQL Server | Az adatbázismotor alapértelmezett példánya az 1443-as TCP-porton figyel. Módosítható. Ha az SQL Server Browser szolgáltatással szeretne csatlakozni egy nem alapértelmezett porton, állítsa be az UDP 1434-es portot. |
|||
| Távoli SQL Server | Az SQL Server nevesített példánya alapértelmezés szerint dinamikus portokat használ. Módosítható. | |||
| Távoli SQL Server | RPC engedélyezése |
Felhasználói engedélyek megadása
A DPM üzembe helyezése előtt ellenőrizze, hogy a megfelelő felhasználók megkapták-e a szükséges jogosultságokat a különböző feladatok elvégzéséhez. Ezeket az alábbi táblázat foglalja össze.
| DPM-feladat | Szükséges engedélyek |
|---|---|
| A DPM-kiszolgáló hozzáadása tartományhoz | Tartományi rendszergazdai fiók vagy felhasználó jogosultsága munkaállomás hozzáadásához a tartományhoz |
| A DPM telepítése | Rendszergazdai fiók a DPM-kiszolgálón |
| DPM védelmi ügynök telepítése egy védeni kívánt gépen | Tartományi fiók, amely a helyi rendszergazdák csoportjában található a gépen |
| Az AD-séma kiterjesztése a végfelhasználói helyreállítás engedélyezéséhez | A tartomány sémaadminisztrátori jogosultságai |
| AD-tároló létrehozása a végfelhasználói helyreállítás engedélyezéséhez | Tartományi rendszergazdai jogosultságok |
| DPM-kiszolgáló engedélyének megadása a tároló tartalmának módosításához | Tartományi rendszergazdai jogosultságok |
| Végfelhasználói helyreállítás engedélyezése a DPM-kiszolgálón | Rendszergazdai fiók a DPM-kiszolgálón |
| Helyreállítási pont ügyfélszoftverének telepítése a védett gépen | Rendszergazdai fiók a gépen |
| Védett adatok korábbi verzióinak elérése védett gépről | Védett megosztáshoz hozzáféréssel rendelkező felhasználói fiók |
| SharePoint-adatok helyreállítása | SharePoint-farmadminisztrátor, amely azon az előtérbeli webkiszolgálón is rendszergazda, amelyre a védelmi ügynök telepítve van. |
Jegyzet
A DPM-kiszolgáló és a védett számítógép a DCOM használatával kommunikál. A DPMRA telepítése során a DPM-kiszolgáló fiókja hozzáadódik a Elosztott COM-felhasználók biztonsági csoporthoz a védett számítógépen.
A tartományvezérlők védelme érdekében az Active Directory biztonsági csoportok minden védett tartományvezérlőhöz létrejönnek, amelyek neve DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAMEés DPMRATRUSTEDDPMRAS$DCNAME.