Megosztás a következőn keresztül:


Felkészülés DPM-kiszolgálók telepítésére

Fontos

A Data Protection Manager (DPM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a DPM 2022-re.

A System Center Data Protection Manager- (DPM-) kiszolgálók üzembe helyezésének megkezdése előtt figyelembe kell vennie néhány tervezési lépést:

DPM-kiszolgáló rendszerbe állításának tervezése

Először határozza meg, hogy hány kiszolgálóra lesz szüksége:

  • A DPM legfeljebb 600 kötet védelmére képes. A maximális méret védelméhez a DPM-nek DPM-kiszolgálónként 120 TB helyre van szüksége.

  • Egyetlen DPM-kiszolgáló legfeljebb 2000 adatbázist védhet (ajánlott lemezméret: 80 TB).

  • Egyelten DPM-kiszolgáló legfeljebb 3000 ügyfélszámítógépet és 100 kiszolgálót védhet.

    • A DPM-kiszolgáló kapacitástervezéséhez használhatja a DPM-tárolókalkulátorokat. Ezek a számológépek Excel-lapok, és munkaterhelés-specifikusak. Útmutatást adnak a szükséges DPM-kiszolgálók számáról, a processzormagról, a RAM-ról, a virtuális memóriára vonatkozó javaslatokról és a szükséges tárkapacitásról. Mivel ezek a kalkulátorok munkaterhelés-specifikusak, össze kell kapcsolnia az ajánlott beállításokat, és figyelembe kell vennie őket a rendszerkövetelményekkel, az adott üzleti topológiával és követelményekkel, beleértve az adatforrások és tárolási helyek, a megfelelőségi és SLA-követelmények, valamint a vészhelyreállítási igényeket. A számítási eszközöket a DPM 2010 verzióhoz adták ki, de a DPM újabb verzióival is használhatók.

Ezek után tervezze meg a kiszolgálók elhelyezését:

  • A DPM-et egy Active Directory-tartományban kell telepíteni (a Windows Server 2008 és későbbi verziói esetén).

  • Amikor a DPM-kiszolgáló helyéről dönt, vegye figyelembe a DPM-kiszolgáló és a védett számítógépek közötti hálózati sávszélességet. Ha nagykiterjedésű hálózaton (WAN-on) keresztül védi az adatokat, legalább 512 Kbps hálózati sávszélességre lesz szükség.

  • A DPM támogatja az összevont hálózati adaptereket (NIC-k). Az összevont hálózati adapter több fizikai adapterből áll, amelyek úgy vannak beállítva, hogy az operációs rendszer egyetlen adapterként kezelje őket. A csoportosított hálózati adapterek a rendelkezésre álló sávszélesség kombinálásával növelik a sávszélességet, az egyes adapterek használatával és a fennmaradó adapterre való feladatátvétellel, ha egy adapter meghibásodik. A DPM használhatja a DPM-kiszolgálón található összevonásos adapter használatával elért nagyobb sávszélességet.

  • A DPM-kiszolgálók helyének másik szempontja a szalagok és szalagtárak manuális kezelése, például új szalagok hozzáadása a tárhoz vagy szalagok eltávolítása egy külső archívumból.

  • A DPM-kiszolgálók megvédhetik az erőforrásokat egy tartományban vagy egy erdőben lévő tartományok között, amelyek kétirányú megbízhatósági kapcsolatban vannak azzal a tartománnyal, amelyben a DPM-kiszolgáló található. Ha nincs kétirányú megbízhatósági kapcsolatot a tartományok között, akkor külön DPM-kiszolgáló szükséges minden egyes tartományhoz. A DPM-kiszolgáló több erdőben is képes az adatok védelmére, ha az erdők között erdőszintű kétirányú megbízhatósági kapcsolat van.

  • Vegye figyelembe a hálózati sávszélességet a DPM-kiszolgáló és a védett számítógépek között. Ha WAN-kapcsolaton keresztül védi az adatokat, a hálózati sávszélességre vonatkozó minimális követelmény 512 Kbps. Vegye figyelembe, hogy a DPM támogatja azokat a csoportosított hálózati adaptereket, amelyek nagyobb sávszélességet biztosítanak az egyes hálózati adapterek számára elérhető sávszélesség és a feladatátvétel kombinálásával, ha egy adapter meghibásodik.

A tűzfalbeállítások és a felhasználói engedélyek tervezése

Tűzfalbeállítások

A DPM-telepítéshez tűzfalbeállításokra van szükség a DPM-kiszolgálón, a védeni kívánt gépeken és a DPM-adatbázishoz használt SQL Server kiszolgálón, ha távolról futtatja. Ha a DPM telepítésekor engedélyezve van a Windows tűzfal, akkor a DPM beállítása automatikusan konfigurálja a tűzfalbeállításokat a DPM-kiszolgálón. A tűzfalbeállításokat a következő táblázat foglalja össze.

Hely Szabály Részletek Protokoll Port
DPM-kiszolgáló System Center-verzió <> – Data Protection Manager DCOM-beállítás A DPM-kiszolgáló és a védett gépek közötti DCOM-kommunikációhoz használatos. DCOM 135/TCP dinamikus
DPM-kiszolgáló A System Center <Data Protection Manager verziója> Az Msdpm.exe (a DPM-szolgáltatás) kivételei. A DPM-kiszolgálón fut. Minden protokoll Minden port
DPM-kiszolgáló

Védett gépek
System Center-verzió <> – Adatvédelmi felügyeleti replikációs ügynök A Dpmra.exe (az adatok biztonsági mentéséhez és visszaállításához használt védelmi ügynök szolgáltatás) állománnyal kapcsolatos kivétel. A DPM-kiszolgálón és a védett gépeken fut. Minden protokoll Minden port
Védett gépek Bejövő kivétel konfigurálása sqserv.exe
Védett gépek A DPM kiadja a védelmi ügynök parancsát az ügynökhöz intézett DCOM-hívásokkal. A DPM kommunikációhoz meg kell nyitnia a felső portokat (1024-65535). DCOM 135/TCP dinamikus
Védett gépek A DPM adatcsatornája a TCP protokollt használja. Mind a DPM-kiszolgáló, mind a védett számítógépek kezdeményeznek kapcsolatokat. A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál. TCP 5718/TCP

5719/TCP
Védett gépek A DPM/védett gép és a tartományvezérlő közötti állomásnévfeloldáshoz használatos. DNS 53/UDP
Védett gépek A DPM/védett gép és a tartományvezérlő közötti kapcsolati végpont hitelesítéséhez használatos. Kerberos 88/UDP

88/TCP
Védett gépek A DPM-kiszolgáló és a tartományvezérlő közötti lekérdezésekhez használatos. LDAP 389/TCP

389/UDP
Védett gépek Különböző műveletekhez használatos 1) a DPM és a védett számítógépek, 2) a DPM és a tartományvezérlő és 3) a védett számítógépek és a tartományvezérlő között. A DPM-függvényekhez közvetlenül TCP/IP-n üzemeltetett SMB-hez is használatos. NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
Távoli SQL Server Engedélyezze a TCP/IP-t a SQL Server DPM-példányához a következőkkel: alapértelmezett hibanaplózás; jelszóházirend-ellenőrzés engedélyezése.
Távoli SQL Server Engedélyezzen egy bejövő kivételt az sqservr.exe folyamatra vonatkozóan az SQL Server DPM-példánya számára a TCP engedélyezéséhez a 80-as porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket.
Távoli SQL Server Az adatbázismotor alapértelmezett példánya az 1443-as TCP-portot figyeli. Módosítható.

Ha a SQL Server Browser szolgáltatással szeretne csatlakozni egy nem alapértelmezett porton, állítsa be az 1434-ben beállított UDP-portot.
Távoli SQL Server Az SQL-kiszolgáló megnevezett példánya alapértelmezés szerint dinamikus portokat használ. Módosítható.
Távoli SQL Server RPC engedélyezése

Felhasználói engedélyek megadása

A DPM üzembe helyezése előtt ellenőrizze, hogy a megfelelő felhasználók megkapták-e a különböző feladatok elvégzéséhez szükséges jogosultságokat. Ezeket az alábbi táblázat foglalja össze:

DPM-feladat Szükséges engedélyek
A DPM-kiszolgáló felvétele tartományba Tartományi rendszergazdai fiók vagy felhasználó jogosultsága munkaállomás hozzáadásához a tartományhoz
A DPM telepítése Rendszergazdai fiók a DPM-kiszolgálón
DPM védelmi ügynök telepítése egy védeni kívánt gépre Tartományi fiók, amely a helyi rendszergazdák csoportjában található a számítógépen
Az AD-séma kiterjesztése a végfelhasználói helyreállítás engedélyezéséhez Séma-rendszergazdai jogosultságok a tartományhoz
AD-tároló létrehozása a végfelhasználói helyreállítás engedélyezéséhez Tartománygazdai jogosultságok
A tárolók tartalma módosításának engedélyezése a DPM-kiszolgáló számára Tartománygazdai jogosultságok
Végfelhasználói helyreállítás engedélyezése a DPM-kiszolgálón Rendszergazdai fiók a DPM-kiszolgálón
Helyreállítási pont ügyfélszoftverének telepítése a védett gépen Rendszergazda fiók a gépen
Védett adatok korábbi verzióinak elérése védett gépről Felhasználói fiók, hozzáféréssel a védett megosztáshoz
SharePoint-adatok helyreállítása SharePoint farm-rendszergazda, amely egyben rendszergazda azon az előtérbeli webkiszolgálón is, amelyek a védelmi ügynök telepítve van.

Megjegyzés

A DPM-kiszolgáló és a védett számítógép a DCOM használatával kommunikál. A DPMRA telepítése során a DPM-kiszolgáló fiókja hozzá lesz adva az Elosztott COM-felhasználók biztonsági csoporthoz a védett számítógépen.

A tartományvezérlők védelméhez minden védett tartományvezérlőhöz létrejönnek Active Directory biztonsági csoportok DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME és DPMRATRUSTEDDPMRAS$DCNAME néven.