Bersiaplah untuk menyebarkan server DPM
Penting
Versi Data Protection Manager (DPM) ini telah mencapai akhir dukungan. Kami menyarankan Anda untuk meningkatkan ke DPM 2022.
Ada beberapa langkah perencanaan yang perlu dipertimbangkan sebelum Anda mulai menyebarkan server System Center Data Protection Manager (DPM):
Rencanakan penyebaran server DPM - Cari tahu berapa banyak server DPM yang Anda butuhkan dan di mana menempatkannya.
Merencanakan pengaturan firewall - Dapatkan informasi tentang firewall, port, dan pengaturan protokol di server DPM, komputer yang dilindungi, dan SQL Server jarak jauh jika Anda menyiapkannya.
Berikan izin pengguna - Tentukan siapa yang dapat berinteraksi dengan DPM.
Merencanakan penyebaran server DPM
Pertama, tentukan berapa banyak server yang Anda butuhkan:
DPM dapat melindungi hingga 600 volume. Untuk melindungi ukuran maksimum ini, DPM membutuhkan 120 TB per server DPM.
Satu server DPM dapat melindungi hingga 2000 database (ukuran disk yang disarankan 80 TB).
Satu server DPM dapat melindungi hingga 3000 komputer klien dan 100 server.
- Untuk perencanaan kapasitas server DPM, Anda dapat menggunakan kalkulator penyimpanan DPM. Kalkulator ini adalah lembar Excel dan spesifik untuk beban kerja. Mereka memandu tentang jumlah server DPM yang diperlukan, inti prosesor, RAM, rekomendasi memori virtual, dan kapasitas penyimpanan yang diperlukan. Karena kalkulator ini khusus untuk beban kerja, Anda harus menggabungkan pengaturan yang direkomendasikan dan mempertimbangkannya bersama dengan persyaratan sistem dan topologi dan persyaratan bisnis spesifik Anda, termasuk sumber data dan lokasi penyimpanan, persyaratan kepatuhan dan SLA, dan kebutuhan pemulihan bencana. Perhatikan bahwa kalkulator dirilis untuk DPM 2010 tetapi tetap relevan untuk versi DPM yang lebih baru.
Kemudian cari tahu cara menemukan server:
DPM harus disebarkan di domain Direktori Aktif (Windows Server 2008 dan seterusnya).
Saat memutuskan tempat untuk menemukan server DPM Anda, pertimbangkan bandwidth jaringan antara server DPM dan komputer yang dilindungi. Jika Anda melindungi data melalui jaringan area luas (WAN), ada persyaratan bandwidth jaringan minimum 512 kilobit per detik (Kbps).
DPM mendukung adaptor jaringan beregu (NIC). NIC beregu adalah beberapa adaptor fisik yang dikonfigurasi untuk diperlakukan sebagai adaptor tunggal oleh sistem operasi. NIC beregu menyediakan peningkatan bandwidth dengan menggabungkan bandwidth yang tersedia, menggunakan setiap adaptor dan failover ke adaptor yang tersisa saat adaptor gagal. DPM dapat menggunakan peningkatan bandwidth yang dicapai dengan menggunakan adaptor yang digabungkan di server DPM.
Pertimbangan lain untuk lokasi server DPM Anda adalah kebutuhan untuk mengelola kaset dan pustaka pita secara manual, seperti menambahkan kaset baru ke pustaka atau menghapus pita untuk arsip di luar lokasi.
Server DPM dapat melindungi sumber daya dalam domain atau di seluruh domain dalam forest yang memiliki hubungan kepercayaan dua arah dengan domain tempat server DPM berada. Jika tidak ada kepercayaan dua arah di seluruh domain, Anda memerlukan server DPM terpisah untuk setiap domain. Server DPM dapat melindungi data di seluruh forest jika ada kepercayaan dua arah tingkat forest di antara forest.
Pertimbangkan bandwidth jaringan antara server DPM dan komputer yang dilindungi. Jika Anda melindungi data melalui WAN, ada persyaratan bandwidth jaringan minimum 512 Kbps. Perhatikan bahwa DPM mendukung NIC beregu yang menyediakan peningkatan bandwidth dengan menggabungkan bandwidth yang tersedia untuk setiap adaptor jaringan dan failover jika adaptor gagal.
Merencanakan pengaturan firewall dan izin pengguna
Pengaturan Firewall
Pengaturan firewall untuk penyebaran DPM diperlukan di server DPM, pada komputer yang ingin Anda lindungi, dan pada SQL Server digunakan untuk database DPM jika Anda menjalankannya dari jarak jauh. Jika Windows Firewall diaktifkan saat Anda menginstal DPM, maka penyiapan DPM secara otomatis mengonfigurasi pengaturan firewall di server DPM. Pengaturan firewall dirangkum dalam tabel berikut.
| Lokasi | Aturan | Detail | Protokol | Port |
|---|---|---|---|---|
| Server DPM | Pengaturan DCOM Manajer Perlindungan Data Versi> Pusat <Sistem | Digunakan untuk komunikasi DCOM antara server DPM dan komputer yang dilindungi. | DCOM | Dinamis 135/TCP |
| Server DPM | Manajer Perlindungan Data versi> Pusat <Sistem | Pengecualian untuk Msdpm.exe (layanan DPM). Berjalan di server DPM. | Semua protokol | Semua port |
| Server DPM Mesin-mesin yang dilindungi |
Agen Replikasi Manajemen Perlindungan Data versi> Pusat <Sistem | Pengecualian untuk Dpmra.exe (layanan agen perlindungan yang digunakan untuk mencadangkan dan memulihkan data). Berjalan di server DPM dan komputer yang dilindungi. | Semua protokol | Semua port |
| Mesin-mesin yang dilindungi | Mengonfigurasi pengecualian masuk untuk sqserv.exe | |||
| Mesin-mesin yang dilindungi | Perintah masalah DPM ke agen perlindungan dengan panggilan DCOM ke agen. Anda harus membuka port atas (1024-65535) agar DPM dapat berkomunikasi. | DCOM | Dinamis 135/TCP | |
| Mesin-mesin yang dilindungi | Saluran data DPM adalah TCP. Server DPM dan komputer yang dilindungi memulai koneksi. DPM berkomunikasi dengan koordinator agen di port 5718 dan dengan agen perlindungan pada port 5719. | TCP | 5718/TCP 5719/TCP |
|
| Mesin-mesin yang dilindungi | Digunakan untuk resolusi nama host antara DPM/komputer yang dilindungi, dan pengontrol domain. | DNS | 53/UDP | |
| Mesin-mesin yang dilindungi | Digunakan untuk autentikasi titik akhir koneksi, antara DPM/komputer yang dilindungi, dan pengontrol domain. | Kerberos | 88/UDP 88/TCP |
|
| Mesin-mesin yang dilindungi | Digunakan untuk kueri antara server DPM dan pengendali domain. | LDAP | 389/TCP 389/UDP |
|
| Mesin-mesin yang dilindungi | Digunakan untuk operasi lain-lain antara 1) DPM dan komputer yang dilindungi, 2) DPM dan pengendali domain 3) Mesin yang dilindungi dan pengontrol domain. Juga digunakan untuk SMB yang dihosting langsung pada TCP/IP untuk fungsi DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server Jarak Jauh | Aktifkan TCP/IP untuk instans DPM SQL Server dengan yang berikut: audit kegagalan default; aktifkan pemeriksaan kebijakan kata sandi. | |||
| SQL Server Jarak Jauh | Aktifkan pengecualian masuk untuk sqservr.exe untuk instans DPM SQL Server untuk memungkinkan TCP pada port 80. Server laporan mendengarkan permintaan HTTP pada port 80. | |||
| SQL Server Jarak Jauh | Instans default mesin database mendengarkan port TCP 1443. Dapat dimodifikasi. Untuk menggunakan layanan browser SQL Server untuk menyambungkan pada port non-default, atur port UDP 1434. |
|||
| SQL Server Jarak Jauh | Instans SQL Server bernama menggunakan port Dinamis secara default. Dapat dimodifikasi. | |||
| SQL Server Jarak Jauh | Aktifkan RPC |
Memberikan izin pengguna
Sebelum Anda memulai penyebaran DPM, verifikasi bahwa pengguna yang sesuai telah diberikan hak istimewa yang diperlukan untuk melakukan berbagai tugas. Ini dirangkum dalam tabel berikut ini.
| Tugas DPM | Izin yang Diperlukan |
|---|---|
| Menambahkan server DPM ke domain | Akun admin domain atau hak pengguna untuk menambahkan stasiun kerja ke domain |
| Menginstal DPM | Admin akun di server DPM |
| Menginstal agen perlindungan DPM pada komputer yang ingin Anda lindungi | Akun domain yang ada di grup administrator lokal di komputer |
| Memperluas skema AD untuk mengaktifkan pemulihan pengguna akhir | Hak istimewa admin skema untuk domain |
| Membuat kontainer AD untuk mengaktifkan pemulihan pengguna akhir | Hak istimewa admin domain |
| Memberikan izin server DPM untuk mengubah konten kontainer | Hak istimewa admin domain |
| Mengaktifkan pemulihan pengguna akhir di server DPM | Admin akun di server DPM |
| Menginstal perangkat lunak klien titik pemulihan pada komputer yang dilindungi | Admin akun pada komputer |
| Mengakses versi data yang dilindungi sebelumnya dari komputer yang dilindungi | Akun pengguna dengan akses ke berbagi yang dilindungi |
| Memulihkan data SharePoint | Admin farm SharePoint yang juga merupakan admin di server Web front-end tempat agen perlindungan diinstal. |
Catatan
Server DPM dan komputer yang dilindungi berkomunikasi menggunakan DCOM. Selama penginstalan DPMRA, akun server DPM ditambahkan ke grup keamanan Pengguna COM Terdistribusi di komputer yang dilindungi.
Untuk perlindungan pengendali domain, grup keamanan Direktori Aktif akan dibuat untuk setiap pengendali domain yang dilindungi, dengan nama DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME, dan DPMRATRUSTEDDPMRAS$DCNAME.