Preparare la distribuzione dei server DPM
Importante
Questa versione di Data Protection Manager (DPM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a DPM 2022.
È necessario prendere in considerazione alcune operazioni di pianificazione prima di iniziare a distribuire i server System Center Data Protection Manager (DPM):
Pianificare la distribuzione del server DPM: calcolare quanti server DPM sono necessari e impostarne la posizione.
Pianificare le impostazioni del firewall: ottenere informazioni sulle impostazioni del firewall, della porta e del protocollo nel server DPM, nei computer protetti e in un SQL Server remoto, se ne viene configurato uno.
Concedere le autorizzazioni utente: specificare chi può interagire con DPM.
Piano per la distribuzione del server DPM
Determinare prima di tutto il numero di server necessari:
DPM può proteggere fino a 600 volumi. Per proteggere queste dimensioni massime, DPM richiede 120 TB per ogni server DPM.
Un singolo server DPM è in grado di proteggere fino a 2000 database (dimensioni del disco consigliate 80 TB).
Un singolo server DPM può proteggere fino a 3000 computer client e 100 server.
- Per la pianificazione della capacità del server DPM, è possibile usare i calcolatori di archiviazione DPM. Queste calcolatrici sono fogli di Excel e sono specifiche del carico di lavoro. Guidano il numero di server DPM necessari, core del processore, RAM, raccomandazioni sulla memoria virtuale e capacità di archiviazione richiesta. Poiché queste calcolatrici sono specifiche del carico di lavoro, è necessario combinare le impostazioni consigliate e considerarle insieme ai requisiti di sistema e alla topologia e ai requisiti aziendali specifici, incluse le posizioni di origine dati e di archiviazione, i requisiti di conformità e contratto di servizio e le esigenze di ripristino di emergenza. Si noti che i fogli di calcolo sono stati pubblicati per DPM 2010, ma rimangono validi per le versioni successive di DPM.
Stabilire come posizionare i server:
DPM deve essere distribuito in un dominio di Active Directory (Windows Server 2008 o versione successiva).
Quando si decide dove posizionare i server DPM, prendere in considerazione la larghezza di banda di rete tra il server DPM e i computer protetti. Per proteggere i dati in una rete WAN (Wide Area Network), è richiesta una larghezza di banda di rete minima pari a 512 Kbps (kilobit al secondo).
DPM supporta le schede di rete (NIC) in gruppo. I gruppi NIC sono più schede di rete fisiche configurate in modo da essere considerate come una singola scheda dal sistema operativo. Le schede di interfaccia di rete con gruppo offrono una maggiore larghezza di banda combinando la larghezza di banda disponibile, usando ogni scheda e il failover alla scheda rimanente in caso di errore di una scheda. DPM può usare l'aumento della larghezza di banda ottenuta usando una scheda di gruppo nel server DPM.
Un'altra considerazione per la posizione dei server DPM è la necessità di gestire manualmente nastri e librerie di nastri, ad esempio l'aggiunta di nuovi nastri alla libreria o la rimozione di nastri per un archivio fuori sede.
Un server DPM può proteggere le risorse all'interno di un dominio o tra domini all'interno di una foresta con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM. In assenza di trust bidirezionale tra i domini, è necessario usare un server DPM separato per ogni dominio. Un server DPM può proteggere i dati tra foreste diverse se esiste una relazione di trust bidirezionale a livello di foresta tra le foreste.
Tieni conto della larghezza di banda di rete tra il server DPM e i computer protetti. Se si proteggono i dati tramite una rete WAN, è previsto un requisito minimo di larghezza di banda di rete pari a 512 Kbps. Si noti che DPM supporta schede di interfaccia di rete in team che forniscono una maggiore larghezza di banda combinando la larghezza di banda disponibile per ogni scheda di rete e failover in caso di errore di una scheda.
Pianificare le impostazioni del firewall e le autorizzazioni utente
Impostazioni del firewall
Le impostazioni del firewall per la distribuzione di DPM sono necessarie nel server DPM, nei computer da proteggere e nel Server SQL usato per il database DPM se viene eseguito in modalità remota. Se Windows Firewall è abilitato quando si installa DPM, il programma di installazione di DPM configura automaticamente le impostazioni del firewall nel server DPM. Le impostazioni del firewall sono riepilogate nella tabella seguente.
| Percorso | Regola | Dettagli | Protocollo | Porta |
|---|---|---|---|---|
| Server DPM | Impostazione DCOM di System Center <version> Data Protection Manager | Usato per la comunicazione DCOM tra il server DPM e i computer protetti. | DCOM | 135/TCP dinamica |
| Server DPM | System Center <version> Data Protection Manager | Eccezione per Msdpm.exe (il servizio DPM). Eseguita nel server DPM. | Tutti i protocolli | Tutte le porte |
| Server DPM Computer protetti |
System Center <version> Data Protection Management Replication Agent | Eccezione per Dpmra.exe (servizio agente protezione usato per eseguire il backup e ripristino dei dati). Viene eseguito nel server DPM e nei computer protetti. | Tutti i protocolli | Tutte le porte |
| Computer protetti | Configurare un'eccezione in ingresso per sqserv.exe | |||
| Computer protetti | DPM emette il comando per l'agente protezione con chiamate DCOM all'agente. È necessario aprire le porte superiori (1024-65535) per consentire a DPM di comunicare. | DCOM | 135/TCP dinamica | |
| Computer protetti | Il canale dati di DPM è TCP. Sia il server DPM che i computer protetti avviano le connessioni. DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719. | TCP | 5718/TCP 5719/TCP |
|
| Computer protetti | Usato per la risoluzione dei nomi host tra DPM/computer protetto e il controller di dominio. | DNS | 53/UDP | |
| Computer protetti | Usato per l'autenticazione dell'endpoint di connessione, tra DPM/computer protetto e il controller di dominio. | Kerberos | 88/UDP 88/TCP |
|
| Computer protetti | Usato per le query tra il server DPM e il controller di dominio. | LDAP | 389/TCP 389/UDP |
|
| Computer protetti | Usato per varie operazioni tra 1) DPM e i computer protetti, 2) DPM e il controller di dominio, 3) i computer protetti e il controller di dominio. Usato anche per SMB ospitato direttamente su TCP/IP per le funzioni DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server remoto | Abilitare TCP/IP per l'istanza DPM di SQL Server con il controllo degli errori predefinito; abilitare il controllo dei criteri delle password. | |||
| SQL Server remoto | Abilitare un'eccezione in entrata per sqservr.exe per l'istanza DPM di SQL Server, in modo da consentire TCP sulla porta 80. Il server di report è in attesa delle richieste HTTP sulla porta 80. | |||
| SQL Server remoto | L'istanza predefinita del motore di database è in ascolto sulla porta TCP 1443. Può essere modificato. Per usare il servizio SQL Server Browser per connettersi a una porta UDP non predefinita impostata sulla porta UDP 1434. |
|||
| SQL Server remoto | Per impostazione predefinita, l'istanza denominata di SQL Server usa le porte dinamiche. Può essere modificato. | |||
| SQL Server remoto | Abilitare RPC |
Grant user permissions
Prima di iniziare una distribuzione DPM, verificare che gli utenti appropriati siano stati concessi i privilegi necessari per eseguire le varie attività. Questi report sono riepilogati nella tabella seguente.
| Attività DPM | Autorizzazioni necessarie |
|---|---|
| Aggiungere il server DPM a un dominio | Account amministratore di dominio o diritto utente per aggiungere una workstation al dominio |
| Installare DPM | Account di amministratore per il server DPM |
| Installare un agente protezione DPM in un computer che si vuole proteggere | Account di dominio che si trova nel gruppo di amministratori locali nel computer |
| Estendere lo schema di Active Directory per abilitare il ripristino dell'utente finale | Privilegi di amministrazione schema per il dominio |
| Creare un contenitore AD per abilitare il ripristino dell'utente finale | Privilegi di amministrazione di dominio |
| Concedere al server DPM l'autorizzazione per modificare i contenuti del contenitore | Privilegi di amministrazione di dominio |
| Abilitare il ripristino dell'utente finale nel server DPM | Account di amministratore per il server DPM |
| Installare il software client del punto di ripristino nel computer protetto | Amministrazione account nel computer |
| Accedere alle versioni precedenti dei dati protetti da un computer protetto | Account utente con accesso alla condivisione protetta |
| Ripristinare i dati di SharePoint | Amministratore della farm SharePoint che è anche un amministratore nel server Web front-end in cui è installato l'agente protezione. |
Nota
Il server DPM e il computer protetto comunicano con DCOM. Durante l'installazione di DPMRA, l'account del server DPM viene aggiunto al gruppo di sicurezza Utenti COM distribuiti nel computer protetto.
Per la protezione del controller di dominio, i gruppi di sicurezza di Active Directory verranno creati per ognuno dei controller di dominio protetti, con i nomi DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME e DPMRATRUSTEDPMRAS$DCNAME.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per