System Center DPM を使用して Azure にワークロードをバックアップするための準備

  • [アーティクル]

この記事では、Azure Backup サービスを使用して、Azure への System Center Data Protection Manager (DPM) バックアップを準備する方法について説明します。

この記事では、次の内容について説明します。

  • Azure Backup による DPM のデプロイの概要。
  • DPM で Azure Backup を使用するための前提条件と制限。
  • Recovery Services バックアップ コンテナーの設定、コンテナーの Azure ストレージの種類の変更 (オプション) など Azure を準備する手順。
  • コンテナーの資格情報のダウンロード、Azure Backup エージェントのインストール、コンテナーへの DPM サーバーの登録を含む DPM サーバーを準備する手順。
  • 一般的なエラーのトラブルシューティングのヒント。

DPM を Azure にバックアップする理由

System Center DPM は、ファイルとアプリケーション データをバックアップします。 DPM は、Azure Backup と次のように対話します。

  • 物理サーバーまたはオンプレミスの VM で実行されている DPM - ディスクおよびテープへのバックアップに加えて、Azure でバックアップ コンテナーにデータをバックアップできます。
  • Azure VM で実行されている DPM - System Center 2012 R2 の更新プログラム 3 以降からは、Azure VM に DPM をデプロイできます。 VM に接続された Azure ディスクにデータをバックアップできます。または Azure Backup を使用してデータをバックアップ コンテナーにバックアップできます。

DPM サーバーを Azure にバックアップするメリットは、次のとおりです。

  • オンプレミスの DPM では、Azure Backup はテープへの長期的なデプロイの代替手段を用意しています。
  • Azure VM で実行されている DPM では、Azure Backup は Azure ディスクからストレージをオフロードできます。 バックアップ コンテナーに古いデータを格納することで、ディスクに新しいデータを格納してビジネスをスケールアップできます。

前提条件と制限事項

設定 要件
Azure VM 上の DPM System Center 2012 R2 の DPM 2012 R2 更新プログラムのロールアップ 3 以降。
物理サーバー上の DPM System Center 2012 SP1 以降。System Center 2012 R2。
HYPER-V VM 上の DPM System Center 2012 SP1 以降。System Center 2012 R2。
VMware VM 上の DPM System Center 2012 R2 の更新プログラムのロールアップ 5 以降。
コンポーネント DPM サーバーには、Windows PowerShell および .NET Framework 4.5 がインストール済みである必要があります。
サポート対象アプリ DPM がバックアップできるものについて学習します。
サポートされるファイルの種類 Azure Backup では次のファイルの種類をバックアップできます。
  • 暗号化ファイル (完全バックアップのみ)
  • 圧縮ファイル (増分バックアップがサポートされる)
  • スパース ファイル (増分バックアップがサポートされる)
  • 圧縮されたスパース ファイル (スパースとして処理)
    		•
    サポートされていないファイルの種類
  • 大文字と小文字を区別するファイル システムのサーバー
  • ハード リンク (スキップされる)
  • 再解析ポイント (スキップされる)
  • 暗号化されている圧縮ファイル (スキップされる)
  • 暗号化されているスパース ファイル (スキップされる)
  • 圧縮ストリーム
  • 解析ストリーム
    		•
    ローカル ストレージ バックアップする各マシンには、バックアップするデータのサイズの 5% 以上の空きローカル ストレージが必要です。 たとえば、100 GB のデータをバックアップするには、スクラッチ場所に少なくとも 5 GB の空き領域が必要です。
    コンテナー ストレージ Azure Backup コンテナーにバックアップできるデータ量に制限はありませんが、データ ソース (仮想マシンやデータベースなど) のサイズは 54,400 GB を超えないようにする必要があります。
    Azure ExpressRoute パブリック ピアリング (古い回線で使用可能) と Microsoft ピアリングを使用して、Azure ExpressRoute 経由でデータをバックアップできます。 プライベート ピアリング経由のバックアップはサポートされていません。

    パブリック ピアリングを使用する場合:次のドメインまたはアドレスへのアクセスを確保します。

    URL:
    www.msftncsi.com
    .Microsoft.com
    .WindowsAzure.com
    .microsoftonline.com
    .windows.net
    www.msftconnecttest.com

    IP アドレス
    20.190.128.0/18
    40.126.0.0/18

    Microsoft ピアリングを使用する場合は、サービス、リージョン、関連するコミュニティについて以下の値を選択します。

    - Microsoft Entra ID (12076:5060)

    - Microsoft Azure リージョン (Recovery Services コンテナーの場所による)

    - Azure Storage (Recovery Services コンテナーの場所による)

    詳細については、「ExpressRoute ルーティングの要件」を参照してください。

    :パブリック ピアリングは、新しい回線では非推奨です。
    Azure Backup エージェント DPM が System Center 2012 SP1 で実行されている場合、DPM SP1 のロールアップ 2 以降をインストールします。 これはエージェントのインストールに必要です。

    この記事では、Microsoft Azure Recovery Service (MARS) エージェントとも呼ばれる、Azure Backup エージェントの最新バージョンをデプロイする方法について説明します。 以前のバージョンがデプロイされている場合、最新バージョンに更新し、バックアップが期待どおりに動作するようにしてください。

    サーバーが TLS 1.2 で実行されていることを確認します。

    開始する前に、Azure Backup 機能が有効になっている Azure アカウントが必要です。 アカウントがない場合は、無料試用アカウントを数分で作成することができます。 Azure Backup の料金を参照してください。

    Recovery Services コンテナーを作成する

    Recovery Services コンテナーは、時間の経過と共に作成される復旧ポイントを格納する管理エンティティであり、バックアップ関連の操作を実行するためのインターフェイスが用意されています。 たとえば、オンデマンドのバックアップの作成、復元の実行、バックアップ ポリシーの作成などの操作です。

    Recovery Services コンテナーを作成するには、次の手順に従います。

    1. Azure portal にサインインします。

    2. バックアップ センター」を検索し、[バックアップ センター] ダッシュボードに移動します。

      Screenshot that shows where to search for and select 'Backup center'.

    3. [概要] ペインで、[コンテナー] を選択します。

      Screenshot of the button for creating a Recovery Services vault.

    4. [Recovery Services コンテナー]>[続行] の順に選択します。

      Screenshot that shows where to select Recovery Services as the vault type.

    5. [Recovery Services コンテナー] ペインで、次の値を入力します。

      • [サブスクリプション] : 使用するサブスクリプションを選択します。 1 つのサブスクリプションのみのメンバーの場合は、その名前が表示されます。 どのサブスクリプションを使用すればよいかがわからない場合は、既定のサブスクリプションを使用してください。 職場または学校アカウントが複数の Azure サブスクリプションに関連付けられている場合に限り、複数の選択肢が存在します。

      • [リソース グループ] :既存のリソース グループを使用するか、新しいリソース グループを作成します。 サブスクリプションの使用可能なリソース グループの一覧を表示するには、[既存のものを使用] を選択してから、ドロップダウン リストでリソースを選択します。 新しいリソース グループを作成するには、[新規作成] を選択し、名前を入力します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。

      • [コンテナー名]: コンテナーを識別するフレンドリ名を入力します。 名前は Azure サブスクリプションに対して一意である必要があります。 2 文字以上で、50 文字以下の名前を指定します。 名前の先頭にはアルファベットを使用する必要があります。また、名前に使用できるのはアルファベット、数字、ハイフンのみです。

      • [リージョン]: コンテナーの地理的リージョンを選択します。 データ ソースを保護するためのコンテナーを作成するには、コンテナーがデータ ソースと同じリージョン内にある "必要があります"。

        重要

        データ ソースの場所が不明な場合は、ウィンドウを閉じます。 ポータルの自分のリソースの一覧に移動します。 複数のリージョンにデータ ソースがある場合は、リージョンごとに Recovery Services コンテナーを作成します。 最初の場所にコンテナーを作成してから、別の場所にコンテナーを作成します。 バックアップ データを格納するためにストレージ アカウントを指定する必要はありません。 Recovery Services コンテナーと Azure Backup で自動的に処理されます。

      Screenshot that shows fields for configuring a Recovery Services vault.

    6. 値を指定したら、 [確認と作成] を選択します。

    7. Recovery Services コンテナーの作成を完了するには、[作成] を選択します。

      Recovery Services コンテナーの作成に時間がかかることがあります。 右上の [通知] 領域で、状態の通知を監視します。 作成されたコンテナーは、Recovery Services コンテナーのリストに表示されます。 コンテナーが表示されない場合は、[最新の情報に更新] を選択します。

      Screenshot that shows the button for refreshing the list of backup vaults.

    Note

    Azure Backup は、作成された復旧ポイントがバックアップ ポリシーに従って、有効期限切れ前に削除されないようにできる不変コンテナーをサポートするようになりました。 また、不変性を元に戻せないようにして、ランサムウェア攻撃や悪意のあるアクターなど、さまざまな脅威からバックアップ データを最大限に保護することができます。 詳細については、こちらを参照してください

    ストレージ設定の変更

    geo 冗長ストレージとローカル冗長ストレージのどちらかを選択できます。

    • 既定では、コンテナーには geo 冗長ストレージがあります。
    • コンテナーがプライマリ バックアップの場合は、オプションの設定を geo 冗長ストレージのままにします。 耐久性が十分でなくても低コストなバックアップが必要な場合は、以下の手順を使用して、ローカル冗長ストレージを構成します。
    • Azure ストレージgeo 冗長ストレージ、ローカル冗長ストレージ、およびゾーン冗長ストレージの各オプションについて学習します。
    • 初期バックアップの前にストレージ設定を変更します。 項目をバックアップ済みの場合、ストレージ設定を変更する前にコンテナーへのバックアップを停止します。

    ストレージ レプリケーション設定を編集するには、次の手順を実行します。

    1. コンテナー ダッシュボードを開きます。

    2. [管理] で、 [バックアップ インフラストラクチャ] を選択します。

    3. [バックアップ構成] メニューで、コンテナーのストレージ オプションを選択します。

      List of backup vaults

    コンテナー資格情報のダウンロード

    DPM サーバーをコンテナーに登録する場合、コンテナーの資格情報を使用します。

    • コンテナーの資格情報ファイルは、各バックアップコンテナーごとにポータルによって生成される証明書です。
    • ポータルは公開キーを Access Control Service (ACS) にアップロードします。
    • マシン登録ワークフローの中で、ユーザーは、証明書の秘密キーを使用できるようになります。この秘密キーによって、マシンが認証されます。
    • 認証に基づき、Azure Backup サービスは、指定されたコンテナーにデータを送信します。

    コンテナーの資格情報のベスト プラクティス

    資格情報を取得するには、Azure portal からセキュリティで保護されたチャネルを介してコンテナーの資格情報ファイルをダウンロードします。

    • コンテナーの資格情報は登録ワークフロー中しか使用されません。
    • コンテナーの資格情報ファイルが安全で漏えいしないようにするのはユーザーの責任です。
      • 資格情報のコントロールが失われた場合は、コンテナーの資格情報を使用して、他のマシンをコンテナーに登録できます。
      • ただし、バックアップ データは自分に属するパスフレーズを使用して暗号化されているため、既存のバックアップ データが漏えいすることはありません。
    • ファイルが、DPM サーバーからアクセスできる場所に保存されることを確実にします。 ファイル共有または SMB に格納されている場合は、アクセス許可を確認します。
    • コンテナー資格情報は 48 時間後に有効期限が切れます。 新しいコンテナー資格情報は、必要な回数だけダウンロードできます。 ただし、登録ワークフローでは、最新のコンテナー資格情報ファイルのみを使用してください。
    • Azure Backup サービスでは、証明書の秘密キーは認識されません。また、ポータルまたはサービスでは、この秘密キーは使用できません。

    次の手順に従って、コンテナーの資格情報ファイルをローカル コンピューターにダウンロードします。

    1. Azure portal にサインインします。

    2. DPM サーバーを登録するコンテナーを開きます。

    3. [設定][プロパティ] を選択します。

      Open vault menu

    4. [プロパティ]>[バックアップ資格情報] で、 [ダウンロード] を選択します。 コンテナー名と現在の日付の組み合わせを使用してポータルがコンテナーの資格情報ファイルを生成し、ダウンロードできるようにします。

      Download credentials

    5. [保存] を選択してフォルダーにコンテナーの資格情報をダウンロードするか、または [名前を付けて保存] を選択して保存場所を指定します。 ファイルの生成には最大で 1 分かかります。

    Backup エージェントのインストール

    Azure Backup によってバックアップされるすべてのマシンに、Backup エージェント (Microsoft Azure Recovery Service (MARS) エージェントとも呼ばれます) をインストールする必要があります。 次のように、DPM サーバーにエージェントをインストールします。

    1. DPM サーバーを登録するコンテナーを開きます。

    2. [設定][プロパティ] を選択します。

      Open vault settings

    3. [プロパティ] ページで、Azure Backup エージェントをダウンロードします。

      Download

    4. ダウンロードした後、MARSAgentInstaller.exe を実行し、 DPM マシンにエージェントをインストールします。

    5. エージェントのインストール フォルダーとキャッシュ フォルダーを選択します。 キャッシュの場所の空き領域は、バックアップ データの 5% 以上である必要があります。

    6. プロキシ サーバーを使用してインターネットに接続する場合、 [プロキシ構成] 画面で、プロキシ サーバーの詳細を入力します。 認証済みのプロキシを使用する場合は、この画面でユーザー名とパスワードの詳細を入力します。

    7. Azure Backup エージェントは、.NET Framework 4.5 と Windows PowerShell を (インストールされていない場合は) インストールして、インストールを完了します。

    8. エージェントがインストールされたら、ウィンドウを 閉じます

      Close

    DPM サーバーのコンテナーへの登録

    1. DPM 管理者コンソール >[管理] で、[オンライン] を選択します。 [登録] を選択します。 これにより、サーバーの登録ウィザードが開きます。

    2. [プロキシ構成] で、必要に応じてプロキシ設定を指定します。

      Proxy configuration

    3. [Backup コンテナー] で、ダウンロードしたコンテナー資格情報ファイルを参照して選択します。

      Vault credentials

    4. [使用帯域幅の調整] で、必要に応じてバックアップの帯域幅調整を有効にできます。 速度制限を設定して作業時間と日数を指定できます。

      Throttling Setting

    5. [回復先フォルダーの設定] で、データの回復中に使用できる場所を指定します。

      • Azure Backup は、回復するデータを一時的に保持する領域としてこの場所を使用します。
      • データ復旧完了後、Azure Backup はこの領域のデータをクリーンアップします。
      • この場所は、並列復旧が予期される項目を保持するのに十分な領域が必要です。

      Recovery Folder Setting

    6. [暗号化設定] で、パスフレーズを生成または指定します。

      • パスフレーズは、クラウドへのバックアップを暗号化する際に使用されます。
      • 16 文字以上指定します。
      • 安全な場所にファイルを保存します。これは回復のために必要です。

      Encryption

      警告

      暗号化のパスフレーズはユーザーが所有しており、Microsoft はこれを確認できません。 パスフレーズを紛失または忘れてしまった場合、Microsoft はバックアップ データの回復を支援することはできません。

    7. [登録] を選択してコンテナーに DPM サーバーを登録します。

    サーバーがコンテナーに正常に登録されると、Microsoft Azure へのバックアップを開始できるようになります。 ワークロードを Azure にバックアップするには、DPM コンソールで保護グループを構成する必要があります。 保護グループを展開する方法を確認してください。

    コンテナーの資格情報のトラブルシューティング

    期限切れエラー

    コンテナーの資格情報ファイルは (ポータルからダウンロード後) 48 時間のみ有効です。 この画面でなんらかのエラー (例: "指定されたコンテナーの資格情報ファイルは期限切れです。") が発生した場合は、Azure portal にサインインし、コンテナーの資格情報ファイルを再度ダウンロードします。

    アクセス エラー

    コンテナーの資格情報ファイルが、セットアップ アプリケーションがアクセスできる場所で利用できることを確実にします。 アクセス関連のエラーが発生した場合は、コンテナーの資格情報ファイルをこのコンピューターの一時的な場所にコピーし、操作をやり直してください。

    無効な資格情報エラー

    コンテナーの資格情報が無効であるというエラー (例: "無効なコンテナーの資格情報が指定されました。") が発生した場合、ファイルが破損しているか、最新の資格情報が回復サービスと関連付けられていません。

    • ポータルから新しいコンテナーの資格情報ファイルをダウンロードしてから操作をやり直してください。
    • このエラーは通常、ユーザーが Azure portal で [コンテナー資格情報のダウンロード] オプションを連続で 2 回選択した場合に発生します。 この場合、2 番目のコンテナーの資格情報ファイルだけが有効です。