Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Er zijn enkele planningsstappen die u moet overwegen voordat u begint met het implementeren van uw System Center Data Protection Manager-servers (DPM):
DPM-serverimplementatie plannen: bepaal hoeveel DPM-servers u nodig hebt en waar u deze wilt plaatsen.
Firewallinstellingen plannen: informatie ophalen over firewall-, poort- en protocolinstellingen op de DPM-server, beveiligde machines en een externe SQL Server als u er een instelt.
Gebruikersmachtigingen verlenen - Geef op wie met DPM kan communiceren.
DPM-serverimplementatie plannen
Bepaal eerst hoeveel servers u nodig hebt:
DPM kan maximaal 600 volumes beveiligen. Om deze maximale grootte te beveiligen, heeft DPM 120 TB per DPM-server nodig.
Eén DPM-server kan maximaal 2000 databases beveiligen (aanbevolen schijfgrootte 80 TB).
Eén DPM-server kan maximaal 3000 clientcomputers en 100 servers beveiligen.
- Voor DPM-servercapaciteitsplanning kunt u de DPM-opslagcalculatorsgebruiken. Deze rekenmachines zijn Excel-bladen en zijn workloadspecifiek. Ze begeleiden u over het aantal vereiste DPM-servers, processorkern, RAM, aanbevelingen voor virtueel geheugen en vereiste opslagcapaciteit. Omdat deze rekenmachines workloadspecifiek zijn, moet u de aanbevolen instellingen combineren en deze overwegen in combinatie met de systeemvereisten en uw specifieke bedrijfstopologie en -vereisten, waaronder gegevensbron- en opslaglocaties, nalevings- en SLA-vereisten en noodherstelbehoeften. Houd er rekening mee dat de rekenmachines zijn uitgebracht voor DPM 2010, maar relevant blijven voor latere DPM-versies.
Zoek vervolgens uit hoe u de servers kunt vinden:
DPM moet worden geïmplementeerd in een Active Directory-domein (Windows Server 2008 en hoger).
Wanneer u besluit waar u uw DPM-server wilt vinden, moet u rekening houden met de netwerkbandbreedte tussen de DPM-server en de beveiligde computers. Als u gegevens beveiligt via een WAN (Wide Area Network), is er een minimale netwerkbandbreedte vereist van 512 kilobits per seconde (Kbps).
DPM ondersteunt gekoppelde netwerkadapters (NIC's). Gekoppelde NIC's zijn meerdere fysieke adapters die zijn geconfigureerd om te worden behandeld als één adapter door het besturingssysteem. Gekoppelde NIC's bieden meer bandbreedte door de beschikbare bandbreedte te combineren, waarbij elke adapter en failover naar de resterende adapter worden gebruikt wanneer een adapter uitvalt. DPM kan de verhoogde bandbreedte gebruiken die wordt bereikt met behulp van een gekoppelde adapter op de DPM-server.
Een andere overweging voor de locatie van uw DPM-servers is het handmatig beheren van tapes en tapewisselaars, zoals het toevoegen van nieuwe tapes aan de bibliotheek of het verwijderen van tapes voor een archief buiten de site.
Een DPM-server kan resources binnen een domein of tussen domeinen in een forest beveiligen met een tweerichtingsvertrouwensrelatie met het domein waarin de DPM-server zich bevindt. Als er geen tweerichtingsvertrouwensrelatie tussen domeinen is, hebt u een afzonderlijke DPM-server nodig voor elk domein. Een DPM-server kan gegevens tussen forests beveiligen als er een tweerichtingsvertrouwensrelatie op forestniveau tussen de forests is.
Houd rekening met de netwerkbandbreedte tussen de DPM-server en de beveiligde computers. Als u gegevens beveiligt via een WAN, is er een minimale netwerkbandbreedte van 512Kbs vereist. Houd er rekening mee dat DPM ondersteuning biedt voor gekoppelde NIC's die meer bandbreedte bieden door de beschikbare bandbreedte voor elke netwerkadapter en failover te combineren als een adapter uitvalt.
Firewallinstellingen en gebruikersmachtigingen plannen
Firewallinstellingen
Firewallinstellingen voor DPM-implementatie zijn vereist op de DPM-server, op computers die u wilt beveiligen en op de SQL Server die wordt gebruikt voor de DPM-database als u deze extern uitvoert. Als Windows Firewall is ingeschakeld wanneer u DPM installeert, configureert de DPM-installatie automatisch de firewallinstellingen op de DPM-server. De firewallinstellingen worden samengevat in de volgende tabel.
| Plaats | Regel | Bijzonderheden | protocol | Poort |
|---|---|---|---|---|
| DPM-server | System Center <versie> DCOM-instelling voor Data Protection Manager | Wordt gebruikt voor DCOM-communicatie tussen de DPM-server en beveiligde machines. | DCOM | 135/TCP Dynamisch |
| DPM-server | System Center <-versie> Data Protection Manager | Uitzondering voor Msdpm.exe (de DPM-service). Wordt uitgevoerd op de DPM-server. | Alle protocollen | Alle poorten |
| DPM-server Beveiligde machines |
System Center <-versie> Replicatieagent voor gegevensbescherming | Uitzondering voor Dpmra.exe (beveiligingsagentservice die wordt gebruikt voor het maken van back-ups en het herstellen van gegevens). Wordt uitgevoerd op de DPM-server en beveiligde machines. | Alle protocollen | Alle poorten |
| Beveiligde machines | Een binnenkomende uitzondering configureren voor sqserv.exe | |||
| Beveiligde machines | DPM geeft opdracht aan de beveiligingsagent met DCOM-aanroepen naar de agent. U moet de bovenste poorten (1024-65535) openen zodat DPM kan communiceren. | DCOM | 135/TCP Dynamisch | |
| Beveiligde machines | Het DPM-gegevenskanaal is TCP. Zowel de DPM-server als de beveiligde machines initiëren verbindingen. DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719. | TCP | 5718/TCP 5719/TCP |
|
| Beveiligde machines | Wordt gebruikt voor hostnaamomzetting tussen DPM/beveiligde machine en de domeincontroller. | DNS (Domeinnaamsysteem) | 53/UDP | |
| Beveiligde machines | Wordt gebruikt voor verificatie van het verbindingseindpunt, tussen DPM/beveiligde machine en de domeincontroller. | Kerberos | 88/UDP 88/TCP |
|
| Beveiligde machines | Wordt gebruikt voor query's tussen de DPM-server en de domeincontroller. | LDAP | 389/TCP 389/UDP |
|
| Beveiligde machines | Wordt gebruikt voor diverse bewerkingen tussen 1) DPM en beveiligde machines, 2) DPM en de domeincontroller 3) Beveiligde machines en de domeincontroller. Ook gebruikt voor SMB rechtstreeks gehost op TCP/IP voor DPM-functies. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Externe SQL Server | Schakel TCP/IP in voor het DPM-exemplaar van SQL Server met het volgende: standaardcontrole van fouten; schakel het controleren van wachtwoordbeleid in. | |||
| Externe SQL Server | Schakel binnenkomende uitzonderingen in voor sqservr.exe voor DPM-exemplaar van SQL Server om TCP toe te staan op poort 80. De rapportserver luistert naar HTTP-aanvragen op poort 80. | |||
| Externe SQL Server | Het standaardexemplaar van de databaseserver luistert op TCP-poort 1443. Kan worden gewijzigd. Als u de SQL Server Browser-service wilt gebruiken om verbinding te maken op een niet-standaardpoort, stelt u UDP-poort 1434 in. |
|||
| Externe SQL Server | Benoemd exemplaar van SQL Server maakt standaard gebruik van dynamische poorten. Kan worden gewijzigd. | |||
| Externe SQL Server | RPC inschakelen |
Gebruikersmachtigingen verlenen
Voordat u begint met een DPM-implementatie, controleert u of de juiste gebruikers de vereiste bevoegdheden hebben gekregen om de verschillende taken uit te voeren. Deze worden samengevat in de volgende tabel.
| DPM-taak | Benodigde machtigingen |
|---|---|
| De DPM-server toevoegen aan een domein | Domeinbeheerdersaccount of gebruikersrecht om een werkstation toe te voegen aan het domein |
| DPM installeren | Beheerdersaccount op de DPM-server |
| Een DPM-beveiligingsagent installeren op een computer die u wilt beveiligen | Domeinaccount dat zich in de groep lokale beheerders op de computer bevindt |
| AD-schema uitbreiden om herstel door eindgebruikers mogelijk te maken | Schemabeheerdersbevoegdheden voor het domein |
| AD-container maken om herstel door eindgebruikers mogelijk te maken | Domeinbeheerdersbevoegdheden |
| DPM-servermachtigingen verlenen om de inhoud van de container te wijzigen | Domeinbeheerdersbevoegdheden |
| Herstel door eindgebruikers op de DPM-server inschakelen | Beheerdersaccount op de DPM-server |
| Clientsoftware voor herstelpunten installeren op de beveiligde computer | Beheerdersaccount op de computer |
| Toegang tot eerdere versies van beveiligde gegevens vanaf een beveiligde computer | Gebruikersaccount met toegang tot beveiligde gedeelde map |
| SharePoint-gegevens herstellen | SharePoint-farmbeheerder die ook een beheerder is op de front-endwebserver waarop de beveiligingsagent is geïnstalleerd. |
Notitie
DPM-server en beveiligde computer communiceren met behulp van DCOM. Tijdens de installatie van DPMRA, wordt het account van de DPM-server toegevoegd aan de Gedistribueerde COM-gebruikers beveiligingsgroep op de beveiligde computer.
Voor domeincontrollerbeveiliging worden Active Directory-beveiligingsgroepen gemaakt voor elk van de beveiligde domeincontrollers, met de namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAMEen DPMRATRUSTEDDPMRAS$DCNAME.