Prepare-se para implantar servidores DPM
Há algumas etapas de planejamento a serem consideradas antes de começar a implantar seus servidores DPM (Data Protection Manager) do System Center:
Planejar a implantação do servidor DPM – descubra quantos servidores DPM você precisará e onde colocá-los.
Planejar configurações de firewall – obtenha informações sobre configurações de firewall, porta e protocolo no servidor DPM, computadores protegidos e um SQL Server remoto, se você estiver configurando um.
Conceder permissões de usuário – especifique quem pode interagir com o DPM.
Planejar a implantação do servidor DPM
Primeiro, determine quantos servidores você precisará:
O DPM pode proteger até 600 volumes. Para proteger esse tamanho máximo, o DPM precisa de 120 TB por servidor DPM.
Um único servidor DPM pode proteger até 2000 bancos de dados (tamanho de disco recomendado de 80 TB).
Um único servidor DPM pode proteger até 3000 computadores cliente e 100 servidores.
- Para o planejamento da capacidade do servidor DPM, você pode usar as calculadoras de armazenamento do DPM. Essas calculadoras são planilhas do Excel e são específicas da carga de trabalho. Eles orientam sobre o número de servidores DPM necessários, núcleo do processador, RAM, recomendações de memória virtual e capacidade de armazenamento necessária. Como essas calculadoras são específicas da carga de trabalho, você precisará combinar as configurações recomendadas e considerá-las junto com os requisitos do sistema e sua topologia e requisitos de negócios específicos, incluindo locais de armazenamento e fonte de dados, requisitos de conformidade e SLA e necessidades de recuperação de desastre. Observe que as calculadoras foram lançadas para o DPM 2010, mas permanecem relevantes para versões posteriores do DPM.
Em seguida, descubra como localizar os servidores:
O DPM deve ser implantado em um domínio do Active Directory (Windows Server 2008 em diante).
Ao decidir onde localizar o servidor DPM, considere a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se estiver protegendo dados em uma WAN (Rede de Longa Distância), haverá um requisito mínimo de largura de banda da rede de 512 Kbps por segundo.
O DPM dá suporte a NICs (adaptadores de rede agrupados). Os NICs agrupados são vários adaptadores físicos configurados para serem tratados como um único adaptador pelo sistema operacional. As NICs agrupadas fornecem maior largura de banda combinando a largura de banda disponível, usando cada adaptador e failover para o adaptador restante quando um adaptador falha. O DPM pode usar a largura de banda aumentada obtida usando um adaptador agrupado no servidor DPM.
Outra consideração para o local dos servidores DPM é a necessidade de gerenciar fitas e bibliotecas de fitas manualmente, como adicionar novas fitas à biblioteca ou remover fitas para um arquivo morto externo.
Um servidor DPM pode proteger recursos em um domínio ou em domínios dentro de uma floresta que tenha uma relação de confiança bidirecional com o domínio em que o servidor DPM está localizado. Se não houver uma relação de confiança bidirecional entre domínios, você precisará de um servidor DPM separado para cada domínio. Um servidor DPM pode proteger dados entre florestas se houver uma relação de confiança bidirecional no nível da floresta entre as florestas.
Considere a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se você estiver protegendo dados em uma WAN, há um requisito mínimo de largura de banda de rede de 512 Kbps. Observe que o DPM dá suporte a NICs agrupadas que fornecem maior largura de banda combinando a largura de banda disponível para cada adaptador de rede e failover se um adaptador falhar.
Planejar configurações de firewall e permissões de usuário
Configurações de firewall
As configurações de firewall para implantação do DPM são necessárias no servidor DPM, nos computadores que você deseja proteger e no SQL Server usado para o banco de dados do DPM, se você estiver executando-o remotamente. Se o Firewall do Windows estiver habilitado quando você instalar o DPM, a instalação do DPM definirá automaticamente as configurações de firewall no servidor DPM. As configurações do firewall estão resumidas na tabela a seguir.
| Localidade | Regra | Detalhes | Protocolo | Porta |
|---|---|---|---|---|
| Servidor DPM | System Center <version> Configuração do DCOM do Data Protection Manager | Usado para comunicação DCOM entre o servidor DPM e computadores protegidos. | DCOM | 135/TCP Dinâmico |
| Servidor DPM | System Center <version> Data Protection Manager | Exceção do Msdpm.exe (serviço DPM). É executado no servidor DPM. | Todos os protocolos | Todas as portas |
| Servidor DPM Computadores protegidos |
System Center <version> Agente de Replicação do Data Protection Management | Exceção para Dpmra.exe (serviço de agente de proteção usado para fazer backup e restaurar dados). É executado no servidor DPM e em computadores protegidos. | Todos os protocolos | Todas as portas |
| Computadores protegidos | Configurar uma exceção de entrada para sqserv.exe | |||
| Computadores protegidos | O DPM emite o comando para o agente de proteção com chamadas DCOM para o agente. Você precisará abrir as portas superiores (1024-65535) para que o DPM se comunique. | DCOM | 135/TCP Dinâmico | |
| Computadores protegidos | O canal de dados do DPM é TCP. O servidor DPM e os computadores protegidos iniciam conexões. O DPM comunica-se com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719. | TCP | 5718/TCP 5719/TCP |
|
| Computadores protegidos | Usado para resolução de nome de host entre o DPM/computador protegido e o controlador de domínio. | DNS | 53/UDP | |
| Computadores protegidos | Usado para autenticação do ponto de extremidade de conexão, entre o DPM/computador protegido e o controlador de domínio. | Kerberos | 88/UDP 88/TCP |
|
| Computadores protegidos | Usado para consultas entre o servidor DPM e o controlador de domínio. | LDAP | 389/TCP 389/UDP |
|
| Computadores protegidos | Usado para operações diversas entre 1) DPM e computadores protegidos, 2) DPM e o controlador de domínio 3) Computadores protegidos e o controlador de domínio. Também usado para SMB hospedado diretamente no TCP/IP para funções do DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server Remoto | Habilite o TCP/IP para a instância do DPM do SQL Server com o seguinte: auditoria de falha padrão; Ative a verificação de política de senha. | |||
| SQL Server Remoto | Habilite a exceção de entrada para sqservr.exe para que a instância do DPM do SQL Server permita o TCP na porta 80. O servidor de relatório escuta as solicitações HTTP na porta 80. | |||
| SQL Server Remoto | A instância padrão do mecanismo de banco de dados escuta na porta TCP 1443. Pode ser modificado. Para usar o serviço Navegador do SQL Server para se conectar em uma porta não padrão, defina a porta UDP 1434. |
|||
| SQL Server Remoto | A instância nomeada do SQL Server usa portas dinâmicas por padrão. Pode ser modificado. | |||
| SQL Server Remoto | Habilitar RPC |
Conceder permissões de usuário
Antes de iniciar uma implantação do DPM, verifique se os usuários apropriados receberam os privilégios necessários para executar as várias tarefas. Esses métodos estão resumidos na tabela a seguir.
| Tarefa do DPM | Permissões necessárias |
|---|---|
| Adicionar o servidor DPM a um domínio | Conta de administrador de domínio ou direito de usuário para adicionar uma estação de trabalho ao domínio |
| Instalar o DPM | Conta de administrador no servidor DPM |
| Instalar um agente de proteção do DPM em um computador que você deseja proteger | Conta de domínio que está no grupo de administradores locais no computador |
| Estenda o esquema do AD para permitir a recuperação do usuário final | Privilégios de administrador de esquema para o domínio |
| Criar contêiner do AD para permitir a recuperação do usuário final | Privilégios de administrador de domínio |
| Conceder permissão ao servidor DPM para alterar o conteúdo do contêiner | Privilégios de administrador de domínio |
| Habilitar a recuperação do usuário final no servidor DPM | Conta de administrador no servidor DPM |
| Instalar o software cliente do ponto de recuperação no computador protegido | Conta de administrador na máquina |
| Acessar versões anteriores de dados protegidos de uma máquina protegida | Conta de usuário com acesso ao compartilhamento protegido |
| Recuperar dados do SharePoint | Administrador de farm do SharePoint que também é administrador do servidor Web front-end no qual o agente de proteção está instalado. |
Observação
O servidor DPM e o computador protegido se comunicam usando DCOM. Durante a instalação do DPMRA, a conta do servidor DPM é adicionada ao grupo de segurança Usuários COM Distribuídos no computador protegido.
Para proteção do controlador de domínio, os grupos de segurança do Active Directory serão criados para cada um dos controladores de domínio protegidos, com os nomes DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME e DPMRATRUSTEDDPMRAS$DCNAME.