Propagação offline usando o Azure Data Box para o DPM e o MABS

Observação

Esse recurso é aplicável ao DPM (Data Protection Manager) 2019 UR2 (e posterior) e MABS v3 UR2 (e posterior).

Este artigo explica como é possível usar o Azure Data Box para propagar offline dados do backup inicial do DPM e do MABS para um cofre dos Serviços de Recuperação do Azure.

É possível usar o Azure Data Box para propagar offline (sem usar a rede) grandes backups iniciais do DPM/MABS para um cofre dos Serviços de Recuperação. Esse processo poupa tempo e largura de banda de rede que, de outra forma, seriam consumidos durante a migração online de grandes quantidades de dados de backups em uma rede de alta latência.

O backup offline baseado no Azure Data Box fornece duas vantagens distintas em relação ao backup offline baseado no serviço de Importação/Exportação do Azure:

• Não é necessário adquirir seus próprios discos e conectores compatíveis com o Azure. O Azure Data Box envia os discos associados ao SKU de Data Box selecionado.

• O Data Protection Manager (Agente MARS) pode gravar diretamente dados de backup nas SKUs com suporte do Azure Data Box. Essa funcionalidade elimina a necessidade de provisionar um local de preparo para os dados do backup inicial. Também não é necessário usar utilitários para formatar e copiar esses dados nos discos.

Plataformas compatíveis

As seguintes plataformas são compatíveis:

• Windows Server 2019 64 bits (Standard, Datacenter e Essentials)
• Windows Server 2016 64 bits (Standard, Datacenter e Essentials)

Tamanho dos dados de backup e SKUs de Data Box compatíveis

Os seguintes SKUs de Data Box são compatíveis:

Tamanho dos Dados de Backup (após a compactação por MARS)* por servidor	SKU de Azure Data Box compatível
<= 7,2 TB	Azure Data Box Disk
> 7.2 TB e <= 80 TB**	Azure Data Box (100 TB)

*As taxas de compactação típicas variam entre 10-20%
**Entre em contato com SystemCenterFeedback@microsoft.com caso espere ter mais do que 80 TB de dados do backup inicial para uma única fonte de dados.

Importante

Os dados do backup inicial de uma única fonte de dados devem estar contidos em um único Azure Data Box ou Azure Data Box Disk. Além disso, eles não podem ser compartilhados entre vários dispositivos do mesmo SKU ou de SKUs diferentes. No entanto, o Azure Data Box pode conter backups iniciais de várias fontes de dados.

Antes de começar

O agente MARS em execução no DPM/MABS deve ser atualizado para a versão mais recente (2.0.9171.0 ou posterior).

Verifique o seguinte:

Assinatura do Azure e permissões necessárias

• Uma assinatura válida do Azure.

• O usuário que pretende executar a política de backup offline deve ser o proprietário de uma assinatura do Azure.

• Garanta ter as permissões necessárias para criar o aplicativo do Microsoft Entra. O fluxo de trabalho de backup offline cria um aplicativo do Microsoft Entra na assinatura associada à conta de armazenamento do Azure. Esse aplicativo permite que o Serviço de Backup do Azure tenha acesso seguro e com escopo ao Serviço de Importação do Azure, necessário para o fluxo de trabalho de backup offline.

• O trabalho do Data Box e o cofre dos Serviços de Recuperação, nos quais os dados precisam ser propagados, devem estar disponíveis nas mesmas assinaturas.

  Observação

  Recomendamos que a conta de armazenamento de destino e o cofre dos Serviços de Recuperação estejam na mesma região. No entanto, isso não é obrigatório.

Solicitar e receber o dispositivo do Data Box

Verifique se os dispositivos do Data Box necessários estão no estado Entregue antes de disparar o backup offline. Confira as informações de Tamanho dos Dados de Backup e SKUs de Data Box compatíveis para solicitar o SKU mais adequado para seus requisitos. Siga as etapas deste artigo para solicitar e receber seus dispositivos do Data Box.

Importante

Não selecione BlobStorage para o Tipo de conta. O servidor DPM/MABS requer uma conta que seja compatível com os Blobs de Páginas, o que não é compatível quando BlobStorage é selecionado. Selecione o Armazenamento V2 (uso geral V2) como o Tipo de conta ao criar a conta de armazenamento de destino para o trabalho do Azure Data Box.

Configurar os dispositivos do Azure Data Box

Depois de receber o dispositivo do Azure Data Box, dependendo do SKU de Azure Data Box solicitado, execute as etapas nas seções apropriadas abaixo para configurar e preparar os dispositivos do Data Box para que o Servidor DPM/MABS identifique e transfira os dados do backup inicial.

Configurar o Azure Data Box Disk

Caso tenho solicitado um ou mais Azure Data Box Disks (até 8 TB cada), siga as etapas mencionadas aqui para desempacotar, conectar e desbloquear seu Data Box Disk.

Observação

É possível que o servidor DPM/MABS não tenha uma porta USB. Nesse caso, é possível conectar o Azure Data Box Disk a outro servidor/cliente e expor a raiz do dispositivo como um compartilhamento de rede.

Configurar o Azure Data Box

Caso tenha solicitado um Azure Data Box (até 100 TB), siga as etapas mencionadas aqui para configurar seu Data Box.

Monte o Azure Data Box como um sistema local

O servidor DPM/MABS opera no contexto do sistema, portanto, requer que o mesmo nível de privilégio seja fornecido ao caminho de montagem em que o Azure Data Box está conectado. Siga as etapas abaixo para garantir que você possa montar o dispositivo do Data Box como um sistema local usando o protocolo NFS.

1. Habilite o recurso Client for NFS no Servidor DPM/MABS. Especifique uma fonte alternativa: WIM:D:\Sources\Install.wim:4

2. Baixe PSExec em https://download.sysinternals.com/files/PSTools.zip para o servidor DPM/MABS.

3. Abra um prompt de comandos com privilégios elevados e execute o comando a seguir com o diretório que contém PSExec.exe como o diretório atual.

   psexec.exe  -s  -i  cmd.exe
   

4. A janela Comando que será aberta como resultado do comando acima estará no contexto do Sistema Local. Use essa janela Comando com o objetivo de executar as etapas para montar o Compartilhamento de Blobs de Páginas do Azure como uma unidade de rede no Windows Server.

5. Siga as etapas aqui para conectar o Servidor DPM/MABS ao dispositivo do Data Box por meio do NFS. Além disso, execute o seguinte comando no prompt de comando do Sistema Local para montar o compartilhamento de Blobs de Páginas do Azure:

   mount -o nolock \\<DeviceIPAddres>\<StorageAccountName_PageBlob X:
   

6. Depois de montado, verifique se é possível acessar X: do seu servidor. Em caso afirmativo, prossiga para a próxima seção deste artigo.

Transferir dados do backup Inicial para os dispositivos do Azure Data Box

1. No Servidor DPM/MABS, siga as etapas para criar um novo grupo de proteção. Caso esteja adicionando uma proteção online ao grupo de proteção existente, clique nele com o botão direito do mouse, selecione Adicionar Proteção Online e inicie a Etapa 8.

2. Na página Selecionar Membros do Grupo, especifique os computadores nos quais deseja fazer backup e as fontes das quais ele será feito.

3. Na página Selecionar método de proteção de dados, especifique como deseja lidar com backups de curto e longo prazo. Certifique-se de selecionar Desejo proteção online.

   

4. Na página Selecionar objetivos de curto prazo, especifique como deseja fazer backup no armazenamento em disco de curto prazo.

5. Na página Examinar alocação de disco, examine o espaço em disco do pool de armazenamento alocado para o grupo de proteção.

6. Na página Escolher método de criação de réplica, selecione Automaticamente pela rede.

7. Na página Escolher opções de verificação de consistência, selecione como deseja automatizar as verificações de consistência.

8. Na página Especificar dados de proteção online, selecione o membro para o qual deseja habilitar a proteção online.

   

9. Na página Especificar agendamento de backup online, especifique com que frequência os backups incrementais deverão ocorrer no Azure.

10. Na página Especificar a política de retenção online, especifique como os pontos de recuperação criados dos backups diários/semanais/mensais/anuais serão mantidos no Azure.

11. Na tela do assistente Escolher replicação online, escolha a opção Transferir usando os discos de propriedade da Microsoft e selecione Avançar.

    

12. Entre no Azure quando solicitado, usando as credenciais de usuário que têm acesso de proprietário na assinatura do Azure. Após um acesso bem-sucedido, a seguinte tela será exibida:

    

    O servidor DPM/MABS buscará os trabalhos do Data Box nas assinaturas que estiverem no estado Entregue.

    Observação

    O primeiro acesso leva mais tempo do que o normal. O módulo do Azure PowerShell é instalado em segundo plano e o Aplicativo Microsoft Entra também é registrado.

    • Os seguintes módulos do PowerShell serão instalados:
      – AzureRM.Profile 5.8.3
      – AzureRM.Resources 6.7.3
      – AzureRM.Storage 5.2.0
      – Azure.Storage 4.6.1
      
    • O aplicativo Microsoft Entra é registrado como GUID do objeto AzureOfflineBackup_<do usuário>.

13. Selecione o pedido correto do Data Box para o qual você desempacotou, conectou e desbloqueou o disco do Data Box. Selecione Avançar.

    

14. Na tela Detectar o Data Box, insira o caminho do dispositivo do Data Box e selecione Detectar Dispositivo.

    

    Importante

    Forneça o caminho de rede para o diretório raiz do Azure Data Box Disk. Esse diretório raiz deve conter um diretório chamado PageBlob, conforme mostrado abaixo:

    

    Por exemplo, caso o caminho do disco seja \\mydomain\myserver\disk1\ e o disk1 contenha um diretório chamado PageBlob, o caminho a ser fornecido no assistente do Servidor DPM/MABS será \\mydomain\myserver\disk1\. Caso configure um dispositivo de 100 TB do Azure Data Box, forneça o seguinte caminho de rede para o dispositivo: \\<DeviceIPAddress>\<StorageAccountName>_PageBlob.

15. Selecione Avançar. Na página Resumo, examine as configurações e selecione Criar Grupo.

    

    A tela a seguir confirma que o Grupo de Proteção foi criado com êxito.

    

16. Selecione Fechar na tela acima.

    Com isso, a replicação inicial dos dados ocorrerá no disco do DPM/MABS. Quando a proteção terminar, o status do grupo exibirá o status da proteção como OK na página Proteção.

17. Para iniciar a cópia do backup offline para o dispositivo do Azure Data Box, clique com o botão direito do mouse em Grupo de Proteção e escolha a opção Criar ponto de recuperação. Em seguida, escolha a opção Proteção Online.

    

    

O servidor DPM/MABS começará a fazer o backup dos dados selecionados para o dispositivo do Azure Data Box. Isso pode levar de várias horas a alguns dias, dependendo do tamanho dos dados e da velocidade de conexão entre o servidor DPM/MABS e o Azure Data Box Disk.

Será possível monitorar o status do trabalho no painel de Monitoramento. Depois que o backup dos dados for concluído, será possível ver uma tela semelhante à seguinte:

Etapas após o backup

Siga estas etapas quando o backup de dados para o Azure Data Box Disk for bem-sucedido.

• Siga as etapas deste artigo para enviar o Azure Data Box Disk para o Azure. Caso tenha usado um dispositivo de 100 TB do Azure Data Box, siga estas etapas para enviar o Azure Data Box para o Azure.

• Monitore o trabalho do Data Box no portal do Azure. Depois que o trabalho do Azure Data Box for Concluído, o servidor DPM/MABS migrará automaticamente os dados da Conta de Armazenamento para o cofre dos Serviços de Recuperação no próximo backup agendado. Ele marcará o trabalho de backup como Trabalho Concluído, caso um ponto de recuperação seja criado com êxito.

  Observação

  O servidor DPM/MABS vai disparar os backups nos horários agendados durante a criação do grupo de proteção. No entanto, esses trabalhos sinalizarão Aguardando a conclusão do trabalho do Azure Data Box até que o trabalho seja concluído.

• Depois que o servidor DPM/MABS criar com êxito um ponto de recuperação correspondente ao backup inicial, será possível excluir a Conta de Armazenamento (ou conteúdo específico) associada ao trabalho do Azure Data Box.

Solução de problemas

O agente do Data Protection Manager no servidor DPM cria um aplicativo Microsoft Entra para você, em seu locatário. Esse aplicativo requer um certificado para autenticação que será criado e carregado ao configurar a política de propagação offline.

Usamos o Azure PowerShell para criar e carregar o certificado no Aplicativo do Microsoft Entra.

Problema

No momento da configuração do backup offline, por causa de um defeito de código conhecido no cmdlet do Azure PowerShell, você não pode adicionar vários certificados ao mesmo Aplicativo do Microsoft Entra criado pelo agente do MAB. Isso afetará você caso tenha configurado uma política de propagação offline para o mesmo servidor ou para um servidor diferente.

Verificar se o problema é resultante dessa causa raiz específica

Para garantir que a falha seja devido ao Problema acima, execute uma das seguintes etapas:

Etapa 1

Verifique se consegue ver uma das seguintes mensagens de erro no console do DPM/MABS no momento da configuração do backup offline:

Não é possível criar a política de Backup Offline para a conta do Azure atual, pois as informações de autenticação do servidor não puderam ser carregadas no Azure. (ID: 100242)

Não é possível fazer chamadas de serviço para o Azure necessárias para consultar o status do Trabalho de Importação e mover dados de backup para o Cofre de Serviços de recuperação. (ID:100230)

Etapa 2

1. Abra a pasta Temp no caminho de instalação. O caminho da pasta Temp padrão é C:\Arquivos de Programas\Agente de Serviços de Recuperação do Microsoft Azure\Temp. Procure o arquivo CBUICurr e abra-o.
2. No arquivo CBUICurr, role até a última linha e verifique se a falha é devido a "Não é possível criar uma credencial de aplicativo do Microsoft Entra na conta do cliente. Exceção: a atualização da credencial existente com KeyId < algum guid> não é permitido".

Solução alternativa

Para resolver esse problema, execute as etapas a seguir e tente a configuração da política novamente.

1. Entre na página de acesso do Azure, que aparece na interface do usuário do servidor DPM/MABS, usando uma conta diferente com acesso de administrador e identifique a assinatura em que o trabalho do Data Box será criado.

2. Se nenhum outro servidor tiver a propagação offline configurada e nenhum outro servidor depender do aplicativo AzureOfflineBackup_<Azure User Id>, exclua esse aplicativo dos Registros de aplicativo do > registro da ID do Microsoft Entra do > portal do Azure.

   Observação

   Verifique se o aplicativo AzureOfflineBackup_<Azure User Id> não tem nenhuma outra propagação offline configurada, nem outro servidor dependente desse aplicativo. Vá em Configurações > Chavesna seção Chaves Públicas. Ele não deve ter outras chaves públicas adicionadas. Confira a seguinte captura de tela para referência:

   

Etapa 3

No servidor DPM/MABS em que você está tentando configurar o backup offline, execute as seguintes ações:

1. Abra a guia Gerenciar aplicativo de certificado de computador>Pessoal e procure o certificado com o nome CB_AzureADCertforOfflineSeeding_<ResourceId>.

2. Selecione o certificado acima, clique com o botão direito do mouse em Todas as Tarefas e Exportar sem a chave privada, no formato .cer.

3. Acesse o aplicativo de Backup Offline do Azure mencionado no ponto 2. Em Configurações>Chaves>Carregar Chave Pública, carregue o certificado exportado na etapa anterior.

   

4. No servidor, abra o Registro digitando REGEDIT na janela Executar.

5. Acesse o Registro Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider. Clique com o botão direito do mouse em CloudBackupProvider e adicione um valor de cadeia de caracteres com o nome AzureADAppCertThumbprint_<Azure User Id>.

   Observação

   Para obter a ID de usuário do Azure, execute uma destas ações:

   • No PowerShell conectado ao Azure, execute o comando Get-AzureRmADUser -UserPrincipalName "Account Holder's email as defined in the portal".
   • Navegue até o caminho do registro Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\DbgSettings\OnlineBackup com o nome CurrentUserId.

6. Clique com o botão direito do mouse na cadeia de caracteres adicionada na etapa anterior e selecione Modificar. No valor, forneça a impressão digital do certificado exportado no ponto 2 e selecione OK.

7. Para obter o valor de impressão digital, clique duas vezes no certificado, selecione Detalhes e role para baixo até ver o campo Impressão digital. Selecione Impressão digital e copie o valor.