Preparar-se para implementar servidores DPM
Importante
Esta versão do Data Protection Manager (DPM) chegou ao fim do suporte. Recomendamos que atualize para o DPM 2022.
Existem alguns passos de planeamento a considerar antes de começar a implementar os servidores do System Center Data Protection Manager (DPM):
Planear a implementação do servidor DPM – saiba quantos servidores DPM precisa e onde os deve colocar.
Planear definições da firewall – obtenha informações sobre as definições de firewall, porta e protocolo no servidor DPM, máquinas protegidas e um SQL Server remoto se estiver a configurar uma.
Conceder permissões aos utilizadores – especifique quem pode interagir com o DPM.
Planear a implementação do servidor DPM
Em primeiro lugar, determine quantos servidores irá precisar:
O DPM pode proteger até 600 volumes. Para proteger este tamanho máximo, o DPM precisa de 120 TB por servidor do DPM.
Um único servidor DPM consegue proteger até 2 000 bases de dados (tamanho de disco recomendado de 80 TB).
Um único servidor DPM consegue proteger até 3000 computadores cliente e 100 servidores.
- Para o planeamento da capacidade do servidor DPM, pode utilizar as calculadoras de armazenamento do DPM. Estas calculadoras são folhas do Excel e são específicas da carga de trabalho. Orientam o número de servidores DPM necessários, o núcleo do processador, a RAM, as recomendações de memória virtual e a capacidade de armazenamento necessária. Uma vez que estas calculadoras são específicas da carga de trabalho, terá de combinar as definições recomendadas e considerá-las em conjunto com os requisitos de sistema e os requisitos e topologia de negócio específicos, incluindo localizações de origem e armazenamento de dados, requisitos de conformidade e SLA e necessidades de recuperação após desastre. Tenha em atenção que as calculadoras foram concebidas para o DPM 2010 mas continuam a ser apropriados para versões posteriores do DPM.
Em seguida, saiba como localizar os servidores:
O DPM tem de ser implementado num domínio do Active Directory (Windows Server 2008 e posteriores).
Ao decidir onde localizar o seu servidor DPM, considere a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se estiver a proteger dados através de uma rede alargada (WAN), existe um requisito de largura de banda de rede mínima de 512 quilobits por segundo (Kbps).
O DPM suporta adaptadores de rede em equipa (NIC). Os NICs em equipa consistem em diversos adaptadores físicos que estão configurados para serem considerados adaptadores únicos pelo sistema operativo. As NICs em equipa fornecem uma maior largura de banda ao combinar a largura de banda disponível, utilizando cada adaptador e ativação pós-falha para o adaptador restante quando um adaptador falha. O DPM pode utilizar o aumento da largura de banda obtida com um adaptador em equipa no servidor DPM.
Outra consideração para a localização dos seus servidores DPM é a necessidade de gerir bandas e bibliotecas de bandas manualmente, como adicionar novas bandas à biblioteca ou remover bandas para um arquivo fora do local.
Um servidor DPM pode proteger recursos dentro de um domínio ou entre domínios numa floresta que tenha uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado. Se não existir confiança bilateral entre domínios, necessita de um servidor DPM separado para cada domínio. Um servidor DPM pode proteger dados em várias florestas se houver uma confiança bilateral entre florestas ao nível das florestas.
Tenha em conta a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se estiver a proteger dados através de uma WAN, existe um requisito mínimo de largura de banda de rede de 512 Kbps. Tenha em atenção que o DPM suporta NICs agradas que fornecem maior largura de banda ao combinar a largura de banda disponível para cada placa de rede e ativação pós-falha se um adaptador falhar.
Planear as definições de firewall e as permissões de utilizadores
Definições de firewall
As definições de firewall para implementação do DPM são necessárias no servidor DPM, em computadores que pretende proteger e no SQL Server utilizado para a base de dados do DPM, se a executar remotamente. Se a Firewall do Windows estiver ativada quando instalar o DPM, a configuração do DPM configura automaticamente as definições da firewall no servidor DPM. As definições da firewall estão resumidas na tabela seguinte.
| Localização | Regra | Detalhes | Protocolo | Porta |
|---|---|---|---|---|
| Servidor do DPM | Definição do DCOM do Data Protection Manager da versão> do System Center < | Utilizado para a comunicação do DCOM entre o servidor DPM e as máquinas protegidas. | DCOM | 135/TCP Dinâmico |
| Servidor do DPM | Gestor de Proteção de Dados da versão> do System Center < | Exceção para Msdpm.exe (o serviço DPM). Executado no servidor DPM. | Todos os protocolos | Todas as portas |
| Servidor do DPM Máquinas protegidas |
Agente de Replicação da Gestão de Proteção de Dados da versão> do System Center < | Exceção para Dpmra.exe (serviço do agente de proteção utilizado para criar a cópia de segurança e restaurar dados). É executado no servidor DPM e em computadores protegidos. | Todos os protocolos | Todas as portas |
| Máquinas protegidas | Configurar uma exceção de entrada para sqserv.exe | |||
| Máquinas protegidas | DPM issues command to the protection agent with DCOM calls to the agent. Terá de abrir as portas superiores (1024-65535) para o DPM comunicar. | DCOM | 135/TCP Dinâmico | |
| Máquinas protegidas | O canal de dados do DPM é TCP. Tanto o servidor DPM como os computadores protegidos iniciam ligações. O DPM comunica com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719. | TCP | 5718/TCP 5719/TCP |
|
| Máquinas protegidas | Utilizado para resolução de nomes de anfitrião entre o DPM/computador protegido e o controlador de domínio. | DNS | 53/UDP | |
| Máquinas protegidas | Utilizado para autenticação do ponto final de ligação, entre o DPM/computador protegido e o controlador de domínio. | Kerberos | 88/UDP 88/TCP |
|
| Máquinas protegidas | Utilizado para consultas entre o servidor DPM e o controlador de domínio. | LDAP | 389/TCP 389/UDP |
|
| Máquinas protegidas | Utilizados para operações diversas entre 1) O DPM e os computadores protegidos, 2) O DPM e o controlador do domínio 3) Computadores protegidos e o controlador do domínio. Também utilizado para SMB alojado diretamente no TCP/IP para funções do DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server remoto | Ative o TCP/IP para a instância do DPM de SQL Server com o seguinte: auditoria de falha predefinida; ative a verificação da política de palavras-passe. | |||
| SQL Server remoto | Ative uma exceção de entrada para sqservr.exe para a instância do DPM do SQL Server, para permitir o TCP na porta 80. O servidor de relatórios escuta pedidos de HTTP na porta 80. | |||
| SQL Server remoto | A instância predefinida do motor de base de dados escuta o TCP na porta 1443. Pode ser modificado. Para utilizar o serviço SQL Server Browser para ligar numa porta não predefinida, defina a porta UDP 1434. |
|||
| SQL Server remoto | Uma instância nomeada do SQL Server utilizará portas Dinâmicas por predefinição. Pode ser modificado. | |||
| SQL Server remoto | Ativar RPC |
Conceder permissões de utilizador
Antes de iniciar uma implementação do DPM, verifique se foram concedidos aos utilizadores adequados os privilégios necessários para efetuar as várias tarefas. Estes estão resumidos na tabela seguinte.
| Tarefa do DPM | Permissões necessárias |
|---|---|
| Adicionar o servidor DPM a um domínio | Direito de utilizador ou conta de administrador de domínio para adicionar uma estação de trabalho ao domínio |
| Instalar o DPM | Conta de administrador no servidor DPM |
| Instalar um agente de proteção do DPM num computador que pretenda proteger | Conta de domínio que está no grupo de administradores locais no computador |
| Expandir o esquema do AD para permitir a recuperação do utilizador final | Privilégios de administrador do esquema para o domínio |
| Criar um contentor do AD para ativar a recuperação do utilizador final | Privilégios de administrador do domínio |
| Conceder permissão ao servidor DPM para alterar os conteúdos de contentores | Privilégios de administrador do domínio |
| Ativar a recuperação do utilizador final no servidor DPM | Conta de administrador no servidor DPM |
| Instalar o software de cliente do ponto de recuperação no computador protegido | Administração conta no computador |
| Aceder a versões anteriores de dados protegidos a partir de um computador protegido | Conta de utilizador com acesso à partilha protegida |
| Recuperar dados do SharePoint | Administrador de farm do SharePoint que também é administrador no servidor Web front-end no qual o agente de proteção é instalado. |
Nota
O servidor DPM e o computador protegido comunicam com o DCOM. Durante a instalação do DPMRA, a conta do servidor DPM é adicionada ao grupo de segurança Utilizadores COM Distribuídos no computador protegido.
Para proteção do controlador de domínio, serão criados grupos de segurança do Active Directory para cada um dos controladores de domínio protegidos, com os nomes DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME e DPMRATRUSTEDDPMRAS$DCNAME.