Distribuera DPM-servrar
Viktigt
Den här versionen av Data Protection Manager (DPM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till DPM 2022.
Det finns några planeringssteg att tänka på innan du börjar distribuera dina System Center Data Protection Manager-servrar (DPM):
Planera för distribution av DPM-server – Ta reda på hur många DPM-servrar du behöver och var de ska placeras.
Planera brandväggsinställningar – Hämta information om brandväggs-, port- och protokollinställningar på DPM-servern, skyddade datorer och en fjärransluten SQL Server om du konfigurerar en.
Bevilja användarbehörighet – Ange vem som kan interagera med DPM.
Planera för distribution av DPM-server
Bestäm först hur många servrar du behöver:
DPM kan skydda upp till 600 volymer. Om du vill skydda den här största storleken behöver DPM 120 TB per DPM-server.
En enda DPM-server kan skydda upp till 2 000 databaser (rekommenderad diskstorlek är 80 TB).
En enda DPM-server kan skydda upp till 3 000 klientdatorer och 100 servrar.
- För kapacitetsplanering för DPM-server kan du använda DPM-lagringskalkylatorerna. Dessa kalkylatorer är Excel-blad och är arbetsbelastningsspecifika. De vägleder om antalet DPM-servrar som krävs, processorkärna, RAM, rekommendationer för virtuellt minne och nödvändig lagringskapacitet. Eftersom dessa kalkylatorer är arbetsbelastningsspecifika måste du kombinera de rekommenderade inställningarna och överväga dem tillsammans med systemkraven och din specifika affärstopologi och krav, inklusive datakälla och lagringsplatser, efterlevnads- och serviceavtalskrav och haveriberedskapsbehov. Räknarna gavs ut för DPM 2010 men är fortfarande relevanta för senare DPM-versioner.
Ta sedan reda på hur servrarna ska placeras:
DPM måste distribueras i en Active Directory-domän (Windows Server 2008 och senare).
När du bestämmer var du vill placera DPM-servern bör du tänka på nätverksbandbredden mellan DPM-servern och de skyddade datorerna. Om du skyddar data över ett WAN-nätverk finns det ett minimikrav gällande nätverksbandbredd på 512 kilobit per sekund (Kbps).
DPM stöder teamindelade nätverkskort. Teamindelade nätverkskort är flera fysiska kort som konfigurerats för att hanteras som ett enda nätverkskort av operativsystemet. Teamindelade nätverkskort ger ökad bandbredd genom att kombinera den tillgängliga bandbredden med varje kort och redundansväxling till det återstående kortet när ett kort misslyckas. DPM kan använda den ökade bandbredd som uppnås med hjälp av ett teamindelade kort på DPM-servern.
Ett annat övervägande för platsen för dina DPM-servrar är behovet av att hantera band och bandbibliotek manuellt, till exempel att lägga till nya band i biblioteket eller ta bort band för ett arkiv utanför platsen.
En DPM-server kan skydda resurser inom en domän eller över domäner i en skog som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i. Om det inte finns ett dubbelriktat förtroende mellan domänerna behöver du en separat DPM-server för varje domän. En DPM-server kan skydda data i skogar om det finns ett dubbelriktat förtroende på skogsnivå mellan skogarna.
Tänk på nätverksbandbredden mellan DPM-servern och de skyddade datorerna. Om du skyddar data över ett WAN finns det ett minimikrav på nätverksbandbredd på 512 kbit/s. Observera att DPM stöder teamindelade nätverkskort som ger ökad bandbredd genom att kombinera bandbredd som är tillgänglig för varje nätverkskort och redundansväxling om ett kort misslyckas.
Planera brandväggsinställningar och användarbehörigheter
Brandväggsinställningar
Brandväggsinställningar för DPM-distribution krävs på DPM-servern, på de datorer som du vill skydda och på den SQL Server som används för DPM-databasen om du kör den externt. Om Windows-brandväggen är aktiverad när du installerar DPM konfigurerar DPM-installationen automatiskt brandväggsinställningarna på DPM-servern. Brandväggsinställningarna sammanfattas i följande tabell.
Location | Regel | Information | Protokoll | Port |
---|---|---|---|---|
DPM-server | DCOM-inställning för System Center-versionen <> av Data Protection Manager | Används för DCOM-kommunikation mellan DPM-servern och skyddade datorer. | DCOM | 135/TCP Dynamisk |
DPM-server | System Center <version> Data Protection Manager | Undantag för msdpm.exe (DPM-tjänsten). Körs på DPM-servern. | Alla protokoll | Alla portar |
DPM-server Skyddade datorer |
Replikeringsagent för> Data Protection Management i System Center < | Undantag för Dpmra.exe (skyddsagenttjänst som används för att säkerhetskopiera och återställa data). Körs på DPM-servern och skyddade datorer. | Alla protokoll | Alla portar |
Skyddade datorer | Konfigurera ett inkommande undantag för sqserv.exe | |||
Skyddade datorer | DPM utfärdar kommandot till skyddsagenten med DCOM-anrop till agenten. Du måste öppna de övre portarna (1024–65535) för att DPM ska kunna kommunicera. | DCOM | 135/TCP Dynamisk | |
Skyddade datorer | DPM-datakanalen är TCP. Både DPM-servern och de skyddade datorerna initierar anslutningar. DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719. | TCP | 5718/TCP 5719/TCP |
|
Skyddade datorer | Används för värdnamnmatchning mellan DPM/skyddad dator och domänkontrollanten. | DNS | 53/UDP | |
Skyddade datorer | Används för autentisering av anslutningsslutpunkten, mellan DPM/skyddad dator och domänkontrollanten. | Kerberos | 53/UDP 88/TCP |
|
Skyddade datorer | Används för frågor mellan DPM-servern och domänkontrollanten. | LDAP | 389/TCP 389/UDP |
|
Skyddade datorer | Används för olika åtgärder mellan 1) DPM och skyddade datorer, 2) DPM och domänkontrollanten 3) Skyddade datorer och domänkontrollanten. Används även för SMB som är direkt värd för TCP/IP för DPM-funktioner. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
Fjärransluten SQL-server | Aktivera TCP/IP för DPM-instansen av SQL Server med följande: standardfelgranskning, aktivera lösenordsprincipkontroll. | |||
Fjärransluten SQL-server | Aktivera inkommande undantag för sqservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-förfrågningar på port 80. | |||
Fjärransluten SQL-server | Standardinstansen av databasmotorn lyssnar på TCP-port 1443. Kan ändras. Om du vill använda tjänsten SQL Server Browser för att ansluta till en icke-standardport anger du UDP-port 1434. |
|||
Fjärransluten SQL-server | En namngiven instans av SQL Server använder dynamiska portar som standard. Kan ändras. | |||
Fjärransluten SQL-server | Aktivera RPC |
Bevilja användarbehörighet
Innan du påbörjar en DPM-distribution kontrollerar du att lämpliga användare har beviljats de behörigheter som krävs för att utföra de olika uppgifterna. Dessa sammanfattas i tabellen nedan.
DPM-uppgift | Privilegier som krävs |
---|---|
Lägg till DPM-servern i en domän | Domänadministratörskonto eller användarrättighet för att lägga till en arbetsstation i domänen |
Installera DPM | Administratörskonto på DPM-servern |
Installera en DPM-skyddsagent på en dator som du vill skydda | Domänkonto som finns i den lokala administratörsgruppen på datorn |
Utöka AD-schemat för att aktivera återställning av slutanvändare | Schemaadministratörsprivilegier för domänen |
Skapa AD-container för att aktivera återställning av slutanvändare | Domänadministratörsprivilegier |
Bevilja DPM-servern behörighet att ändra containerns innehåll | Domänadministratörsprivilegier |
Aktivera återställning av slutanvändare på DPM-servern | Administratörskonto på DPM-servern |
Installera klientprogramvara för återställningspunkter på den skyddade datorn | Admin konto på datorn |
Få åtkomst till tidigare versioner av skyddade data från en skyddad dator | Användarkonto med åtkomst till den skyddade resursen |
Återställa SharePoint-data | Administratör för SharePoint-servergruppen som också är en administratör på den frontend-webbserver där skyddsagenten är installerad. |
Anteckning
DPM-servern och den skyddade datorn kommunicerar med DCOM. Under DPMRA-installationen läggs DPM-serverns konto till i säkerhetsgruppen Distribuerade COM-användare på den skyddade datorn.
För domänkontrollantskydd skapas Active Directory-säkerhetsgrupper för var och en av de skyddade domänkontrollanterna, med namnen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME och DPMRATRUSTEDDPMRAS$DCNAME.