可以部署 System Center Data Protection Manager (DPM) 来备份客户端计算机。 根据客户端操作系统的不同,可以备份卷、共享、文件夹、文件和重复数据删除卷。
先决条件和限制
在部署 DPM 保护客户端计算机数据之前,请验证部署先决条件:
在 DPM 可以备份什么?中了解可以支持的客户端操作系统。
查看发行说明,并在 DPM 支持和不支持的内容中了解任何客户端保护问题。
确保要备份的客户端计算机位于 DPM 服务器域中,或位于与 DPM 域具有双向信任关系的域中。
要设置客户端计算机进行保护,请在其上安装 DPM 保护代理。 如果客户端计算机上配置了 Windows 防火墙,代理安装将设置所需的防火墙例外。 如果你需要重置防火墙,可以通过运行 SetDpmServer.exe 来重新配置它。 如果使用的是 Windows 防火墙以外的防火墙,则需要打开必要的端口。 在部署 DPM 保护代理中了解更多信息。
DPM 可对以物理方式或无线方式连接到局域网 (LAN) 的客户端计算机执行备份或通过 VPN 备份。 对于 VPN 备份,应在客户端计算机上启用 ICMP。
每个 DPM 服务器最多可保护 3000 台客户端计算机。 大规模保护客户端计算机时,建议创建多个保护组,并错开这些保护组的恢复点时间。 属于某个保护组的客户端数量越多,枚举该保护组的更改所需的时间就越长。
可以按如下方式调整客户端数据备份的性能:
如果客户端数据备份速度慢,可以将此键设置为较低的值:
HKLM\Software\Microsoft\Microsoft Data Protection Manager\Agent\ClientProtection\WaitInMSPerRequestForClientRead to a lower value要提升客户端性能,可以调整这些注册表项:
Software\Microsoft\Microsoft Data Protection Manager\Configuration\DPMTaskController\MaxRunningTasksThreshold. Value: 9037ebb9-5c1b-4ab8-a446-052b13485f57Software\Microsoft\Microsoft Data Protection Manager\Configuration\DPMTaskController\MaxRunningTasksThreshold. Value: 3d859d8c-d0bb-4142-8696-c0d215203e0dSoftware\Microsoft\Microsoft Data Protection Manager\Configuration\DPMTaskController\MaxRunningTasksThreshold. Value: c4cae2f7-f068-4a37-914e-9f02991868daHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Data Protection Manager\Collocation\Client. Value: DSCollocationFactor
开始之前
部署 DPM - 验证 DPM 已正确安装和部署。 如果尚未安装,请参阅:
DPM 的系统要求
设置存储 - 可以将备份数据存储在磁盘、磁带上,并使用 Azure 存储在云中。 有关详细信息,请参阅准备数据存储。
设置 DPM 保护代理 - 需要在要保护的客户端计算机上安装代理。 请阅读部署 DPM 保护代理。
客户端计算机上要备份的知名文件夹
如果要备份客户端计算机中的某些常用文件夹,可以从 DPM 中的“知名文件夹”列表中选择这些文件夹,DPM 会在后续备份周期中备份客户端计算机上的这些文件夹。 以下是可以使用 DPM 备份的知名文件夹列表:
| 知名文件夹 | 客户端计算机上所有用户的位置 |
|---|---|
| AppData | C:\Users\USERNAME\AppData\Roaming |
| 用户配置文件 | C:\Users\USERNAME 或 %SystemDrive%\Users |
| 幻灯片放映 | C:\Users\USERNAME\Pictures |
| 快速启动 | C:\Users\USERNAME\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch |
| 启动 | C:\Users\USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup |
| “开始”菜单 | C:\ProgramData\Microsoft\Windows\Start Menu |
| 我的视频 | C:\Users\USERNAME\Videos |
| 我的图片 | C:\Users\USERNAME\Pictures |
| 我的音乐 | C:\Users\USERNAME\Music |
| 我的文档 | C:\Users\USERNAME\Documents |
| 链接 | C:\Users\USERNAME\Links |
| 收藏夹 | C:\Users\USERNAME\Favorites |
| 下载 | C:\Users\USERNAME\Downloads |
| 桌面 | C:\Users\USERNAME\Desktop |
| Internet 临时文件 | C:\Users\USERNAME\AppData\Local\Microsoft\Windows\Inetcache |
| Program Files | C:\Program Files |
| 系统驱动器 | C:\ |
注意
要备份链接、下载、幻灯片放映和快速启动,需要为每个用户添加到注册表位置 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders。
注册表项的详细信息如下。 根据客户端计算机的用户名修改值 USERNAME。
reg add
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"/v Links /t REG_SZ /d C:\Users\USERNAME\Linksreg add
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"/v Downloads /t REG_SZ /d C:\Users\USERNAME\Downloadsreg add
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"/v “Slides Shows” /t REG_SZ /d C:\Users\USERNAME\Picturesreg add
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders"/v “Quick Launch” /t REG_SZ /d “C:\Users\USERNAME\AppData\Roaming\Microsoft\Internet Explorer\QuickLaunch”
注意
创建客户端或工作站计算机的保护组时,DPM 在备份期间会保留文件夹层次结构。 例如,如果选择备份用户配置文件(代表桌面文件夹的父级),则桌面文件夹将包含在备份中。
备份客户端计算机
选择保护>操作>创建保护组,在 DPM 控制台中打开“创建新保护组”向导。
在“选择保护组类型”中,选择“客户端”。 仅当要备份运行 Windows 客户端操作系统的 Windows 计算机上的数据时,才选择客户端。 对于所有其他工作负荷,选择服务器。 在部署保护组中了解详细信息
在“选择组成员”中,选择“添加多台计算机”。 可以在文本文件中添加要备份的客户端计算机。 在文件中,需要每行输入一台计算机。 建议你提供 FQDN 目标计算机。 例如,按如下方式在 .txt 文件中输入多台计算机:
Comp1.abc.domain.com
Comp2.abc.domain.com
Comp3.abc.domain.com
如果 DPM 找不到文本文件或任何计算机,会将它们添加到日志文件。 选择“添加计算机失败”以打开日志文件。 要将新的客户端计算机添加到现有保护组,请右键单击组名并选择“添加客户端计算机”。
- 在“指定包含项和排除项” 页上,指定要在所选计算机上纳入保护范围或从中排除的文件夹。 要从知名文件夹列表(如“文档”)中选择,请选择下拉列表。
注意
- 当排除某个文件夹,然后为子文件夹指定单独的包含规则时,DPM 不会备份该子文件夹。 排除规则将替代包含规则。
- 当包含某个文件夹,然后为子文件夹指定单独的排除规则时,DPM 会备份整个文件夹,但排除的子文件夹除外。
- 当包含知名文件夹(如“文档”)时,DPM 会定位计算机上所有用户的“文档”文件夹,然后应用该规则。 例如,如果计算机 Comp1 的用户配置文件包含 User1 和 User2 的“文档”文件夹,DPM 将备份这两个文件夹。
- 在“文件夹”列中,使用变量(如程序文件)输入文件夹名称,也可以使用确切的文件夹名称。 为“规则” 列中的每个条目选择“包含” 或“排除” 。
- 可以选择“允许用户指定保护成员” ,以使最终用户可以选择在计算机上添加更多需要备份的文件夹。 但是,最终用户不能选择你以管理员身份显式排除的文件和文件夹。
- 在“文件类型排除”下,可以使用文件扩展名指定要排除的文件类型。
在“选择数据保护方法”中,指定要如何处理短期和长期备份。 短期备份始终先到磁盘,可以选择从磁盘备份到 Azure 云(短期或长期)。 作为云长期备份的替代方法,还可以配置到连接到 DPM 服务器的独立磁带设备或磁带库的长期备份。
在“选择短期目标”中,指定想要在磁盘上备份到短期存储的方法。 在“保留范围”中,指定要在磁盘上保留数据的时间。 在“同步频率”中,指定要多久对磁盘运行一次增量备份。 如果不想设置备份间隔,可以选中“就在恢复点之前”,以便 DPM 将计划在每个恢复点之前运行快速完整备份。
如果要在“指定长期目标”中将数据存储在磁带上用于长期存储,请指明要保留磁带数据的时间(1-99 年)。 在“备份频率”中,指定备份到磁带的频率。 该频率基于指定的保持期:
当保持期为 1-99 年时,可以选择每天、每周、每两周、每月、每季度、每半年或每年备份一次。
当保留范围为 1-11 个月时,可以选择每天、每周、每两周或每月进行备份。
保持期为 1-4 周时,可以选择每天或每周备份一次。
在独立磁带驱动器上,对于单个保护组,DPM 会对每日备份使用同一磁带,直到磁带上空间不足。 也可以在磁带上并置来自不同保护组的数据。
在“选择磁带和库详细信息”页面上,指定要使用的磁带/库,以及是否应在磁带上压缩和加密数据。
在“检查磁盘分配”页中,检查为保护组分配的存储池磁盘空间。
“总数据大小”是要备份的数据大小,“DPM 上要预配的磁盘空间”是 DPM 为保护组建议的空间。 DPM 根据设置选择理想的备份卷。 但是,你可以在“磁盘分配详细信息”中编辑备份卷选项。 对于工作负荷,请在下拉菜单中选择首选的存储。 编辑时,“可用磁盘存储”窗格中的“总存储”和“可用存储”值会随之更改。 预配不足的空间是 DPM 建议添加到卷的存储量,以便将来顺利继续备份。
在“选择副本创建方法”中,选择要如何处理初始完整数据复制。 如果选择通过网络复制,建议选择非高峰时间。 如果数据量很大或者网络状态欠佳,请考虑使用可移动媒体脱机复制数据。
在“选择一致性检查选项”中,选择要如何自动执行一致性检查。 可以启用仅在副本数据变得不一致时或按计划运行检查。 如果不想配置自动一致性检查,可以随时通过在 DPM 控制台的“保护”区域中右键单击保护组并选择“执行一致性检查”来运行手动检查。
如果选择使用 Azure 备份备份到云,在“指定在线保护数据”页面上,确保选择要备份到 Azure 的工作负荷。
在“指定在线备份计划”中,指定增量备份到 Azure 的频率。 可将备份计划为每日/每周/每月/每年运行,并指定运行备份的时间/日期。 备份一天最多可以进行两次。 每次备份运行时,会通过 DPM 磁盘上存储的备份数据的副本在 Azure 中创建数据恢复点。
注意
在线备份依赖于运行前基于新的本地磁盘备份。 确保在线保护计划与快速备份时间和频率兼容。
在“指定在线保留策略”中,指定如何在 Azure 中保留通过每日/每周/每月/每年备份创建的恢复点。
在“选择在线复制”中,指定如何进行数据的初始完整复制。 可以通过网络复制或进行脱机备份(脱机种子设定)。 脱机备份使用 Azure 导入功能。 阅读更多。
在“摘要”页上,查看设置。 选择“创建组”之后,进行数据的初始复制。 完成后,“状态”页上的保护组状态将显示为“正常” 。 然后,将根据保护组设置开始进行备份。
恢复客户端数据
可以使用以下任何一种方法恢复客户端数据:
- 通过设置用户恢复允许客户端恢复自己的数据
- 使用 DPM 服务器上的恢复向导恢复客户端的计算机数据
选择所需选项卡以获取允许客户端恢复自己的数据或使用 DPM 恢复向导为客户端恢复数据的步骤:
最终用户恢复使用户能够通过检索其文件的恢复点来独立恢复文件数据。
注意
- 用户只能恢复存储在磁盘上的数据。
- 需要修改 Active Directory 架构以启用最终用户恢复。 DPM 扩展架构,创建容器 (MS-ShareMapConfiguration),授予 DPM 服务器更改容器内容的权限,并添加源和副本共享之间的映射。 查看 DPM 添加到 AD 的类和属性的详细列表。
- 如果启用最终用户恢复,无法指定在哪些文件服务器上启用最终用户恢复。
- 无法控制哪些 Active Directory 用户或组可以执行最终用户恢复。
配置最终用户恢复,需要执行以下操作:
配置 Active Directory 以支持最终用户恢复:
在 DPM 控制台中,选择选项>最终用户恢复>配置 Active Directory。
在“配置 Active Directory”中,选择“使用当前凭据”或输入具有架构和域管理员权限的用户名和密码。 确认设置。
如果没有具有计划和域管理员权限的帐户,可以请具有这些权限的其他用户在与 DPM 服务器同一域的计算机上运行 <drive:>\Program Files\Microsoft Data Protection Manager\DPM\End User Recovery\DPMADSchemaExtension.exe。 应用运行时,用户应指定要在其上启用最终用户恢复的计算机名称和 DPM 服务器的 DNS 域名。
注意
如果受保护的计算机和 DPM 处于不同的域,则需要在另一域上运行 DPMADSchemaExtension.exe 工具以扩展架构。
在“最终用户恢复”选项卡中完成 AD 设置后,选择“启用最终用户恢复”。
注意
默认情况下,DPM 只允许本地管理员在计算机上执行用户恢复。 用户帐户必须在客户端上显式命名为本地管理员。 不能通过组成员身份成为本地管理员。
有关详细信息,请参阅启用非管理员恢复文件。
注意
DPM 客户端 UI 工具支持 Windows 通信基础 (WCF),该工具在执行恢复时使用 DPM 服务器上的 TCP 端口 6075 进行通信。 在 DPM 服务器上,DPM 自动配置以 DPMAM_WFC_ 开头的防火墙规则以允许此流量。
DPM 使你能够从 DPM 服务器上存储的、由备份管理员管理的备份中恢复文件和文件夹。 要恢复数据,必须知道备份数据所在的 DPM 服务器的名称。 要了解 DPM 服务器的名称,请联系备份管理员。
要从存储在 DPM 服务器上的备份中恢复数据,请按照以下步骤操作:
选择开始>所有应用,然后选择“Microsoft System Center DPM 客户端”。 或者,你可以在系统托盘中选择 DPM 客户端图标
。在“数据保护管理器客户端”页面中,选择“恢复”选项卡。
DPM 服务器的 FQDN 会自动填充到“在以下位置搜索恢复点:”字段中。 如果没有,请输入备份数据所在的 DPM 服务器的名称。
注意
要了解 DPM 服务器的名称,请联系备份管理员。
选择“搜索”图标以开始搜索 DPM 服务器上的现有恢复点。 这将列出用户有权访问的计算机。
- 选择要恢复数据的计算机旁边的 +,以在显示窗格中显示所有恢复点。
- 在显示窗格中,“时间”列列出每个恢复点的时间戳,“链接”列包含一个“打开…”链接,该链接指向 DPM 服务器上列出的每个可用恢复点的备份文件夹位置。
选择恢复点日期和时间对应的“打开…”以装载并访问恢复点数据。 导航到要还原的文件或文件夹。 然后,右键单击并复制要恢复的数据,然后将数据粘贴到所需位置。
启用非管理员恢复文件
客户端计算机的管理员必须授权需要权限在受保护的客户端计算机上执行最终用户恢复受保护数据的非管理员用户的用户名。
为此,管理员必须为每个这些非管理员用户添加以下注册表项和值。 这是包含以逗号分隔的客户端用户列表的单个值。
键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Data Protection Manager\Agent\ClientProtection
值:ClientOwners
类型:字符串
数据:非管理员用户的名称。 这必须是用户名的逗号分隔列表,不带任何前导或尾随空格。
例如:Domain\User1,Domain\User2,Domain\User3 (and so on)
要为不属于本地管理员组成员的用户配置 DPM 恢复权限,请按照以下步骤操作:
使用属于本地管理员组成员的用户帐户登录到受 DPM 保护的客户端计算机。
打开注册表编辑器并导航到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Data Protection Manager\Agent\ClientProtection。右键单击 ClientProtection 项,选择新字符串值,并将新值命名为 ClientOwners。
- 双击 ClientOwner 以使用 Domain\User 格式添加单个用户,或添加以逗号分隔的多个用户。 确保列表中不使用任何前导或尾随空格。
注意
添加到注册表的非管理员用户仅有权访问添加用户后创建的恢复点。 之前创建的恢复点仅管理员可访问。