使用 DPM 和 MABS 的 Azure 資料箱進行離線植入
注意
此功能適用於 Data Protection Manager (DPM) 2019 UR2 (和更新版本) 和 MABS v3 UR2 (和更新版本)。
本文說明如何使用 Azure 資料箱,將初始備份資料從 DPM 和 MABS 離線植入至 Azure 復原服務保存庫。
您可以使用 Azure 資料箱,將大型初始 DPM/MABS 備份離線植入 (而不需要使用網路) 至復原服務保存庫。 此程序可節省時間和網路頻寬,否則在透過高延遲網路移動線上的大量備份資料時會耗用許多時間和頻寬。
以 Azure 資料箱進行離線備份,可根據 Azure 匯入/匯出服務進行離線備份,進而提供兩個不同的優點:
您不需要購買自己的 Azure 相容磁碟和連接器。 Azure 資料箱會隨附與特定資料箱 SKU 相關聯的磁碟。
Data Protection Manager (MARS 代理程式) 可以直接將備份數據寫入 Azure 資料箱支援的 SKU 上。 這項功能可讓您不需要為初始備份資料佈建暫存位置。 您也不需要公用程式來格式化資料,並將該資料複製到磁碟上。
支援的平台
以下是支援的平台:
- Windows Server 2019 64 位元 (Standard、Datacenter、Essentials)
- Windows Server 2016 64 位元 (Standard、Datacenter、Essentials)
備份資料大小和支援的資料箱 SKU
支援以下資料箱 SKU:
每個伺服器的備份資料大小 (MARS 壓縮之後)* | 支援的 Azure 資料箱 SKU |
---|---|
<= 7.2 TB | Azure 資料箱磁碟 |
> 7.2 TB 和 <= 80 TB** | Azure 資料箱 (100 TB) |
*一般的壓縮比率會有 10% 到 20% 的變動
**如果您預計單一資料來源的初始備份資料會超過 80 TB,請與 SystemCenterFeedback@microsoft.com 連絡。
重要
單一資料來源中的初始備份資料必須包含在單一 Azure 資料箱或 Azure 資料箱磁碟中,而且不能在相同或不同 SKU 的多個裝置之間共用。 然而,Azure 資料箱可能包含來自多部資料來源的初始備份。
開始之前
在 DPM/MABS 上執行的 MARS 代理程式應升級為最新版本 (2.0.9171.0 或更新版本)。
確認下列事項:
Azure 訂用帳戶和必要權限
有效的 Azure 訂閱。
想要執行離線備份原則的使用者必須是 Azure 訂用帳戶的擁有者。
請確定您有 建立Microsoft Entra 應用程式的必要許可權 。 離線備份工作流程會在與 Azure 儲存體 帳戶相關聯的訂用帳戶中建立Microsoft Entra 應用程式。 此應用程式允許 Azure 備份 服務對離線備份工作流程所需的 Azure 匯入服務進行安全且有範圍的存取。
資料箱作業以及需要植入資料的復原服務保存庫,必須可於相同的訂用帳戶中取得。
注意
建議您讓目標儲存體帳戶和復原服務保存庫位於相同的區域。 不過,這不是必要的動作。
訂購並接收資料箱裝置
在觸發離線備份之前,請確定所需的資料箱裝置處於 [已傳遞] 狀態。 請參閱備份資料大小和支援的資料箱 SKU來依您的需求訂購最適合的 SKU。 請遵循本文中的步驟訂購和接收您的資料箱裝置。
重要
請勿將 [帳戶類型] 選取為 [BlobStorage]。 DPM/MABS 伺服器需要支援分頁 Blob 的帳戶,但在選取 [BlobStorage] 時,不支援此選項。 為 Azure 資料箱作業建立目標儲存體帳戶時,請選取 [儲存體 V2 (一般用途 v2)] 做為 [帳戶種類]。
設定 Azure 資料箱裝置
當您收到 Azure 資料箱裝置之後,視您已訂購的 Azure 資料箱 SKU 而定,執行下列適當章節中的步驟,為 DPM/MABS 伺服器設定並準備資料箱裝置,以識別並傳輸初始備份資料。
設定 Azure 資料箱磁碟
如果您已訂購一或多個 Azure 資料箱磁碟 (每個磁碟高達 8 TB),請遵循此處所述的步驟,將您的資料箱磁碟開箱、連線及解除鎖定。
注意
DPM/MABS 伺服器可能沒有 USB 連接埠。 在這種情況下,您可以將 Azure 資料箱磁碟連接到另一個伺服器/用戶端,並將裝置的根目錄公開為網路共用。
設定 Azure 資料箱
如果您已訂購 Azure 資料箱 (最高100 TB),請遵循此處所述的步驟來設定您的資料箱。
將您的 Azure 資料箱掛接為本機系統
DPM/MABS 伺服器會在系統內容中運作,因此需要將相同層級的權限提供給 Azure 資料箱連接的掛接路徑。 請遵循下列步驟,以確保您可以使用 NFS 通訊協定,將資料箱裝置掛接為本機系統。
在 DPM/MABS 伺服器上啟用 Client for NFS 功能。 指定替代來源:WIM:D:\Sources\Install.wim:4
將 PSExec 從 https://download.sysinternals.com/files/PSTools.zip 下載至 DPM/MABS 伺服器。
開啟已提升權限的命令提示字元,然後執行下列命令,其中要以包含 PSExec.exe 的目錄作為目前的目錄。
psexec.exe -s -i cmd.exe
上述命令所開啟的命令視窗是在本機系統內容中。 請使用此命令視窗來執行步驟,以將 Azure 分頁 Blob 共用掛接為 Windows Server 上的網路磁碟機。
遵循此處的步驟,透過 NFS 將 DPM/MABS 伺服器連線至資料箱裝置,並在本機系統命令提示字元上執行下列命令,以掛接 Azure 分頁 Blob 共用:
mount -o nolock \\<DeviceIPAddres>\<StorageAccountName_PageBlob X:
掛接好之後,請檢查您是否可以從伺服器存取 X:。 如果可以,請繼續進行本文的下一節。
將初始備份資料傳輸到 Azure 資料箱裝置
在您的 DPM/MABS 伺服器上,依照下列步驟建立新的保護群組。 如果您要將線上保護新增至現有的保護群組,請以滑鼠右鍵按一下現有的保護群組,並選取 [新增線上保護],然後從步驟 8 開始。
在 [選取群組成員] 頁面上,指定您要備份的計算機和來源。
在 [選擇資料保護方式] 頁面上,指定短期與長期備份的處理方式。 確保您選取 [我要執行長期保護]。
在 [選取短期目標] 頁面上,指定您要如何備份到磁碟上的短期儲存體。
在 [檢閱磁碟配置] 頁面上,檢閱配置給保護群組的存放集區磁碟空間。
在 [選擇複本建立方法] 頁面上,選取 [自動透過網路]。
在 [選擇一致性檢查選項] 頁面上,選取要如何自動執行一致性檢查。
在 [ 指定在線保護數據 ] 頁面上,選取您想要啟用在線保護的成員。
在 [指定線上備份排程] 頁面上,指定增量備份至 Azure 的頻率。
在 [指定線上保留原則] 頁面上,您可以指定如何在 Azure 中保留根據每日/每週/每月/每年備份建立的復原點。
在精靈的 [選擇線上複寫] 畫面中,選擇選項 [使用 Microsoft 自有磁碟傳輸],並選取 [下一步]。
出現提示時,使用具有 Azure 訂用帳戶擁有者存取權的使用者認證來登入 Azure。 成功登入之後,會顯示下列畫面:
DPM/MABS 伺服器接著會在訂用帳戶中提取處於 [已傳遞] 狀態的資料箱作業。
注意
第一次登入時所需的時間比平時還要長。 Azure PowerShell 模組會在背景安裝,同時註冊 Microsoft Entra 應用程式。
- 已安裝下列 PowerShell 模組:
- AzureRM.Profile 5.8.3
- AzureRM.Resources 6.7.3
- AzureRM.Storage 5.2.0
- Azure.Storage 4.6.1 - Microsoft Entra 應用程式已註冊為使用者 < 的 AzureOfflineBackup_ > 物件 GUID。
- 已安裝下列 PowerShell 模組:
選取您已拆除包裝、連線並解除鎖定資料箱磁碟的正確資料箱訂單。 選取 [下一步]。
在 [偵測資料箱] 畫面中,輸入您的資料箱裝置路徑,然後選取 [偵測裝置]。
重要
提供 Azure 資料箱磁碟根目錄的網路路徑。 此目錄必須包含名稱為 PageBlob 的目錄,如下所示:
例如,如果磁碟的路徑是
\\mydomain\myserver\disk1\
,且 disk1 包含名稱為 PageBlob 的目錄,則 DPM/MABS 伺服器精靈提供的路徑為\\mydomain\myserver\disk1\
。 如果您已設定 Azure Data Box 100 TB 裝置,請提供以下內容做為裝置\\<DeviceIPAddress>\<StorageAccountName>_PageBlob
的網路路徑。選取 [下一步]。 在 [摘要] 頁面中,檢閱您的設定,並選取 [建立群組]。
下列畫面會確認已成功建立保護群組。
在上方畫面中,選取 [關閉]。
如此一來,資料的初始複寫會發生在 DPM/MABS 磁碟中。 完成保護後,[保護] 頁面上的群組狀態會顯示保護狀態為 [確定]。
若要讓您的 Azure 資料箱裝置起始離線備份複製,請以滑鼠右鍵按一下 [保護群組],然後選擇 [建立復原點] 選項。 您接著要選擇 [線上保護] 選項。
DPM/MABS 伺服器會開始將您選取的資料備份到 Azure 資料箱裝置。 這可能需要數小時到數天的時間,視 DPM/MABS 伺服器與 Azure 資料箱磁碟之間的資料大小和連線速度而定。
您可以在 [監視] 窗格中監控工作的狀態。 完成資料備份之後,您會看到類似以下的畫面:
備份後步驟
一旦成功幾資料備份至 Azure 資料箱磁碟,請遵循下列步驟。
遵循本文中的步驟,將 Azure 資料箱磁碟寄送至 Azure。 如果您使用 Azure 資料箱 100 TB 裝置,請遵循這些步驟將 Azure 資料箱寄送到 Azure。
在 Azure 入口網站中監視資料箱作業。 Azure 資料箱作業「完成」後,DPM/MABS 伺服器會在下次排程備份時,自動將資料從「儲存體帳戶」移至復原服務保存庫。 如果成功建立復原點,其便會將備份作業標示為 [作業完成]。
注意
DPM/MABS 伺服器會在保護群組建立期間,在排程時觸發備份。 不過,這些作業會標示為 [等候 Azure 資料箱作業完成],直到作業完成為止。
在 DPM/MABS 伺服器成功建立對應初始備份的復原點之後,您可以刪除與 Azure 資料箱作業相關聯的儲存體帳戶 (或特定內容)。
疑難排解
DPM 伺服器上的 Data Protection Manager 代理程式會在租使用者中為您建立Microsoft Entra 應用程式。 此應用程式需要憑證,才能在設定離線植入原則時建立和上傳驗證。
我們會使用 Azure PowerShell 來建立憑證,並上傳至 Microsoft Entra 應用程式。
問題
設定離線備份時,由於 Azure PowerShell Cmdlet 中的已知程式碼缺陷,您無法將多個憑證新增至 MAB 代理程式建立的相同 Microsoft Entra 應用程式。 如果您已針對相同或不同的伺服器設定離線植入原則,這會對您造成影響。
確認問題是否由這個特定根本原因所造成
若要確定失敗是因為上述問題,請執行下列其中一個步驟:
步驟 1
設定離線備份時,請檢查 DPM/MABS 主控台是否出現下列任一錯誤訊息:
因為無法將此伺服器的驗證資訊上傳至 Azure,所以無法為目前的 Azure 帳戶建立離線備份原則。 (識別碼:100242)
無法對 Azure 進行查詢匯入作業狀態與將備份資料移至復原服務保存庫所需的服務呼叫。 (識別碼:100230)
步驟 2
- 開啟安裝路徑中的 Temp 資料夾 (預設的 temp 資料夾路徑是 C:\Program Files\Microsoft Azure Recovery Services Agent\Temp。尋找 CBUICurr 檔案,然後開啟檔案。
- 在 CBUICurr 檔案中,捲動至最後一行,並檢查失敗是否是因為「無法在客戶的帳戶中建立 Microsoft Entra 應用程式認證」。 例外狀況:不允許使用 KeyId <some guid> 更新現有認證。
因應措施
若要解決此問題可執行下列步驟,然後重試原則設定。
使用在訂用帳戶上具有管理員存取權的其他帳戶,登入出現在 DPM/MABS 伺服器 UI 的 Azure 登入頁面,該帳戶將會建立資料箱作業。
如果沒有其他伺服器已設定離線植入,而且沒有其他伺服器相依於
AzureOfflineBackup_<Azure User Id>
應用程式,則會從 [Azure 入口網站] > [Microsoft Entra] > [應用程式註冊] 刪除此應用程式。注意
檢查應用程式
AzureOfflineBackup_<Azure User Id>
是否未設定任何其他離線植入,也沒有其他伺服器相依於此應用程式。 移至 [公開金鑰] 區段下的 [設定] > [金鑰]。 它不應該加入任何其他公開金鑰。 如需參考,請參閱下列螢幕擷取畫面:
步驟 3
在您嘗試設定離線備份的 DPM/MABS 伺服器上,執行下列動作:
開啟 [管理電腦憑證應用程式]> [個人] 索引標籤,然後尋找名稱為
CB_AzureADCertforOfflineSeeding_<ResourceId>
的憑證。選取上方的憑證,以滑鼠右鍵按一下 [所有工作] 和 [匯出],不需要用到私密金鑰,格式為 .cer。
移至第 2 點中所述的 Azure 離線備份應用程式。 在 [設定]>[金鑰]>[上傳公開金鑰] 中,上傳上述步驟中匯出的憑證。
在伺服器中,於執行視窗中輸入 regedit 以開啟登錄。
移至登錄 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider。 以滑鼠右鍵按一下 [CloudBackupProvider],並新增名稱為
AzureADAppCertThumbprint_<Azure User Id>
的新字串值。注意
若要取得 Azure 使用者識別碼,請執行下列其中一個動作:
- 從 Azure 連線的 PowerShell 中,執行
Get-AzureRmADUser -UserPrincipalName "Account Holder's email as defined in the portal"
命令。 - 導覽至名稱為 CurrentUserId 的登錄路徑
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\DbgSettings\OnlineBackup
。
- 從 Azure 連線的 PowerShell 中,執行
以滑鼠右鍵按一下上述步驟所新增的字串,然後選取 [修改]。 在此值中,提供您在第 2 點匯出的憑證指紋,然後選取 [確定]。
若要取得指紋的值,請按兩下憑證,然後選取 [詳細資料],並向下滾動到看到 [指紋] 欄位為止。 選取 [指紋],並複製值。