準備好部署 DPM 伺服器
重要
此版本的 Data Protection Manager (DPM) 已終止支援。 建議您 升級至 DPM 2022。
開始部署 System Center Data Protection Manager (DPM) 伺服器之前,需要考慮幾個規劃步驟:
規劃 DPM 伺服器部署 - 了解您需要多少 DPM 伺服器和其位置。
規劃防火牆設定 - 如果您要設定防火牆、埠和通訊協議設定,請在 DPM 伺服器上取得防火牆、埠和通訊協定設定的相關信息、受保護的機器,以及遠端 SQL Server。
授與使用者權限 - 指定誰可以與 DPM 互動。
規劃 DPM 伺服器部署
首先,判斷您需要的伺服器數目:
DPM 可以保護多達 600 個磁碟區。 若要提供最大容量的保護,DPM 會需要每部 DPM 伺服器 120 TB。
單一 DPM 伺服器可以保護多達 2000 個資料庫 (建議的磁碟大小 80 TB)。
單一 DPM 伺服器可以保護多達 3000 部用戶端電腦和 100 部伺服器。
- 針對 DPM 伺服器容量規劃,您可以使用 DPM 記憶體計算機。 這些計算機是 Excel 工作表,而且是工作負載特定的。 它們會引導 DPM 伺服器數目、處理器核心、RAM、虛擬記憶體建議,以及所需的記憶體容量。 因為這些計算機是工作負載特定的,所以您必須結合建議的設定,並將它們與系統需求和特定的商務拓撲和需求一起考慮,包括數據源和記憶體位置、合規性和 SLA 需求,以及災害復原需求。 請注意,計算器是針對 DPM 2010 所發行的,但會在更新的 DPM 版本中保留相關項目。
接著了解如何放置伺服器︰
DPM 必須部署在 Active Directory 網域中 (Windows Server 2008 之後的版本)。
在決定 DPM 伺服器的置放位置時,請將 DPM 伺服器與受保護電腦之間的網路頻寬納入考量。 如果您要透過廣域網路 (WAN) 來保護資料,最低的網路頻寬需求為每秒 512 KB (Kbps)。
DPM 支援組合網路介面卡 (NIC)。 組合 NIC 是多張實體介面卡,設定為要讓作業系統當成單一介面卡來處理。 小組 NIC 藉由結合可用的頻寬,並在配接器失敗時故障轉移至其餘適配卡,以提供更高的頻寬。 DPM 可以使用 DPM 伺服器上的小組適配卡來增加達到的頻寬。
DPM 伺服器位置的另一個考慮是需要手動管理磁帶和磁帶媒體櫃,例如將新的磁帶新增至媒體櫃或移除異地封存的磁帶。
DPM 伺服器可以保護網域內的資源,或跨樹系內具有 DPM 伺服器所在網域的雙向信任關係。 如果沒有跨網域的雙向信任,則每個網域都必須有個別的 DPM 伺服器。 如果樹系之間具有樹系層級的雙向信任,則 DPM 伺服器可以跨樹系保護資料。
請考量 DPM 伺服器和受保護電腦之間的網路頻寬。 如果您要透過 WAN 保護數據,則網路頻寬需求下限為 512 Kbps。 請注意,DPM 支援小組 NIC,藉由結合每個網路適配器可用的頻寬,並在適配卡失敗時故障轉移,以提供更高的頻寬。
規劃防火牆設定和使用者權限
防火牆設定
在 DPM 伺服器上、您想要保護的電腦上,以及用於 DPM 資料庫的 SQL Server 上 (如果在遠端執行),需要部署 DPM 的防火牆設定。 如果您在安裝 DPM 時啟用 Windows 防火牆,DPM 安裝程式會自動在 DPM 伺服器上設定防火牆設定。 下表摘要說明這些防火牆設定。
| 位置 | 規則 | 詳細資料 | 通訊協定 | 連接埠 |
|---|---|---|---|---|
| DPM 伺服器 | System Center <版本> Data Protection Manager DCOM 設定 | 用於 DPM 伺服器與受保護機器之間的 DCOM 通訊。 | DCOM | 135/TCP 動態 |
| DPM 伺服器 | System Center <版本> Data Protection Manager | Msdpm.exe (DPM 服務) 的例外狀況。 在 DPM 伺服器上執行。 | 所有通訊協定 | 所有連接埠 |
| DPM 伺服器 受保護的電腦 |
System Center <版本數據保護管理複寫> 代理程式 | Dpmra.exe 的例外狀況 (用來備份和還原資料的保護代理程式服務)。 在 DPM 伺服器和受保護的機器上執行。 | 所有通訊協定 | 所有連接埠 |
| 受保護的電腦 | 設定 sqserv.exe 的傳入例外狀況 | |||
| 受保護的電腦 | DPM 會發出命令給保護代理程式,並使用對代理程式的 DCOM 呼叫。 您必須開啟上限埠 (1024-65535) ,DPM 才能進行通訊。 | DCOM | 135/TCP 動態 | |
| 受保護的電腦 | DPM 資料通道是 TCP。 DPM 伺服器和受保護的電腦都會起始連線。 DPM 會與連接埠 5718 上的代理程式協調員通訊,以及與連接埠 5719 上的保護代理程式通訊。 | TCP | 5718/TCP 5719/TCP |
|
| 受保護的電腦 | 用於 DPM/受保護計算機與域控制器之間的主機名解析。 | DNS | 53/UDP | |
| 受保護的電腦 | 用於驗證連接端點,在 DPM/受保護的機器與域控制器之間。 | Kerberos | 88/UDP 88/TCP |
|
| 受保護的電腦 | 用於 DPM 伺服器與域控制器之間的查詢。 | LDAP | 389/TCP 389/UDP |
|
| 受保護的電腦 | 用於下列兩者之間的其他操作 1) DPM 與受保護的電腦之間、2) DPM 與網域控制站之間 3) 受保護電腦和網域控制站之間。 也用於直接裝載於 DPM 函式之 TCP/IP 上的 SMB。 | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| 遠端 SQL Server | 使用下列命令啟用 #D84B86491CD2D4A909EB68ACD4A1D43A5 DPM 實例的 TCP/IP:預設失敗稽核;啟用密碼原則檢查。 | |||
| 遠端 SQL Server | 為 SQL Server 的 DPM 執行個體啟用 sqservr.exe 的傳入例外狀況,以允許連接埠 80 上的 TCP。 報表伺服器會在連接埠 80 上接聽 HTTP 要求。 | |||
| 遠端 SQL Server | 資料庫引擎的預設執行個體會在 TCP 連接埠 1443 上進行接聽。 可以進行修改。 若要使用 SQL Server Browser 服務,在非預設埠集 UDP 連接埠 1434 上連線。 |
|||
| 遠端 SQL Server | SQL Server 的具名執行個體預設會使用動態連接埠。 可以進行修改。 | |||
| 遠端 SQL Server | 啟用 RPC |
Grant user permissions
開始 DPM 部署之前,請確認已授與適當的使用者執行各種工作所需的許可權。 下表將摘要說明這些報表:
| DPM 工作 | 所需權限 |
|---|---|
| 將 DPM 伺服器新增至網域 | 將工作站新增至網域的網域系統管理員帳戶或用戶權力 |
| 安裝 DPM | DPM 伺服器上的系統管理員帳戶 |
| 在您想要保護的電腦上安裝 DPM 保護代理程式 | 計算機上本機系統管理員群組中的網域帳戶 |
| 擴充AD架構以啟用用戶復原 | 網域的架構系統管理員權限 |
| 建立AD容器以啟用用戶復原 | 網域系統管理員權限 |
| 將變更容器內容的權限授與 DPM 伺服器 | 網域系統管理員權限 |
| 在 DPM 伺服器上啟用用戶復原 | DPM 伺服器上的系統管理員帳戶 |
| 在受保護的計算機上安裝恢復點客戶端軟體 | 計算機上 管理員 帳戶 |
| 從受保護的計算機存取舊版受保護的數據 | 具備受保護共用存取權的使用者帳戶 |
| 復原 SharePoint 資料 | SharePoint 伺服器陣列管理員,同時也是已安裝保護代理程式之前端網頁伺服器上的管理員。 |
注意
DPM 伺服器和受保護的計算機會使用DCOM進行通訊。 在 DPMRA 安裝期間,DPM 伺服器的帳戶會新增至受保護計算機上的 分散式 COM 使用者 安全組。
針對域控制器保護,將會為每個受保護的域控制器建立Active Directory安全組,其名稱為 DPMRADCOMTRUSTEDMACHINES$DCNAME、 DPMRADMTRUSTEDMACHINES$DCNAME 和 DPMRATRUSTEDDPMRAS$DCNAME。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應