準備好部署 DPM 伺服器
開始部署 System Center Data Protection Manager (DPM) 伺服器之前,有幾個規劃步驟需要考慮:
規劃 DPM 伺服器部署 - 瞭解您需要多少 DPM 伺服器,以及放置位置。
規劃防火牆設定 - 如果您要設定防火牆、埠和通訊協議設定,請在 DPM 伺服器上取得防火牆、埠和通訊協定設定的相關信息,以及遠端 SQL Server。
授與用戶權力 - 指定誰可以與 DPM 互動。
規劃 DPM 伺服器部署
首先,判斷您需要多少部伺服器:
DPM 最多可以保護 600 個磁碟區。 若要保護此大小上限,DPM 每個 DPM 伺服器需要 120 TB。
單一 DPM 伺服器最多可以保護 2000 個資料庫(建議的磁碟大小 80 TB)。
單一 DPM 伺服器最多可以保護 3000 部用戶端電腦和 100 部伺服器。
- 針對 DPM 伺服器容量規劃,您可以使用 DPM 記憶體計算機。 這些計算機是 Excel 工作表,而且是工作負載特定的。 它們會引導您瞭解所需的 DPM 伺服器數目、處理器核心、RAM、虛擬記憶體建議,以及所需的記憶體容量。 由於這些計算機是工作負載特定的,因此您必須結合建議的設定,並將它們與系統需求和特定商務拓撲和需求結合在一起,包括數據源和記憶體位置、合規性和 SLA 需求,以及災害復原需求。 請注意,DPM 2010 的計算機已發行,但仍與更新版本的 DPM 版本相關。
然後找出如何找出伺服器:
DPM 必須部署在 Active Directory 網域中(Windows Server 2008 及更新版本)。
決定要在哪裡找到 DPM 伺服器時,請考慮 DPM 伺服器與受保護電腦之間的網路頻寬。 如果您要透過廣域網路 (WAN) 來保護資料,最低的網路頻寬需求為每秒 512 KB (Kbps)。
DPM 支援小組網路適配器 (NIC)。 組合 NIC 是多張實體介面卡,設定為要讓作業系統當成單一介面卡來處理。 小組 NIC 藉由結合可用的頻寬,使用每個適配卡,並在配接器失敗時故障轉移至其餘適配卡,以提供增加的頻寬。 DPM 可以使用 DPM 伺服器上的小組適配卡來增加的頻寬。
DPM 伺服器位置的另一個考慮是需要手動管理磁帶和磁帶媒體櫃,例如將新的磁帶新增至媒體櫃或移除異地封存的磁帶。
DPM 伺服器可以保護網域內或樹系內與 DPM 伺服器所在網域具有雙向信任關係之網域內的資源。 如果跨網域沒有雙向信任,您需要每個網域的個別 DPM 伺服器。 如果樹系之間有樹系層級的雙向信任,DPM 伺服器可以保護樹系之間的數據。
請考量 DPM 伺服器和受保護電腦之間的網路頻寬。 如果您要透過 WAN 保護數據,最低網路頻寬需求為 512 Kbps。 請注意,DPM 支援聯合 NIC,藉由結合每個網路適配器可用的頻寬,並在適配卡失敗時故障轉移,以提供增加頻寬的 NIC。
規劃防火牆設定和用戶權力
防火牆設定
DPM 伺服器的防火牆設定、您想要保護的機器,以及在遠端執行 DPM 資料庫的 SQL Server 上,都需要 DPM 部署的防火牆設定。 如果您在安裝 DPM 時啟用 Windows 防火牆,則 DPM 安裝程式會自動在 DPM 伺服器上設定防火牆設定。 下表摘要說明防火牆設定。
Location | 規則 | 詳細資料 | 通訊協定 | 連接埠 |
---|---|---|---|---|
DPM 伺服器 | System Center <版本> Data Protection Manager DCOM 設定 | 用於 DPM 伺服器與受保護電腦之間的 DCOM 通訊。 | DCOM | 135/TCP 動態 |
DPM 伺服器 | System Center <版本> Data Protection Manager | Msdpm.exe (DPM 服務) 的例外狀況。 在 DPM 伺服器上執行。 | 所有通訊協定 | 所有連接埠 |
DPM 伺服器 受保護的機器 |
System Center <版本> 數據保護管理複寫代理程式 | Dpmra.exe例外狀況(用來備份和還原數據的保護代理程序服務)。 在 DPM 伺服器和受保護的機器上執行。 | 所有通訊協定 | 所有連接埠 |
受保護的機器 | 設定sqserv.exe的傳入例外狀況 | |||
受保護的機器 | DPM 向保護代理程式發出命令,並使用對代理程式的 DCOM 呼叫。 您必須開啟上限埠 (1024-65535), DPM 才能進行通訊。 | DCOM | 135/TCP 動態 | |
受保護的機器 | DPM 數據通道是 TCP。 DPM 伺服器和受保護的機器都會起始連線。 DPM 會與連接埠 5718 上的代理程式協調員通訊,以及與連接埠 5719 上的保護代理程式通訊。 | TCP | 5718/TCP 5719/TCP |
|
受保護的機器 | 用於 DPM/受保護計算機與域控制器之間的主機名解析。 | DNS | 53/UDP | |
受保護的機器 | 用於驗證連接端點,在 DPM/受保護的電腦與域控制器之間。 | Kerberos | 88/UDP 88/TCP |
|
受保護的機器 | 用於 DPM 伺服器與域控制器之間的查詢。 | LDAP | 389/TCP 389/UDP |
|
受保護的機器 | 用於 1) DPM 與受保護電腦之間的其他作業,2) DPM 和域控制器 3) 受保護的機器和域控制器。 也用於直接裝載於 DPM 函式之 TCP/IP 上的 SMB。 | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
遠端 SQL Server | 針對 SQL Server 的 DPM 實例啟用 TCP/IP,如下所示:預設失敗稽核;啟用密碼原則檢查。 | |||
遠端 SQL Server | 針對 SQL Server 的 DPM 實例啟用sqservr.exe的傳入例外狀況,以允許埠 80 上的 TCP。 報表伺服器會在連接埠 80 上接聽 HTTP 要求。 | |||
遠端 SQL Server | 資料庫引擎的預設實例會接聽 TCP 連接埠 1443。 可以修改。 若要使用 SQL Server Browser 服務,在非預設埠集 UDP 埠 1434 上連線。 |
|||
遠端 SQL Server | SQL Server 的具名實例預設會使用動態埠。 可以修改。 | |||
遠端 SQL Server | 啟用 RPC |
授與用戶許可權
開始進行 DPM 部署之前,請確認適當的使用者已獲得執行各種工作所需的許可權。 下表將摘要說明這些報表:
DPM 工作 | 所需權限 |
---|---|
將 DPM 伺服器新增至網域 | 將工作站新增至網域的網域系統管理員帳戶或用戶權力 |
安裝 DPM | DPM 伺服器上的系統管理員帳戶 |
在您想要保護的電腦上安裝 DPM 保護代理程式 | 計算機上本機系統管理員群組中的網域帳戶 |
擴充AD架構以啟用用戶復原 | 網域的架構管理員許可權 |
建立AD容器以啟用用戶復原 | 網域系統管理員許可權 |
授與 DPM 伺服器變更容器內容的許可權 | 網域系統管理員許可權 |
在 DPM 伺服器上啟用終端用戶復原 | DPM 伺服器上的系統管理員帳戶 |
在受保護的計算機上安裝恢復點客戶端軟體 | 計算機上的系統管理員帳戶 |
從受保護的計算機存取舊版受保護的數據 | 具有受保護共用存取權的用戶帳戶 |
復原 SharePoint 數據 | SharePoint 伺服器陣組管理員,也是安裝保護代理程式之前端Web伺服器上的系統管理員。 |
注意
DPM 伺服器和受保護的計算機會使用DCOM進行通訊。 在 DPMRA 安裝期間,DPM 伺服器的帳戶會新增至 受保護計算機上的分散式 COM 使用者 安全組。
針對域控制器保護,將會為每個受保護的域控制器建立Active Directory安全組,名稱為 DPMRADCOMTRUSTEDMACHINES$DCNAME、DPMRADMTRUSTEDMACHINES$DCNAME 和 DPMRATRUSTEDDPMRAS$DCNAME。