Подготовка к развертыванию серверов DPM
Перед развертыванием серверов System Center Data Protection Manager (DPM) необходимо выполнить несколько действий по планированию.
Планирование развертывания сервера DPM— узнайте, сколько серверов DPM вам потребуется и где их разместить.
Планирование параметров брандмауэра— получение сведений о параметрах брандмауэра, порта и протокола на сервере DPM, защищенных компьютерах и удаленном СЕРВЕРе SQL Server при настройке.
Предоставление разрешений пользователям. Укажите, кто может взаимодействовать с DPM.
Планирование развертывания сервера DPM
Сначала определите, сколько серверов потребуется:
DPM может защитить до 600 томов. Для защиты этого максимального размера DPM требуется 120 ТБ на сервер DPM.
Один сервер DPM может защитить до 2000 баз данных (рекомендуемый размер диска — 80 ТБ).
Один сервер DPM может защитить до 3000 клиентских компьютеров и 100 серверов.
- Для планирования емкости сервера DPM можно использовать калькуляторы хранилища DPM. Эти калькуляторы являются листами Excel и зависят от рабочей нагрузки. В них описывается количество необходимых серверов DPM, ядра процессора, ОЗУ, рекомендаций по виртуальной памяти и требуемой емкости хранилища. Так как эти калькуляторы зависят от рабочей нагрузки, вам потребуется объединить рекомендуемые параметры и рассмотреть их вместе с требованиями к системе и конкретной бизнес-топологией и требованиями, включая расположения источника данных и хранилища, требования соответствия и соглашения об уровне обслуживания, а также потребности аварийного восстановления. Обратите внимание, что калькуляторы были выпущены для DPM 2010, но остаются актуальными для более поздних версий DPM.
Затем выясните, как найти серверы:
DPM необходимо развернуть в домене Active Directory (Windows Server 2008 и более поздних версий).
При выборе расположения сервера DPM рассмотрите пропускную способность сети между сервером DPM и защищенными компьютерами. Если необходимо обеспечить защиту данных в глобальной сети (WAN), минимальная пропускная способность — 512 килобит в секунду (Кбит/с).
DPM поддерживает командные сетевые адаптеры (сетевые адаптеры). Объединенные сетевые адаптеры — это несколько физических адаптеров, настроенных так, чтобы операционная система рассматривала их как один. Объединенные сетевые адаптеры обеспечивают повышенную пропускную способность путем объединения доступной пропускной способности, используя каждый адаптер и отработку отказа на оставшийся адаптер при сбое адаптера. DPM может использовать увеличенную пропускную способность, достигнутую с помощью объединенного адаптера на сервере DPM.
Другой вопрос о расположении серверов DPM — это необходимость управления лентами и ленточными библиотеками вручную, например добавление новых лент в библиотеку или удаление лент для внесайтового архива.
Сервер DPM может защитить ресурсы в домене или между доменами в лесу с двусторонним отношением доверия с доменом, в который находится сервер DPM. Если между доменами нет двустороннего доверия, вам нужен отдельный сервер DPM для каждого домена. Сервер DPM может защитить данные между лесами, если между лесами существует двустороннее доверие на уровне леса.
Примите во внимание пропускную способность сети между сервером DPM и защищаемыми компьютерами. При защите данных по глобальной сети требуется минимальная пропускная способность сети в 512 КБ. Обратите внимание, что DPM поддерживает объединенные сетевые адаптеры, которые обеспечивают повышенную пропускную способность путем объединения пропускной способности для каждого сетевого адаптера и отработки отказа при сбое адаптера.
Планирование параметров брандмауэра и разрешений пользователя
Параметры брандмауэра
Параметры брандмауэра для развертывания DPM необходимы на сервере DPM, на компьютерах, которые необходимо защитить, и на SQL Server, используемом для базы данных DPM, если она выполняется удаленно. Если брандмауэр Windows включен при установке DPM, программа установки DPM автоматически настраивает параметры брандмауэра на сервере DPM. Параметры брандмауэра приведены в следующей таблице.
| Расположение | Правило | Сведения | Протокол | Порт |
|---|---|---|---|---|
| DPM-сервер | Параметр DCOM в Data Protection Manager для System Center <версия> | Используется для обмена данными DCOM между сервером DPM и защищенными компьютерами. | DCOM | 135/TCP, динамический |
| DPM-сервер | Data Protection Manager для System Center <версия> | Исключение для файла Msdpm.exe (служба DPM). Работает на сервере DPM. | Все протоколы | Все порты |
| DPM-сервер Защищенные компьютеры |
Агент репликации в Data Protection Manager для System Center <версия> | Исключение для Dpmra.exe (служба агента защиты, используемая для резервного копирования и восстановления данных). Выполняется на сервере DPM и защищенных компьютерах. | Все протоколы | Все порты |
| Защищенные компьютеры | Настройка входящего исключения для sqserv.exe | |||
| Защищенные компьютеры | Команда DPM выдает команду агенту защиты с вызовами DCOM к агенту. Для взаимодействия DPM необходимо открыть верхние порты (1024-65535). | DCOM | 135/TCP, динамический | |
| Защищенные компьютеры | Канал данных DPM — TCP. Сервер DPM и защищенные компьютеры инициируют подключения. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719. | TCP | 5718/TCP 5719/TCP |
|
| Защищенные компьютеры | Используется для разрешения имен узлов между DPM/защищенным компьютером и контроллером домена. | DNS | 53/UDP | |
| Защищенные компьютеры | Используется для проверки подлинности конечной точки подключения между DPM/защищенным компьютером и контроллером домена. | Kerberos | 88/UDP 88/TCP |
|
| Защищенные компьютеры | Используется для запросов между сервером DPM и контроллером домена. | LDAP | 389/TCP 389/UDP |
|
| Защищенные компьютеры | Используется для других операций между 1) DPM и защищенными компьютерами, 2) DPM и контроллером домена 3) Защищенные компьютеры и контроллер домена. Также используется для SMB, размещенного непосредственно на TCP/IP для функций DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Удаленный SQL Server | Включите TCP/IP для экземпляра DPM SQL Server следующим образом: аудит сбоя по умолчанию; включите проверку политики паролей. | |||
| Удаленный SQL Server | Включите входящее исключение для sqservr.exe для экземпляра DPM SQL Server, чтобы разрешить TCP через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80. | |||
| Удаленный SQL Server | Экземпляр ядра СУБД по умолчанию прослушивает TCP-порт 1443. Можно изменить. Чтобы использовать службу браузера SQL Server для подключения к порту, отличному от по умолчанию, UDP-порт 1434. |
|||
| Удаленный SQL Server | Именованный экземпляр SQL Server использует динамические порты по умолчанию. Можно изменить. | |||
| Удаленный SQL Server | Включение RPC |
Предоставление разрешений пользователям
Перед началом развертывания DPM убедитесь, что соответствующие пользователи получили необходимые привилегии для выполнения различных задач. Они представлены в таблице ниже.
| Задача DPM | Необходимые разрешения |
|---|---|
| Добавление сервера DPM в домен | Учетная запись администратора домена или пользователь, чтобы добавить рабочую станцию в домен |
| Установка DPM | Учетная запись администратора на сервере DPM |
| Установка агента защиты DPM на компьютере, который требуется защитить | Учетная запись домена, которая находится в группе локальных администраторов на компьютере |
| Расширение схемы AD для включения восстановления конечных пользователей | Права администратора схемы для домена |
| Создание контейнера AD для включения восстановления конечных пользователей | Права администратора домена |
| Предоставьте серверу DPM разрешение на изменение содержимого контейнера | Права администратора домена |
| Включение восстановления конечных пользователей на сервере DPM | Учетная запись администратора на сервере DPM |
| Установка клиентского программного обеспечения точки восстановления на защищенном компьютере | Учетная запись администратора на компьютере |
| Доступ к предыдущим версиям защищенных данных с защищенного компьютера | Учетная запись пользователя с доступом к защищенной общей папке |
| Восстановление данных SharePoint | Администратор фермы SharePoint, который также является администратором на интерфейсном веб-сервере, на котором установлен агент защиты. |
Примечание.
Сервер DPM и защищенный компьютер взаимодействуют с помощью DCOM. Во время установки DPMRA учетная запись сервера DPM добавляется в группу безопасности распределенных пользователей COM на защищенном компьютере.
Для защиты контроллера домена группы безопасности Active Directory будут созданы для каждого защищенного контроллера домена с именами DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME и DPMRATRUSTEDDPMRAS$DCNAME.