Příprava na nasazení serverů DPM
Důležité
Tato verze Aplikace Data Protection Manager (DPM) dosáhla konce podpory. Doporučujeme upgradovat na DPM 2022.
Než začnete nasazovat servery aplikace System Center Data Protection Manager (DPM), je potřeba zvážit několik kroků plánování:
Plánování nasazení serveru aplikace DPM – spočítejte, kolik serverů DPM budete potřebovat a kam je umístíte.
Plánování nastavení brány firewall – Získejte informace o nastavení brány firewall, portu a protokolu na serveru DPM, chráněných počítačích a vzdáleném SQL Server, pokud ho nastavujete.
Udělení uživatelských oprávnění – určete, kdo může s DPM komunikovat.
Plánování nasazení serveru aplikace DPM
Nejprve určete, kolik serverů budete potřebovat:
Aplikace DPM dokáže chránit až 600 svazků. K ochraně této maximální velikost DPM potřebuje 120 TB na každý server DPM.
Jeden server DPM dokáže chránit až 2000 databází (doporučená velikost disku 80 TB).
Jeden server DPM dokáže chránit až 3000 klientských počítačů a 100 serverů.
- Pro plánování kapacity serveru DPM můžete použít kalkulačky úložiště DPM. Tyto kalkulačky jsou excelové listy a jsou specifické pro konkrétní úlohy. Provedou vás počtem požadovaných serverů DPM, jádrem procesoru, pamětí RAM, doporučeními virtuální paměti a požadovanou kapacitou úložiště. Vzhledem k tomu, že tyto kalkulačky jsou specifické pro konkrétní úlohy, budete muset zkombinovat doporučená nastavení a zvážit je společně s požadavky na systém a konkrétní obchodní topologií a požadavky, včetně zdrojů dat a umístění úložiště, požadavků na dodržování předpisů a sla a požadavků na zotavení po havárii. Všimněte si, že kalkulačky se objevily pro verzi DPM 2010, ale zůstávají v platnosti i pro novější verze DPM.
Potom se zamyslete nad umístěním serverů:
DPM musíte nasadit v doméně služby Active Directory (Windows Server 2008 a novější).
Při rozhodování, kam server DPM umístit, berte v úvahu šířku pásma sítě mezi serverem DPM a chráněnými počítači. Pokud chráníte data prostřednictvím sítě WAN (wide area network), existuje požadavek na minimální šířku pásma sítě o hodnotě 512 kilobitů za sekundu (Kbps).
DPM podporuje seskupování síťových adaptérů (NIC). NIC sdružené do týmu je více fyzických adaptérů, které jsou nakonfigurovány tak, aby s nimi operační systém jednal jako s jedním adaptérem. Seskupené síťové karty poskytují větší šířku pásma kombinováním dostupné šířky pásma, používáním jednotlivých adaptérů a převzetím služeb při selhání zbývajícího adaptéru při selhání adaptéru. DPM může využívat větší šířku pásma dosaženou pomocí seskupovaného adaptéru na serveru DPM.
Dalším aspektem umístění serverů DPM je potřeba spravovat pásky a knihovny pásek ručně, například přidání nových pásek do knihovny nebo odebrání pásek pro archiv mimo pracoviště.
Server DPM může chránit prostředky v rámci domény nebo napříč doménami v rámci doménové struktury, která má obousměrný vztah důvěryhodnosti s doménou, ve které se nachází server DPM. Pokud mezi doménami není obousměrný vztah důvěryhodnosti, potřebujete samostatný server DPM pro každou doménu. Server DPM dokáže chránit data v rámci doménové struktury, pokud mezi doménovými strukturami existuje obousměrný vztah důvěryhodnosti.
Zvažte šířku pásma sítě mezi chráněnými počítači a serverem DPM. Pokud chráníte data přes síť WAN, je potřeba minimální šířka pásma sítě 512 kb/s. Všimněte si, že DPM podporuje seskupené síťové karty, které poskytují větší šířku pásma kombinováním šířky pásma dostupné pro každý síťový adaptér a převzetí služeb při selhání v případě selhání adaptéru.
Plánování nastavení brány firewall a uživatelských oprávnění
Nastavení brány firewall
Nastavení brány firewall pro nasazení DPM se vyžadují na serveru DPM, na počítačích, které chcete chránit, a na SQL Serveru, který používáte pro databázi DPM (pokud ji používáte vzdáleně). Pokud je při instalaci aplikace DPM povolena brána Windows Firewall, pak instalační program APLIKACE DPM automaticky nakonfiguruje nastavení brány firewall na serveru DPM. Tato nastavení brány firewall jsou shrnutá v následující tabulce.
| Umístění | Pravidlo | Podrobnosti | Protokol | Port |
|---|---|---|---|---|
| Server DPM | System Center <Version> Data Protection Manager – Nastavení modelu DCOM | Používá se pro komunikaci DCOM mezi serverem DPM a chráněnými počítači. | DCOM | 135/TCP Dynamic |
| Server DPM | System Center <Verze> Data Protection Manageru | Výjimka pro Msdpm.exe (služba DPM) Běží na serveru DPM. | Všechny protokoly | Všechny porty |
| Server DPM Chráněné počítače |
Verze system Center <> Data Protection Management Replication Agent | Výjimka pro Dpmra.exe (služba agenta ochrany pro zálohování a obnovení dat). Spustí se na serveru DPM a chráněných počítačích. | Všechny protokoly | Všechny porty |
| Chráněné počítače | Konfigurace příchozí výjimky pro sqserv.exe | |||
| Chráněné počítače | APLIKACE DPM vydá agentu ochrany příkaz s voláním modelu DCOM agenta. Abyste mohli komunikovat, budete muset otevřít horní porty (1024–65535). | DCOM | 135/TCP Dynamic | |
| Chráněné počítače | Datovým kanálem DPM je TCP. Server DPM a chráněné počítače spustí připojení. Aplikace DPM komunikuje s koordinátorem agenta prostřednictvím portu 5718 a s agentem ochrany prostřednictvím portu 5719. | TCP | 5718/TCP 5719/TCP |
|
| Chráněné počítače | Používá se k překladu názvů hostitelů mezi DPM nebo chráněným počítačem a řadičem domény. | DNS | 53/UDP | |
| Chráněné počítače | Používá se k ověřování koncového bodu připojení mezi DPM nebo chráněným počítačem a řadičem domény. | Kerberos | 88/UDP 88/TCP |
|
| Chráněné počítače | Používá se pro dotazy mezi serverem DPM a řadičem domény. | LDAP | 389/TCP 389/UDP |
|
| Chráněné počítače | Slouží k různým operacím mezi 1) DPM a chráněnými počítači, 2) DPM a řadičem domény a mezi 3) chráněnými počítači a řadičem domény. Používá se také pro protokol SMB přímo hostovaný na protokolu TCP/IP pro funkce DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Vzdálený SQL Server | Povolte protokol TCP/IP pro instanci aplikace DPM SQL Server s následujícími možnostmi: výchozí audit selhání; povolte kontrolu zásad hesel. | |||
| Vzdálený SQL Server | Povolte příchozí výjimku pro sqservr.exe pro instanci DPM instanci na SQL Serveru tak, aby na portu 80 byl povolený protokol TCP. Server sestav čeká na požadavky HTTP na portu 80. | |||
| Vzdálený SQL Server | Výchozí instance databázového stroje naslouchá na portu TCP 1443. Je možné upravit. Pokud chcete použít službu SQL Server Browser pro připojení na nevýchozím portu, nastavte port UDP 1434. |
|||
| Vzdálený SQL Server | Pojmenovaná instance SQL Serveru ve výchozím nastavení používá dynamické porty. Je možné upravit. | |||
| Vzdálený SQL Server | Povolení RPC |
Udělení uživatelských oprávnění
Před zahájením nasazení aplikace DPM ověřte, že příslušní uživatelé mají udělená požadovaná oprávnění k provádění různých úloh. V následující tabulce je jejich přehled.
| Úkol DPM | Potřebná oprávnění |
|---|---|
| Přidání serveru DPM do domény | Účet správce domény nebo uživatelské právo pro přidání pracovní stanice do domény |
| Instalace aplikace DPM | Účet správce na serveru DPM |
| Instalace agenta ochrany aplikace DPM na počítač, který chcete chránit | Účet domény, který je na počítači ve skupině místních správců |
| Rozšíření schématu AD pro povolení obnovení koncových uživatelů | Oprávnění správce schématu v doméně |
| Vytvoření kontejneru AD pro povolení obnovení koncového uživatele | Oprávnění správce domény |
| Udělení oprávnění serveru DPM ke změně obsahu kontejneru | Oprávnění správce domény |
| Povolení obnovení koncového uživatele na serveru DPM | Účet správce na serveru DPM |
| Instalace klientského softwaru bodu obnovení na chráněný počítač | Správa účtu na počítači |
| Přístup k předchozím verzím chráněných dat z chráněného počítače | Uživatelský účet s přístupem k chráněné sdílené složce |
| Obnovení dat SharePointu | Správce farmy SharePointu, který je také správcem na front-endovém webovém serveru, na kterém je nainstalovaný agent ochrany. |
Poznámka
Server DPM a chráněný počítač komunikují pomocí modelu DCOM. Během instalace aplikace DPMRA se účet serveru DPM přidá do skupiny zabezpečení Distributed COM Users na chráněném počítači.
Pro ochranu řadiče domény se vytvoří skupiny zabezpečení služby Active Directory pro každý z chráněných řadičů domény s názvy DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME a DPMRATRUSTEDDPMRAS$DCNAME.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro