Vorbereiten der Sicherung von Workloads in Azure mit System Center DPM

In diesem Artikel wird erläutert, wie Sie System Center Data Protection Manager-Sicherungen (DPM) in Azure mithilfe des Azure Backup-Diensts vorbereiten.

Der Artikel enthält Folgendes:

• Eine Übersicht über die Bereitstellung von DPM mit Azure Backup
• Voraussetzungen und Einschränkungen für die Verwendung von Azure Backup mit DPM
• Schritte zum Vorbereiten von Azure, darunter das Einrichten eines Recovery Services-Sicherungstresors und das optionale Ändern des Typs von Azure Storage für den Tresor
• Schritte zum Vorbereiten des DPM-Servers, darunter der Download von Tresoranmeldeinformationen, das Installieren des Azure Backup-Agents und das Registrieren des DPM-Servers im Tresor
• Tipps zur Problembehandlung bei häufigen Fehlern

Gründe für die Sicherung von DPM in Azure

System Center DPM sichert Datei- und Anwendungsdaten. DPM interagiert mit Azure Backup wie folgt:

• Auf einem physischen Server oder lokalen virtuellen Computer ausgeführter DPM: Sie können Daten zusätzlich zu Sicherungen auf Festplatte und Band in einem Sicherungstresor in Azure sichern.
• Auf einem virtuellen Azure-Computer ausgeführter DPM: Sie können von System Center 2012 R2 mit Update 3 oder höher DPM auf einem virtuellen Azure-Computer bereitstellen. Sie können Daten auf mit dem virtuellen Computer verbundenen Azure-Datenträgern sichern oder die Daten mit Azure Backup in einem Sicherungstresor sichern.

Durch die Sicherung von DPM-Servern in Azure ergeben sich folgende Geschäftsvorteile:

• Für einen lokalen DPM bietet Azure Backup eine Alternative zur langfristigen Bereitstellung auf Band.
• Für einen auf einem virtuellen Azure-Computer ausgeführten DPM ermöglicht Azure Backup das Auslagern von Speicher vom Azure-Datenträger. Die Speicherung älterer Daten in einem Sicherungstresor ermöglicht den Ausbau Ihres Unternehmens, indem Sie neue Daten auf Datenträgern speichern.

Voraussetzungen und Einschränkungen

Einstellung	Anforderung
DPM auf einem virtuellen Azure-Computer	System Center 2012 R2 mit DPM 2012 R2 Updaterollup 3 oder höher.
DPM auf einem physischen Server	System Center 2012 SP1 oder höher, System Center 2012 R2.
DPM auf einem virtuellen Hyper-V-Computer	System Center 2012 SP1 oder höher, System Center 2012 R2.
DPM auf einem virtuellen VMware-Computer	System Center 2012 R2 mit Updaterollup 5 oder höher.
Komponenten	Auf dem DPM-Server müssen die Komponenten Windows PowerShell und .NET Framework 4.5 installiert sein.
Unterstützte Apps	Erfahren Sie, was DPM sichern kann.
Unterstützte Dateitypen	Diese Dateitypen können mit Azure Backup gesichert werden: Verschlüsselt (nur vollständige Sicherungen) Komprimiert (inkrementelle Sicherungen werden unterstützt) Platzsparend (inkrementelle Sicherungen werden unterstützt) Komprimiert und platzsparend (als platzsparend behandelt)
Nicht unterstützte Dateitypen	Server auf Dateisystemen, bei denen Groß-/Kleinschreibung unterschieden wird feste Links (übersprungen) Analysepunkte (übersprungen) verschlüsselt und komprimiert (übersprungen) verschlüsselt und platzsparend (übersprungen) Komprimierter Stream Stream analysieren
Lokaler Speicher	Jeder Computer, den Sie sichern möchten, muss mindestens 5 % der zu sichernden Datengröße als freien lokalen Speicher aufweisen. Beispielsweise erfordert das Sichern von 100GB an Daten mindestens 5GB freien Speicherplatz im Scratchverzeichnis.
Tresorspeicher	Es gibt keine Beschränkung der Datenmenge, die Sie in einem Azure Backup-Tresor sichern, aber die Größe einer Datenquelle (beispielsweise ein virtueller Computer oder eine Datenbank) darf 54.400 GB nicht überschreiten.
Azure ExpressRoute	Sie können Ihre Daten über Azure ExpressRoute mit öffentlichem Peering (verfügbar für alte Verbindungen) und Microsoft-Peering sichern. Die Sicherung über privates Peering wird nicht unterstützt. Bei öffentlichem Peering: Stellen Sie den Zugriff auf die folgenden Domänen/Adressen sicher: URLs: www.msftncsi.com .Microsoft.com .WindowsAzure.com .microsoftonline.com .windows.net www.msftconnecttest.com IP-Adressen 20.190.128.0/18 40.126.0.0/18 Mit Microsoft-Peering: Wählen Sie die folgenden Dienste, Regionen und relevanten Communitywerte aus: Microsoft Entra ID (12076:5060) – Microsoft Azure-Region (entsprechend dem Standort Ihres Recovery Services-Tresors) – Azure Storage (entsprechend dem Standort Ihres Recovery Services-Tresors) Weitere Informationen finden Sie unter ExpressRoute-Routinganforderungen. Hinweis: Öffentliches Peering gilt für neue Leitungen als veraltet.
Azure Backup-Agent	Wenn DPM in System Center 2012 SP1 ausgeführt wird, installieren Sie mindestens Updaterollup 2 für DPM SP1. Dies ist für die Installation des Agents erforderlich. In diesem Artikel wird beschrieben, wie Sie die neueste Version des Azure Backup-Agents, auch als MARS-Agent (Microsoft Azure Recovery Service) bezeichnet, bereitstellen. Wenn Sie eine frühere Version bereitgestellt haben, aktualisieren Sie sie auf die neueste Version, um sicherzustellen, dass die Sicherung wie erwartet funktioniert. Stellen Sie sicher, dass Ihr Server unter TLS 1.2 ausgeführt wird.

Vor dem Beginn benötigen Sie ein Azure-Konto mit aktiviertem Azure Backup-Feature. Wenn Sie über kein Konto verfügen, können Sie in nur wenigen Minuten ein kostenloses Testkonto erstellen. Erfahren Sie mehr über Preisgestaltung von Azure Backup.

Erstellen eines Recovery Services-Tresors

Ein Recovery Services-Tresor ist eine Verwaltungsentität, in der die im Laufe der Zeit erstellten Wiederherstellungspunkte gespeichert werden, und bietet eine Benutzeroberfläche zum Durchführen sicherungsbezogener Vorgänge. Zu diesen Vorgängen gehören das Erstellen von bedarfsgesteuerten Sicherungen, das Durchführen von Wiederherstellungen und das Erstellen von Sicherungsrichtlinien.

So erstellen Sie einen Recovery Services-Tresor

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie nach Backup Center, und navigieren Sie dann zum Dashboard Backup Center.

   

3. Wählen Sie im Bereich Übersicht die Option Tresor aus.

   

4. Wählen Sie Recovery Services-Tresor>Weiter aus.

   

5. Geben Sie im Bereich Recovery Services-Tresor die folgenden Werte ein:

   • Abonnement: Wählen Sie das zu verwendende Abonnement aus. Wenn Sie nur in einem Abonnement Mitglied sind, wird dessen Name angezeigt. Falls Sie nicht sicher sind, welches Abonnement geeignet ist, können Sie das Standardabonnement verwenden. Es sind nur dann mehrere Auswahlmöglichkeiten verfügbar, wenn Ihr Geschäfts-, Schul- oder Unikonto mehreren Azure-Abonnements zugeordnet ist.

   • Ressourcengruppe: Verwenden Sie eine vorhandene Ressourcengruppe, oder erstellen Sie eine neue Ressourcengruppe. Um eine Liste der verfügbaren Ressourcengruppen in Ihrem Abonnement anzuzeigen, wählen Sie Vorhandene verwenden und dann eine Ressource in der Dropdownliste aus. Zum Erstellen einer neuen Ressourcengruppe wählen Sie Neu erstellen aus und geben dann den Namen ein. Weitere Informationen zu Ressourcengruppen finden Sie unter Azure Resource Manager – Übersicht.

   • Tresorname: Geben Sie einen Anzeigenamen zum Identifizieren des Tresors ein. Der Name muss für das Azure-Abonnement eindeutig sein. Geben Sie einen Namen ein, der mindestens zwei, aber nicht mehr als 50 Zeichen enthält. Der Name muss mit einem Buchstaben beginnen und darf nur Buchstaben, Zahlen und Bindestriche enthalten.

   • Region: Wählen Sie die geografische Region für den Tresor aus. Damit Sie einen Tresor zum Schutz von Datenquellen erstellen können, muss sich der Tresor in derselben Region wie die Datenquelle befinden.

     Wichtig

     Wenn Sie den Speicherort der Datenquelle nicht kennen, schließen Sie das Fenster. Navigieren Sie zur Liste Ihrer Ressourcen im Portal. Falls Sie über Datenquellen in mehreren Regionen verfügen, erstellen Sie für jede Region einen Recovery Services-Tresor. Erstellen Sie den Tresor am ersten Speicherort, bevor Sie einen Tresor an einem weiteren Speicherort erstellen. Das Angeben von Speicherkonten zum Speichern der Sicherungsdaten ist nicht erforderlich. Der Recovery Services-Tresor und Azure Backup führen diesen Schritt automatisch aus.

   

6. Wählen Sie nach dem Angeben der Werte die Option Überprüfen + erstellen aus.

7. Um die Erstellung des Recovery Services-Tresors abzuschließen, wählen Sie Erstellen aus.

   Es kann einige Zeit dauern, denn Recovery Services-Tresor zu erstellen. Verfolgen Sie die Statusbenachrichtigungen rechts oben im Bereich Benachrichtigungen. Nach Abschluss des Erstellungsvorgangs wird der Tresor in der Liste mit den Recovery Services-Tresoren angezeigt. Wenn der Tresor nicht angezeigt wird, wählen Sie Aktualisieren aus.

   

Hinweis

Azure Backup unterstützt jetzt unveränderliche Tresore, mit denen Sie sicherstellen können, dass einmal erstellte Wiederherstellungspunkte nicht vor ihrem Ablauf gemäß der Sicherungsrichtlinie gelöscht werden können. Sie können die Unveränderlichkeit unumkehrbar machen, um Ihren Sicherungsdaten maximalen Schutz vor verschiedenen Bedrohungen zu bieten, einschließlich Ransomware-Angriffen und böswilligen Akteuren. Weitere Informationen

Anpassen von Speichereinstellungen

Sie haben die Wahl zwischen georedundantem Speicher und lokal redundantem Speicher.

• Standardmäßig verfügt Ihr Tresor über einen georedundanten Speicher.
• Behalten Sie den georedundanten Speicher bei, wenn der Tresor Ihre primäre Sicherung ist. Befolgen Sie die unten aufgeführten Schritte, um einen lokal redundanten Speicher zu konfigurieren, wenn Sie eine günstigere und weniger langfristige Option wünschen.
• Informieren Sie sich über Azure Storage sowie die georedundanten, lokal redundanten und zonenredundanten Speicheroptionen.
• Ändern Sie die Speichereinstellungen vor der ersten Sicherung. Wenn Sie ein Element bereits gesichert haben, beenden Sie die Sicherung im Tresor, bevor Sie Speichereinstellungen ändern.

So bearbeiten Sie die Einstellung für die Speicherreplikation:

1. Öffnen Sie das Dashboard des Tresors.

2. Wählen Sie unter Verwalten die Option Sicherungsinfrastruktur aus.

3. Wählen Sie im Menü Sicherungskonfiguration eine Speicheroption für den Tresor aus.

   

Herunterladen der Tresoranmeldedaten

Sie verwenden Anmeldeinformationen beim Registrieren des DPM-Servers im Tresor.

• Die Datei mit Tresoranmeldeinformationen ist ein Zertifikat, das vom Portal für jeden Sicherungstresor generiert wird.
• Das Portal lädt anschließend den öffentlichen Schlüssel in den Access Control Service (ACS) hoch.
• Während des Registrierungsworkflows für den Computer, wird der private Schlüssel des Zertifikats für den Benutzer zur Verfügung gestellt, der den Computer authentifiziert.
• Basierend auf der Authentifizierung sendet der Azure Backup-Dienst Daten an den festgelegte Tresor.

Bewährte Methoden für Tresoranmeldeinformationen

Um die Anmeldeinformationen abzurufen, laden Sie die Datei mit Tresoranmeldeinformationen über einen sicheren Kanal aus dem Azure-Portal herunter:

• Die Tresoranmeldeinformationen werden nur während des Registrierungsworkflows verwendet.
• Sie müssen sicherstellen, dass die Datei mit den Tresoranmeldeinformationen sicher aufbewahrt und nicht kompromittiert wird.
  • Wenn die Anmeldeinformationen verloren gehen, können die Anmeldeinformationen des Tresors zum Registrieren anderer Computer als Tresor verwendet werden.
  • Die Sicherungsdaten sind jedoch durch eine Passphrase verschlüsselt, die Ihnen gehört. Daher sind vorhandene Sicherungsdaten nicht gefährdet.
• Stellen Sie sicher, dass die Datei an einem Ort gespeichert wird, auf den vom DPM-Server aus zugegriffen werden kann. Wenn sie in einer Dateifreigabe/einem SMB gespeichert sind, überprüfen Sie die Zugriffsberechtigungen.
• Tresoranmeldeinformationen laufen nach 48 Stunden ab. Sie können so oft wie erforderlich neue Tresoranmeldeinformationen herunterladen. Allerdings kann nur die neueste Datei mit Tresoranmeldeinformationen während des Registrierungsworkflows verwendet werden.
• Der Azure Backup-Dienst kennt nicht den privaten Schlüssel des Zertifikats, und der private Schlüssel ist weder im Portal noch im Dienst verfügbar.

Laden Sie die Datei mit den Tresoranmeldeinformationen wie folgt auf einen lokalen Computer herunter:

1. Melden Sie sich beim Azure-Portal an.

2. Öffnen Sie den Tresor, in dem Sie den DPM-Server registrieren möchten.

3. Wählen Sie unter Einstellungen die Option Eigenschaften aus.

   

4. Wählen Sie unter Eigenschaften>Sicherungsanmeldeinformationen die Option Herunterladen aus. Das Portal generiert die Datei mit Tresoranmeldeinformationen über eine Kombination aus dem Tresornamen und dem aktuellen Datum und macht sie zum Download verfügbar.

   

5. Wählen Sie Speichern aus, um die Tresoranmeldeinformationen in den Ordner herunterzuladen, oder auf Speichern unter, um einen Speicherort anzugeben. Es dauert bis zu einer Minute, bis die Datei generiert ist.

Installieren des Backup-Agents

Auf jedem Computer, der von Azure Backup gesichert wird, muss der Backup-Agent (auch als MARS-Agent (Microsoft Azure Recovery Service) bezeichnet) installiert sein. Installieren Sie den Agent wie folgt auf dem DPM-Server:

1. Öffnen Sie den Tresor, in dem Sie den DPM-Server registrieren möchten.

2. Wählen Sie unter Einstellungen die Option Eigenschaften aus.

   

3. Laden Sie auf der Seite Eigenschaften den Azure Backup-Agent herunter.

   

4. Führen Sie nach dem Download „MARSAgentInstaller.exe“ aus, um den Agent auf dem DPM-Computer zu installieren.

5. Wählen Sie einen Installationsordner und einen Cacheordner für den Agent aus. Der freie Speicherplatz am Cachespeicherort muss mindestens 5 % der Sicherungsdaten umfassen.

6. Wenn Sie einen Proxyserver für die Verbindung mit dem Internet verwenden, geben Sie im Bildschirm Proxykonfiguration die Details des Proxyservers ein. Wenn Sie einen authentifizierten Proxy verwenden, geben Sie in diesem Bildschirm die Informationen zum Benutzernamen und zum Kennwort ein.

7. Der Azure Backup-Agent installiert .NET Framework 4.5 und Windows PowerShell (falls noch nicht geschehen), um die Installation abzuschließen.

8. Nachdem der Agent installiert ist, schließen Sie das Fenster.

   

Registrieren des DPM-Servers im Tresor

1. Wählen Sie in der DPM-Verwaltungskonsole >Verwaltung die Option Online aus. Wählen Sie Registrieren. Der Assistent zum Registrieren von Servern wird geöffnet.

2. Geben Sie unter Proxykonfiguration die erforderlichen Proxyeinstellungen an.

   

3. Navigieren Sie im Backup-Tresor zu der Datei mit Tresoranmeldeinformationen, die Sie heruntergeladen haben, und wählen Sie sie aus.

   

4. Unter Einstellung für die Bandbreiteneinschränkung können Sie optional die Bandbreitenbeschränkung für Sicherungen aktivieren. Sie können Geschwindigkeitsgrenzwerte für Arbeitsstunden und -tage festlegen.

   

5. Geben Sie unter Einstellungen für den Wiederherstellungsordner einen Speicherort an, der für die Datenwiederherstellung verwendet werden kann.

   • Azure Backup verwendet diesen Speicherort als temporären Aufbewahrungsbereich für wiederhergestellte Daten.
   • Nach Abschluss der Datenwiederherstellung bereinigt Azure Backup die Daten in diesem Bereich.
   • Der Speicherort muss ausreichend Speicherplatz für Elemente aufweisen, die voraussichtlich parallel wiederhergestellt werden.

   

6. Generieren Sie unter Verschlüsselungseinstellung eine Passphrase, oder geben Sie eine an.

   • Mithilfe der Passphrase werden die Sicherungen in der Cloud verschlüsselt.
   • Geben Sie mindestens 16 Zeichen ein.
   • Speichern Sie die Datei an einem sicheren Ort, da sie für die Wiederherstellung benötigt wird.

   

   Warnung

   Die Verschlüsselungspassphrase befindet sich in Ihrem Besitz, und Microsoft kann nicht auf sie zugreifen. Wenn die Passphrase verloren geht oder vergessen wird, kann Microsoft Ihnen bei der Wiederherstellung der Sicherungsdaten nicht behilflich sein.

7. Wählen Sie Registrieren aus, um den DPM-Server im Tresor zu registrieren.

Nach dem Registrieren des Servers beim Tresor können Sie mit der Sicherung in Microsoft Azure beginnen. Zum Sichern von Workloads in Azure müssen Sie die Schutzgruppe in der DPM-Verwaltungskonsole konfigurieren. Erfahren Sie, wie Sie Schutzgruppen bereitstellen.

Problembehandlung von Tresoranmeldeinformationen

Ablauffehler

Die Datei mit den Tresoranmeldeinformationen gilt nur für 48 Stunden (nachdem sie aus dem Portal heruntergeladen wurde). Wenn in diesem Bildschirm Fehler auftreten (z. B. „Datei mit Tresoranmeldeinformationen abgelaufen“), melden Sie sich beim Azure-Portal an, und laden Sie die Datei mit den Tresoranmeldeinformationen erneut herunter.

Zugriffsfehler

Stellen Sie sicher, dass die Datei mit den Tresoranmeldeinformationen an einem Speicherort verfügbar ist, der für die Setupanwendung zugänglich ist. Wenn Zugriffsfehler auftreten, kopieren Sie die Datei mit den Tresoranmeldeinformationen in einen temporären Speicherort auf diesem Computer, und wiederholen Sie den Vorgang.

Fehler durch ungültige Anmeldeinformationen

Wenn ein Fehler wegen ungültiger Tresoranmeldeinformationen angezeigt wird (z. B. „Ungültige Tresoranmeldeinformationen angegeben“), ist die Datei entweder beschädigt oder enthält nicht die aktuellen Anmeldeinformationen, die dem Wiederherstellungsdienst zugeordnet sind.

• Wiederholen Sie den Vorgang, nachdem Sie eine neue Datei mit Tresoranmeldeinformationen vom Portal heruntergeladen haben.
• Dieser Fehler tritt in der Regel auf, wenn Sie im Azure-Portal zweimal in schneller Folge die Option Tresoranmeldedaten herunterladen auswählen. In diesem Fall ist nur die zweite Datei mit Tresoranmeldeinformationen gültig.