Vorbereiten auf die Bereitstellung von DPM-Servern

Wichtig

Diese Version von Data Protection Manager (DPM) hat das Supportende erreicht. Sie sollten ein Upgrade auf DPM 2019 durchführen.

Es müssen einige Planungsschritte berücksichtigt werden, bevor Sie mit der Bereitstellung Ihrer System Center Data Protection Manager-Server (DPM) beginnen:

Plan zur Bereitstellung von DPM-Servern

Ermitteln Sie zunächst, wie viele Server Sie benötigen:

  • DPM kann bis zu 600 Volumes schützen. Zum Schutz dieser Maximalgröße benötigt DPM 120 TB pro DPM-Server.

  • Ein DPM-Server kann bis zu 2000 Datenbanken schützen (empfohlene Datenträgergröße von 80 TB).

  • Ein einzelner DPM-Server kann bis zu 3000 Clientcomputer und 100 Server schützen.

    • Für die Kapazitätsplanung für den DPM-Server können Sie die DPM-Speicherberechnung verwenden. Diese Rechner sind Excel-Tabellen und gelten für Arbeitsauslastungen. Sie bieten Anleitungen zur Anzahl der erforderlichen DPM-Server, zum Prozessorkern, RAM und zu den Empfehlungen für den virtuellen Speicher und die erforderliche Speicherkapazität. Da diese Rechner für Arbeitsauslastungen gelten, müssen Sie die empfohlenen Einstellungen kombinieren und diese zusammen mit den Systemanforderungen sowie Ihrer bestimmten Unternehmenstopologie und den entsprechenden Anforderungen berücksichtigen, einschließlich Datenquelle und Speicherorte, Kompatibilität und SLA-Anforderungen und Anforderungen an die Notfallwiederherstellung. Diese Rechner wurden für DPM 2010 veröffentlicht, bleiben aber für nachfolgende DPM-Versionen relevant.

Ermitteln Sie dann, wie Sie die Server finden:

  • DPM muss in einer Active Directory-Domäne (Windows Server 2008 oder höher) bereitgestellt werden.

  • Berücksichtigen Sie bei der Entscheidung über den Standort des DPM-Servers die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Daten über ein Wide Area Network (WAN) geschützt werden, ist eine Netzwerkbandbreite von mindestens 512 kBit/s erforderlich.

  • Von DPM werden Netzwerkschnittstellenkarten (NIC) unterstützt, die in einem Team verwendet werden. In einem Team verwendete NIC sind mehrere physische Adapter, die so konfiguriert wurden, dass sie vom Betriebssystem als einzelner Adapter behandelt werden. In einem Team verwendete NIC bieten eine erhöhte Bandbreite, da die je Adapter verfügbare Bandbreite kombiniert wird. Bei einem Adapterausfall wird ein Failover zum verbleibenden Adapter ausgeführt. Die erhöhte Bandbreite, die sich aus der Verwendung von Adaptern in einem Team ergibt, kann von DPM auf dem DPM-Server genutzt werden.

  • Des Weiteren sollten Sie bei der Standortwahl des DPM-Servers die Notwendigkeit der manuellen Verwaltung von Bändern und Bandbibliotheken, wie Einfügen neuer Bänder in die Bibliothek oder Entfernen von Bändern aus dem externen Archiv, berücksichtigen.

  • Ein DPM-Server kann Ressourcen in einer Domäne oder zwischen Domänen innerhalb einer Gesamtstruktur schützen, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet. Wenn keine bidirektionale Vertrauensstellung zwischen Domänen vorhanden ist, benötigen Sie für jede Domäne einen separaten DPM-Server. Ein DPM-Server kann Daten gesamtstrukturübergreifend schützen, wenn zwischen den Gesamtstrukturen eine bidirektionale Vertrauensstellung auf Gesamtstrukturebene besteht.

  • Betrachten Sie die Netzwerkbandbreite zwischen dem DPM-Server und den geschützten Computern. Wenn Sie Daten über ein WAN schützen, ist mindestens eine Netzwerkbandbreite von 512 KBit/s erforderlich. Beachten Sie, dass DPM in einem Team verwendete Netzwerkkarten unterstützt, die durch die Kombination der verfügbaren Bandbreite für jeden Netzwerkadapter eine höhere Bandbreite sowie ein Failover (falls ein Adapter ausfällt) bieten.

Planen von Firewalleinstellungen und Benutzerberechtigungen

Firewalleinstellungen

Firewalleinstellungen für die DPM-Bereitstellung sind auf dem DPM-Server, auf zu schützenden Computern und auf dem SQL Server für die DPM-Datenbank erforderlich, wenn die Ausführung remote erfolgt. Wenn die Windows-Firewall beim Installieren von DPM aktiviert ist, konfiguriert das DPM-Setupprogramm die Firewalleinstellungen auf dem DPM-Server automatisch. Die Firewalleinstellungen sind in der folgenden Tabelle zusammengefasst.

Standort Regel Details Protokoll Port
DPM-Server System Center Data Protection Manager DCOM-Einstellung Verwendet für die DCOM-Kommunikation zwischen dem DPM-Server und geschützten Computern. DCOM 135/TCP Dynamic
DPM-Server System Center Data Protection Manager Ausnahme für Msdpm.exe (der DPM-Dienst). Wird auf dem DPM-Server ausgeführt. Alle Protokolle Alle Ports
DPM-Server

Geschützte Computer
System Center Data Protection Management Replikations-Agent Ausnahme für „Dpmra.exe“ (Schutz-Agent-Dienst für das Sichern und Wiederherstellen von Daten). Wird auf dem DPM-Server und geschützten Computern ausgeführt. Alle Protokolle Alle Ports
Geschützte Computer Konfigurieren der eingehenden Ausnahme für sqserv.exe
Geschützte Computer DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent erfolgen. Sie müssen die oberen Ports (1024 bis 65535) für die Kommunikation mit DPM öffnen. DCOM 135/TCP Dynamic
Geschützte Computer Der DPM-Datenkanal verwendet TCP. Sowohl der DPM-Server als auch die geschützten Computer stellen Verbindungen her. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719. TCP 5718/TCP

5719/TCP
Geschützte Computer Verwendet für die Hostnamensauflösung zwischen DPM/geschütztem Computer und dem Domänencontroller DNS 53/UDP
Geschützte Computer Verwendet für die Authentifizierung des Verbindungsendpunkts, zwischen DPM/geschütztem Computer und dem Domänencontroller Kerberos 88/UDP

88/TCP
Geschützte Computer Verwendet für Abfragen zwischen dem DPM-Server und dem Domänencontroller LDAP 389/TCP

389/UDP
Geschützte Computer Verwendet für sonstige Vorgänge zwischen 1) DPM und geschützten Computern, 2) DPM und dem Domänencontroller 3) geschützten Computern und dem Domänencontroller. Auch verwendet für direkt auf TCP/IP gehostetem SMB für DPM-Funktionen NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
Remotecomputer mit SQL Server Aktivieren Sie TCP/IP für die DPM-Instanz von SQL Server mit Folgendem: Standardeinstellung für Fehlerüberwachung; Kennwortrichtlinienprüfung aktivieren
Remotecomputer mit SQL Server Aktivieren Sie eine eingehende Ausnahme für „sqservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80 nach HTTP-Anforderungen.
Remotecomputer mit SQL Server Die Standardinstanz der Datenbank-Engine lauscht an TCP-Port 1443. Kann geändert werden

Um den SQL Server-Browserdienst für die Verbindung am nicht standardmäßigen Port zu verwenden, legen Sie UDP-Port 1434 fest.
Remotecomputer mit SQL Server Eine benannte Instanz von SQL Server verwendet standardmäßig dynamische Ports. Kann geändert werden
Remotecomputer mit SQL Server Aktivieren von RPC

Erteilen von Benutzerberechtigungen

Bevor Sie mit einer DPM-Bereitstellung beginnen, müssen Sie überprüfen, ob entsprechende Benutzer über die erforderlichen Berechtigungen zur Ausführung verschiedener Aufgaben verfügen. Diese werden in der folgenden Tabelle zusammengefasst.

DPM-Aufgabe Berechtigungen erforderlich
Hinzufügen des DPM-Servers zu einer Domäne Domänenadministratorkonto oder Benutzerberechtigung zum Hinzufügen einer Arbeitsstation zu einer Domäne
Installieren von DPM Administratorkonto auf dem DPM-Server
Installieren des DPM-Schutz-Agents auf dem zu schützenden Computer Domänenkonto in der lokalen Administratorengruppe auf dem Computer
Erweitern des AD-Schemas zum Aktivieren der Endbenutzerwiederherstellung Schemaadministratorrechte für die Domäne
Erstellen eines AD-Containers zum Aktivieren der Endbenutzerwiederherstellung Domänenadministratorrechte
Gewähren der Berechtigung zum Ändern der Containerinhalte durch den DPM-Server Domänenadministratorrechte
Aktivieren der Endbenutzerwiederherstellung auf dem DPM-Server Administratorkonto auf dem DPM-Server
Installieren der Wiederherstellungspunkt-Clientsoftware auf dem geschützten Computer Administratorkonto auf dem Computer
Zugreifen auf vorherige Versionen der geschützten Daten von einem Clientcomputer aus Benutzerkonto mit Zugriff auf die geschützte Freigabe
Wiederherstellen von SharePoint-Daten SharePoint-Farmadministrator, der auch Administrator auf dem Front-End-Webserver ist, auf dem der Schutz-Agent installiert ist.

Hinweis

Der DPM-Server und der geschützte Computer kommunizieren mithilfe von DCOM. Während der Installation von DPMRA wird das Konto des DPM-Servers zur Sicherheitsgruppe Distributed COM-Benutzer auf dem geschützten Computer hinzugefügt.

Für den Domänencontrollerschutz werden für jeden geschützten Domänencontroller Active Directory-Sicherheitsgruppen mit den Namen DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME und DPMRATRUSTEDDPMRAS$DCNAME erstellt.