Azure Data Box を使用したオフライン シード処理 (プレビュー)

  • [アーティクル]

Note

この機能は、Data Protection Manager (DPM) 2019 UR2 以降に適用されます。

この記事では、Azure Data Box を使用して、オフラインで DPM から Azure Recovery Services コンテナーに初期バックアップ データをシードする方法について説明します。

Azure Data Box を使用して、(ネットワークを使用せずに) オフラインで大規模な初期 DPM バックアップを Recovery Services コンテナーにシードすることができます。 このプロセスにより、待機時間の長いネットワークを介して大量のバックアップ データをオンラインで移動する場合に消費される時間とネットワーク帯域幅の両方を節約することができます。 現在、この機能はプレビュー段階にあります。

Azure Data Box に基づくオフライン バックアップには、Azure Import/Export サービスに基づくオフライン バックアップに比べて、次の 2 つの利点があります。

  • Azure と互換性のある独自のディスクとコネクタを調達する必要はありません。 Azure Data Box では、選択された Data Box SKU に関連するディスクを発送します。

  • Azure Backup (MARS エージェント) は、Azure Data Box のサポートされている SKU に直接バックアップ データを書き込むことができます。 この機能を使うと、初期バックアップ データのステージング場所をプロビジョニングする必要がなくなります。 また、そのデータをフォーマットしてディスクにコピーするためのユーティリティも必要ありません。

サポートされているプラットフォーム

次のプラットフォームがサポートされています。

  • Windows Server 2019 64 ビット (Standard、Datacenter、Essentials)
  • Windows Server 2016 64 ビット (Standard、Datacenter、Essentials)

バックアップ データのサイズとサポートされている Data Box SKU

次の Data Box SKU がサポートされています。

サーバー 1 台あたりのバックアップ データ サイズ (MARS による圧縮後)* サポートされている Azure Data Box SKU
<= 7.2 TB Azure Data Box Disk
> 7.2 TB かつ <= 80 TB** Azure Data Box (100 TB)

* 一般的な圧縮率は 10 - 20% の間になります
** 1 つのデータ ソースの初期バックアップ データが 80 TB を超えると予想される場合は、SystemCenterFeedback@microsoft.com にご連絡ください。

重要

1 つのデータ ソースからの初期バックアップ データは、1 つの Azure Data Box または Azure Data Box ディスク内に含まれている必要があり、同じ SKU または異なる SKU の複数のデバイス間で共有することはできません。 しかし、Azure Data Box には、複数のデータ ソースからの初期バックアップが含まれている場合があります。

開始する前に

DPM で実行されている MARS エージェントは、最新バージョン (2.0.9171.0 以降) にアップグレードする必要があります。

以下のことを確認してください。

Azure サブスクリプションと必要なアクセス許可

  • 有効な Azure サブスクリプション。
  • オフライン バックアップ ポリシーを実行しようとしているユーザーは、Azure サブスクリプションの所有者である必要があります。
  • データをシード処理する必要がある Data Box ジョブと Recovery Services コンテナーは、同じサブスクリプションで使用できる必要があります。

    Note

    ターゲット ストレージ アカウントと Recovery Services コンテナーは同じリージョンに配置することをお勧めします。 ただし、これは必須ではありません。

Data Box デバイスを注文して受け取る

オフライン バックアップをトリガーする前に、必要な Data Box デバイスが確実に "配信済み" 状態であるようにします。 要件に最適な SKU を注文する場合は、「バックアップ データのサイズとサポートされている Data Box SKU」を参照してください。 Data Box デバイスを注文して受け取るには、こちらの記事の手順に従ってください。

重要

[アカウントの種類] には [BlobStorage] を選択しないでください。 DPM サーバーには、 BlobStorage が選択されている場合はサポートされないページ BLOB をサポートするアカウントが必要です。 Azure Data Box ジョブのターゲット ストレージ アカウントを作成する際は、[アカウントの種類] として [StorageV2 (汎用 V2)] を選択します。

[Azure のセットアップ] データ ボックスを示すスクリーンショット。

Azure Data Box デバイスをセットアップする

Azure Data Box デバイスを受け取ったら、注文した Azure Data Box SKU に応じて、以下の適切なセクションの手順を実行して、初期バックアップ データを識別して転送するための Data Box デバイスをセットアップして準備します。

Azure Data Box Disk をセットアップする

1 つまたは複数の Azure Data Box Disk (それぞれ最大 8 TB) を注文した場合は、こちらに記載されている手順に従って、Data Box Disk を開梱、接続、ロック解除してください。

Note

DPM に USB ポートがない可能性があります。 このようなシナリオでは、Azure Data Box Disk を別のサーバーまたはクライアントに接続し、デバイスのルートをネットワーク共有として公開することができます。

Azure Data Box をセットアップする

Azure Data Box (最大 100 TB) を注文した場合は、こちらに記載されている手順に従って Data Box を設定してください。

ローカル システムとして Azure Data Box をマウントする

DPM サーバーはシステム コンテキストで動作するため、Azure Data Box が接続されているマウント パスに提供されるのと同じレベルの特権が必要です。 次の手順に従って、NFS プロトコルを使用して Data Box デバイスをローカル システムとしてマウントできることを確認します。

  1. DPM サーバーで NFS クライアント機能を有効にします。 次の代替ソースを指定します: WIM:D:\Sources\Install.wim:4

  2. https://download.sysinternals.com/files/PSTools.zip から DPM サーバーに PSExec をダウンロードします。

  3. 管理者特権でのコマンド プロンプトを開き、現在のディレクトリとして PSExec.exe を含むディレクトリを使用して、次のコマンドを実行します。

    psexec.exe  -s  -i  cmd.exe

  4. 上記のコマンドの結果として開かれるコマンド ウィンドウは、ローカル システム コンテキストにあります。 このコマンド ウィンドウを使用して、Azure ページ BLOB 共有を Windows サーバーのネットワーク ドライブとしてマウントする手順を行います。

  5. こちらの手順に従って、DPM サーバーを NFS 経由で Data Box デバイスに接続し、ローカル システムのコマンド プロンプトで次のコマンドを実行して Azure ページ BLOB 共有をマウントします。

    mount -o nolock \\<DeviceIPAddres>\<StorageAccountName_PageBlob X:

  6. マウントしたら、お使いのサーバーから X: にアクセスできるか確認してください。 「はい」の場合は、この記事の次のセクションに進んでください。

Azure Data Box デバイスに初期バックアップ データを転送する

  1. DPM サーバーで、新しい保護グループを作成する手順に従います。 既存の保護グループにオンライン保護を追加する場合は、既存の保護グループを右クリックし、[ オンライン保護の追加 ] を選択し、 手順 8 から開始します。

  2. [グループ メンバーの選択] ページで、バックアップ対象のコンピューターとソースを指定します。

  3. [ データ保護方法の選択 ] ページで、短期および長期バックアップの処理方法を指定します。 [オンライン保護が必要] を選択していることを確認します。

    新しい保護グループの作成を示すスクリーンショット。

  4. [短期的な目標値の選択] ページで、ディスク上の短期記憶域へのバックアップ方法を指定します。

  5. [ディスク割り当ての確認] ページで、保護グループに割り当てられる記憶域プールのディスク領域を確認します。

  6. [レプリカの作成方法の選択] ページで、 [自動でネットワーク経由] を選択します。

  7. [整合性チェック オプションの選択] ページで、整合性チェックを自動化する方法を選択します。

  8. [オンライン保護するデータの指定] ページで、オンライン保護を有効にするメンバーを選択します。

    オンライン保護データの指定のスクリーンショット。

  9. [オンライン バックアップ スケジュールの指定] ページで、Azure への増分バックアップの頻度を指定します。

  10. [オンライン保持ポリシーの指定] ページで、毎日、毎週、毎月または毎年のバックアップから作成された回復ポイントの Azure での保持方法を指定します。

  11. ウィザードの [オンライン レプリケーションの選択] 画面で、[Microsoft 所有ディスクを使用して転送] オプションを選択し、[次へ] を選択します。

    [初期オンライン レプリケーションの選択] を示すスクリーンショット。

  12. メッセージが表示されたら、Azure サブスクリプションの所有者アクセス権があるユーザー資格情報を使用して、Azure にサインインします。 サインインに成功すると、次の画面が表示されます。

    サインインが成功した後のスクリーンショット。

    その後、"配信済み" 状態にある、サブスクリプション内の Data Box ジョブが DPM サーバーによってフェッチされます。

    Note

    初回サインインには通常よりも長い時間がかかります。 Azure PowerShell モジュールはバックグラウンドでインストールされます。また、Azure AD アプリケーションが登録されます。

    • 次の PowerShell モジュールがインストールされます。
      - AzureRM.Profile 5.8.3
      - AzureRM.Resources 6.7.3
      - AzureRM.Storage 5.2.0
      - Azure.Storage 4.6.1
    • Azure AD アプリケーションは "AzureOfflineBackup_<ユーザーのオブジェクト GUID>" として登録されます。

  13. Data Box ディスクを開梱し、接続し、ロックを解除した、正しい Data Box の注文を選択します。 [次へ] を選択します。

    [データ ボックスの選択] を示すスクリーンショット。

  14. [ DataBox の検出 ] 画面で、Data Box デバイスのパスを入力し、[ デバイスの検出] を選択します。

    ネットワーク パスの入力を示すスクリーンショット。

    重要

    Azure Data Box ディスクのルート ディレクトリへのネットワーク パスを指定します。 このディレクトリには、次に示すように、PageBlob という名前のディレクトリが含まれている必要があります。

    USB ドライブのスクリーンショット。

    たとえば、ディスクのパスが \\mydomain\myserver\disk1\ で、disk1PageBlob というディレクトリが含まれている場合、DPM サーバー ウィザードで指定されるパスは \\mydomain\myserver\disk1\ となります。 Azure Data Box 100 TB デバイスをセットアップする場合は、デバイスへのネットワーク パスとして \\<DeviceIPAddress>\<StorageAccountName>_PageBlob を指定します。

  15. [次へ] を選択します。 [概要] ページで、設定を確認し、 [グループの作成] を選択します。

    [データ ボックスの検出] を示すスクリーンショット。

    次の画面で、保護グループが正常に作成されていることを確認します。

    作成された保護グループを示すスクリーンショット。

  16. 上の画面で [閉じる] を選択します。

    これにより、DPM ディスクに対してデータの初期レプリケーションが行われます。 保護が終了すると、 [保護] ページにグループの保護状態が [OK] と表示されます。

  17. Azure Data Box デバイスへのオフライン バックアップ コピーを開始するには、 [保護グループ] を右クリックして、 [回復ポイントの作成] オプションを選択します。 次に、 [オンライン保護] オプションを選択します。

    [復旧ポイントの作成] のスクリーンショット。

    回復ポイントのスクリーンショット。

DPM サーバーによって、Azure Data Box デバイスに対して選択したデータのバックアップが開始されます。 データのサイズ、および DPM サーバーと Azure Data Box Disk の間の接続速度によっては、これには数時間から数日かかることがあります。

ジョブの状態は [監視] ペインで監視できます。 データのバックアップが完了すると、以下のような画面が表示されます。

管理者コンソールのスクリーンショット。

バックアップ後の手順

Azure Data Box Disk へのデータのバックアップに成功したら、これらの手順に従います。

  • こちらの記事の手順に従って、Azure Data Box Disk を Azure に発送します。 Azure Data Box 100 TB デバイスを使用した場合は、これらの手順に従って、Azure Data Box を Azure に発送します。

  • Azure portal で Data Box ジョブを監視します。 Azure Data Box ジョブが "完了" すると、DPM サーバーによって、次回のスケジュールされたバックアップ時にストレージ アカウントから Recovery Services コンテナーにデータが自動的に移動されます。 その後、回復ポイントが正常に作成された場合は、バックアップ ジョブが "完了したジョブ" としてマークされます。

    Note

    保護グループの作成時にスケジュールされた時刻に、DPM サーバーによってバックアップがトリガーされます。 しかし、これらのジョブでは、ジョブが完了するまで "Azure Data Box ジョブの完了を待機中" というフラグが設定されます。

  • 初期バックアップに対応する回復ポイントが DPM サーバーによって正常に作成された後、Azure Data Box ジョブに関連付けられているストレージ アカウント (または特定のコンテンツ) を削除できます。

トラブルシューティング

DPM サーバー上の Microsoft Azure Backup (MAB) エージェントによって、テナントに Azure AD アプリケーションが自動的に作成されます。 このアプリケーションには、オフライン シード処理ポリシーを構成しているときに作成およびアップロードされる認証用の証明書が必要です。

証明書の作成と Azure AD アプリケーションへのアップロードには、Azure PowerShell を使用します。

問題

オフライン バックアップを構成するときに、Azure PowerShell コマンドレットの既知のコードの欠陥により、MAB エージェントによって作成された同じ Azure AD アプリケーションに複数の証明書を追加できません。 これは、同じサーバーまたは別のサーバーに対してオフライン シード処理ポリシーを構成している場合に影響します。

この特定の根本原因によって問題が発生しているかどうかを確認する

上記の 問題 が原因でエラーが発生しているかどうかを確認するには、次のいずれかの手順を実行します。

手順 1

オフライン バックアップの構成時に、DPM または MABS コンソールに次のエラー メッセージのいずれかが表示されるかどうかを確認します。

このサーバーの認証情報を Azure にアップロードできなかったため、現在の Azure アカウントのオフライン バックアップ ポリシーを作成できません。 (ID: 100242)

Azure Recovery Services エージェントのスクリーンショット。

Import ジョブの状態を調べるクエリを実行し、Recovery Services コンテナーにバックアップ データを移行するために必要な Azure に対するサービス呼び出しを行えません。 (ID:100230)

Azure Recovery Services エージェントのエラー画面のスクリーンショット。

手順 2

  1. インストール パスにある Temp フォルダーを開きます (既定の temp フォルダーのパスは C:\Program Files\Microsoft Azure Recovery Services Agent\Temp です)。 CBUICurr ファイルを探し、そのファイルを開きます。
  2. CBUICurr ファイルで、最後の行までスクロールし、エラーが原因で顧客のアカウントに Azure AD アプリケーション資格情報を作成できない場合にチェックします。例外: KeyId <を使用して既存の資格情報に更新すると、一部の guid> は許可されません

回避策

この問題を解決するには、次の手順を行って、ポリシーの構成を再試行します。

  1. インポート エクスポート ジョブが作成されるサブスクリプションの管理者アクセス権を持つ別のアカウントを使用して、DPM サーバー UI に表示される Azure サインイン ページにサインインします。

  2. 他のサーバーにオフライン シード処理が構成されておらず、他のサーバーが AzureOfflineBackup_<Azure User Id> アプリケーションに依存していない場合は、Azure portal > [Azure Active Directory] > [アプリの登録] からこのアプリケーションを削除します。

    Note

    アプリケーション AzureOfflineBackup_<Azure User Id> に他のオフライン シード処理が構成されていないこと、およびこのアプリケーションに依存している他のサーバーがないことを確認します。 [公開キー] セクションの [設定キー] > に移動します。他の公開キーは追加しないでください。 参考のために次のスクリーンショットをご覧ください。

    公開キーを示すスクリーンショット。

手順 3.

オフライン バックアップを構成しようとしている DPM サーバーから、次の操作を行います。

  1. [Manage computer certificate application](コンピューター証明書の管理アプリケーション)>[個人用] タブの順に開き、CB_AzureADCertforOfflineSeeding_<ResourceId> という名前の証明書を探します。

  2. 上記の証明書を選択し、[すべてのタスク] を右クリックして、秘密キーなしの .cer 形式で [エクスポート] します。

  3. ポイント 2 に記載されている Azure オフライン バックアップ アプリケーションにアクセスします。 [設定キー]> [公開キー>のアップロード] で、上記の手順でエクスポートした証明書をアップロードします。

    [公開キーのアップロード] のスクリーンショット。

  4. サーバーで、実行ウィンドウに regedit と入力してレジストリを開きます。

  5. レジストリ Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider に移動します。 CloudBackupProvider を右クリックし、AzureADAppCertThumbprint_<Azure User Id> という名前の新しい文字列値を追加します。

    Note

    Azure ユーザー ID を取得するには、次のいずれかの操作を実行します。

    • Azure に接続された PowerShell から、Get-AzureRmADUser -UserPrincipalName "Account Holder's email as defined in the portal" コマンドを実行します。
    • CurrentUserId という名前のレジストリ パス Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\DbgSettings\OnlineBackup に移動します。

  6. 上の手順で追加された文字列を右クリックし、 [変更] を選択します。 値として、ポイント 2 でエクスポートした証明書の拇印を入力し、 [OK] を選択します。

  7. 拇印の値を取得するには、証明書をダブルクリックし、[ 詳細 ] を選択し、拇印フィールドが表示されるまで下にスクロールします。 [拇印] を選択して、値をコピーします。

    拇印の Get 値を示すスクリーンショット。

次の手順