DPM サーバーの展開を準備する
重要
このバージョンの Data Protection Manager (DPM) はサポート終了に達しました。 DPM 2022 にアップグレードすることをお勧めします。
System Center Data Protection Manager (DPM) サーバーの展開を始める前に考慮すべき計画手順がいくつかあります。
DPM サーバーの展開を計画する - 必要な DPM サーバーの数とそれらを配置する場所を明らかにします。
ファイアウォール設定を計画する - DPM サーバー、保護されたマシン、リモート SQL Server (セットアップしている場合) のファイアウォール、ポート、プロトコルの設定に関する情報を取得します。
ユーザーにアクセス許可を付与する - DPM と対話できるユーザーを指定します。
DPM サーバーの展開の計画
まず、必要なサーバーの数を決定します。
DPM では 600 個までのボリューム この最大サイズを保護する場合、DPM は、DPM サーバーあたり 120 TB を必要とします。
1 つの DPM サーバーで保護できるデータベースは 2,000 個 (推奨されるディスク サイズ: 80 TB) までです。
1 つの DPM サーバーで最大 3,000 台のクライアント コンピューターと 100 台のサーバーを保護できます。
- DPM サーバーの容量計画には、 DPM ストレージ計算ツールを使用できます。 これらの計算ツールは Excel シートであり、ワークロード固有です。 必要な DPM サーバーの数、プロセッサ コア、RAM、仮想メモリの推奨事項、および必要な記憶域容量について説明します。 これらの計算ツールはワークロード固有であるため、推奨設定を組み合わせて、データ ソースとストレージの場所、コンプライアンスと SLA の要件、ディザスター リカバリーのニーズなど、システム要件と特定のビジネス トポロジと要件と一緒に検討する必要があります。 Calculator は DPM 2010 用にリリースされたものですが、それ以降のバージョンの DPM にも適用できます。
その後、サーバーの配置方法を決定します。
DPM は、Active Directory ドメイン (Windows Server 2008 以降) に展開する必要があります。
DPM サーバーの場所を決めるときは、DPM サーバーと保護されるコンピューターとの間のネットワーク帯域幅を考慮してください。 ワイド エリア ネットワーク (WAN) を介してデータを保護する場合は、ネットワーク帯域幅の最小要件が 512 キロビット/秒 (Kbps) と定められています。
DPM は、ネットワーク アダプター (NIC) のチーミングをサポートします。 チーミングされた NIC とは、オペレーティング システムが 1 つのアダプターと見なすように構成された複数の物理アダプターのことです。 チーミングされた NIC は、使用可能な帯域幅を組み合わせて帯域幅を増やし、各アダプターを使用し、アダプターが失敗したときに残りのアダプターにフェールオーバーします。 DPM では、DPM サーバーでチーミングされたアダプターを使用することで、実現される帯域幅の増加を使用できます。
DPM サーバーの場所に関するもう 1 つの考慮事項は、新しいテープをライブラリに追加したり、オフサイト アーカイブのテープを削除したりするなど、テープとテープ ライブラリを手動で管理する必要がある場合です。
DPM サーバーは、ドメイン内のリソース、または DPM サーバーが配置されているドメインと双方向の信頼関係を持つフォレスト内のドメイン間でリソースを保護できます。 ドメイン間で双方向の信頼関係が確立されていない場合、ドメインごとに DPM サーバーを用意する必要があります。 フォレスト間にフォレストレベルの双方向の信頼がある場合、DPM サーバーではフォレスト間のデータを保護できます。
DPM サーバーと保護対象のコンピューター間のネットワーク帯域幅を考慮してください。 WAN 経由でデータを保護する場合、ネットワーク帯域幅の最小要件は 512 Kbps です。 DPM では、各ネットワーク アダプターで使用可能な帯域幅と、アダプターで障害が発生した場合のフェールオーバーを組み合わせることで、帯域幅を増やすチーミングされた NIC がサポートされていることに注意してください。
ファイアウォールの設定とユーザーのアクセス許可を計画する
ファイアウォール設定
DPM 展開のためのファイアウォールの設定は、DPM サーバー、保護対象のコンピューター、およびリモートで実行している場合は DPM データベース用の SQL Server で行う必要があります。 DPM のインストール時に Windows ファイアウォールが有効になっている場合、DPM セットアップによって DPM サーバーのファイアウォール設定が自動的に構成されます。 次の表にファイアウォールの設定をまとめます。
| 場所 | 規則 | 詳細 | プロトコル | ポート |
|---|---|---|---|---|
| DPM サーバー | System Center <version> Data Protection Manager DCOM の設定 | DPM サーバーと保護されたマシン間の DCOM 通信に使用されます。 | DCOM | 135/TCP 動的 |
| DPM サーバー | System Center <version> Data Protection Manager | Msdpm.exe (DPM サービス) の例外です。 DPM サーバーで実行します。 | すべてのプロトコル | すべてのポート |
| DPM サーバー 保護対象コンピューター |
System Center <version> Data Protection Management レプリケーション エージェント | Dpmra.exe (データのバックアップと復元に使用する保護エージェント サービス) の例外です。 DPM サーバーと保護されたマシンで実行されます。 | すべてのプロトコル | すべてのポート |
| 保護対象コンピューター | sqserv.exe の受信例外を構成する | |||
| 保護対象コンピューター | DPM は、エージェントへの DCOM 呼び出しを使用して保護エージェントにコマンドを発行します。 DPM が通信するには、上位ポート (1024-65535) を開く必要があります。 | DCOM | 135/TCP 動的 | |
| 保護対象コンピューター | DPM データ チャネルは TCP です。 DPM サーバーと保護対象コンピューターの両方が接続を開始します。 DPM は、ポート 5718 でエージェント コーディネーターと通信し、ポート 5719 で保護エージェントと通信します。 | TCP | 5718/TCP 5719/TCP |
|
| 保護対象コンピューター | DPM/保護されたマシンとドメイン コントローラーの間のホスト名解決に使用されます。 | DNS | 53/UDP | |
| 保護対象コンピューター | DPM/保護されたマシンとドメイン コントローラーの間の接続エンドポイントの認証に使用されます。 | Kerberos | 88/UDP 88/TCP |
|
| 保護対象コンピューター | DPM サーバーとドメイン コントローラー間のクエリに使用されます。 | LDAP | 389/TCP 389/UDP |
|
| 保護対象コンピューター | 1\) DPM と保護対象コンピューターの間、2) DPM とドメイン コントローラーの間、3) 保護対象コンピューターとドメイン コントローラーの間でのその他の操作に使用されます。 また、DPM 関数の TCP/IP で直接ホストされる SMB にも使用されます。 | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| リモート SQL Server | SQL Serverの DPM インスタンスに対して TCP/IP を有効にします。既定のエラー監査、パスワード ポリシー チェックを有効にします。 | |||
| リモート SQL Server | SQL Server の DPM インスタンスの sqservr.exe の着信例外を有効にし、ポート 80 で TCP を許可します。 レポート サーバーは、ポート 80 で HTTP 要求をリッスンします。 | |||
| リモート SQL Server | データベース エンジンの既定のインスタンスは TCP ポート 1443 でリッスンします。 変更できます。 SQL Server Browser サービスを使用して、既定以外のポート セット UDP ポート 1434 に接続するには。 |
|||
| リモート SQL Server | SQL Server の名前付きインスタンスは、既定で動的ポートを使用します。 変更できます。 | |||
| リモート SQL Server | RPC を有効にします |
Grant user permissions
DPM 展開を開始する前に、さまざまなタスクを実行するために必要な特権が適切なユーザーに付与されていることを確認します。 次の表に、これらのレポートをまとめます。
| DPM のタスク | 必要なアクセス許可 |
|---|---|
| ドメインに DPM サーバーを追加する | ドメインにワークステーションを追加するドメイン管理者アカウントまたはユーザー権限 |
| DPM をインストールする | DPM サーバー上の管理者アカウント |
| 保護するマシンに DPM 保護エージェントをインストールする | コンピューター上のローカル管理者のグループにあるドメイン アカウント |
| AD スキーマを拡張してエンド ユーザーの回復を有効にする | ドメインのスキーマ管理者特権 |
| AD コンテナーを作成してエンド ユーザーの回復を有効にする | ドメイン管理者特権 |
| コンテナーの内容を変更するための DPM サーバーアクセス許可を付与する | ドメイン管理者特権 |
| DPM サーバーでエンド ユーザー回復を有効にする | DPM サーバー上の管理者アカウント |
| 保護されたマシンに回復ポイント クライアント ソフトウェアをインストールする | マシン上のアカウントを管理する |
| 保護されたコンピューターから以前のバージョンの保護されたデータにアクセスする | 保護対象共有へのアクセス権があるユーザー アカウント |
| SharePoint データの回復 | 保護エージェントがインストールされているフロントエンド Web サーバーの管理者でもある SharePoint ファーム管理者。 |
Note
DPM サーバーと保護されたコンピューターは、DCOM を使用して通信します。 DPMRA のインストール中に、DPM サーバーのアカウントが、保護されたコンピューターの 分散 COM ユーザー セキュリティ グループに追加されます。
ドメイン コントローラー保護の場合、保護された各ドメイン コントローラーに対して Active Directory セキュリティ グループが作成されます。名前は DPMRADCOMTRUSTEDMACHINES$DCNAME、 DPMRADMTRUSTEDMACHINES$DCNAME、 DPMRATRUSTEDDPMRAS$DCNAME です。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示