Voorbereidingen voor het implementeren van DPM-servers
Belangrijk
Deze versie van Data Protection Manager (DPM) heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar DPM 2019.
Er zijn enkele planningsstappen om rekening mee te houden voordat u uw System Center Data Protection Manager servers (DPM) implementeert:
Plannen voor DPM-serverimplementatie: bepaal hoeveel DPM-servers u nodig hebt en waar u deze wilt plaatsen.
Firewall-instellingen plannen: verzamel informatie over firewall-, poort- en protocolinstellingen op de DPM-server, beveiligde computers en een externe SQL Server als u er een aan het instellen bent.
Gebruikersmachtigingen verlenen: geef op wie kan communiceren met DPM.
Plannen voor DPM-serverimplementaties
Bepaal eerst hoeveel servers u nodig hebt:
Met DPM kunnen maximaal 600 volumes worden beveiligd. Om dit maximum aantal te kunnen beveiligen, heeft DPM 120 TB per DPM-server nodig.
Maximaal 2000 databases kunnen worden beveiligd door één DPM-server (aanbevolen schijfgrootte 80 TB).
Eén DPM-server kan tot 3000 clientcomputers en 100 servers beveiligen.
-
- Voor de capaciteitsplanning voor DPM-server kunt u de DPM-opslagrekenmachines gebruiken. Deze rekenmachines zijn Excel-werkbladen en zijn specifiek voor werkbelastingen. Zij bieden informatie over het aantal DPM-servers dat is vereist, aanbevelingen over de processor core, RAM en virtueel geheugen en de vereiste opslagcapaciteit. Omdat deze rekenmachines specifiek voor werkbelastingen zijn, moet u de aanbevolen instellingen combineren en overwegen deze samen met de systeemvereisten en uw specifieke zakelijke topologie en vereisten te gebruiken, met inbegrip van de gegevensbron-, opslaglocatie-, compliance- en SLA-vereisten en uw behoeften op het gebied van noodherstel. De rekenmachines zijn voor DPM 2010 uitgebracht, maar blijven relevant voor nieuwere versies van DPM.
Vervolgens bepaalt u waar u de servers wilt plaatsen:
DPM moet worden geïmplementeerd in een Active Directory-domein (Windows Server 2008 of hoger).
Bij het bepalen van de locatie van uw DPM-server, moet u rekening houden met de netwerkbandbreedte tussen de DPM-server en de beveiligde computers. Als u gegevens beschermt via een WAN (wide area network), is een minimale netwerkbandbreedte van 512 kilobits per seconde (Kbps) vereist.
DPM ondersteunt teamnetwerkadapters (NIC's). Gekoppelde NIC's zijn meerdere fysieke adapters die zijn geconfigureerd om te worden behandeld als een enkele adapter door het besturingssysteem. Gekoppelde NIC's bieden meer bandbreedte door een combinatie van de bandbreedte die beschikbaar is via elke netwerkadapter en failover naar de resterende adapter als een adapter mislukt. DPM kan de verhoogde bandbreedte met behulp van teamadapters op de DPM-server gebruiken.
Een andere overweging voor de locatie van uw DPM-servers is de noodzaak voor het handmatige beheer van tapes en tapewisselaars, zoals nieuwe tapes op de tapewisselaar zetten of tapes verwijderen voor externe archivering.
Een DPM-server kan resources beveiligen binnen een domein of in meerdere domeinen binnen een forest die een tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt. Als er geen tweerichtingsvertrouwensrelatie tussen domeinen is, hebt u een afzonderlijke DPM-server voor elk domein nodig. Een DPM-server kan gegevens in forests beveiligen als er een tweerichtingsvertrouwensrelatie op forestniveau tussen de forests is.
Bekijk de netwerkbandbreedte tussen de DPM-server en de beveiligde computers. Als u gegevens over een WAN beveiligt, is de vereiste minimale netwerkbandbreedte 512 Kbps. DPM ondersteunt gekoppelde NIC's die meer bandbreedte bieden door de beschikbare bandbreedte voor elke netwerkadapter en failover als een adapter mislukt te combineren.
Firewallinstellingen en gebruikersmachtigingen plannen
Firewallinstellingen
Firewallinstellingen voor DPM-implementatie zijn vereist op de DPM-server op de computers die u wilt beveiligen en op de SQL Server die wordt gebruikt voor de DPM-database als u deze op afstand uitvoert. Als Windows Firewall is ingeschakeld tijdens de installatie van DPM, worden de firewallinstellingen automatisch door DPM Setup op de DPM-server geconfigureerd. Deze firewallinstellingen worden samengevat in de volgende tabel.
| Locatie | Regel | Details | Protocol | Poort |
|---|---|---|---|---|
| DPM-server | System Center Data Protection Manager DCOM-instelling | Wordt gebruikt voor de DCOM-communicatie tussen de DPM-server en beveiligde computers | DCOM | 135/TCP dynamisch |
| DPM-server | System Center Data Protection Manager | Uitzondering voor Msdpm.exe (de DPM-service). Wordt uitgevoerd op de DPM-server | Alle protocollen | Alle poorten |
| DPM-server Beveiligde machines |
System Center-agent voor gegevensbeschermingsbeheer | Uitzondering voor Dpmra.exe (beveiligingsagent die wordt gebruikt om back-ups van gegevens te maken en gegevens te herstellen). Wordt uitgevoerd op de DPM-server en beveiligde computers. | Alle protocollen | Alle poorten |
| Beveiligde machines | Binnenkomende uitzondering voor sqserv.exe configureren | |||
| Beveiligde machines | DMP geeft opdrachten aan de beveiligingsagent via DCOM-aanroepen aan de agent. DPM kan alleen communiceren als de bovenste poorten (1024-65535) openstaan | DCOM | 135/TCP dynamisch | |
| Beveiligde machines | Het DPM-gegevenskanaal is TCP. De DPM-server en de beveiligde computers initiëren een verbinding. DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719 | TCP | 5718/TCP 5719/TCP |
|
| Beveiligde machines | Wordt gebruikt voor het omzetten van de hostnaam tussen de DPM/beveiligde computer en de domeincontroller | DNS | 53/UDP | |
| Beveiligde machines | Wordt gebruikt voor de verificatie van het verbindingseindpunt tussen DPM/beveiligde computer en de domeincontroller | Kerberos | 88/UDP 88/TCP |
|
| Beveiligde machines | Wordt gebruikt voor query's tussen de DPM-server en de domeincontroller | LDAP | 389/TCP 389/UDP |
|
| Beveiligde machines | Wordt gebruikt voor verschillende bewerkingen tussen 1) DPM en beveiligde computers, 2) DPM en de domeincontroller 3) beveiligde computers en de domeincontroller. Wordt ook gebruikt voor SMB rechtstreeks gehost op TCP/IP voor DPM-functies | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Externe SQL Server | Schakel TCP/IP in voor het DPM-exemplaar van SQL Server met het volgende: standaardcontrole van mislukte pogingen; beleidsregels voor wachtwoorden inschakelen | |||
| Externe SQL Server | Configureer een binnenkomende uitzondering voor sqservr.exe voor het DPM-exemplaar van SQL Server om TCP op poort 80 toe te staan. De rapportserver luistert naar HTTP-aanvragen op poort 80. | |||
| Externe SQL Server | Standaardexemplaar van database-engine luistert op TCP-poort 1443. Kan worden gewijzigd Met de SQL Server Browser-service op niet-standaard poort UDP-poort 1434 instellen |
|||
| Externe SQL Server | Benoemd exemplaar van SQL Server gebruikt standaard dynamische poorten. Kan worden gewijzigd. | |||
| Externe SQL Server | RPC inschakelen |
Gebruikersmachtigingen toekennen
Voordat u begint met een DPM-implementatie, controleert u of aan de juiste gebruikers vereiste bevoegdheden zijn toegekend voor het uitvoeren van de verschillende taken. Deze worden samengevat in de volgende tabel.
| DPM-taak | Benodigde machtigingen |
|---|---|
| De DPM-server aan een domein toevoegen | Domeinbeheerdersaccount, of gebruikersrecht om werkstation aan domein toe te voegen |
| DPM installeren | Beheerdersaccount op de DPM-server |
| DPM-beveiligingsagent installeren op de computer die u wilt beveiligen | Domeinaccount dat deel uitmaakt van de lokale beheerdersgroep op de computer |
| AD-schema uitbreiden om herstel door eindgebruikers in te schakelen | Schema beheerdersbevoegdheden voor het domein |
| Een AD-container maken om herstel door eindgebruikers in te schakelen | Beheerdersbevoegdheden domein |
| DPM-server toestemming geven om containerinhoud te wijzigen | Beheerdersbevoegdheden domein |
| Herstel door eindgebruikers op de DPM-server inschakelen | Beheerdersaccount op de DPM-server |
| Clientsoftware voor herstelpunten op beveiligde computer installeren | Beheerdersaccount op computer |
| Toegang tot vorige versies van beveiligde gegevens op beveiligde computer | Gebruikersaccount met toegang tot beveiligde share |
| SharePoint-gegevens herstellen | SharePoint-farmbeheerder die ook een beheerder is op de front-end webserver waarop de beveiligingsagent is geïnstalleerd. |
Notitie
DPM-server en beveiligde computer communiceren met behulp van DCOM. Tijdens de installatie van DPMRA wordt het account van de DPM-server toegevoegd aan de beveiligingsgroep Gedistribueerde COM-gebruikers op de beveiligde computer.
Voor domeincontrollerbeveiliging worden Active Directory-beveiligingsgroepen gemaakt voor elk van de beveiligde domeincontrollers, met de namen DPMRADCOMTRUSTEDMACHINES$DCNAME,DPMRADMTRUSTEDMACHINES$DCNAMEen DPMRATRUSTEDDPMRAS$DCNAME.