Подготовка к развертыванию серверов DPM
Важно!
Поддержка этой версии Data Protection Manager (DPM) завершена. Рекомендуется выполнить обновление до DPM 2022.
Перед развертыванием серверов System Center Data Protection Manager (DPM) необходимо выполнить несколько действий по планированию.
Планирование развертывания сервера DPM. Определите, сколько серверов DPM вам потребуется и где их необходимо разместить.
Планирование параметров брандмауэра. Получите сведения о параметрах брандмауэра, порта и протокола на сервере DPM, защищенных компьютерах и удаленном SQL Server, если вы их настраиваете.
Предоставление разрешений пользователям. Укажите, кто может взаимодействовать с DPM.
Планирование развертывания сервера DPM
Сначала определите, сколько серверов вам потребуется:
DPM может защищать до 600 томов: Для защиты такого максимального объема функции DPM требуется 120 ТБ на один сервер DPM.
Один сервер DPM может защищать до 2000 баз данных (рекомендуемый размер дисков — 80 ТБ).
Один сервер DPM может защищать до 3000 клиентских компьютеров и 100 серверов.
- Для планирования емкости сервера DPM можно использовать калькуляторы хранилища DPM. Эти калькуляторы являются листами Excel и зависят от рабочей нагрузки. Они помогут вам узнать о требуемом количестве серверов DPM, ядре процессора, ОЗУ, рекомендациях по виртуальной памяти и требуемой емкости хранилища. Так как эти калькуляторы зависят от рабочей нагрузки, вам потребуется объединить рекомендуемые параметры и рассмотреть их вместе с требованиями к системе и конкретной топологии бизнеса, включая источники данных и расположения хранения, требования к соответствию и соглашениям об уровне обслуживания, а также требования к аварийному восстановлению. Обратите внимание, что калькуляторы выпущены для DPM 2010, но сохраняют актуальность для более поздних версий DPM.
Затем необходимо определить, где будут размещаться серверы.
DPM должен быть развернут в домене Active Directory (сервер Windows 2008 и более поздние версии).
При выборе места расположения сервера DPM оцените пропускную способность сети между сервером DPM и защищаемыми компьютерами. Если необходимо обеспечить защиту данных в глобальной сети (WAN), минимальная пропускная способность — 512 килобит в секунду (Кбит/с).
DPM поддерживает объединенные сетевые адаптеры. Объединенные сетевые адаптеры — это несколько физических адаптеров, настроенных так, чтобы операционная система рассматривала их как один. Объединяемые сетевые адаптеры обеспечивают повышенную пропускную способность за счет объединения доступной пропускной способности, использования каждого адаптера и отработки отказа на оставшийся адаптер при сбое адаптера. DPM может использовать увеличенную пропускную способность, достигнутую с помощью объединенного адаптера на сервере DPM.
Еще одним соображением, учитывающим расположение серверов DPM, является необходимость управления лентами и ленточными библиотеками вручную, например добавление новых лент в библиотеку или удаление лент для внешнего архива.
Сервер DPM может защищать ресурсы в домене или в нескольких доменах в лесу, который имеет двустороннее отношение доверия с доменом, в который находится сервер DPM. Если между доменами нет двустороннего отношения доверия, вам потребуется отдельный сервер DPM в каждом домене. DPM может защищать данные в нескольких лесах, если между лесами есть двустороннее отношение доверия на уровне лесов.
Примите во внимание пропускную способность сети между сервером DPM и защищаемыми компьютерами. Если вы защищаете данные через глобальную сеть, минимальная пропускная способность сети составляет 512 Кбит/с. Обратите внимание, что DPM поддерживает объединяемые сетевые адаптеры, которые обеспечивают повышенную пропускную способность, объединяя пропускную способность, доступную для каждого сетевого адаптера, и отработку отказа в случае сбоя адаптера.
Планирование параметров брандмауэра и разрешений пользователей
Параметры брандмауэра
Настройку параметров брандмауэра необходимо выполнить на сервере DPM, на защищаемых компьютерах и на сервере SQL Server, используемом для базы данных DPM (в случае удаленного развертывания DPM). Если брандмауэр Windows включен при установке DPM, программа установки DPM автоматически настраивает параметры брандмауэра на сервере DPM. Параметры брандмауэра перечислены в следующей таблице.
Расположение | Правило | Сведения | Протокол | Порт |
---|---|---|---|---|
DPM-сервер | Параметр DCOM в Data Protection Manager для System Center <версия> | Используется для обмена данными DCOM между сервером DPM и защищенными компьютерами. | DCOM | 135/TCP, динамический |
DPM-сервер | Data Protection Manager для System Center <версия> | Исключение для файла Msdpm.exe (служба DPM). Работает на сервере DPM. | Все протоколы | Все порты |
DPM-сервер Защищаемые компьютеры |
Агент репликации в Data Protection Manager для System Center <версия> | Исключение для файла Dpmra.exe (служба агента защиты, используемая для архивации и восстановления данных). Выполняется на сервере DPM и защищенных компьютерах. | Все протоколы | Все порты |
Защищаемые компьютеры | Настройка входящего исключения для sqserv.exe | |||
Защищаемые компьютеры | DPM выдает команду агенту защиты с вызовами DCOM к агенту. Для обмена данными с DPM необходимо открыть верхние порты (1024–65535). | DCOM | 135/TCP, динамический | |
Защищаемые компьютеры | Канал данных DPM основан на протоколе TCP. Инициировать подключения может сервер DPM и защищаемые компьютеры. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719. | TCP | 5718/TCP 5719/TCP |
|
Защищаемые компьютеры | Используется для разрешения имен узлов между DPM или защищенным компьютером и контроллером домена. | DNS | 53/UDP | |
Защищаемые компьютеры | Используется для проверки подлинности конечной точки подключения между DPM или защищенным компьютером и контроллером домена. | Kerberos | 88/UDP 88/TCP |
|
Защищаемые компьютеры | Используется для запросов между сервером DPM и контроллером домена. | LDAP | 389/TCP 389/UDP |
|
Защищаемые компьютеры | Используется для прочих операций между 1) DPM и защищенными компьютерами; 2) DPM и контроллером домена; 3) защищенными компьютерами и контроллером домена. Также используется для SMB, непосредственно размещенных в TCP/IP для функций DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
Удаленный SQL Server | Включите TCP/IP для экземпляра DPM SQL Server со следующими параметрами: аудит сбоев по умолчанию; включение проверки политики паролей. | |||
Удаленный SQL Server | Включите исключение входящего соединения для sqlservr.exe для экземпляра SQL Server, используемого DPM, чтобы разрешить TCP-подключения через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80. | |||
Удаленный SQL Server | Заданный по умолчанию экземпляр ядра СУБД прослушивает TCP-порт 1443. Можно изменить Чтобы использовать службу браузера SQL Server для подключения через порт, отличный от порта по умолчанию, установите порт UDP 1434. |
|||
Удаленный SQL Server | Именованный экземпляр SQL Server использует динамические порты по умолчанию. Можно изменить | |||
Удаленный SQL Server | Включите удаленный вызов процедур |
Grant user permissions
Перед началом развертывания DPM убедитесь, что соответствующие пользователи получили необходимые привилегии для выполнения различных задач. Эти отчеты представлены в следующей таблице.
Задача DPM | Необходимые разрешения |
---|---|
Добавление сервера DPM в домен | Учетная запись администратора домена или право пользователя на добавление рабочей станции в домен |
Установка DPM | Учетная запись администратора на сервере DPM |
Установка агента защиты DPM на компьютере, который требуется защитить | Учетная запись домена, которая находится в группе локальных администраторов на компьютере |
Расширение схемы AD для включения восстановления конечным пользователем | Привилегии администратора схемы для домена |
Создание контейнера AD для включения восстановления конечным пользователем | Привилегии администратора домена |
Предоставление серверу DPM разрешения на изменение содержимого контейнера | Привилегии администратора домена |
Включение восстановления конечных пользователей на сервере DPM | Учетная запись администратора на сервере DPM |
Установка клиентского программного обеспечения точки восстановления на защищенном компьютере | Администратор учетной записи на компьютере |
Доступ к предыдущим версиям защищенных данных с защищенного компьютера | Учетная запись пользователя с доступом к защищенной общей папке |
Восстановление данных SharePoint | Администратор фермы SharePoint, который также является администратором на интерфейсном веб-сервере, на котором установлен агент защиты. |
Примечание
Сервер DPM и защищенный компьютер взаимодействуют с помощью DCOM. Во время установки DPMRA учетная запись сервера DPM добавляется в группу безопасности Распределенные пользователи COM на защищенном компьютере.
Для защиты контроллера домена для каждого защищенного контроллера домена будут созданы группы безопасности Active Directory с именами DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME и DPMRATRUSTEDDPMRAS$DCNAME.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по