Подготовка к развертыванию серверов DPMGet ready to deploy DPM servers

Важно!

Поддержка этой версии Data Protection Manager (DPM) прекращена. Рекомендуем перейти на DPM 2019.This version of Data Protection Manager (DPM) has reached the end of support, we recommend you to upgrade to DPM 2019.

Перед развертыванием серверов System Center Data Protection Manager (DPM) необходимо выполнить несколько действий по планированию.There are a few planning steps to consider before you begin to deploy your System Center Data Protection Manager (DPM) servers:

Планирование развертывания сервера DPMPlan for DPM server deployment

Во-первых, определите, сколько серверов вам потребуется:First determine how many servers you'll need:

  • DPM может защищать до 600 томов:DPM can protect up to 600 volumes. Для защиты такого максимального объема функции DPM требуется 120 ТБ на один сервер DPM.To protect this maximum size, DPM needs 120 TB per DPM server.

  • Один сервер DPM может защищать до 2000 баз данных (рекомендуемый размер дисков — 80 ТБ).A single DPM server can protect up to 2000 databases (recommended disk size 80 TB).

  • Один сервер DPM может защищать до 3000 клиентских компьютеров и 100 серверов.A single DPM server can protect up to 3000 client computers and 100 servers.

    • Для планирования ресурсов сервера DPM можно использовать калькуляторы хранилищ для DPM.For DPM server capacity planning you can use the DPM storage calculators. Эти калькуляторы представляют собой листы Excel и предназначены для определенной рабочей нагрузки.These calculators are Excel sheets and are workload specific. Они предоставляют рекомендации по числу необходимых серверов DPM, процессорных ядер, размеру ОЗУ и виртуальной памяти, а также требуемому объему хранилищ.They provide guidance about the number of DPM servers required, processor core, RAM, and virtual memory recommendations, and required storage capacity. Так как эти калькуляторы относятся к определенной рабочей нагрузке, вам потребуется объединить рекомендуемые параметры и рассмотреть их в сочетании с требованиями к системе, конкретной топологией и требованиями бизнеса, в том числе с источниками данных и расположением хранилищ, требованиями сертификации и соглашения об уровне обслуживания, а также нуждами аварийного восстановления.Because these calculators are workload-specific you'll need to combine the recommended settings and consider them together with the system requirements, and your specific business topology and requirements, including data source and storage locations, compliance and SLA requirements, and disaster recovery needs. Обратите внимание, что калькуляторы выпущены для DPM 2010, но сохраняют актуальность для более поздних версий DPM.Note that the calculators were released for DPM 2010 but remain relevant for later DPM versions.

Затем необходимо определить, где будут размещаться серверы.Then figure out how to locate the servers:

  • DPM должен быть развернут в домене Active Directory (сервер Windows 2008 и более поздние версии).DPM must be deployed in an Active Directory domain (Windows Server 2008 onwards).

  • При выборе места расположения сервера DPM оцените пропускную способность сети между сервером DPM и защищаемыми компьютерами.When deciding where to locate your DPM server, consider the network bandwidth between the DPM server and the protected computers. Если необходимо обеспечить защиту данных в глобальной сети (WAN), минимальная пропускная способность — 512 килобит в секунду (Кбит/с).If you are protecting data over a wide area network (WAN), there is a minimum network bandwidth requirement of 512 kilobits per second (Kbps).

  • DPM поддерживает объединенные сетевые адаптеры.DPM supports teamed network adapters (NICs). Объединенные сетевые адаптеры — это несколько физических адаптеров, настроенных так, чтобы операционная система рассматривала их как один.Teamed NICs are multiple physical adapters that are configured to be treated as a single adapter by the operating system. Объединенные сетевые адаптеры предоставляют увеличенную пропускную способность, объединяя пропускную способность, доступную во всех адаптерах, и обеспечивая отработку отказа одного адаптера переключением на оставшийся.Teamed NICs provide increased bandwidth by combining the bandwidth available using each adapter and failover to the remaining adapter when an adapter fails. DPM может использовать итоговую пропускную способность объединенного сетевого адаптера на сервере DPM.DPM can use the increased bandwidth achieved by using teamed adapter on the DPM server.

  • Другим соображением, которое следует учитывать при размещении ваших серверов DPM, является необходимость вручную управлять лентами и ленточными библиотеками, например, добавлять ленты в библиотеку и переносить ленты во внешний архив.Another consideration for the location of your DPM servers is the need to manage tapes and tape libraries manually, such as adding new tapes to the library or removing tapes for offsite archive.

  • Сервер DPM может защищать ресурсы в домене или в нескольких доменах леса, если эти домены имеют двустороннее отношение доверия с доменом, в котором расположен сервер DPM.A DPM server can protect resources within a domain, or across domains within a forest that has a two-way trust relationship with the domain that the DPM server is located in. Если между доменами нет двустороннего отношения доверия, вам потребуется отдельный сервер DPM в каждом домене.If there isn't a two-way trust across domains, you need a separate DPM server for each domain. DPM может защищать данные в нескольких лесах, если между лесами есть двустороннее отношение доверия на уровне лесов.A DPM server can protect data across forests if there's a forest-level two-way trust between the forests.

  • Примите во внимание пропускную способность сети между сервером DPM и защищаемыми компьютерами.Consider the network bandwidth between the DPM server and the protected computers. Если защищаемые данные находятся в глобальной сети (WAN), пропускная способность должна быть не менее 512 килобит/с.If you are protecting data over a WAN there's a minimum network bandwidth requirement of 512 Kbps. Обратите внимание, что DPM поддерживает объединенные сетевые адаптеры, обеспечивающие увеличенную пропускную способность за счет объединения пропускной способности всех адаптеров, и предоставляющие отработку отказа.Note that DPM supports teamed NICs that provide increased bandwidth by combining bandwidth available for each network adapter, and failover if an adapter fails.

Планирование параметров брандмауэра и разрешений пользователейPlan firewall settings and user permissions

Параметры брандмауэраFirewall settings

Настройку параметров брандмауэра необходимо выполнить на сервере DPM, на защищаемых компьютерах и на сервере SQL Server, используемом для базы данных DPM (в случае удаленного развертывания DPM).Firewall settings for DPM deployment are required on the DPM server, on machines you want to protect, and on the SQL Server used for the DPM database if you're running it remotely. Если брандмауэр Windows включен во время установки DPM, программа установки автоматически настроит параметры брандмауэра на сервере DPM.If Windows Firewall is enabled when you install DPM then DPM setup automatically configures the firewall settings on the DPM server. Параметры брандмауэра перечислены в следующей таблице.The firewall settings are summarized in the following table.

РасположениеLocation ПравилоRule СведенияDetails ПротоколProtocol ПортPort
DPM-серверDPM server Настройка System Center Data Protection Manager DCOMSystem Center Data Protection Manager DCOM Setting Используется для обмена данными между сервером DPM и защищенными компьютерами по протоколу DCOM.Used for DCOM communication between DPM server and protected machines DCOMDCOM 135/TCP, динамический135/TCP Dynamic
DPM-серверDPM server System Center Data Protection ManagerSystem Center Data Protection Manager Исключение для файла Msdpm.exe (служба DPM).Exception for Msdpm.exe (the DPM service). Выполняется на сервере DPMRuns on the DPM server Все протоколыAll protocols Все портыAll ports
DPM-серверDPM server

Защищаемые компьютерыProtected machines
Агент репликации System Center Data Protection ManagementSystem Center Data Protection Management Replication Agent Исключение для файла Dpmra.exe (служба агента защиты, используемая для архивации и восстановления данных).Exception for Dpmra.exe (protection agent service used to back up and restore data). Выполняется на сервере DPM и защищенных компьютерах.Runs on the DPM server and on protected machines. Все протоколыAll protocols Все портыAll ports
Защищаемые компьютерыProtected machines Настройка исключения входящего подключения для sqserv.exeConfigure incoming exception for sqserv.exe
Защищаемые компьютерыProtected machines DPM дает команды агенту защиты, создавая для него вызовы DCOM.DPM issues commands to the protection agent with DCOM calls to the agent. Необходимо открыть верхние порты (1024-65535) для взаимодействия с DPMYou'll need to open the upper ports (1024-65535) for DPM to communicate DCOMDCOM 135/TCP, динамический135/TCP Dynamic
Защищаемые компьютерыProtected machines Канал данных DPM основан на протоколе TCP.The DPM data channel is TCP. Инициировать подключения может сервер DPM и защищаемые компьютеры.Both the DPM server and the protected machines initiate connections. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719.DPM communicates with the agent coordinator on port 5718 and with the protection agent on port 5719 TCPTCP 5718/TCP5718/TCP

5719/TCP5719/TCP
Защищаемые компьютерыProtected machines Используется для разрешения имени узла между DPM и защищаемым компьютером, а также контроллером доменаUsed for host name resolution between DPM/protected machine, and the domain controller DNSDNS 53/UDP53/UDP
Защищаемые компьютерыProtected machines Используется для проверки подлинности конечной точки подключения, при обмене данными между DPM и защищаемым компьютером, а также контроллером доменаUsed for authentication of the connection endpoint, between DPM/protected machine, and the domain controller KerberosKerberos 88/UDP88/UDP

88/TCP88/TCP
Защищаемые компьютерыProtected machines Используется для передачи запросов между DPM и контроллером доменаUsed for queries between the DPM server and the domain controller LDAPLDAP 389/TCP389/TCP

389/UDP389/UDP
Защищаемые компьютерыProtected machines Используется для прочих операций между 1) DPM и защищенными компьютерами; 2) DPM и контроллером домена; 3) защищенными компьютерами и контроллером домена.Used for miscellaneous operations between 1) DPM and protected machines, 2) DPM and the domain controller 3) Protected machines and the domain controller. Кроме того, используется для SMB, размещаемого непосредственно на TCP/IP, для выполнения функций DPMAlso used for SMB directly hosted on TCP/IP for DPM functions NetBIOSNetBIOS 137/UDP137/UDP

138/UDP138/UDP

139/TCP139/TCP

445/TCP445/TCP
Удаленный SQL ServerRemote SQL Server Включите протокол TCP/IP для экземпляра SQL Server, используемого DPM, со следующими параметрами: аудит отказов по умолчанию; проверка политики паролей.Enable TCP/IP for the DPM instance of SQL Server with the following: default failure audit; enable password policy checking
Удаленный SQL ServerRemote SQL Server Включите исключение входящего соединения для sqlservr.exe для экземпляра SQL Server, используемого DPM, чтобы разрешить TCP-подключения через порт 80.Enable incoming exception for sqservr.exe for DPM instance of SQL Server to allow TCP on port 80. Сервер отчетов прослушивает HTTP-запросы через порт 80.The report server listens for HTTP requests on port 80.
Удаленный SQL ServerRemote SQL Server Заданный по умолчанию экземпляр ядра СУБД прослушивает TCP-порт 1443.Default instance of database engine listens on TCP port 1443. Можно изменитьCan be modified

Чтобы использовать службу обозревателя SQL Server для подключения через нестандартный порт, задайте UDP-порт 1434.To use the SQL Server Browser service to connect on non-default port set UDP port 1434
Удаленный SQL ServerRemote SQL Server Именованный экземпляр SQL Server использует динамические порты по умолчанию.Named instance of SQL Server uses Dynamic ports by default. Можно изменитьCan be modified.
Удаленный SQL ServerRemote SQL Server Включите удаленный вызов процедурEnable RPC

Предоставление разрешений пользователямGrant user permissions

Прежде чем начать развертывание DPM, убедитесь, что соответствующим пользователям предоставлены необходимые привилегии для выполнения различных задач.Before you begin a DPM deployment, verify that appropriate users have been granted required privileges for performing the various tasks. Эти отчеты представлены в следующей таблице.These are summarized in the following table.

Задача DPMDPM task Необходимые разрешенияPermissions needed
Добавление сервера DPM в доменAdd the DPM server to a domain Учетная запись администратора домена или право пользователя на добавление рабочей станции в доменDomain admin account, or user right to add workstation to domain
Установка DPMInstall DPM Учетная запись администратора на сервере DPMAdmin account on the DPM server
Установка агента защиты DPM на защищаемом компьютереInstall DPM protection agent on machine you want to protect Учетная запись домена, входящая в группу локальных администраторов на компьютереDomain account that's in the local administrators group on the machine
Расширение схемы AD для включения восстановления конечным пользователемExtend AD schema to enable end-user recovery Привилегии администратора схемы для доменаSchema admin privileges for the domain
Создание контейнера AD для включения восстановления конечным пользователемCreate AD container to enable end-user recovery Привилегии администратора доменаDomain admin privileges
Предоставление серверу DPM разрешения на изменение содержимого контейнераGrant DPM server permission to change container contents Привилегии администратора доменаDomain admin privileges
Включение восстановления конечным пользователем на сервере DPMEnable end-user recovery on DPM server Учетная запись администратора на сервере DPMAdmin account on the DPM server
Установка клиентского программного обеспечения точек восстановления на защищаемом компьютереInstall recovery point client software on protected machine Учетная запись администратора на компьютереAdmin account on machine
Доступ к предыдущим версиям защищенных данных с защищаемого компьютераAccess previous versions of protected data from protected machine Учетная запись пользователя с доступом к защищенной общей папкеUser account with access to protected share
Восстановление данных SharePointRecover SharePoint data Администратор фермы SharePoint, который также является администратором на интерфейсном веб-сервере, на котором установлен агент защиты.SharePoint farm admin that's also an admin on the front-end Web server on which the protection agent is installed.

Примечание

Сервер DPM и защищенный компьютер взаимодействуют с использованием DCOM.DPM server and protected computer communicates using DCOM. При установке DPMRA учетная запись сервера DPM добавляется в группу безопасности Пользователи DCOM на защищенном компьютере.During DPMRA installation, DPM server’s account is added to the Distributed COM Users security group on the protected computer.

Для защиты для каждого контроллера домена будут созданы группы безопасности Active Directory с именами DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME и DPMRATRUSTEDDPMRAS$DCNAME.For domain controller protection, Active Directory security groups will be created for each of the protected domain controller, with the names DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME, and DPMRATRUSTEDDPMRAS$DCNAME.