Distribuera DPM-servrar
Viktigt
Den här versionen Data Protection Manager (DPM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till DPM 2019.
Det finns några planeringssteg att tänka på innan du börjar distribuera System Center Data Protection Manager (DPM)-servrar:
Planera för distribution av DPM-server – Ta reda på hur många DPM-servrar du behöver och var de ska placeras.
Planera brandväggsinställningar – Skaffa information om inställningar för brandvägg, port och protokoll på DPM-servern, skyddade datorer och en fjärransluten SQL Server om du konfigurerar en sådan.
Bevilja användarbehörighet – Ange vem som kan interagera med DPM.
Planera för distribution av DPM-server
Börja med att fastställa hur många servrar du behöver:
DPM kan skydda upp till 600 volymer. Om du vill skydda den här största storleken behöver DPM 120 TB per DPM-server.
En enda DPM-server kan skydda upp till 2 000 databaser (rekommenderad diskstorlek är 80 TB).
En enda DPM-server kan skydda upp till 3 000 klientdatorer och 100 servrar.
-
- När du planerar kapaciteten för DPM-servrarna kan du använda DPM-lagringsberäknarna. Dessa räknare är Excel-blad som är arbetsbelastningsspecifika. De ger rekommendationer om antalet DPM-servrar som krävs, processorkärna, RAM-minne och virtuellt minne samt nödvändiga lagringskapacitet. Eftersom dessa räknare är arbetsbelastningsspecifika måste du kombinera de rekommenderade inställningarna och ha dem i åtanke jämte systemkraven, och din specifika företagstopologi och särskilda krav, inklusive datakällan och lagringsplatser, efterlevnads- och SLA-krav samt katastrofåterställningskrav. Räknarna gavs ut för DPM 2010 men är fortfarande relevanta för senare DPM-versioner.
Ta sedan reda på hur servrarna ska placeras:
DPM måste distribueras i en Active Directory-domän (Windows Server 2008 och senare).
När du bestämmer var du vill placera DPM-servern bör du tänka på nätverksbandbredden mellan DPM-servern och de skyddade datorerna. Om du skyddar data över ett WAN-nätverk finns det ett minimikrav gällande nätverksbandbredd på 512 kilobit per sekund (Kbps).
DPM stöder teamindelade nätverkskort. Teamindelade nätverkskort är flera fysiska kort som konfigurerats för att hanteras som ett enda nätverkskort av operativsystemet. Teamindelade nätverkskort ger ökad bandbredd genom att kombinera den tillgängliga bandbredden för varje nätverkskort, och redundansväxla till återstående kort om ett kort slutar fungera. DPM kan använda den ökade bandbredden som uppnås genom att använda det kombinerade kortet på DPM-servern.
En annan sak du bör tänka på när det gäller placering av DPM-servrarna är behovet av att hantera band och bandbibliotek manuellt, t.ex. att lägga till nya band i biblioteket eller ta bort band för arkiv offsite.
En DPM-server kan skydda resurser i en domän eller över domäner i en skog som har ett dubbelriktat förtroende med den domän där DPM-servern finns. Om det inte finns ett dubbelriktat förtroende mellan domänerna behöver du en separat DPM-server för varje domän. En DPM-server kan skydda data i skogar om det finns ett dubbelriktat förtroende på skogsnivå mellan skogarna.
Tänk på nätverksbandbredden mellan DPM-servern och de skyddade datorerna. Om du skyddar data via WAN krävs en nätverksbandbredd på 512 kbit/s. Observera att DPM stöder teamindelade nätverkskort som ger ökad bandbredd genom att kombinera den tillgängliga bandbredden för varje nätverkskort, och redundansväxla om ett kort slutar fungera.
Planera brandväggsinställningar och användarbehörigheter
Brandväggsinställningar
Brandväggsinställningar för DPM-distribution krävs på DPM-servern, på de datorer som du vill skydda och på den SQL Server som används för DPM-databasen om du kör den externt. Om Windows-brandväggen är aktiverad när du installerar DPM konfigureras brandväggsinställningarna på DPM-servern automatiskt. Brandväggsinställningarna sammanfattas i följande tabell.
| Location | Regel | Information | Protokoll | Port |
|---|---|---|---|---|
| DPM-server | System Center Data Protection Manager DCOM-inställning | Används för DCOM-kommunikationen mellan DPM-servern och skyddade datorer | DCOM | 135/TCP Dynamisk |
| DPM-server | System Center Data Protection Manager | Undantag för msdpm.exe (DPM-tjänsten). Körs på DPM-servern | Alla protokoll | Alla portar |
| DPM-server Skyddade datorer |
System Center Replikeringsagent för dataskyddshantering | Undantag för Dpmra.exe (skyddsagenttjänst som används för att säkerhetskopiera och återställa data). Körs på DPM-servern och skyddade datorer. | Alla protokoll | Alla portar |
| Skyddade datorer | Konfigurera inkommande undantag för sqserv.exe | |||
| Skyddade datorer | DCOM utfärdar kommandon till skyddsagenten via DCOM-anrop till agenten. För DPM-kommunikation krävs att du öppnar de övre portarna (1024-65535) | DCOM | 135/TCP Dynamisk | |
| Skyddade datorer | DPM-datakanalen är TCP. Både DPM-servern och de skyddade datorerna initierar anslutningar. DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719 | TCP | 5718/TCP 5719/TCP |
|
| Skyddade datorer | Används för värdnamnsmatchning mellan DPM/den skyddade datorn och domänkontrollanten | DNS | 53/UDP | |
| Skyddade datorer | Används för autentisering av anslutningsslutpunkten mellan DPM/den skyddade datorn och domänkontrollanten | Kerberos | 53/UDP 88/TCP |
|
| Skyddade datorer | Används för frågor mellan DPM-servern och domänkontrollanten | LDAP | 389/TCP 389/UDP |
|
| Skyddade datorer | Används för olika åtgärder mellan 1) DPM och skyddade datorer, 2) DPM och domänkontrollanten 3) Skyddade datorer och domänkontrollanten. Används även för SMB som är direkt värdbaserad på TCP/IP för DPM-funktioner | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Fjärransluten SQL-server | Aktivera TCP/IP för DPM-instansen av SQL Server med följande: standardgranskning av misslyckade försök, aktivera kontroll av lösenordsprincip | |||
| Fjärransluten SQL-server | Aktivera inkommande undantag för sqservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-förfrågningar på port 80. | |||
| Fjärransluten SQL-server | Standardinstansen av databasmotorn lyssnar på TCP-port 1443. Kan ändras Om du vill använda tjänsten SQL Server Browser för att ansluta på en port som inte är standard anger du UDP-port 1434 |
|||
| Fjärransluten SQL-server | En namngiven instans av SQL Server använder dynamiska portar som standard. Kan ändras. | |||
| Fjärransluten SQL-server | Aktivera RPC |
Bevilja användarbehörighet
Innan du påbörjar en DPM-distribution måste du verifiera att rätt användare har fått de behörigheter som krävs för att utföra de olika uppgifterna. Dessa sammanfattas i tabellen nedan.
| DPM-uppgift | Privilegier som krävs |
|---|---|
| Lägg till DPM-servern i en domän | Domänadministratörskonto eller användarbehörighet för att lägga till en arbetsstation i en domän |
| Installera DPM | Administratörskonto på DPM-servern |
| Installera DPM-skyddsagenten på den dator som du vill skydda | Domänkonto som finns i den lokala administratörsgruppen på datorn |
| Utöka AD-schemat för att aktivera slutanvändaråterställning | Schemaadministratörsprivilegier för domänen |
| Skapa AD-container för att aktivera slutanvändaråterställning | Domänadministratörsprivilegier |
| Bevilja DPM-servern behörighet att ändra containerns innehåll | Domänadministratörsprivilegier |
| Aktivera slutanvändaråterställning på DPM-servern | Administratörskonto på DPM-servern |
| Installera klientprogramvara för återställningspunkt på den skyddade datorn | Administratörskonto på datorn |
| Åtkomst till tidigare versioner av skyddade data från den skyddade datorn | Användarkonto med åtkomst till den skyddade resursen |
| Återställa SharePoint-data | Administratör för SharePoint-servergruppen som också är en administratör på den frontend-webbserver där skyddsagenten är installerad. |
Anteckning
DPM-servern och den skyddade datorn kommunicerar med DCOM. Under DPMRA-installationen läggs DPM-serverns konto till i säkerhetsgruppen Distribuerade COM-användare på den skyddade datorn.
För skydd av domänkontrollanter skapas Active Directory-säkerhetsgrupper för var och en av den skyddade domänkontrollanten med namnen DPMRADCOMTRUSTEDMACHINES$DCNAME,DPMRADMTRUSTEDMACHINES$DCNAMEoch DPMRATRUSTEDDPMRAS$DCNAME.