DPM sunucuları dağıtmaya hazırlanma
Önemli
bu Data Protection Manager (DPM) desteğin sonuna ulaştı, DPM 2019'a yükseltmenizi öneririz.
System Center Data Protection Manager (DPM) sunucularınızı dağıtmaya başlamadan önce göz önünde System Center Data Protection Manager birkaç planlama adımı vardır:
DPM sunucu dağıtımını planlayın - Kaç DPM sunucusuna gerek duyacağınızı ve bunları nereye yerleştireceğinizi planlayın.
Güvenlik duvarı ayarlarını planlayın - DPM sunucusundaki, korunan makinelerdeki ve kuracaksanız uzak SQL Server’daki güvenlik duvarı, bağlantı noktası ve protokol ayarları hakkında bilgi edinin.
Kullanıcı izinleri verin - DPM ile kimin etkileşim kurabileceğini belirtin.
DPM sunucu dağıtımını planlama
İlk olarak kaç tane sunucuya ihtiyacınız olacağını belirleyin:
DPM, en fazla 600 birim koruyabilir. DPM, bu en büyük boyutu korumak için DPM sunucusu başına 120 TB gerektirir.
Tek bir DPM sunucusu en fazla 2000 veritabanı koruyabilir (önerilen disk boyutu 80 TB).
Tek bir DPM sunucusu en fazla 3000 istemci bilgisayarı ve 100 sunucuyu koruyabilir.
-
- DPM sunucusu kapasite planlaması için DPM depolama hesaplayıcıları'nı kullanabilirsiniz. Bu hesaplayıcılar Excel sayfalarıdır ve iş yüküne özgüdür. Bunlar, gerekli DPM sunucusu, işlemci çekirdeği ve RAM sayısı ile sanal bellek önerileri ve gerekli depolama kapasitesi hakkında rehberlik sağlar. Bu hesaplayıcılar iş yüküne özgü olduğundan önerilen ayarları birleştirmeniz ve bunları sistem gereksinimleriyle, belirli iş topolojiniz ve gereksinimlerinizle (veri kaynağı ve depolama konumları, uyumluluk ve SLA gereksinimleri ve olağanüstü durum kurtarma gereksinimleri dahil) birlikte kabul etmeniz gerekir. Hesaplayıcıların DPM 2010 için sunulduğunu ancak bundan sonraki DPM sürümleri için de uygun olduğunu aklınızda bulundurun.
Ardından sunucuları nasıl konumlandıracağınızı öğrenin:
DPM’nin, bir Active Directory etki alanında (Windows Server 2008 ve sonraki sürümler) dağıtılması gerekir.
DPM sunucunuzun yerine karar verirken DPM sunucusu ile korumalı bilgisayarlar arasındaki ağ bant genişliğini göz önünde bulundurun. Bir geniş alan ağı (WAN) üzerindeki verileri korumaya aldıysanız en az 512 kilobit/saniye (Kbps) ağ bant genişliği olmalıdır.
DPM, ekip oluşturan ağ bağdaştırıcılarını (NIC'ler) destekler. Ekip oluşturulan NIC'ler, işletim sistemi tarafından tekil bağdaştırıcı olarak değerlendirilecek şekilde yapılandırılan birden fazla fiziksel bağdaştırıcıdır. Ekip oluşturulan NIC'ler, her bir bağdaştırıcıyla ve bir bağdaştırıcı başarısız olduğunda kalanlara yük devretmeyle kullanılabilir bant genişliğini birleştirerek daha yüksek bant genişliği sağlar. DPM, DPM sunucusunda ekip oluşturan bağdaştırıcı kullanılarak elde edilen yüksek bant genişliğini kullanabilir.
Bantları ve bant kitaplıklarını el ile yönetmek için DPM sunucularınız için başka bir konum düşünmeniz gerekir (örneğin, kitaplığa yeni bantlar ekleme veya site dışında arşivleme için bantları kaldırma).
Bir DPM sunucusu, bir etki alanında veya DPM sunucusunun bulunduğu etki alanıyla çift yönlü bir güven ilişkisine sahip olan ormandaki etki alanlarındaki kaynakları koruyabilir. Etki alanlarında çift yönlü bir güven yoksa her etki alanı için ayrı bir DPM sunucusuna sahip olmanız gerekir. Ormanlar arasında orman düzeyinde çift yönlü bir güven varsa bir DPM sunucusu, ormanlardaki verileri koruyabilir.
DPM sunucusu ve korumalı bilgisayarlar arasındaki ağ bant genişliğini göz önünde bulundurun. Bir WAN üzerinden verileri koruyorsanız ağ bant genişliğinin en az 512 Kb/sn olması gerekir. DPM'nin, her bir ağ bağdaştırıcısı için kullanılabilen bant genişliğini ve yük devretmeyi (bir bağdaştırıcı başarısız olursa) birleştirerek yüksek bant genişliği sağlayan desteklenen, ekip oluşturan NIC'leri desteklediğini unutmayın.
Güvenlik duvarı ayarlarını ve kullanıcı izinlerini planlama
Güvenlik duvarı ayarları
DPM sunucusunda, korumak istediğiniz makinelerde ve uzaktan çalıştırıyorsanız DPM veritabanı için kullanılan SQL Server’da DPM dağıtımı için güvenlik ayarları gereklidir. DPM'yi yüklediğinizde Windows Güvenlik Duvarı etkinse, DPM sunucusundaki güvenlik duvarı ayarları DPM kurulumu tarafından otomatik olarak yapılandırılır. Güvenlik ayarları aşağıdaki tabloda özetlenmiştir.
| Konum | Kural | Ayrıntılar | Protokol | Bağlantı noktası |
|---|---|---|---|---|
| DPM sunucusu | System Center Data Protection Manager DCOM Ayarı | DPM sunucusu ve korumalı makineler arasındaki DCOM iletişimi için kullanılır | DCOM | 135/TCP Dinamik |
| DPM sunucusu | System Center Data Protection Manager | Msdpm.exe (DPM hizmeti) için özel durum. DPM sunucusunda çalışır | Tüm protokoller | Tüm bağlantı noktaları |
| DPM sunucusu Korumalı makineler |
System Center Veri Koruma Yönetimi Çoğaltma Aracısı | Dpmra.exe (veri yedeklemek ve geri yüklemek için kullanılan koruma aracısı hizmeti) için özel durum. DPM sunucusu ve korumalı makineler üzerinde çalışır. | Tüm protokoller | Tüm bağlantı noktaları |
| Korumalı makineler | sqserv.exe için gelen bir özel durum yapılandırma | |||
| Korumalı makineler | DPM, aracıya yönelik DCOM çağrıları ile birlikte koruma aracısına komutlar verir. DPM’nin iletişim kurabilmesi için üst bağlantı noktalarını (1024-65535) açmanız gerekir | DCOM | 135/TCP Dinamik | |
| Korumalı makineler | DPM veri kanalı, TCP'dir. Bağlantılar hem DPM sunucusu hem de korunan makineler tarafından başlatılır. DPM, aracı düzenleyicisiyle bağlantı noktası 5718'den ve koruma aracısıyla bağlantı noktası 5719'dan iletişime geçer | TCP | 5718/TCP 5719/TCP |
|
| Korumalı makineler | DPM/korumalı makine ve etki alanı denetleyicisi arasındaki konak adı çözümlemesi için kullanılır | DNS | 53/UDP | |
| Korumalı makineler | DPM/korumalı makine ve etki alanı denetleyicisi arasındaki bağlantı uç noktası kimlik doğrulaması için kullanılır | Kerberos | 88/UDP 88/TCP |
|
| Korumalı makineler | DPM sunucusu ve etki alanı denetleyicisi arasındaki sorgular için kullanılır | LDAP | 389/TCP 389/UDP |
|
| Korumalı makineler | 1) DPM ve korumalı makineler, 2) DPM ile etki alanı denetleyicisi 3) Korumalı makineler ve etki alanı denetleyicisi arasındaki çeşitli işlemler için kullanılır. DPM işlevleri için doğrudan TCP/IP üzerinde barındırılan SMB için de kullanılır | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| Uzak SQL Sunucusu | SQL Server'ın DPM örneği için TCP/IP'yi şu şekilde etkinleştirin: Varsayılan hata denetimi; parola ilkesi denetimini etkinleştir | |||
| Uzak SQL Sunucusu | Bağlantı noktası 80 üzerinde TCP'ye izin vermek üzere SQL Server DPM örneğine yönelik sqservr.exe için gelen bir özel durum etkinleştirin. Rapor sunucusu, HTTP isteklerini bağlantı noktası 80 üzerinde dinler. | |||
| Uzak SQL Sunucusu | Veritabanı altyapısının varsayılan örneği, TCP bağlantı noktası 1443 üzerinde dinleme yapar. Değiştirilebilir SQL Server Browser hizmetini varsayılan olmayan bağlantı noktasına bağlanmak üzere kullanmak için UDP bağlantı noktası 1434’ü ayarlayın |
|||
| Uzak SQL Sunucusu | SQL Server'ın adlandırılmış örneği, varsayılan olarak Dinamik bağlantı noktalarını kullanır. Değiştirilebilir. | |||
| Uzak SQL Sunucusu | RPC Etkinleştirme |
Kullanıcı izinleri verme
DPM dağıtımına başlamadan önce, uygun kullanıcılara çeşitli görevleri gerçekleştirmeleri için gerekli ayrıcalıkların verildiğini doğrulayın. Bunlar aşağıdaki tabloda özetlenmiştir.
| DPM görevi | Gereken izinler |
|---|---|
| DPM sunucusunu bir etki alanına ekleme | Etki alanına iş istasyonu eklemek için etki alanı yöneticisi hesabı veya bir kullanıcı hakkı |
| DPM yükleme | DPM sunucusunda yönetici hesabı |
| Korumak istediğiniz makineye DPM koruma aracısını yükleme | Makinede yerel yöneticiler grubunda bulunan etki alanı hesabı |
| Son kullanıcı kurtarmayı etkinleştirmek için AD şemasını genişletme | Etki alanı için şema yöneticisi ayrıcalıkları |
| Son kullanıcı kurtarmayı etkinleştirmek üzere AD kapsayıcısı oluşturma | Etki alanı yöneticisi ayrıcalıkları |
| DPM sunucusuna kapsayıcı içeriğini değiştirme izni verme | Etki alanı yöneticisi ayrıcalıkları |
| DPM sunucusunda son kullanıcı kurtarmayı etkinleştirme | DPM sunucusunda yönetici hesabı |
| Korumalı makineye kurtarma noktası istemci yazılımı yükleme | Makinedeki yönetici hesabı |
| Korumalı makineden korunan verilerin önceki sürümlerine erişme | Korunan paylaşıma erişimi olan kullanıcı hesabı |
| SharePoint verilerini kurtarma | Aynı zamanda koruma aracısının yüklü olduğu ön uç Web sunucusunda da bir yönetici olan SharePoint grup yöneticisi. |
Not
DPM sunucusu ve korumalı bilgisayar, DCOM kullanarak iletişim kurar. DPMRA yüklemesi sırasında DPM sunucusunun hesabı, korunan bilgisayardaki Dağıtılmış com kullanıcıları güvenlik grubuna eklenir.
Etki alanı denetleyicisi koruması için, her bir korumalı etki alanı denetleyicisi için Active Directory güvenlik grupları, DPMRADCOMTrustedMachines $ EADadı, DPMRADmTrustedMachines $ EADadı ve Dpmmıtrusteddpmras $ EADadlarıyla oluşturulur.