准备好部署 DPM 服务器
重要
此版本的 Data Protection Manager (DPM) 已终止支持。 建议 升级到 DPM 2022。
开始部署 System Center Data Protection Manager (DPM) 服务器前需要考虑一些规划步骤:
规划 DPM 服务器部署 - 算出所需的 DPM 服务器数并确定放置它们的位置。
规划防火墙设置 - 获取有关 DPM 服务器、受保护计算机和远程SQL Server上的防火墙、端口和协议设置的信息(如果正在设置)。
授予用户权限 - 指定可与 DPM 交互的用户。
规划 DPM 服务器的部署
首先,确定需要多少台服务器:
DPM 最多可以保护 600 个卷。 若要保护此最大大小,DPM 需要每个 DPM 服务器有 120 TB。
一台 DPM 服务器可以保护最多 2000 个数据库(建议磁盘大小为 80 TB)。
一台 DPM 服务器可以保护最多 3000 台客户端计算机和 100 台服务器。
- 对于 DPM 服务器容量规划,可以使用 DPM 存储计算器。 这些计算器是 Excel 工作表,特定于工作负载。 它们介绍了所需的 DPM 服务器数、处理器核心数、RAM、虚拟内存建议和所需的存储容量。 由于这些计算器是特定于工作负载的,因此你需要组合建议的设置,并将其与系统要求以及特定业务拓扑和要求(包括数据源和存储位置、合规性和 SLA 要求以及灾难恢复需求)一起考虑。 请注意,这些计算器是针对 DPM 2010 发布的,但仍适用于 DPM 的更高版本。
然后确定如何查找服务器:
DPM 必须部署在 Active Directory 域中(Windows Server 2008 及以上版本)。
确定查找 DPM 服务器的位置时,请考虑 DPM 服务器和受保护的计算机之间的网络带宽。 如果要通过广域网 (WAN) 来保护数据,则最低网络带宽要求为 512 千位每秒 (Kbps)。
DPM 支持成组网络适配器 (NIC)。 成组 NIC 是指配置后由操作系统视为单个适配器的多个物理适配器。 组合 NIC 通过组合可用带宽来增加带宽,使用每个适配器并在适配器发生故障时故障转移到剩余的适配器。 DPM 可以使用在 DPM 服务器上使用成组适配器实现的带宽增加。
DPM 服务器位置的另一个注意事项是需要手动管理磁带和磁带库,例如将新磁带添加到库或删除异地存档的磁带。
DPM 服务器可以保护域中的资源,也可以保护与 DPM 服务器所在的域具有双向信任关系的林中的域。 如果域间没有双向信任关系,则需要为每个域指定一个独立的 DPM 服务器。 如果林之间存在林级的双向信任关系,则 DPM 服务器可以跨林保护数据。
请考虑 DPM 服务器与受保护计算机之间的网络带宽。 如果要通过 WAN 保护数据,则最低网络带宽要求为 512 Kbps。 请注意,DPM 支持组合的 NIC,这些 NIC 通过将可用于每个网络适配器的带宽组合在一起,并在适配器发生故障时进行故障转移,从而增加带宽。
规划防火墙设置和用户权限
防火墙设置
若要远程运行,DPM 服务器、要保护的计算机和用于 DPM 数据库的 SQL Server 上均需要 DPM 部署的防火墙设置。 如果在安装 DPM 时启用了 Windows 防火墙,则 DPM 安装程序会自动在 DPM 服务器上配置防火墙设置。 下表对防火墙设置进行了总结。
| 位置 | 规则 | 详细信息 | 协议 | 端口 |
|---|---|---|---|---|
| DPM 服务器 | System Center <version> Data Protection Manager DCOM 设置 | 用于 DPM 服务器与受保护计算机之间的 DCOM 通信。 | DCOM | 135/TCP 动态 |
| DPM 服务器 | System Center <version> Data Protection Manager | Msdpm.exe 例外(DPM 服务)。 在 DPM 服务器上运行。 | 所有协议 | 所有端口 |
| DPM 服务器 受保护的计算机 |
System Center <version> Data Protection Management 复制代理 | Dpmra.exe 例外(用于备份和还原数据的保护代理服务)。 在 DPM 服务器和受保护的计算机上运行。 | 所有协议 | 所有端口 |
| 受保护的计算机 | 为 sqserv.exe 配置传入异常 | |||
| 受保护的计算机 | DPM 通过对代理的 DCOM 调用向保护代理发出命令。 需要打开 (1024-65535) 的上部端口,以便 DPM 进行通信。 | DCOM | 135/TCP 动态 | |
| 受保护的计算机 | DPM 数据通道是 TCP。 DPM 服务器和受保护的计算机均会发起连接。 DPM 在端口 5718 上与代理协调器通信,在端口 5719 上与保护代理通信。 | TCP | 5718/TCP 5719/TCP |
|
| 受保护的计算机 | 用于 DPM/受保护计算机与域控制器之间的主机名解析。 | DNS | 53/UDP | |
| 受保护的计算机 | 用于在 DPM/受保护的计算机和域控制器之间对连接终结点进行身份验证。 | Kerberos | 88/UDP 88/TCP |
|
| 受保护的计算机 | 用于 DPM 服务器与域控制器之间的查询。 | LDAP | 389/TCP 389/UDP |
|
| 受保护的计算机 | 用于 1) DPM 和受保护的计算机之间,2) DPM 和域控制器之间 3) 受保护的计算机和域控制器之间的其他操作。 也用于直接托管在 DPM 函数的 TCP/IP 上的 SMB。 | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| 远程 SQL Server | 使用以下命令为 SQL Server 的 DPM 实例启用 TCP/IP:默认失败审核;启用密码策略检查。 | |||
| 远程 SQL Server | 为 SQL Server 的 DPM 实例 sqservr.exe 启用传入例外,以允许使用端口 80 上的 TCP。 报表服务器在端口 80 上侦听 HTTP 请求。 | |||
| 远程 SQL Server | 数据库引擎的默认实例侦听 TCP 端口 1443。 可修改。 若要使用 SQL Server Browser 服务在非默认端口上连接,请设置 UDP 端口 1434。 |
|||
| 远程 SQL Server | 默认情况下,SQL Server 的命名实例使用动态端口。 可修改。 | |||
| 远程 SQL Server | 启用 RPC |
Grant user permissions
在开始 DPM 部署之前,请验证是否向相应的用户授予了执行各种任务所需的权限。 下表概述了这些报表。
| DPM 任务 | 所需权限 |
|---|---|
| 将 DPM 服务器添加到域 | 将工作站添加到域的域管理员帐户或用户权限 |
| 安装 DPM | DPM 服务器上的管理员帐户 |
| 在要保护的计算机上安装 DPM 保护代理 | 计算机上的本地管理员组中的域帐户 |
| 扩展 AD 架构以启用最终用户恢复 | 域的架构管理员权限 |
| 创建 AD 容器以启用最终用户恢复 | 域管理员权限 |
| 授予 DPM 服务器权限以更改容器内容 | 域管理员权限 |
| 在 DPM 服务器上启用最终用户恢复 | DPM 服务器上的管理员帐户 |
| 在受保护的计算机上安装恢复点客户端软件 | 计算机上的管理员帐户 |
| 从受保护的计算机访问以前版本的受保护数据 | 能够访问受保护的共享的用户帐户 |
| 恢复 SharePoint 数据 | SharePoint 场管理员,也是安装保护代理的前端 Web 服务器上的管理员。 |
注意
DPM 服务器和受保护的计算机使用 DCOM 进行通信。 在 DPMRA 安装期间,DPM 服务器的帐户将添加到受保护计算机上的 分布式 COM 用户 安全组。
对于域控制器保护,将为每个受保护的域控制器创建 Active Directory 安全组,其名称为 DPMRADCOMTRUSTEDMACHINES$DCNAME、 DPMRADMTRUSTEDMACHINES$DCNAME 和 DPMRATRUSTEDDPMRAS$DCNAME。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈