使用 Azure 資料箱進行離線植入 (預覽)

  • 發行項

注意

這項功能適用於 Data Protection Manager (DPM) 2019 UR2 和更新版本。

本文說明如何使用 Azure 資料箱將初始備份資料從 DPM 離線植入到 Azure 復原服務保存庫。

您可以使用 Azure 資料箱,將您的大型初始 DPM 備份離線 (不使用網路) 植入到復原服務保存庫。 此程序可節省在透過高延遲網路線上移動大量備份資料時使會取用的時間和網路頻寬。 此功能目前為預覽狀態。

相較於基於 Azure 匯入/匯出服務的離線備份,基於 Azure 資料箱的離線備份能提供兩個不同的優點:

  • 您不需要購買自己的 Azure 相容磁碟和連接器。 Azure 資料箱會隨附與所選資料箱 SKU 相關聯的磁碟。

  • Azure 備份 (MARS 代理程式) 可以直接將備份資料寫入到支援的 Azure 資料箱 SKU 上。 這項功能讓您不必為初始備份資料佈建預備位置。 您也不需要透過公用程式來格式化資料,並將該資料複製到磁碟上。

支援的平台

以下是支援的平台:

  • Windows Server 2019 64 位元 (Standard、Datacenter、Essentials)
  • Windows Server 2016 64 位元 (Standard、Datacenter、Essentials)

備份資料大小和支援的資料箱 SKU

以下是支援的資料箱 SKU:

每個伺服器的 MARS) * 備份資料大小 (後壓縮 支援的 Azure 資料箱 SKU
<= 7.2 TB Azure 資料箱磁碟
> 7.2 TB 和 <= 80 TB** Azure 資料箱 (100 TB)

*一般的壓縮比率會有 10% 到 20% 的變動
**如果您預計單一資料來源的初始備份資料會超過 80 TB,請與 SystemCenterFeedback@microsoft.com 連絡。

重要

單一資料來源的初始備份資料必須包含在單一 Azure 資料箱或 Azure 資料箱磁片內,且無法在相同或不同 SKU 的多個裝置之間共用。 但 Azure 資料箱則可包含多個資料來源的初始備份。

開始之前

在 DPM 上執行的 MARS 代理程式應該升級為最新版本 (2.0.9171.0 或更新版本)。

確認下列事項:

Azure 訂用帳戶和必要權限

  • 有效的 Azure 訂用帳戶。
  • 打算執行離線備份原則的使用者必須是 Azure 訂用帳戶的擁有者。
  • 資料箱作業以及要作為資料植入目的地的復原服務保存庫,必須可於相同的訂用帳戶中取得。

    注意

    建議您讓目標儲存體帳戶和復原服務保存庫位於相同的區域。 不過,這不是必要的動作。

訂購和接收資料箱裝置

在觸發離線備份之前,請確定所需的資料箱裝置處於 [已傳遞] 狀態。 請參閱備份資料大小和支援的資料箱 SKU 以訂購最適合您需求的 SKU。 請遵循這篇文章中的步驟,訂購並接收您的資料箱裝置。

重要

請勿針對[帳戶類型] 選取[BlobStorage]。 DPM 服務器需要支援在選取 BlobStorage 時不支援分頁 Blob 的帳戶。 在為 Azure 資料箱作業建立目標儲存體帳戶時,選取 [儲存體 V2 (一般用途 v2) 作為 帳戶種類

顯示 [設定 azure 資料箱] 的螢幕擷取畫面。

設定 Azure 資料箱裝置

一旦您收到 Azure 資料箱裝置,視您訂購的 Azure 資料箱 SKU 而定,請執行下列各節中的步驟,以設定和準備 Data Box 裝置, (DPM Server 的) 來識別和傳輸初始備份資料。

設定 Azure 資料箱磁碟

如果您已訂購一或多個 Azure 資料箱磁碟 (每個磁碟高達 8 TB),請遵循此處所述的步驟,將您的資料箱磁碟開箱、連接及解除鎖定。

注意

DPM 可能沒有 USB 埠。 在這種情況下,您可以將 Azure 資料箱磁碟連接到另一個伺服器/用戶端,並將裝置的根目錄公開為網路共用。

設定 Azure 資料箱

如果您已訂購 Azure 資料箱 (最高100 TB),請遵循此處所述的步驟來設定您的資料箱。

將您的 Azure 資料箱掛接為本機系統

DPM 伺服器會在系統內容中運作,因此需要提供相同層級的權限給連接 Azure 資料箱的掛接路徑。 請遵循下列步驟,以確保您可以使用 NFS 通訊協定,將資料箱裝置掛接為本機系統。

  1. 在 DPM 伺服器上啟用 [Client for NFS] 功能。 指定替代來源:WIM:D:\Sources\Install.wim:4

  2. PSExechttps://download.sysinternals.com/files/PSTools.zip 下載到 DPM 伺服器。

  3. 開啟已提升權限的命令提示字元,然後執行下列命令,其中要以包含 PSExec.exe 的目錄作為目前的目錄。

    psexec.exe  -s  -i  cmd.exe

  4. 因執行上述命令而開啟的命令視窗位於本機系統內容中。 請使用此命令視窗來執行步驟,以將 Azure 分頁 Blob 共用掛接為 Windows Server 上的網路磁碟機。

  5. 遵循此處的步驟,透過 NFS 將 DPM 伺服器連線至資料箱裝置,並在本機系統的命令提示字元上執行下列命令來掛接 Azure 分頁 Blob 共用:

    mount -o nolock \\<DeviceIPAddres>\<StorageAccountName_PageBlob X:

  6. 掛接好之後,請檢查您是否可以從伺服器存取 X:。 如果是,請繼續進行本文的下一節。

將初始備份資料傳輸到 Azure 資料箱裝置

  1. 在 DPM 伺服器上,遵循相關步驟來建立新的保護群組。 如果您要將線上保護新增至現有的保護群組,請以滑鼠右鍵按一下現有的保護群組,然後選取 [ 新增線上保護 ],然後從 步驟 8開始。

  2. 在 [選取群組成員] 頁面上,指定您想要備份的電腦和來源。

  3. 在 [ 選取資料保護方法] 頁面上,指定您想要如何處理短期和長期備份。 請確定您選取 [我想要線上保護]。

    顯示建立新保護群組的螢幕擷取畫面。

  4. 在 [選取短期目標] 頁面上,指定在磁碟上儲存短期備份的方式。

  5. 在 [檢閱磁碟配置] 頁面上,檢閱針對此保護群組配置的存放集區磁碟空間。

  6. 在 [選擇複本建立方法] 頁面上,選取 [透過網路自動執行]。

  7. 在 [選擇一致性檢查選項] 頁面上,選取自動執行一致性檢查的方式。

  8. 在 [指定線上保護資料:] 頁面上,選取您想要啟用線上保護的成員。

    指定線上保護資料的螢幕擷取畫面。

  9. 在 [指定線上備份排程] 頁面上,指定 Azure 增量備份應該執行的頻率。

  10. 在 [指定線上保留原則] 頁面上,指定 Azure 如何保留每日/每週/每月/每年備份所建立的復原點。

  11. 在精靈的 [ 選擇線上複寫 ] 畫面上,選擇 [ 使用 Microsoft 擁有的磁片傳輸 ] 選項,然後選取 [ 下一步]。

    顯示 [選擇初始線上複寫] 的螢幕擷取畫面。

  12. 出現提示時,使用具有 Azure 訂用帳戶擁有者存取權的使用者認證來登入 Azure。 成功登入之後,會顯示下列畫面:

    成功登入之後的螢幕擷取畫面。

    DPM 伺服器接著會擷取訂用帳戶中處於 [已傳遞] 狀態的資料箱作業。

    注意

    第一次登入需要比平常更長的時間。 Azure PowerShell 模組會安裝在背景,而且也會註冊 Azure AD 應用程式。

    • 已安裝下列 PowerShell 模組:
      - AzureRM.Profile 5.8.3
      - AzureRM.Resources 6.7.3
      - AzureRM.Storage 5.2.0
      - Azure.Storage 4.6.1
    • Azure AD 應用程式已註冊為使用者 < 的 AzureOfflineBackup_ > 物件 GUID。

  13. 選取您已拆除包裝、連線並解除鎖定資料箱磁碟的正確資料箱訂單。 選取 [下一步] 。

    顯示 [選取資料箱] 的螢幕擷取畫面。

  14. 在 [ 偵測 DataBox ] 畫面上,輸入資料箱裝置的路徑,然後選取 [ 偵測裝置]。

    顯示輸入網路路徑的螢幕擷取畫面。

    重要

    提供 Azure 資料箱磁碟根目錄的網路路徑。 此目錄必須包含名稱為 PageBlob 的目錄,如下所示:

    USB 磁片磁碟機的螢幕擷取畫面。

    例如,如果磁碟的路徑是 \\mydomain\myserver\disk1\disk1 包含名為 PageBlob 的目錄,則要在 DPM 伺服器精靈上提供的路徑是 \\mydomain\myserver\disk1\。 如果您設定 Azure 資料箱 100 TB 裝置,請提供下列路徑作為裝置的網路路徑 \\<DeviceIPAddress>\<StorageAccountName>_PageBlob

  15. 選取 [下一步] 。 在 [摘要] 頁面中,檢閱您的設定,並選取 [建立群組]。

    顯示偵測資料箱的螢幕擷取畫面。

    下列畫面可確認您已成功建立保護群組。

    顯示已建立保護群組的螢幕擷取畫面。

  16. 在上方畫面中,選取 [關閉]。

    如此一來,資料的初始複寫就會發生在 DPM 磁碟上。 當其完成保護時,群組狀態會在 [保護] 頁面上顯示保護狀態為 [良好]。

  17. 若要起始目的地為 Azure 資料箱裝置的離線備份複製,請以滑鼠右鍵按一下 [保護群組],然後選擇 [建立復原點] 選項。 然後選擇 [線上保護] 選項。

    建立復原點的螢幕擷取畫面。

    復原點的螢幕擷取畫面。

DPM 伺服器會開始將您選取的資料備份到 Azure 資料箱裝置。 視 DPM 伺服器與 Azure 資料箱磁碟之間的資料大小和連線速度而定,這可能需要數小時到數天的時間。

您可以在 [監視] 窗格中監視作業的狀態。 資料備份完成後,您會看到類似下面的畫面:

系統管理員主控台的螢幕擷取畫面。

備份後步驟

一旦成功將資料備份到 Azure 資料箱磁碟後,請遵循下列步驟。

  • 遵循本文中的步驟,將 Azure 資料箱磁碟寄送至 Azure。 如果您使用 Azure 資料箱 100 TB 裝置,請遵循這些步驟將 Azure 資料箱寄送到 Azure。

  • 在 Azure 入口網站中監視資料箱作業。 Azure 資料箱作業完成之後,DPM 伺服器會在下一次進行排程備份時,自動將資料從儲存體帳戶移至復原服務保存庫。 如果成功建立復原點,其便會將備份作業標示為 [作業完成]。

    注意

    DPM 伺服器會在保護群組建立期間所排程的時間觸發備份。 不過,這些作業會標示為 [等候 Azure 資料箱作業完成],直到作業完成為止。

  • DPM 伺服器成功建立初始備份的對應復原點之後,您就可以刪除與 Azure 資料箱作業相關聯的儲存體帳戶 (或特定內容)。

疑難排解

DPM 服務器上的 Microsoft Azure 備份 (MAB) 代理程式會為您在租使用者中建立 Azure AD 應用程式。 此應用程式需要使用您在設定離線植入原則時所建立和上傳的憑證來進行驗證。

我們會使用 Azure PowerShell 來建立憑證,並將其上傳至 Azure AD 應用程式。

問題

在設定離線備份時,由於Azure PowerShell Cmdlet 中的已知程式碼缺失,您無法將多個憑證新增至 MAB 代理程式所建立的相同 Azure AD 應用程式。 如果您已為相同或不同的伺服器設定離線植入原則,這會影響您。

確認問題是否由這個特定根本原因所造成

若要確認失敗是否是因為上述 問題 所造成,請執行下列步驟之一:

步驟 1

設定離線備份時,請檢查 DPM/MABS 主控台是否出現下列任一錯誤訊息:

因為無法將此伺服器的驗證資訊上傳至 Azure,所以無法為目前的 Azure 帳戶建立離線備份原則。 (識別碼:100242)

Azure 復原服務代理程式的螢幕擷取畫面。

無法對 Azure 進行查詢匯入作業狀態與將備份資料移至復原服務保存庫所需的服務呼叫。 (識別碼:100230)

螢幕擷取畫面顯示 Azure 復原服務代理程式的錯誤畫面。

步驟 2

  1. 開啟安裝路徑中的 Temp 資料夾, (預設暫存資料夾路徑為 C:\Program Files\Microsoft Azure 復原服務代理程式\Temp) 。 尋找 CBUICurr 檔案並開啟檔案。
  2. CBUICurr 檔案中,捲動至最後一行,並檢查失敗是否是因為 無法在客戶的帳戶中建立 Azure AD 應用程式認證。例外狀況:不允許使用 KeyId < 更新現有認證,但不允許某些 guid >

因應措施

若要解決此問題,請執行下列步驟並重試原則設定。

  1. 使用具有訂用帳戶管理員存取權的不同帳戶登入 DPM 服務器 UI 上顯示的 Azure 登入頁面,該帳戶將會建立匯入匯出作業。

  2. 如果沒有其他伺服器已設定離線植入,而且沒有其他伺服器相依於 AzureOfflineBackup_<Azure User Id> 應用程式,則會從 [Azure 入口網站] > [Azure Active Directory] > [應用程式註冊] 刪除此應用程式。

    注意

    檢查應用程式 AzureOfflineBackup_<Azure User Id> 是否未設定任何其他離線植入,也沒有其他伺服器相依於此應用程式。 移至 [公開金鑰] 區段下的 [ 設定 > 金鑰 ],它不應該新增任何其他 公開金鑰 。 如需參考,請參閱下列螢幕擷取畫面:

    顯示公開金鑰的螢幕擷取畫面。

步驟 3

從您嘗試設定離線備份的 DPM 服務器,執行下列動作:

  1. 開啟 [管理電腦憑證應用程式]>[個人] 索引標籤,然後尋找名稱為 CB_AzureADCertforOfflineSeeding_<ResourceId> 的憑證。

  2. 選取上述憑證,以滑鼠右鍵按一下 [所有工作] 和 [匯出] (不含私密金鑰,格式為 .cer)。

  3. 移至第 2 點中所提到的 Azure 離線備份應用程式。 在 [設定>金鑰>上傳公開金鑰] 中,上傳在上述步驟中匯出的憑證。

    上傳公開金鑰的螢幕擷取畫面。

  4. 在伺服器中,於執行視窗中輸入 regedit 以開啟登錄。

  5. 移至登錄 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\Config\CloudBackupProvider。 以滑鼠右鍵按一下 [CloudBackupProvider],並新增名稱為 AzureADAppCertThumbprint_<Azure User Id> 的新字串值。

    注意

    若要取得 Azure 使用者識別碼,請執行下列其中一項動作:

    • 從與 Azure 連線的 PowerShell 中,執行 Get-AzureRmADUser -UserPrincipalName "Account Holder's email as defined in the portal" 命令。
    • 瀏覽至名稱為 CurrentUserId 的登錄路徑 Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Azure Backup\DbgSettings\OnlineBackup

  6. 以滑鼠右鍵按一下上述步驟所新增的字串,然後選取 [修改]。 在此值中,提供您在第 2 點匯出的憑證指紋,然後選取 [確定]。

  7. 若要取得指紋的值,請按兩下憑證,然後選取 [ 詳細資料 ] 並向下捲動,直到您看到指紋欄位為止。 選取 [指紋],並複製值。

    顯示 [取得指紋] 值的螢幕擷取畫面。

下一步