次の方法で共有


DPM サーバーを展開する準備をする

System Center Data Protection Manager (DPM) サーバーの展開を開始する前に考慮すべきいくつかの計画手順があります。

DPM サーバーの展開を計画する

まず、必要なサーバーの数を決定します。

  • DPM は、最大 600 個のボリュームを保護できます。 この最大サイズを保護するには、DPM サーバーあたり 120 TB が必要です。

  • 1 台の DPM サーバーで最大 2,000 個のデータベースを保護できます (推奨されるディスク サイズは 80 TB)。

  • 1 台の DPM サーバーで、最大 3,000 台のクライアント コンピューターと 100 台のサーバーを保護できます。

    • DPM サーバーの容量計画には、 DPM ストレージ計算ツールを使用できます。 これらの電卓は Excel シートであり、ワークロード固有です。 必要な DPM サーバーの数、プロセッサ コア、RAM、仮想メモリの推奨事項、および必要な記憶域容量について説明します。 これらの計算ツールはワークロード固有であるため、推奨設定を組み合わせて、データ ソースとストレージの場所、コンプライアンスと SLA の要件、ディザスター リカバリーのニーズなど、システム要件と特定のビジネス トポロジと要件と一緒に検討する必要があります。 計算ツールは DPM 2010 用にリリースされましたが、それ以降の DPM バージョンには引き続き関係があることに注意してください。

次に、サーバーを見つける方法を確認します。

  • DPM は Active Directory ドメイン (Windows Server 2008 以降) に展開する必要があります。

  • DPM サーバーの場所を決定する場合は、DPM サーバーと保護されたコンピューターの間のネットワーク帯域幅を考慮してください。 ワイド エリア ネットワーク (WAN) を介してデータを保護する場合は、ネットワーク帯域幅の最小要件が 512 キロビット/秒 (Kbps) と定められています。

  • DPM では、チーム化されたネットワーク アダプター (NIC) がサポートされます。 チーミングされた NIC とは、オペレーティング システムが 1 つのアダプターと見なすように構成された複数の物理アダプターのことです。 チーミングされた NIC は、使用可能な帯域幅を組み合わせることで帯域幅を増やし、各アダプターを使用し、アダプターが失敗したときに残りのアダプターにフェールオーバーします。 DPM は、DPM サーバー上のチーミングされたアダプターを使用して、達成される帯域幅の増加を使用できます。

  • DPM サーバーの場所に関するもう 1 つの考慮事項は、新しいテープをライブラリに追加したり、オフサイト アーカイブ用のテープを削除したりするなど、テープとテープ ライブラリを手動で管理する必要がある場合です。

  • DPM サーバーは、ドメイン内のリソース、または DPM サーバーが配置されているドメインと双方向の信頼関係を持つフォレスト内のドメイン間でリソースを保護できます。 ドメイン間で双方向の信頼がない場合は、ドメインごとに個別の DPM サーバーが必要です。 フォレスト間にフォレスト レベルの双方向の信頼がある場合、DPM サーバーはフォレスト間でデータを保護できます。

  • DPM サーバーと保護対象のコンピューター間のネットワーク帯域幅を考慮してください。 WAN 経由でデータを保護する場合、ネットワーク帯域幅の最小要件は 512 Kbps です。 DPM では、各ネットワーク アダプターで使用可能な帯域幅を組み合わせて帯域幅を増やし、アダプターで障害が発生した場合にフェールオーバーする、チーム化された NIC がサポートされていることに注意してください。

ファイアウォール設定とユーザーのアクセス許可を計画する

ファイアウォールの設定

DPM 展開のファイアウォール設定は、DPM サーバー、保護するマシン、DPM データベースに使用される SQL Server (リモートで実行している場合) で必要です。 DPM のインストール時に Windows ファイアウォールが有効になっている場合、DPM セットアップによって DPM サーバーのファイアウォール設定が自動的に構成されます。 ファイアウォールの設定を次の表にまとめます。

Location Rule 詳細 プロトコル Port
DPM サーバー System Center <version> Data Protection Manager DCOM の設定 DPM サーバーと保護されたマシン間の DCOM 通信に使用されます。 DCOM 135/TCP 動的
DPM サーバー System Center <version> Data Protection Manager Msdpm.exe (DPM サービス) の例外です。 DPM サーバーで実行します。 すべてのプロトコル すべてのポート
DPM サーバー

保護されたマシン
System Center <version> Data Protection Management レプリケーション エージェント Dpmra.exeの例外 (データのバックアップと復元に使用される保護エージェント サービス)。 DPM サーバーと保護されたマシンで実行されます。 すべてのプロトコル すべてのポート
保護されたマシン sqserv.exeの受信例外を構成する
保護されたマシン DPM は、エージェントへの DCOM 呼び出しで保護エージェントにコマンドを発行します。 DPM が通信するには、上部のポート (1024- 65535) を開く必要があります。 DCOM 135/TCP 動的
保護されたマシン DPM データ チャネルは TCP です。 DPM サーバーと保護されたマシンの両方が接続を開始します。 DPM は、ポート 5718 でエージェント コーディネーターと通信し、ポート 5719 で保護エージェントと通信します。 TCP 5718/TCP

5719/TCP
保護されたマシン DPM/保護されたマシンとドメイン コントローラーの間のホスト名解決に使用されます。 DNS 53/UDP
保護されたマシン 接続エンドポイント、DPM/保護されたマシン、およびドメイン コントローラーの間の認証に使用されます。 Kerberos 88/UDP

88/TCP
保護されたマシン DPM サーバーとドメイン コントローラーの間のクエリに使用されます。 LDAP 389/TCP

389/UDP
保護されたマシン 1) DPM と保護されたマシン、2) DPM とドメイン コントローラー 3) 保護されたマシンとドメイン コントローラーの間のその他の操作に使用されます。 また、DPM 関数の TCP/IP で直接ホストされる SMB にも使用されます。 NetBIOS 137/UDP

138/UDP

139/TCP

445/TCP
リモート SQL Server SQL Server の DPM インスタンスに対して TCP/IP を有効にします。既定のエラー監査。パスワード ポリシー チェックを有効にします。
リモート SQL Server SQL Server の DPM インスタンスのsqservr.exeの受信例外を有効にして、ポート 80 で TCP を許可します。 レポート サーバーは、ポート 80 で HTTP 要求をリッスンします。
リモート SQL Server データベース エンジンの既定のインスタンスは、TCP ポート 1443 でリッスンします。 変更できます。

SQL Server Browser サービスを使用して、既定以外のポート セット UDP ポート 1434 で接続する場合。
リモート SQL Server SQL Server の名前付きインスタンスでは、既定で動的ポートが使用されます。 変更できます。
リモート SQL Server RPC を有効にする

ユーザーのアクセス許可を付与する

DPM の展開を開始する前に、さまざまなタスクを実行するために必要な特権が適切なユーザーに付与されていることを確認します。 これらの概要を次の表に示します。

DPM タスク 必要なアクセス許可
DPM サーバーをドメインに追加する ドメインにワークステーションを追加するドメイン管理者アカウントまたはユーザー権限
DPM をインストールする DPM サーバーの管理者アカウント
保護するコンピューターに DPM 保護エージェントをインストールする コンピューター上のローカル管理者グループにあるドメイン アカウント
AD スキーマを拡張してエンド ユーザーの回復を有効にする ドメインのスキーマ管理者特権
エンド ユーザーの回復を有効にする AD コンテナーを作成する ドメイン管理者特権
コンテナーの内容を変更するための DPM サーバーのアクセス許可を付与する ドメイン管理者特権
DPM サーバーでエンド ユーザーの回復を有効にする DPM サーバーの管理者アカウント
保護されたコンピューターに回復ポイント クライアント ソフトウェアをインストールする コンピューターの管理者アカウント
保護されたコンピューターから保護されたデータの以前のバージョンにアクセスする 保護された共有へのアクセス権を持つユーザー アカウント
SharePoint データを回復する 保護エージェントがインストールされているフロントエンド Web サーバーの管理者でもある SharePoint ファーム管理者。

Note

DPM サーバーと保護されたコンピューターは、DCOM を使用して通信します。 DPMRA のインストール中に、DPM サーバーのアカウントが保護されたコンピューターの Distributed COM Users セキュリティ グループに追加されます。

ドメイン コントローラー保護の場合、Active Directory セキュリティ グループは、保護された各ドメイン コントローラーに対して作成されます。名前は DPMRADCOMTRUSTEDMACHINES$DCNAMEDPMRADMTRUSTEDMACHINES$DCNAME、および DPMRATRUSTEDDPMRAS$DCNAME