Beveiligde computers beheren
Gepubliceerd: maart 2016
Is van toepassing op: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
De onderwerpen in dit gedeelte bevatten informatie over het uitvoeren van algemene onderhoudstaken en het beheren van beveiligde computers.
Bewerkingen beheren
In het algemeen kunt u bestandsservers en werkstations blijven onderhouden die worden beveiligd door System Center 2012 – Data Protection Manager (DPM) met behulp van uw normale onderhoudsschema en de hulpprogramma's voor onderhoud in het besturingssysteem.Deze hulpprogramma's en de gevolgen voor de gegevensbeveiliging worden in de volgende tabel weergegeven.
| Windows-hulpprogramma | Overwegingen |
|---|---|
| Schijfopruiming: gebruiken om tijdelijke bestanden, internet-cachebestanden en onnodige programmabestanden te verwijderen. | Schijfopruiming uitvoeren heeft als het goed is geen negatieve invloed op prestaties of gegevensbeveiliging. |
| Schijfdefragmentatie: gebruiken om volumes te analyseren voor de hoeveelheid fragmentatie en om volumes te defragmenteren. | Voordat u een volume aan een beveiligingsgroep toevoegt, controleert u het volume voor fragmentatie en, indien nodig, fragmenteert u het volume met behulp van Schijfdefragmentatie.Als beveiliging op zeer gefragmenteerde volumes wordt toegepast, kan het dat de beveiligde computer langzamer worden opgestart en kunnen beveiligingstaken mislukken. Het wordt aanbevolen Schijfopruiming uit te voeren voordat u Schijfdefragmentatie uitvoert. |
| Chkdsk.exe: gebruiken om het bestandssysteem en de metagegevens van het bestandssysteem op fouten te controleren en een statusrapport over de bevindingen weer te geven. | Controleer voordat u chkdsk /f op een beveiligd volume uitvoert of er geen consistentiecontrole van dat volume wordt uitgevoerd.Als u chkdsk /f op een beveiligd volume uitvoert terwijl er op dat volume een consistentiecontrole wordt uitgevoerd, kan CPU 100% worden gebruikt. Voer synchronisatie uit met de consistentiecontrole nadat u Chkdsk.exe op de beveiligde computer hebt uitgevoerd. |
Updates op beveiligde computers toepassen
Een belangrijk onderdeel van computeronderhoud is ervoor zorgen dat besturingssystemen en software up-to-date zijn.Updates, ook wel oplossingen, patches, service packs en beveiligings-rolluppakketten, helpen bij het beveiligen van computers en gegevens.
U kunt uw voorkeursmethode gebruiken voor het implementeren van software-updates, zoals Automatische updates of Windows Server Update Services, op door System Center 2012 – Data Protection Manager (DPM) beveiligde computers.Sommige software-updates vereisen het opnieuw opstarten van een computer; daarom moet u de updates plannen of uitvoeren op tijdstippen die zo weinig mogelijk impact hebben op beveiligingsbewerkingen.
Antivirussoftware op beveiligde computers uitvoeren
Vermijd gegevensbeschadiging van replica's en schaduwkopieën door de antivirussoftware te configureren om besmette bestanden te verwijderen in plaats van deze automatisch op te schonen of in quarantaine te plaatsen.Automatisch opschonen en in quarantaine plaatsen kan gegevensbeschadiging veroorzaken omdat deze processen ervoor kunnen zorgen dat de antivirussoftware bestanden wijzigt, zodat er wijzigingen worden gemaakt die System Center 2012 – Data Protection Manager (DPM) niet kan detecteren.Raadpleeg de documentatie van uw antivirussoftware voor meer informatie over het configureren van uw antivirussoftware om besmette bestanden te verwijderen.
Zie Beveiligingsagents installeren voor meer informatie over het configureren van firewalls op computers bij het installeren van beveiligingsagents.
DPM-poorten op beveiligde computers wijzigen
System Center 2012 – Data Protection Manager (DPM) vereist de poorten 5718 en 5719.Als deze poorten al door een ander programma worden gebruikt, worden de back-uptaken uitgevoerd, maar mislukken de herstelbewerkingen.Als het mogelijk is, voegt u de poorten toe aan DPM.Voer anders de volgende procedure uit om de poorten voor DPM te wijzigen.
Ga naar het bestand SetAgentcfg.exe op de DPM-server.Het bestand bevindt zich standaard op de volgende locatie: %PROGRAMFILES%\Microsoft DPM\DPM\Setup\SetAgentCfg.exe.
Kopieer het bestand naar de beveiligde computer waarop het probleem zich voordoet.Kopieer het bestand naar de agent-DPM\Bin-directory.Het bestand bevindt zich standaard op de volgende locatie: %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.
Open op de beveiligde computer een opdrachtprompt met verhoogde bevoegdheid en wijzig de directory in de map waar het bestand SetAgentCfg.exe is gekopieerd.Bijvoorbeeld %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.
Voer de volgende opdracht uit om de poorten die worden gebruikt door de DPM-Agent te wijzigen:
SetAgentCfg e dpmra <poortnummer> <alternatief poortnummer>.Start de DPM RA-service opnieuw.
Automatische detectie beheren
System Center 2012 – Data Protection Manager (DPM) voert eenmaal per dag zoekopdrachten uit op Active Directory Domain Services om nieuwe computers te detecteren.Dit proces wordt automatische detectie genoemd.Automatische detectie is beperkt tot een DPM-serverdomein.
DPM toont de nieuwe computers de volgende keer wanneer u de wizard Beveiligingsagent installeren of de wizard Nieuwe beveiligingsgroep maken opent voor clientcomputers.Als u gegevens op een nieuwe computer wilt beveiligen, installeert u een beveiligingsagent op de computer en voegt u vervolgens gegevensbronnen toe aan een nieuwe of bestaande beveiligingsgroep.
Automatische detectie wordt standaard iedere dag om 1:00 uur uitgevoerd.U kunt de planning voor automatische detectie als volgt aanpassen aan uw netwerkverkeer of andere behoeften:
Klik in de DPM Administrator-console op Opties.
Selecteer in het dialoogvenster Opties op het tabblad Automatische detectie het tijdstip waarop u wilt dat automatische detectie wordt uitgevoerd. Klik vervolgens op OK.
Replicatie in tijdzones beheren
In een Active Directory-domein worden de systeemtijden op server gesynchroniseerd volgens de tijdzoneconfiguratie van elke server.Wanneer een DPM-server echter computers beveiligt die zich in een andere tijdzone dan de DPM-server bevinden, moet u rekening houden met het tijdsverschil bij het plannen van taken, het controleren van rapporten, het beheren van waarschuwingen en het uitvoeren van gegevensherstel.
DPM plant synchronisatietaken en herstelpunttaken automatisch in de tijdzone van de beveiligde computer.In andere gebieden van de DPM Administrator-console worden de systeemtijden weergegeven in de tijdzone van de DPM-server.Hoewel u taken plant om te worden uitgevoerd in de tijdzone van de beveiligde computer, worden de starttijden en herstelpunten van de taken weergegeven in de tijdzone van de DPM-server.
Stel dat uw DPM-server zich bijvoorbeeld in Berlijn bevindt en er zich een beveiligde server in Reykjavik bevindt, waar het twee uur vroeger is dan in Berlijn.Als u de synchronisatie en het herstelpunt instelt op 18:00 uur, worden de taken uitgevoerd om 18:00 uur plaatselijke tijd in Reykjavik, de tijd op de bestandsserver.Als een gebruiker in Reykjavik echter een aanvraag indient om gegevens te herstellen naar de status vanaf 18.00 uur gisteren, zoekt u het herstelpunt van 20:00 uur Berlijnse tijd, omdat de gebruikersinterface voor DPM-herstel de herstelpunttijdstippen registreert in de tijdzone van de DPM-server.
De kolom Laatst gewijzigd in het taakgebied Herstel van de DPM Administrator-console geeft de datum en tijd weer van de laatste wijzigingen aan het bestand (dit kunnen zowel wijzigingen aan de inhoud als aan de metagegevens zijn).
Werkuren voor de beperking van de netwerkbandbreedte gebruiken de tijdzone van de beveiligde computer.
Het maken van de eerste replica plannen
Taken voor het maken van de eerste replica worden gepland met de tijd van de DPM-server. U kunt geen taak plannen om te worden uitgevoerd op een tijdstip in het verleden voor de DPM-server, zelfs als dat tijdstip zich nog in de toekomst bevindt voor de beveiligde computer.In ons voorbeeld van een DPM-server in Berlijn die een bestandsserver in Reykjavik beveiligt, is er een verschil van twee uur tussen de tijdstippen van de twee servers.Om 21:00 uur Berlijnse tijd kunt u geen taak voor het maken van een eerste replica van de bestandsserver in Reykjavik plannen om 20:00 uur op dezelfde dag, zelfs al is het nog geen 20:00 uur in Reykjavik, en dit omdat dit tijdstip zich in het verleden bevindt voor de DPM-server in Berlijn.
Taken voor het maken van de eerste replica worden uitgevoerd met het tijdstip van de beveiligde computer.Dit betekent dat als een taak voor het maken van de eerste replica voor de bestandsserver in Reykjavik voor 21:00 uur op een bepaalde datum staat gepland, deze taak op die dag om 21:00 uur in Reykjavik zal worden uitgevoerd.
Veronderstel dat de DPM-server in Berlijn ook een bestandsserver in Sofia beveiligt; daar is het één uur later dan in Berlijn.U plant om 20:00 uur in Berlijn een begintaak voor het maken van een replica voor de bestandsserver in Sofia die om 20:30 uur moet worden uitgevoerd. U kunt de taak plannen voor 20:30 uur omdat dit tijdstip voor de DPM-server in de toekomst ligt.Als het echter al later is dan 20:30 uur in Sofia zal het maken van de eerste replica onmiddellijk starten.
DPM identificeert automatisch de tijdzone van een beveiligde computer tijdens de installatie van de beveiligde agent.Op voorwaarde dat zowel de DPM-server en de beveiligde computer zich in tijdzones bevinden waar dezelfde regels gelden voor de zomer- en wintertijd, past DPM de tijdsinstellingen automatisch aan aan de zomer- en wintertijd.Als de DPM-server en de beveiligde computer zich echter op plaatsen bevinden met verschillende regels voor zomer- en wintertijd (bijvoorbeeld als de DPM-server zich op een locatie bevindt waar de zomer- en wintertijd worden aangepast en de beveiligde server niet), dan zal het begin van de zomer-/wintertijd de tijdzoneverschillen tussen DPM en de beveiligde computer verstoren.
Om dit probleem op te lossen kunt u de DPM-server forceren om de tijdzoneverschillen te resetten door het verwijderen van de gegevensbronnen uit de beveiliging en vervolgens het opnieuw toevoegen van gegevensbronnen aan beveiligingsgroepen.
Scripts uitvoeren na taken op beveiligde computers
Een script dat voorafgaat aan back-ups is een script dat zich op de beveiligde computer bevindt en voor iedere back-uptaak van DPM wordt uitgevoerd. De beveiligde gegevensbron wordt hiermee op de back-up voorbereid.
Een script dat volgt op back-ups is een script dat na een back-uptaak van DPM wordt uitgevoerd voor alle naverwerkingstaken van een back-up, zoals het terug online zetten van een virtuele machine.
Wanneer u een beveiligingsagent op een computer installeert, wordt het bestand ScriptingConfig.xml aan de map \Microsoft Data Protection Manager\DPM\Scripting in het installatiepad van de beveiligde computer toegevoegd.Voor elke beveiligde gegevensbron op de computer kunt u een script dat voorafgaat aan en volgt op de back-up opgeven in ScriptingConfig.xml.
Notitie
De scripts die voorafgaan aan en volgen op de back-up kunnen geen VBScripts zijn.U moet in plaats daarvan een wrapper-opdracht dat uw script insluit gebruiken dat cscript myscript.vbs bevat.
Wanneer DPM een beveiligingstaak uitvoert, wordt ScriptingConfig.xml op de beveiligde computer gecontroleerd.Als er een script dat voorafgaat aan back-ups is opgegeven, voert DPM het script uit en voltooit daarna de taak.Als er een script dat volgt op back-ups is opgegeven, voltooit DPM eerst de taak en voert daarna het script uit.
Notitie
Beveiligingstaken zijn onder andere het maken van een replica, snelle volledige back-up, synchronisatie en consistentiecontrole.
DPM voert de scripts die voorafgaan aan en volgen op back-ups uit met behulp van het lokale systeemaccount.Als 'best practice' moet u ervoor zorgen dat de scripts de machtigingen Lezen en Uitvoeren alleen hebben voor de administratoraccount en de lokale systeemaccount.Deze machtigingsniveaus voorkomen dat onbevoegde gebruikers de scripts kunnen wijzigen.
ScriptingConfig.xml
<?xml version="1.0" encoding="utf-8"?>
<ScriptConfiguration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns="https://schemas.microsoft.com/2003/dls/ScriptingConfig.xsd">
<DatasourceScriptConfig DataSourceName="Data source">
<PreBackupScript>”Path\Script Parameters” </PreBackupScript>
<PostBackupScript>"Path\Script Parameters” </PostBackupScript>
<TimeOut>30</TimeOut>
</DatasourceScriptConfig>
</ScriptConfiguration>
Scripts die voorafgaan aan en volgen op back-ups opgeven
Open op de beveiligde computer het bestand ScriptingConfig.xml in een XML- of teksteditor.
Notitie
Het kenmerk DataSourceName moet worden opgegeven als Drive: (bijvoorbeeld D: als de gegevensbron zich op station D bevindt).
Vul voor elke gegevensbron het element DatasourceScriptConfig als volgt in:
Voer voor het kenmerk DataSourceName het gegevensbronvolume (voor bestandsgegevensbronnen) of de naam (voor alle andere gegevensbronnen) in.De gegevensbronnaam voor toepassingsgegevens moet in de volgende indelingen worden opgegeven: Exemplaar\Database voor SQL, Naam opslaggroep voor Exchange, Logisch pad\Onderdeelnaam voor Virtual Server en SharePoint Farm\SQL Servernaam\SQL-exemplaarnaam\SharePoint Config DB voor Windows SharePoint Services.
Voer in de tag PreBackupScript het pad en de scriptnaam in.
Voer in de tag PreBackupCommandLine de opdrachtregelparameters in die aan de scripts moeten worden doorgegeven, gescheiden door spaties.
Voer in de tag PostBackupScript het pad en de scriptnaam in.
Voer in de tag PostBackupCommandLine de opdrachtregelparameters in die aan de scripts moeten worden doorgegeven, gescheiden door spaties.
Voer in de tag TimeOut de tijd in aantal minuten in dat DPM moet wachten na het aanroepen van een script voordat er een time-out optreedt en het script als mislukt wordt aangeduid.
Sla het bestand ScriptingConfig.xml op.
Notitie
Door DPM wordt er een extra Boole-parameter (waar/onwaar) aan de opdracht voor het script dat volgt op de back-up toegevoegd, die de status van de DPM-back-uptaak aangeeft.
De beveiliging van een computer stoppen
Als u de beveiliging van een beveiligde computer wilt stoppen, kunt u de beveiligde computer uit DPM verwijderen met Remove-ProductionServer.ps1.De DPM-beveiligingsagent wordt hiermee niet van de beveiligde computer verwijderd.U moet de agent handmatig verwijderen.
Als u dit script uitvoert wordt de beveiligde computer verwijderd uit de DPM-database (DPMDB) en uit de vertrouwde groepen DCOMTrustedMachines en DPMRADMTrustedMachines.
Remove-ProductionServer.PS1
Syntaxis: Remove-ProductionServer.ps1 -DPMServername [DPMServerName] -PSName [ProtectedComputerName]
| Parameter | Beschrijving |
|---|---|
| -DPMServername | Naam van de DPM-server. |
| -PSName | Naam van de beveiligde computer die moet worden verwijderd. Als de computer was beveiligd met een FQDN- of NETBIOS-naam, moet u die naam hier gebruiken. |
.jpeg "System_CAPS_ICON_important.jpg") Belangrijk |
|---|
Er mogen geen actief beveiligde gegevensbronnen op de computer zijn die u wilt verwijderen. |
Een replica synchroniseren
System Center 2012 – Data Protection Manager (DPM) biedt twee methoden voor het synchroniseren van een replica: incrementele synchronisatie en synchronisatie met consistentiecontrole.Incrementele synchronisatie (ook wel synchronisatie genoemd) verzendt de wijzigingen aan beveiligde gegevens van de beveiligde computer naar de DPM-server en voert de wijzigingen vervolgens door op de replica.Synchronisatie met consistentiecontrole verzendt gegevenswijzigingen van de beveiligde computer naar de DPM-server maar voert ook een blok-voor-blokverificatie uit om er zeker van te zijn dat alle gegevens op de replica consistent zijn met de beveiligde gegevens.
U moet mogelijk een replica in de volgende situaties handmatig synchroniseren:
U kunt een replica handmatig synchroniseren voordat u een herstelpunt maakt om ervoor te zorgen dat u het recentste herstelpunt krijgt.Kies hiervoor incrementele synchronisatie.
U voert een handmatige consistentiecontrole uit wanneer een replica inconsistent wordt vanwege een overlopend wijzigingslogboek of het onverwacht afsluiten van de beveiligde computer.Alle synchronisatie- en herstelpunttaken mislukken totdat de replica consistent is gemaakt met behulp van een consistentiecontrole.
Als u handmatig een replica maakt van een tape of een ander verwijderbaar medium in plaats van over het netwerk, moet u een consistentiecontrole uitvoeren voordat de gegevensbeveiliging kan beginnen.
U moet een replica handmatig synchroniseren wanneer u configuratiewijzigingen aanbrengt aan een beveiligde computer, zoals de volgende:
Items toevoegen aan of items verwijderen uit een opslaggroep
De bestandslocatie van beveiligde items wijzigen op een beveiligde computer
Zie Synchronisatie [DPM2012_New] voor meer informatie over synchronisatiemethoden
Een replica handmatig synchroniseren
Klik op Beveiliging in de DPM Administrator-console op de navigatiebalk.
Selecteer in het weergavepaneel de replica die u wilt synchroniseren.
Klik op Herstelpunt maken - schijf in het deelvenster Acties.
Selecteer in het dialoogvenster Herstelpunt maken de optie Herstelpunt maken na synchronisatie of Alleen synchroniseren.Als u Alleen synchroniseren selecteert, worden wijzigingen vanaf de laatste synchronisatie verzonden naar en doorgevoerd op de replica.
Klik op OK.
Een replica verwijderen
U kunt een replica gebruiken wanneer u geen gegevens meer hoeft te herstellen voor het gekoppelde beveiligingsgroeplid.De methode die u gebruikt voor het verwijderen van de replica hangt af van of de replica actief of inactief is.Een actieve replica is een replica waarvoor de brongegevens momenteel worden beschermd.
Een actieve replica verwijderen
Klik op Beveiliging in de DPM Administrator-console op de navigatiebalk.
Selecteer in het weergavepaneel het beveiligingsgroeplid dat u wilt verwijderen.
Klik op Beveiliging van lid stoppen in het deelvenster Acties.
Selecteer in het dialoogvenster Verwijderen uit groep of u de replica op de schijf wilt verwijderen.Als herstelpunten op een tape zijn opgeslagen, selecteert u of u de herstelpunten op tape wilt laten verlopen.
Klik op OK.
Notitie
Als u een actieve replica verwijdert, verwijdert u ook alle herstelpunten voor de eerder beveiligde gegevens en het gekoppelde lid van de beveiligingsgroep.Zie Leden van een beveiligingsgroep verwijderen [DPM2012_Web] voor meer informatie.
Een inactieve replica verwijderen
Klik op Beveiliging in de DPM Administrator-console op de navigatiebalk.
Selecteer in het weergavepaneel de inactieve replica die u wilt verwijderen.
Klik op Inactieve beveiliging verwijderen in het deelvenster Acties.
Selecteer in het dialoogvenster Inactieve beveiliging verwijderen dat u de replica op schijf wilt verwijderen.Als herstelpunten op een tape zijn opgeslagen, selecteert u of u de herstelpunten op tape wilt laten verlopen.
Notitie
Gegevens voor de geselecteerde inactieve beveiligingsleden zijn gemarkeerd voor verlopen.De tapes zijn niet gemarkeerd voor vrije ruimte totdat alle andere gegevens die zijn gemarkeerd voor verlopen zijn verlopen.
Klik op OK.Nadat u op OK hebt geklikt, kunt u deze actie niet annuleren.
Notitie
Als u een inactieve replica verwijdert, verwijdert u hiermee ook de herstelpunten voor de eerder beveiligde gegevens.
Notitie
Zie Gegevens uit verschillende beveiligingsgroepen op schijf plaatsen voor gegevensbronnen met co-locaties.