Share via

  • Статья

Управление защищенными компьютерами

 

Опубликовано: Март 2016

Применимо к: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Подразделы этого раздела содержат информацию о выполнении типичных задач по техническому обслуживанию защищенных компьютеров и управлению ими.

Управление операциями

В общем случае можно продолжить обслуживание на файловых серверах и рабочих станциях, защищенных System Center 2012 – Data Protection Manager (DPM), с помощью расписания регулярного обслуживания и средств обслуживания, предоставляемых в операционной системе.Эти средства и их воздействие на защиту данных указаны в следующей таблице.

Средство Windows Особенности
Очистка диска: Используется для удаления временных файлов, файлов интернет-кэша, а также ненужных файлов приложений. Запуск программы очистки диска не должен отрицательно сказываться на производительности или защите данных.
Дефрагментация диска: Используйте для определения уровня фрагментации томов, а также для их дефрагментации. Перед добавлением тома в группу защиты проверьте его на наличие фрагментации и при необходимости выполните дефрагментацию тома с помощью программы дефрагментации диска.При применении защиты к сильно фрагментированным томам время загрузки на защищенном компьютере может быть увеличено, а задания защиты могут завершаться ошибкой.

Рекомендуется запустить средство очистки диска перед запуском дефрагментации.
Chkdsk.exe: Используется для проверки файловой системы и ее метаданных на наличие ошибок, а также для вывода результатов проверки. Перед запуском chkdsk /f на защищенном томе убедитесь в том, что не выполняется проверка согласованности этого тома.Запуск chkdsk /f на защищенном томе при выполнении на нем проверки согласованности может привести к 100% использованию ЦП.

Запустите синхронизацию с проверкой согласованности после выполнения Chkdsk.exe на защищенном компьютере.

Применение обновлений на защищенных компьютерах

Важная часть обслуживания компьютера заключается в своевременном обновлении операционных систем и программного обеспечения.Обновления (также известные как исправления, пакеты обновления и накопительные обновления безопасности) помогают защищать компьютеры и данные.

На защищенных System Center 2012 – Data Protection Manager (DPM) компьютерах можно использовать свой предпочитаемый метод установки обновлений программного обеспечения, например, автоматические обновления или службы Windows Server Update Services.Поскольку для некоторых обновлений программного обеспечения требуется перезагрузка компьютера, следует планировать процедуры обновления на время, наименее загруженное операциями защиты.

Использование антивирусного ПО на защищенных компьютерах

Чтобы предотвратить повреждение данных реплик и теневых копий, настройте антивирусную программу удалять зараженные файлы вместо того, чтобы автоматически лечить их или отправлять в карантин.Автоматическое лечение и отправка в карантин могут привести к повреждению данных, поскольку в ходе этих процессов антивирусная программа вносит в файлы изменения, которые не обнаруживаются диспетчером System Center 2012 – Data Protection Manager (DPM).Сведения о настройке антивирусной программы для удаления зараженных файлов см. в документации к антивирусной программе.

Сведения о настройке брандмауэров на компьютерах при установке агентов защиты см. в разделе Установка агентов защиты.

Изменение портов DPM на защищенных компьютерах

Для работы System Center 2012 – Data Protection Manager (DPM) необходимы порты 5718 и 5719.Если эти порты уже используются другой программой, задания архивации будут выполняться, но восстановления будут завершаться ошибкой.Если возможно, переназначьте порты для DPM.В противном случае, выполните следующую процедуру для изменения портов для DPM.

  1. Найдите файл SetAgentcfg.exe на сервере DPM.По умолчанию файл расположен по следующему пути: %PROGRAMFILES%\Microsoft DPM\DPM\Setup\SetAgentCfg.exe.

  2. Скопируйте файл на защищенный компьютер, на котором возникают проблемы.Скопируйте файл в каталог DPM\Bin агента.По умолчанию файл расположен по следующему пути: %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.

  3. На защищенном компьютере откройте командную строку, перейдите в каталог, в который был скопирован файл SetAgentCfg.exe.Например, %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.

  4. Выполните следующую команду, чтобы изменить порты, используемые агентом DPM: SetAgentCfg e dpmra <номер_порта> <альтернативный_номер_порта>.

  5. Перезапустите службу DPM RA.

Управление автоматическим обнаружением

Один раз в день System Center 2012 – Data Protection Manager (DPM) отправляет доменным службам Active Directory запрос на обнаружение новых компьютеров.Этот процесс называется автоматическим обнаружением.Автоматическое обнаружение ограничено доменом сервера DPM.

DPM отображает список новых компьютеров при следующем открытии мастера установки агента защиты или мастера создания группы защиты для клиентских компьютеров.Чтобы начать защиту данных на новом компьютере, установите на нем агент защиты и добавьте источники данных в новую или существующую группу защиты.

По умолчанию автоматическое обнаружение выполняется ежедневно в 1:00.Вы можете изменить расписание автоматического обнаружения, чтобы лучше соответствовать трафику в вашей сети, либо каким-либо другим требованиям. Сделать это можно следующим образом:

  1. В консоли администрирования DPM щелкните элемент Параметры.

  2. В диалоговом окне Параметры на вкладке Автоматическое обнаружение выберите время дня для желаемого запуска автоматического обнаружения. Затем нажмите кнопку ОК.

Управление репликацией в разных часовых поясах

В домене Active Directory, системное время на серверах синхронизируется в соответствии с конфигурацией часового пояса на каждом из серверов.Однако когда сервер DPM защищает компьютеры с часовым поясом, отличающимся от сервера DPM, следует учитывать разницу во времени при планировании заданий, просмотре отчетов, работе с оповещениями и восстановлении данных.

DPM автоматически планирует задания синхронизации и создание точек восстановления, используя часовой пояс защищенного компьютера.Во всех других областях консоли администрирования DPM, системное время отображается с использованием часового пояса сервера DPM.Несмотря на то что планирование заданий осуществляется с использованием часового пояса защищенного компьютера, время запуска заданий и создания точек восстановления отображается в часовом поясе сервера DPM.

К примеру, предположим, что ваш сервер DPM находится в Берлине, а защищенный файловый сервер — в Рейкьявике (время на два часа меньше берлинского).Когда вы запланируете синхронизацию и создание точки восстановления на 18:00, задания запустятся в 18:00 по рейкьявикскому времени — времени, используемом на файловом сервере.Тем не менее, если пользователь в Рейкьявике запрашивает восстановление данных по состоянию на 18:00 вчерашнего дня, следует искать точку восстановления по состоянию на 20:00 берлинского времени, так как пользовательский интерфейс системы восстановления DPM назначает точкам восстановления время согласно часовому поясу сервера DPM.

В консоль администрирования DPM столбец Изменен отображает дату и время последних изменений в файле, которые могут быть либо изменениями в содержимом файла, либо изменениями в его метаданных.

Для отображения рабочих часов функции регулирования использования полосы пропускания сети применяется часовой пояс защищенного компьютера.

Планирование создания исходной реплики

Задания по созданию исходной реплики планируются, используя время сервера DPM. Невозможно запланировать запуск задания на время, которое уже находится в прошлом для сервера DPM, даже если это время все еще в будущем для защищенного компьютера.В приведенном ранее примере с берлинским сервером DPM, который защищает файловый сервер в Рейкьявике, имеется двухчасовая разница между временем серверов.В 21:00 по берлинскому времени невозможно запланировать задание создания исходной реплики для файлового сервера в Рейкьявике на 20:00 в тот же день, так как несмотря на то, что в Рейкьявике еще не наступило время 20:00, на сервере DPM в Берлине это время уже прошло.

Задания создания исходной реплики происходят с использованием времени защищенного компьютера.Это означает, что если запланировать задание создания исходной реплики для файлового сервера в Рейкьявике на 21:00 определенной даты, задание запустится в 21:00 по рейкьявикскому времени в этот день.

Представим себе, что сервер DPM, находящийся в Берлине, также защищает файловый сервер в Софии (время на час позже берлинского времени).В 20:00 в Берлине вы планируете задание создания исходной реплики для файлового сервера в Софии, выполнение которого должно начаться в 20:30. Вы можете запланировать его на 20:30, так как для сервера DPM это время еще не наступило.Однако поскольку в Софии уже больше 20:30, создание исходной реплики начнется немедленно.

DPM автоматически определяет часовой пояс защищенного компьютера при установке агента защиты.При условии, что и сервер DPM, и защищенный компьютер находятся в часовых поясах с одинаковыми правилами перехода на летнее время, диспетчер DPM автоматически выполняет подстройку расписания на период действия летнего времени.Однако если сервер DPM и защищенный компьютер находятся в часовых поясах, использующих разные правила перехода на летнее время — например, если сервер DPM находится там, где используется переход на летнее время, а защищенный сервер — там, где он не используется, переход на летнее время приведет к искажению смещения часовых поясов между DPM и защищенным компьютером.

Чтобы устранить эту проблему, можно заставить сервер DPM выполнить сброс смещения часового пояса. Для этого удалите источники данных из групп защиты и добавьте их назад.

Запуск сценариев после заданий на защищенных компьютерах

Доархивационный сценарий — это находящийся на защищенном компьютере сценарий, который выполняется перед каждым заданием резервного копирования DPM и выполняет подготовку защищенного источника данных к резервному копированию.

Постархивационный сценарий — это сценарий, выполняющийся после задания резервного копирования DPM. Он осуществляет все постархивационные операции, например такие, как возобновление работы виртуальных машин.

При установке на компьютер агента защиты файл ScriptingConfig.xml помещается в папку путь установки\Microsoft Data Protection Manager\DPM\Scripting на защищенном компьютере.Для каждого защищенного источника данных на компьютере вы можете указать доархивационный и постархивационный сценарии в файле ScriptingConfig.xml.

System_CAPS_ICON_note.jpg Примечание

Доархивационные и постархивационные сценарии не могут быть в формате VBScript.Сценарий такого формата необходимо заключить в оболочку, содержащую строку cscript myscript.vbs.

Когда диспетчер DPM запускает задание защиты, происходит проверка файла ScriptingConfig.xml на защищенном компьютере.Если указан доархивационный сценарий, DPM запускает сценарий, после чего выполняет задание.Если указан постархивационный сценарий, DPM выполняет задание, после чего запускает сценарий.

System_CAPS_ICON_note.jpg Примечание

В число заданий защиты входят такие операции как создание реплики, быстрая полная архивация, синхронизация и проверка согласованности.

DPM выполняет доархивационные и постархивационные сценарии, используя учетную запись Local System.Рекомендуется следить за тем, чтобы у сценариев имелись разрешения на чтение и выполнение только в учетных записях администратора и Local System.Этот уровень разрешений позволяет предотвратить несанкционированное изменение сценариев другими пользователями.

ScriptingConfig.xml

<?xml version="1.0" encoding="utf-8"?>  
<ScriptConfiguration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
xmlns:xsd="http://www.w3.org/2001/XMLSchema"   
xmlns="https://schemas.microsoft.com/2003/dls/ScriptingConfig.xsd">  
   <DatasourceScriptConfig DataSourceName="Data source">  
     <PreBackupScript>”Path\Script Parameters” </PreBackupScript>  
     <PostBackupScript>"Path\Script Parameters” </PostBackupScript>  
     <TimeOut>30</TimeOut>  
   </DatasourceScriptConfig>  
</ScriptConfiguration>

Указание доархивационные и постархивационные сценариев

  1. На защищенном компьютере откройте файл ScriptingConfig.xml в редакторе XML или текстовом редакторе.

    System_CAPS_ICON_note.jpg Примечание

    Необходимо предоставить атрибут DataSourceName в виде Drive: (например, если источник данных находится на диске D, укажите диск D:).

  2. Для каждого источника данных заполните элемент DatasourceScriptConfig следующим образом:

    1. Для атрибута DataSourceName введите том (если используется файловый источник данных) или имя источника данных (для других источников данных).Имя источника данных приложений должно быть в формате Экземпляр\База данных для SQL, имя группы хранения для Exchange, Логический путь\Имя компонента для Virtual Server, и Ферма SharePoint\Имя SQL Server\Имя экземпляра SQL\База данных конфигурации SharePoint для служб Windows SharePoint Services.

    2. В теге PreBackupScript введите путь и имя сценария.

    3. В теге PreBackupCommandLine введите передаваемые сценариям параметры командной строки, разделяя их пробелами.

    4. В теге PostBackupScript введите путь и имя сценария.

    5. В теге PostBackupCommandLine введите передаваемые сценариям параметры командной строки, разделяя их пробелами.

    6. В теге TimeOut введите, сколько минут после вызова сценария диспетчер DPM будет ожидать, прежде чем считать запуск сценария неудачным.

  3. Сохраните файл ScriptingConfig.xml.

System_CAPS_ICON_note.jpg Примечание

DPM добавит дополнительный логический параметр (истина/ложь) к команде постархивационного сценария, тем самым отображая статус задания резервного копирования DPM.

Прекращение защиты компьютера

Если вы не хотите продолжать защиту компьютера, его можно удалить из системы DPM при помощи сценария Remove-ProductionServer.ps1.При этом агент защиты DPM с защищенного компьютера удален не будет.Удаление агента вам потребуется выполнить вручную.

Запуск этого сценария позволит удалить защищенный компьютер из базы данных DPM (DPMDB), а также из доверенных групп DCOMTrustedMachines и DPMRADMTrustedMachines.

Remove-ProductionServer.PS1

Синтаксис: Remove-ProductionServer.ps1 -DPMServername [DPMServerName] -PSName [ProtectedComputerName]

Параметр Описание
-DPMServername Имя сервера DPM.
-PSName Имя защищенного компьютера, который необходимо удалить.

Если компьютер был защищен при помощи полного доменного имени или имени NETBIOS, используйте это имя здесь.
System_CAPS_ICON_important.jpg Важно

На компьютере, который вы пытаетесь удалить, не должны присутствовать активно защищенные источники данных.

Синхронизация реплики

System Center 2012 – Data Protection Manager (DPM) поддерживает два метода синхронизации реплик: добавочную синхронизацию и синхронизацию с проверкой согласованности.Добавочная синхронизация (также называемая просто синхронизацией) передает изменения защищенных данных с защищенного компьютера на сервер DPM и применяет их к реплике.Синхронизация с проверкой согласованности передает изменения данных с защищенного компьютера на сервер DPM, а также выполняет поблочную проверку, чтобы гарантировать, что все данные реплики согласованы с защищенными данными.

Ручная синхронизация реплики может потребоваться в следующих случаях.

  • Реплику можно синхронизировать вручную перед созданием точки восстановления, чтобы гарантировать получение самой последней точки восстановления.Для этой цели используется добавочная синхронизация.

  • Проверку согласованности необходимо выполнить вручную, если реплика становится несогласованной по причине переполнения журнала изменений или незапланированного отключения защищенного компьютера.Все задания синхронизации и создания точки восстановления завершатся с ошибкой, пока не будет обеспечена согласованность реплики путем выполнения проверки согласованности.

  • При создании реплики вручную с ленты или другого съемного носителя, а не по сети, необходимо выполнить проверку согласованности перед запуском защиты данных.

  • Необходимо вручную синхронизировать реплику, если в конфигурацию защищаемого компьютера вносятся изменения, подобные следующим.

    • Добавление или удаление элементов группы хранения

    • Изменение местоположения файлов защищаемых элементов в защищаемом компьютере

Дополнительные сведения о методах синхронизации см. в статье Синхронизация DPM2012_New]

Синхронизация реплики вручную

  1. В консоли администрирования DPM на панели навигации выберите Защита.

  2. На панели "Дисплей" выберите реплику, которую нужно синхронизировать.

  3. На панели Действия выберите Создать точку восстановления ― диск.

  4. В диалоговом окне Создание точки восстановления выберите пункт Создать точку восстановления после синхронизации или пункт Только синхронизировать.При выборе параметра Только синхронизировать передаются и применяются к реплике только изменения данных, выполненные со времени последней синхронизации.

  5. Нажмите кнопку ОК.

Удаление реплики

Если реплика больше не нужна для восстановления данных соответствующего элемента группы защиты, ее можно удалить.Метод, используемый для удаления реплики, зависит от того, активна ли она.Активной является реплика, исходные данные которой защищаются в настоящий момент.

Удаление активной реплики

  1. В консоли администрирования DPM на панели навигации выберите Защита.

  2. На панели "Дисплей" выберите удаляемый член группы защиты.

  3. На панели Действия выберите Остановить защиту элемента.

  4. В диалоговом окне Удаление из группы выберите, нужно ли удалить реплику на диске.Если точки восстановления записаны на ленту, выберите, следует ли установить окончание срока действия точек восстановления на ленте.

  5. Нажмите кнопку ОК.

    System_CAPS_ICON_note.jpg Примечание

    При удалении активной реплики удаляются также все точки восстановления для ранее защищенных данных и связанные с ними элементы группы защиты.Дополнительные сведения см. в статье Удаление участников группы защиты [DPM2012_Web].

Удаление неактивной реплики

  1. В консоли администрирования DPM на панели навигации выберите Защита.

  2. На панели "Дисплей" выберите неактивную реплику для удаления.

  3. На панели Действия выберите Удалить неактивную защиту.

  4. В диалоговом окне Удаление неактивной защиты выберите, нужно ли удалить реплику на диске.Если точки восстановления записаны на ленту, выберите, следует ли установить окончание срока действия точек восстановления на ленте.

    System_CAPS_ICON_note.jpg Примечание

    Для данных выбранных элементов с неактивной защитой устанавливается окончание срока действия.Ленты не помечаются как свободные до тех пор, пока не истечет срок действия всех остальных данных на лентах.

  5. Нажмите кнопку ОК.После нажатия кнопки ОК отменить это действие будет невозможно.

    System_CAPS_ICON_note.jpg Примечание

    При удалении неактивной реплики удаляются также все точки восстановления для ранее защищенных данных.
    System_CAPS_ICON_note.jpg Примечание

    Дополнительные сведения о совместно размещаемых источниках данных см. в разделе Совместное размещение данных из разных групп защиты на диске.