• Artikel

Verwalten von geschützten Computern

 

Betrifft: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Die Themen in diesem Abschnitt enthalten Informationen zum Ausführen von allgemeinen Wartungsaufgaben und zum Verwalten geschützter Computer.

Verwalten von Vorgängen

Im Allgemeinen können Sie die Wartung auf Dateiservern und Arbeitsstationen, die durch System Center 2012 – Data Protection Manager (DPM) geschützt sind, gemäß dem üblichen Wartungsplan und mit den vom Betriebssystem bereitgestellten Wartungstools fortsetzen.In der folgenden Tabelle sind diese Tools sowie Auswirkungen auf den Datenschutz aufgeführt.

Windows-Tool

Überlegungen

Datenträgerbereinigung: Verwenden Sie dieses Tool, um temporäre Dateien, Internetcachedateien und nicht erforderliche Programmdateien zu entfernen.

Das Ausführen der Datenträgerbereinigung sollte keine negativen Auswirkungen auf die Leistung oder den Datenschutz haben.

Datenträgerdefragmentierung: Verwenden Sie dieses Tool, um bei Volumes den Grad der Fragmentierung zu analysieren und um Volumes zu defragmentieren.

Überprüfen Sie, bevor Sie einer Schutzgruppe ein Volume hinzufügen, die Fragmentierung des Volumes, und defragmentieren das Volume bei Bedarf mithilfe der Datenträgerdefragmentierung.Wenn für extrem fragmentierte Volumes Schutz aktiviert wird, werden Startzeiten auf dem geschützten Computer ggf. verlangsamt, und Schutzaufträge können misslingen.

Es wird empfohlen, vor der Datenträgerdefragmentierung die Datenträgerbereinigung auszuführen.

Chkdsk.exe: Verwenden Sie dieses Tool, um das Dateisystem und die Metadaten des Dateisystems auf Fehler zu prüfen und einen Statusbericht mit den Ergebnissen anzuzeigen.

Vergewissern Sie sich vor dem Ausführen von chkdsk /f auf einem geschützten Volume, dass keine Konsistenzprüfung des Volumes erfolgt.Das Ausführen von chkdsk /f auf einem geschützten Volume während einer Konsistenzprüfung kann eine CPU-Auslastung von 100 % verursachen.

Führen Sie die Synchronisierung mit Konsistenzprüfung nach Ausführung von "Chkdsk.exe" auf dem geschützten Computer aus.

Einspielen von Updates auf geschützten Computern

Ein wichtiger Teil der Computerwartung ist das Sicherstellen, dass Betriebssysteme und Software aktuell sind.Updates, also Fixes, Patches, Service Packs und Sicherheitsrollup-Pakete, dienen dem Schutz von Computern und Daten.

Sie können die von Ihnen bevorzugte Methode zum Bereitstellen von Softwareupdates, wie "Automatische Updates" oder "Windows Server Update Services", auf mit System Center 2012 – Data Protection Manager (DPM) geschützten Computern verwenden.Da einige Softwareupdates einen Computerneustart erfordern, sollten Sie die Updates zu Zeiten planen oder ausführen, zu denen sie die geringsten Auswirkungen auf Schutzvorgänge haben.

Ausführen von Antivirensoftware auf geschützten Computern

Konfigurieren Sie die Antivirensoftware so, dass infizierte Dateien – statt automatisch gesäubert oder in Quarantäne abgelegt zu werden – gelöscht werden. So können Sie Replikate und Schattenkopien mit beschädigten Daten vermeiden.Durch automatisches Säubern und Inquarantänestellen können Daten beschädigt werden, da bei diesen Prozessen von der Antivirussoftware Änderungen an Dateien vorgenommen werden, die von System Center 2012 – Data Protection Manager (DPM) nicht erkannt werden.Informationen zum Konfigurieren Ihrer Antivirussoftware, sodass infizierte Dateien gelöscht werden, finden Sie in der Dokumentation zu Ihrem Antivirusprodukt.

Informationen zum Konfigurieren von Firewalls auf Computern bei der Installation des Schutz-Agents finden Sie unter Installieren von Schutz-Agents.

Ändern der DPM-Ports auf geschützten Computern

System Center 2012 – Data Protection Manager (DPM) erfordert die Ports 5718 und 5719.Wenn diese Ports bereits von einem anderen Programm verwendet werden, werden die Sicherungsaufträge ausgeführt, aber die Wiederherstellung misslingt.Falls möglich, weisen Sie die Ports DPM zu.Führen Sie andernfalls die folgenden Schritte zum Ändern der Ports für DPM aus.

  1. Suchen Sie die Datei "SetAgentcfg.exe" auf dem DPM-Server.Standardmäßig befindet sich die Datei unter folgendem Pfad: %PROGRAMFILES%\Microsoft DPM\DPM\Setup\SetAgentCfg.exe.

  2. Kopieren Sie die Datei auf den geschützten Computer, auf dem das Problem auftritt.Kopieren Sie die Datei in das Agent-Verzeichnis "DPM\Bin".Standardmäßig befindet sich die Datei unter folgendem Pfad: %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.

  3. Öffnen Sie auf dem geschützten Computer eine Eingabeaufforderung mit erhöhten Rechten, und ändern Sie das Verzeichnis, in das die Datei "SetAgentCfg.exe" kopiert wurde.Beispiel: %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.

  4. Führen Sie den folgenden Befehl zum Ändern der Ports aus, die vom DPM-Agent verwendet werden: SetAgentCfg e Dpmra <Portnummer> <alternative Portnummer>.

  5. Starten Sie den DPM-RA-Dienst neu.

Verwalten der AutoErmittlung

Einmal täglich werden die Active Directory-Domänendienste von System Center 2012 – Data Protection Manager (DPM) abgefragt, um neue Computer zu ermitteln.Dieser Vorgang wird AutoErmittlung genannt.Die AutoErmittlung ist auf die Domäne eines DPM-Servers beschränkt.

Die neuen Computer werden von DPM beim nächsten Öffnen des Installations-Assistenten des Schutz-Agents oder des Assistenten zum Erstellen einer neuen Schutzgruppe für Clientcomputer aufgelistet.Um Daten auf einem neuen Computer zu schützen, müssen Sie einen Schutz-Agent auf dem Computer installieren und die Datenquellen dann einer neuen oder vorhandenen Schutzgruppe hinzufügen.

Standardmäßig wird die AutoErmittlung jeden Tag um 1:00 Uhr nachts ausgeführt.Sie können den Zeitplan für die AutoErmittlung wie folgt ändern, um die Stoßzeiten beim Netzwerkdatenverkehr oder andere Anforderungen zu berücksichtigen:

  1. Klicken Sie in der DPM-Verwaltungskonsole auf Optionen.

  2. Wählen Sie im Dialogfeld Optionen auf der Registerkarte AutoErmittlung die Tageszeit aus, zu der die AutoErmittlung ausgeführt werden soll. Klicken Sie dann auf OK.

Verwalten der Replikation zwischen Zeitzonen

In einer Active Directory-Domäne werden die Systemzeiten auf Servern entsprechend der auf den einzelnen Servern konfigurierten Zeitzone synchronisiert.Wenn von einem DPM-Server jedoch Computer geschützt werden, die sich in einer anderen Zeitzone als der DPM-Server befinden, müssen beim Planen von Aufträgen, Überprüfen von Berichten, Verwalten von Warnungen und Durchführen einer Datenwiederherstellung die Zeitunterschiede berücksichtigt werden.

Von DPM werden Aufträge zur Synchronisierung und zum Erstellen von Wiederherstellungspunkten automatisch in der Zeitzone des geschützten Computers geplant.In allen anderen Bereichen der DPM-Verwaltungskonsole werden Systemzeiten in der Zeitzone des DPM-Servers angezeigt.Obwohl Sie Aufträge so planen, dass sie in der Zeitzone des geschützten Computers ausgeführt werden, werden die Startzeiten und die Wiederherstellungspunktzeiten der Aufträge in der Zeitzone des DPM-Servers angezeigt.

Beispiel: Ihr DPM-Server befindet sich in Berlin und ein geschützter Dateiserver in Reykjavik, wo es zwei Stunden früher ist als in Berlin.Wenn Sie die Synchronisierung und den Wiederherstellungspunkt für 18:00 Uhr planen, werden die Aufträge um 18:00 Uhr Reykjavik-Zeit, der Zeit auf dem Dateiserver ausgeführt.Wenn ein Benutzer in Reykjavik die Wiederherstellung von Daten mit dem Status von 18:00 Uhr am Vortag anfordert, müssen Sie nach dem Wiederherstellungspunkt suchen, der 20:00 Uhr Berliner Zeit darstellt, da die Benutzeroberfläche der DPM-Wiederherstellung die Wiederherstellungszeiten in der Zeitzone des DPM-Servers darstellt.

Das Datum und die Uhrzeit der letzten Änderungen an der Datei, bei denen es sich um Änderungen am Inhalt oder an den Metadaten handeln kann, werden in der DPM-Verwaltungskonsole im Aufgabenbereich "Wiederherstellung" in der Spalte Zuletzt geändert angezeigt.

Für Arbeitsstunden für die Netzwerk-Bandbreiteneinschränkung wird die Zeitzone des geschützten Computers verwendet.

Planen der Erstellung des ersten Replikats

Aufträge zur Erstellung eines ersten Replikats werden mithilfe der Zeit des DPM-Servers geplant. Sie können nicht planen, dass ein Auftrag zu einem für den DPM-Server in der Vergangenheit liegenden Zeitpunkt ausgeführt wird, auch wenn dieser Zeitpunkt für den geschützten Computer noch in der Zukunft liegt.In unserem Beispiel mit einem DPM-Server in Berlin, von dem ein Dateiserver in Reykjavik geschützt wird, besteht für die Uhrzeiten der beiden Server eine Differenz von zwei Stunden.Um 21:00 Uhr Berliner Zeit können Sie keinen Auftrag zur Erstellung eines ersten Replikats für den Dateiserver in Reykjavik um 20:00 Uhr am selben Tag planen, auch wenn es in in Reykjavik noch nicht 20:00 Uhr ist, da diese Uhrzeit für den DPM-Server in Berlin in der Vergangenheit liegt.

Aufträge zur Erstellung eines ersten Replikats werden mithilfe der Uhrzeit des geschützten Computers ausgeführt.Wenn Sie also für den Dateiserver in Reykjavik planen, dass ein Auftrag zur Erstellung eines ersten Replikats an einem bestimmten Datum um 21:00 Uhr ausgeführt wird, wird der Auftrag an diesem Tag um 21:00 Uhr Reykjavik-Zeit ausgeführt.

Von Ihrem DPM-Server in Berlin wird außerdem ein Dateiserver in Sofia geschützt, wo es eine Stunde später ist als in Berlin.Sie planen in Berlin um 20:00 Uhr einen ersten Auftrag für die Replikaterstellung für den Dateiserver in Sofia, der um 20:30 Uhr beginnt. Sie können diesen Zeitpunkt auf 20:30 Uhr festlegen, da die Uhrzeit für den DPM-Server in der Zukunft liegt.Da es in Sofia jedoch bereits nach 20:30 Uhr ist, wird mit der Erstellung des ersten Replikats sofort begonnen.

Die Zeitzone eines geschützten Computers wird von DPM automatisch während der Installation des Schutz-Agents erkannt.Wenn sich der DPM-Server und der geschützte Computer in Zeitzonen befinden, für die dieselben Regeln für die Sommerzeit gelten, werden von DPM Anfang und Ende der Sommerzeit automatisch berücksichtigt.Wenn sich der DPM-Server und der geschützte Computer jedoch an Standorten mit unterschiedlichen Regeln für die Sommerzeit befinden (wenn sich der DPM-Server beispielsweise an einem Standort mit Sommerzeit und der geschützte Server an einem Standort ohne Sommerzeit befindet), wird die Zeitzonenverschiebung zwischen DPM und dem geschützten Computer durch der Beginn der Sommerzeit gestört.

Zum Beheben dieses Problems können Sie erzwingen, dass vom DPM-Server die Zeitzonenverschiebung zurückgesetzt wird, indem die Datenquellen aus Schutzgruppen entfernt und anschließend wieder zu Schutzgruppen hinzugefügt werden.

Ausführen von Skripts nach Aufträgen auf geschützten Computern

Ein Skript vor der Sicherung ist ein Skript, das sich auf dem geschützten Computer befindet, und vor jedem DPM-Sicherungsauftrag zur Vorbereitung der geschützten Datenquelle auf die Sicherung ausgeführt wird.

Ein Skript nach der Sicherung ist ein Skript, das nach einem DPM-Sicherungsauftrag ausgeführt wird, um Verarbeitungsvorgänge nach der Sicherung auszuführen, wie etwa einen virtuellen Computer online schalten.

Wenn Sie einen Schutz-Agent auf einem Computer installieren, wird dem Ordner "Installationspfad\Microsoft Data Protection Manager\DPM\Scripting" auf dem geschützten Computer die Datei "ScriptingConfig.xml" hinzugefügt.Sie können für jede geschützte Datenquelle auf dem Computer in der Datei "ScriptingConfig.xml" ein Skript vor der Sicherung und ein Skript nach der Sicherung angeben.

System_CAPS_noteHinweis

Bei den Skripts vor und nach der Sicherung darf es sich nicht um VBScript-Skripts handeln.Stattdessen müssen Sie für Ihr Skript, das cscript myscript.vbs enthält, einen Wrapper-Befehl verwenden.

Wenn von DPM ein Schutzauftrag ausgeführt wird, wird die Datei "ScriptingConfig.xml" auf dem geschützten Computer geprüft.Wenn ein Skript vor der Sicherung angegeben wurde, wird von DPM zuerst das Skript, dann der Auftrag ausgeführt.Wenn ein Skript nach der Sicherung angegeben wurde, wird von DPM zuerst der Auftrag, dann das Skript ausgeführt.

System_CAPS_noteHinweis

Schutzaufträge umfassen die Erstellung von Replikaten, schnelle vollständige Sicherung, Synchronisierung und Konsistenzprüfung.

Die Skripts vor und nach der Sicherung werden von DPM mithilfe des lokale Systemkontos ausgeführt.Sie sollten sicherstellen, dass die Skripts nur über Lese- und Ausführungsberechtigungen für das Administrator- und das lokale Systemkonto verfügen.Mit dieser Berechtigungsstufe wird verhindert, dass nicht autorisierte Benutzer die Skripts ändern.

ScriptingConfig.xml

<?xml version="1.0" encoding="utf-8"?>
<ScriptConfiguration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns:xsd="http://www.w3.org/2001/XMLSchema" 
xmlns="https://schemas.microsoft.com/2003/dls/ScriptingConfig.xsd">
   <DatasourceScriptConfig DataSourceName="Data source">
     <PreBackupScript>”Path\Script Parameters” </PreBackupScript>
     <PostBackupScript>"Path\Script Parameters” </PostBackupScript>
     <TimeOut>30</TimeOut>
   </DatasourceScriptConfig>
</ScriptConfiguration>

So geben Sie Skripts vor und nach der Sicherung an

  1. Öffnen Sie auf dem geschützten Computer die Datei "ScriptingConfig.xml" in einem XML- oder Text-Editor.

    System_CAPS_noteHinweis

    Das "DataSourceName"-Attribut muss als Drive: angegeben werden (z. B. D:, wenn sich die Datenquelle in Laufwerk D befindet).

  2. Führen Sie das "DatasourceScriptConfig"-Element für jede Datenquelle wie folgt aus:

    1. Geben Sie für das "DataSourceName"-Attribut das Volume der Datenquelle (bei Dateidatenquellen) oder den Namen der Datenquelle (für alle anderen Datenquellen) ein.Der Name der Datenquelle für Anwendungsdaten muss das Format Instanz\Datenbank für SQL, Name der Speichergruppe für Exchange, Logischer Pfad\Name der Komponente für Virtual Server und SharePoint-Farm\Name des SQL Server-Computers\Name der SQL-Instanz\SharePoint-Konfigurationsdatenbank für Windows SharePoint Services aufweisen.

    2. Geben Sie im "PreBackupScript"-Tag den Pfad- und Skriptnamen ein.

    3. Geben Sie im "PreBackupCommandLine"-Tag durch Leerzeichen voneinander getrennt Befehlszeilenparameter ein, die an die Skripts übergeben werden sollen.

    4. Geben Sie im "PostBackupScript"-Tag den Pfad- und Skriptnamen ein.

    5. Geben Sie im "PostBackupCommandLine"-Tag durch Leerzeichen voneinander getrennt Befehlszeilenparameter ein, die an die Skripts übergeben werden sollen.

    6. Geben Sie im "TimeOut"-Tag die Zeit in Minuten ein, die nach dem Aufrufen eines Skripts gewartet werden soll, bis das Zeitlimit erreicht ist und das Skript von DPM als fehlgeschlagen gekennzeichnet wird.

  3. Speichern Sie die Datei "ScriptingConfig.xml".

System_CAPS_noteHinweis

Von DPM wird ein zusätzlicher boolescher Parameter (true/false) an den Befehl für das Skript nach der Sicherung angefügt, der den Status des DPM-Sicherungsauftrags angibt.

Beenden des Schutzes für einen Computer

Wenn Sie den Schutz für einen geschützten Computer nicht fortsetzen möchten, können Sie den geschützten Computer mithilfe von "Remove-ProductionServer.ps1" aus DPM entfernen.Damit wird der DPM-Schutz-Agent auf dem geschützten Computer nicht deinstalliert.Sie müssen den Agent manuell deinstallieren.

Wenn Sie dieses Skript ausführen, wird der geschützte Computer aus der DPM-Datenbank (DPMDB) sowie aus den vertrauenswürdigen Gruppen "DCOMTrustedMachines" und "DPMRADMTrustedMachines" entfernt.

Remove-ProductionServer.PS1

Syntax: Remove-ProductionServer.ps1 -DPMServername [DPMServerName] -PSName [ProtectedComputerName]

Parameter

Beschreibung

-DPMServername

Name des DPM-Servers

-PSName

Name des geschützten Computers, der entfernt werden soll

Wenn der Computer mit einem vollqualifizierten Domänennamen oder einem NETBIOS-Namen geschützt wurde, müssen Sie diesen Namen hier verwenden.
System_CAPS_importantWichtig

Auf dem Computer, den Sie entfernen möchten, dürfen sich keine aktiv geschützten Datenquellen befinden.

Synchronisieren eines Replikats

System Center 2012 – Data Protection Manager (DPM) stellt zwei Methoden zum Synchronisieren eines Replikats bereit: inkrementelle Synchronisierung und Synchronisierung mit Konsistenzprüfung.Bei der inkrementellen Synchronisierung (auch "Synchronisierung" genannt) werden die Änderungen an den geschützten Daten von dem geschützten Computer auf den DPM-Server übertragen und dann auf das Replikat angewendet.Bei der Synchronisierung mit Konsistenzprüfung werden die Datenänderungen vom geschützten Computer auf den DPM-Server übertragen. Zudem wird auch noch eine blockweise Überprüfung durchgeführt, um sicherzustellen, dass alle Daten des Replikats mit den geschützten Daten konsistent sind.

In den folgenden Situationen kann eine manuelle Synchronisierung eines Replikats erforderlich sein:

  • Sie können ein Replikat manuell synchronisieren, bevor Sie einen Wiederherstellungspunkt erstellen, um sicherzustellen, dass der Wiederherstellungspunkt den aktuellen Status widerspiegelt.Wählen Sie zu diesem Zweck die inkrementelle Synchronisierung aus.

  • Sie müssen eine manuelle Konsistenzprüfung ausführen, wenn ein Replikat aufgrund eines Überlaufs des Änderungsjournals oder eines unerwarteten Herunterfahrens des geschützten Computers inkonsistent geworden ist.Für alle Aufträge zur Synchronisierung und zum Erstellen eines Wiederherstellungspunkts tritt so lange ein Fehler auf, bis die Konsistenz des Replikats durch eine Konsistenzprüfung wiederhergestellt ist.

  • Wenn Sie ein Replikat manuell nicht über das Netzwerk, sondern von einem Band oder einem anderen Wechselmedium erstellen, müssen Sie vor Beginn des Datenschutzes eine Konsistenzprüfung ausführen.

  • Eine manuelle Synchronisierung eines Replikats ist empfehlenswert, wenn Sie am geschützten Computer Konfigurationsänderungen wie die folgenden vornehmen:

    • Hinzufügen von Elementen oder Entfernen von Elementen aus einer Speichergruppe

    • Ändern des Dateispeicherorts geschützter Elemente auf einem geschützten Computer

Weitere Informationen über Synchronisierungsmethoden finden Sie unter Synchronization [DPM2012_Neu].

So synchronisieren Sie ein Replikat manuell

  1. Klicken Sie in der DPM-Verwaltungskonsole auf der Navigationsleiste auf Schutz.

  2. Wählen Sie im Anzeigebereich das Replikat aus, das Sie synchronisieren möchten.

  3. Klicken Sie im Bereich Aktionen auf Wiederherstellungspunkt erstellen – Datenträger.

  4. Wählen Sie im Dialogfeld Wiederherstellungspunkt erstellen entweder Wiederherstellungspunkt nach der Synchronisierung erstellen oder Nur synchronisieren aus.Wenn Sie Nur synchronisieren auswählen, werden Änderungen, die seit der letzten Synchronisierung vorgenommen wurden, übertragen und auf das Replikat angewendet.

  5. Klicken Sie auf OK.

Löschen eines Replikats

Sie können ein Replikat jederzeit löschen, wenn für das dazugehörige Schutzgruppenmitglied keine Daten mehr wiederhergestellt werden müssen.Die dazu verwendete Methode hängt davon ab, ob es sich um ein aktives oder inaktives Replikat handelt.Ein aktives Replikat ist ein Replikat, dessen Datenquelle derzeit geschützt wird.

So löschen Sie ein aktives Replikat

  1. Klicken Sie in der DPM-Verwaltungskonsole auf der Navigationsleiste auf Schutz.

  2. Wählen Sie im Anzeigebereich das Schutzgruppenmitglied aus, das gelöscht werden soll.

  3. Klicken Sie im Bereich Aktionen auf Schutz des Mitglieds beenden.

  4. Wählen Sie im Dialogfeld Aus Gruppe entfernen aus, ob Sie das Replikat auf dem Datenträger löschen möchten.Wenn sich Wiederherstellungspunkte auf dem Band befinden, wählen Sie aus, ob diese Wiederherstellungspunkte ablaufen sollen.

  5. Klicken Sie auf OK.

    System_CAPS_noteHinweis

    Wenn Sie ein aktives Replikat löschen, löschen Sie auch sämtliche Wiederherstellungspunkte für die vorher geschützten Daten. Sie entfernen darüber hinaus die zugehörigen Mitglieder aus der Schutzgruppe.Weitere Informationen finden Sie unter Entfernen von Schutzgruppenmitgliedern [DPM2012_Web].

So löschen Sie ein inaktives Replikat

  1. Klicken Sie in der DPM-Verwaltungskonsole auf der Navigationsleiste auf Schutz.

  2. Wählen Sie im Anzeigebereich das inaktive Replikat aus, das gelöscht werden soll.

  3. Klicken Sie im Bereich Aktionen auf Inaktiven Schutz entfernen.

  4. Wählen Sie im Dialogfeld Inaktiven Schutz löschen aus, dass das Replikat auf dem Datenträger gelöscht werden soll.Wenn sich Wiederherstellungspunkte auf dem Band befinden, wählen Sie aus, ob diese Wiederherstellungspunkte ablaufen sollen.

    System_CAPS_noteHinweis

    Die Daten für die ausgewählten inaktiven Schutzgruppenmitglieder werden als abgelaufen gekennzeichnet.Die Bänder werden erst als frei gekennzeichnet, nachdem alle anderen zum Ablauf gekennzeichneten Daten abgelaufen sind.

  5. Klicken Sie auf OK.Nachdem Sie auf OK geklickt haben, können Sie die Aktion nicht mehr abbrechen.

    System_CAPS_noteHinweis

    Wenn Sie ein inaktives Replikat löschen, löschen Sie auch sämtliche Wiederherstellungspunkte für die vorher geschützten Daten.
    System_CAPS_noteHinweis

    Informationen über zusammengestellte Datenquellen finden Sie unter Zusammenstellen von Daten aus verschiedenen Schutzgruppen auf dem Datenträger.