• Cikk

Védett számítógépek felügyelete

 

Közzétéve: 2016. március

Hatókör: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

A szakasz témakörei a gyakori karbantartási feladatok végrehajtásával és a védett számítógépek kezelésével kapcsolatos információkat tartalmaznak.

Kezelési műveletek

Általánosságban folytathatja a System Center 2012 – Data Protection Manager (DPM) által védett fájlkiszolgálók és munkaállomások karbantartását a normál karbantartási ütemezéssel és az operációs rendszerben elérhető karbantartási eszközökkel.Az eszközöket és az adatvédelemre gyakorolt hatásaikat az alábbi táblázat foglalja össze.

A Windows eszköze Megfontolások
Lemezkarbantartó: Ez az eszköz az ideiglenes fájlok, az internetes gyorsítótárban levő fájlok és a szükségtelen programfájlok eltávolítására szolgál. A Lemezkarbantartó nincs kedvezőtlen hatással a teljesítményre vagy az adatvédelemre.
Lemeztöredezettség-mentesítő: Ez az eszköz a kötetek töredezettségének elemzésére és a kötetek töredezettségmentesítésére szolgál. Mielőtt hozzáadna egy kötetet a védelmi csoporthoz, ellenőrizze a lemez töredezettségét, és ha szükséges, töredezettségmentesítse a kötetet a Lemeztöredezettség-mentesítő segítségével.Ha rendkívül töredezett kötetet lát el védelemmel, a védett számítógép rendszerindítási ideje megnőhet, és egyes védelmi feladatok sikertelenek lehetnek.

A Lemeztöredezettség-mentesítő futtatása előtt javasolt a Lemezkarbantartó futtatása.
Chkdsk.exe: Ez az eszköz a fájlrendszer és a fájlrendszerre vonatkozó metaadatok hibaellenőrzésére szolgál, és megjelenít egy állapotjelentést az eredményekről. A chkdsk /f védett köteten történő futtatása előtt ellenőrizze, hogy a köteten nem-e fut éppen konzisztenciavizsgálat.Ha a chkdsk /f és a konzisztenciavizsgálat egyszerre fut egy védett köteten, a processzorhasználat elérheti a 100%-ot.

A Chkdsk.exe futtatása után végezzen konzisztencia-ellenőrzéses szinkronizálást a védett számítógépen.

Frissítések alkalmazása védett számítógépeken

A számítógép karbantartásának egyik fontos része, hogy naprakész állapotban tartsuk az operációs rendszereket és a szoftvereket.A frissítések, vagyis javítások, javítócsomagok, szervizcsomagok és biztonsági kumulatív frissítések segítségével megóvhatja számítógépét és adatait.

A szoftverfrissítések többféleképpen is telepíthetők a System Center 2012 – Data Protection Manager (DPM) által védett számítógépeken: automatikus frissítések formájában vagy a Windows Server Update Services használatával.Mivel egyes szoftverfrissítések esetén újra kell indítani a számítógépet, olyan időpontra célszerű időzíteni őket, amikor a legkevésbé érintik a védelmi műveleteket

Víruskereső szoftverek futtatása védett számítógépeken

A replikák és árnyékmásolatok adatsérüléseinek elkerülése érdekében úgy állítsa be a víruskereső szoftvert, hogy a fertőzött fájlokat az automatikus tisztítás vagy karanténba helyezés helyett törölje.Az automatikus tisztítás és a karanténba helyezés azért okozhat adatsérülést, mert ezen folyamatok során a víruskereső módosítja a fájlokat, és olyan változtatásokat végezhet, amit a System Center 2012 – Data Protection Manager (DPM) nem észlel.A fertőzött fájlok törlésének beállításával kapcsolatban a víruskereső szoftver dokumentációja adhat tájékoztatást.

További információ a számítógépes tűzfalak beállításáról a védelmi ügynökök telepítésekor: Védelmi ügynökök telepítése.

DPM-portok módosítása védett számítógépeken

A System Center 2012 – Data Protection Manager (DPM) az 5718-as és az 5719-es portot igényli.Ha ezeket a portokot már egy másik program használja, a biztonsági mentési feladatok futtathatók, de a helyreállítás sikertelen lesz.Ha lehetséges, rendelje hozzá a portokat a DPM alkalmazáshoz.Ha ez nem lehetséges, a következő eljárással módosítsa a DPM portjait.

  1. Keresse meg a SetAgentcfg.exe fájlt a DPM-kiszolgálón.Alapértelmezés szerint a fájl elérési útja a következő: %PROGRAMFILES%\Microsoft DPM\DPM\Setup\SetAgentCfg.exe.

  2. Másolja a fájlt arra a védett számítógépre, ahol a probléma fennáll.Másolja a fájlt az ügynök DPM\Bin könyvtárába.Alapértelmezés szerint a fájl elérési útja a következő: %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.

  3. A védett számítógépen nyisson meg egy rendszergazda jogú parancssort, és módosítsa a könyvtárat arra a helyre, ahová a SetAgentCfg.exe fájlt másolta.Például: %PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin.

  4. Futtassa a következő parancsot a DPM-ügynök által használ portok módosításához: SetAgentCfg e dpmra <portszám> <alternatív portszám>.

  5. Indítsa újra a DPM RA szolgáltatást.

Automatikus észlelés kezelése

A System Center 2012 – Data Protection Manager (DPM) minden nap lekérdezi az Active Directory tartományi szolgáltatásokat az új számítógépek felderítéséhez.Ennek a folyamatnak a neve automatikus észlelés.Az automatikus észlelés egy DPM-kiszolgáló tartományára korlátozódik.

A DPM akkor sorolja fel az új számítógépeket, amikor következő alkalommal megnyitják akár a Védelmi ügynökök telepítővarázslóját, akár az Új védelmi csoport létrehozása varázslót az ügyfélszámítógépek kezeléséhez.Egy új számítógépen levő adatok védelmének megkezdéséhez telepítsen egy védelmi ügynököt a számítógépen, majd vegye fel az adatforrásokat egy új vagy már létező védelmi csoportba.

Alapértelmezés szerint az automatikus észlelés minden reggel 1:00 órakor fut le.A következő lépésekkel módosíthatja az automatikus észlelés ütemezését, ha az nem felel meg a hálózata adatforgalmának vagy egyéb követelményeknek:

  1. A DPM felügyeleti konzolon kattintson a Beállítások elemre.

  2. A Beállítások párbeszédpanel Automatikus észlelés lapján válassza ki azt a napi időpontot, amikor futtatni kívánja az automatikus észlelést, majd kattintson az OK gombra.

Replikáció időzónák közötti kezelése

Egy Active Directory tartományban a kiszolgálók rendszeridejének szinkronizálása az egyes kiszolgálók időzóna-beállításai szerint történik.Ha azonban a DPM-kiszolgáló más időzónában van, mint a DPM-kiszolgáló által védett számítógépek, akkor a feladatok ütemezése, a jelentések áttekintése, a riasztások kezelése és az adatok helyreállítása során figyelembe kell venni az időeltérést.

A szinkronizálás és a helyreállítási pontok feladatainak ütemezése során a DPM automatikusan a védett számítógép időzónáját használja.A DPM felügyeleti konzol egyéb területein a DPM-kiszolgáló időzónája szerint jelennek meg a rendszeridők.Bár a feladatok ütemezése a védett számítógép időzónája szerint történik, a feladatok kezdési ideje és a helyreállítási pontok ideje a DPM-kiszolgáló időzónája szerint jelenik meg.

Tegyük fel például, hogy a DPM-kiszolgáló Berlinben, a védett fájlkiszolgáló pedig Reykjavikban található, ahol a pontos idő két órával kevesebb, mint Berlinben.Ha 18:00 órára ütemezik be a szinkronizálást és a helyreállítási pontot, a feladatok a fájlkiszolgálón beállított, reykjaviki idő szerint 18:00 órakor fognak futni.De ha Reykjavíkban helyre szeretnék állítani az előző nap 18:00 órai állapotot, akkor a berlini idő szerinti 20:00 órához tartozó helyreállítási pontot kell megkeresni, mert a DPM helyreállítási felületén a DPM-kiszolgáló időzónája szerint jelennek meg a helyreállítási pontok időpontjai.

A DPM felügyeleti konzol Helyreállítás feladatterületén, az Utolsó módosítás oszlopban a fájl legutóbbi tartalmi és metaadat-változásainak dátuma és időpontja látható.

Sávszélesség-szabályozásban beállított munkaidő a védett számítógép időzónája szerint értendő.

A kezdeti replika-létrehozás ütemezése

A kezdeti replika-létrehozási feladatok ütemezése a DPM-kiszolgáló ideje szerint történik. Nem lehet olyan időpontra ütemezni a feladatot, amely a DPM-kiszolgálón már elmúlt, akkor sem, ha a védett számítógépen az még jövőbeni időpontnak számít.A fenti példában, amelyben egy berlini DPM-kiszolgáló véd egy reykjaviki fájlkiszolgálót, két óra eltérés van a két kiszolgáló rendszerideje között.21:00 órakor, Berlini idő szerint nem lehet beütemezni a reykjaviki fájlkiszolgáló kezdeti replikájának létrehozását aznap 20:00 órára, holott Reykjavikban még nincs 20:00 óra, mert ez az időpont a berlini DPM-kiszolgálón már elmúlt.

A kezdeti replika-létrehozási feladat a védett számítógép rendszerideje szerint kerül végrehajtásra.Vagyis ha beütemeznek egy kezdeti replika-létrehozási feladatot a reykjaviki fájlkiszolgálóra vonatkozóan egy bizonyos napon 21:00 órára, akkor a feladat 21:00 órakor fog futni. Reykjavíki idő szerint.

Tegyük fel, hogy a berlini DPM-kiszolgáló egy másik fájlkiszolgálót is véd Szófiában, ahol a pontos idő egy órával több, mint Berlinben.Berlini idő szerint 20:00 órakor beütemeznek egy kezdeti replika-létrehozási feladatot a szófiai fájlkiszolgálóra vonatkozóan 20:30-as kezdéssel. Ezt megtehetik, mivel a DPM-kiszolgálón még nincs 20:30.Szófiában azonban már elmúlt 20:30, ezért azonnal megkezdődik a kezdeti replika létrehozása.

A védelmi ügynök telepítésekor a DPM automatikusan meghatározza a védett számítógép időzónáját.Ha a DPM-kiszolgáló és a védett számítógép olyan időzónákban vannak, ahol ugyanazok a szabályok vonatkoznak a nyári időszámításra, akkor a DPM automatikusan igazodni fog a téli és a nyári időszámításhoz.Ha azonban a DPM-kiszolgáló és a védett számítógép olyan területen van, ahol eltérő szabályok vonatkoznak a nyári időszámításra (például a DPM-kiszolgáló helyén alkalmazzák a nyári időszámítást, a védett kiszolgáló helyén pedig nem), akkor a nyári időszámítás kezdetekor megváltozik a DPM és a védett számítógép közti időeltolódás.

A probléma megoldásaként kényszeríteni lehet a DPM-kiszolgálót az időzóna-eltolódás újraállítására: ehhez el kell távolítani az érintett adatforrásokat a védelemből, majd újra fel kell venni őket a védelmi csoportokba.

Parancsprogramok futtatása feladatok után védett számítógépeken

A biztonsági mentést előkészítő parancsfájl olyan parancsfájl, amely a védett számítógépen található, és amely minden DPM által végzett biztonsági mentési feladat előtt fut, hogy előkészítse a védett adatforrást a biztonsági mentésre.

A biztonsági mentés utáni parancsfájl olyan parancsfájl, amely a DPM által végzett biztonsági mentési feladatok után fut, hogy elvégezze a biztonsági mentés után szükséges műveleteket, például a virtuális gépek online állapotba történő visszaállítását.

Amikor egy számítógépre védelmi ügynököt telepít, a védett számítógép telepítési útvonal\Microsoft Data Protection Manager\DPM\Scripting mappájába egy ScriptingConfig.xml fájl kerül.A ScriptingConfig.xml fájlban a számítógép minden védett adatforrásához megadhat egy biztonsági mentést előkészítő parancsfájlt és egy biztonsági mentés utáni parancsfájlt.

System_CAPS_ICON_note.jpg Megjegyzés

A biztonsági mentést előkészítő parancsfájlok és a biztonsági mentés utáni parancsfájlok nem lehetnek VBScript-fájlokEhelyett burkoló parancsot kell alkalmazni a parancsfájlhoz a cscript myscript.vbs használatával.

Amikor a DPM futtat egy védelmi feladatot, ellenőrzi a ScriptingConfig.xml fájlt a védett számítógépen.Ha meg van adva egy biztonsági mentést előkészítő parancsfájl, a DPM futtatja azt, majd befejezi a feladatot.Ha meg van adva egy biztonsági mentés utáni parancsfájl, a DPM befejezi a feladatot, majd futtatja a parancsfájlt.

System_CAPS_ICON_note.jpg Megjegyzés

A védelmi feladatok közé tartozik a replikák létrehozása, az expressz teljes biztonsági mentés, valamint a konzisztencia-ellenőrzés.

A DPM a biztonsági mentést előkészítő parancsfájlokat és a biztonsági mentés utáni parancsfájlokat a helyi rendszerfiók használatával futtatja.Érdemes a parancsfájlokat úgy konfigurálni, hogy csak a rendszergazdai fiókhoz és a helyi rendszerfiókhoz rendelkezzenek olvasási és végrehajtási jogosultsággal.Ez a jogosultsági szint segít megelőzni a parancsfájlok illetéktelen módosítását.

ScriptingConfig.xml

<?xml version="1.0" encoding="utf-8"?>  
<ScriptConfiguration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
xmlns:xsd="http://www.w3.org/2001/XMLSchema"   
xmlns="https://schemas.microsoft.com/2003/dls/ScriptingConfig.xsd">  
   <DatasourceScriptConfig DataSourceName="Data source">  
     <PreBackupScript>”Path\Script Parameters” </PreBackupScript>  
     <PostBackupScript>"Path\Script Parameters” </PostBackupScript>  
     <TimeOut>30</TimeOut>  
   </DatasourceScriptConfig>  
</ScriptConfiguration>

Biztonsági mentést előkészítő parancsfájlok és biztonsági mentés utáni parancsfájlok megadása

  1. A védett számítógépen nyissa meg a ScriptingConfig.xml fájlt egy XML-szerkesztőben vagy szövegszerkesztőben.

    System_CAPS_ICON_note.jpg Megjegyzés

    A DataSourceName attribútumot a következőképpen kell megadni: Drive: (például D:, ha az adatforrás a D meghajtón van).

  2. Minden adatforráshoz adja meg a DatasourceScriptConfig elemet a következőképpen:

    1. A DataSourceName attribútumban adja meg az adatforrás kötetét (fájlalapú adatforrások esetén) vagy nevét (minden más adatforrás esetén).Az alkalmazásadatok adatforrásnevét Példány\Adatbázis formában adja meg SQL esetén, Tárolócsoport formában Exchange esetén, Logikai útvonal\Összetevőnév formában virtuális kiszolgáló esetén, illetve SharePoint-farm\SQL-kiszolgálónév\SQL-példánynév\SharePoint-konfigurációs adatbázis formában Windows SharePoint Services esetén.

    2. A PreBackupScript címkében adja meg az elérési utat és a biztonsági mentést előkészítő parancsfájl nevét.

    3. A PreBackupCommandLine címkében szóközökkel tagolva adja meg a parancsfájloknak átadandó parancssori paramétereket.

    4. A PostBackupScript címkében adja meg az elérési utat és a biztonsági mentés utáni parancsfájl nevét.

    5. A PostBackupCommandLine címkében szóközökkel tagolva adja meg a parancsfájloknak átadandó parancssori paramétereket.

    6. A TimeOut címkében adja meg azt az időt (percben), ameddig a DPM várakozik egy parancsfájl meghívását követően, mielőtt időtúllépés miatt sikertelenként jelölné azt meg.

  3. Mentse a ScriptingConfig.xml fájlt.

System_CAPS_ICON_note.jpg Megjegyzés

A DPM egy további logikai (igaz/hamis) paramétert ad a biztonsági mentés utáni parancsfájl parancsához, amely a DPM biztonsági mentési feladatának állapotát jelzi.

A számítógép védelmének megszüntetése

Ha meg szeretné szüntetni egy védett számítógép védelmét, a védett számítógépet eltávolíthatja a DPM-ből a Remove-ProductionServer.ps1 használatával.Ez nem távolítja el a DPM védelmi ügynököt a védett számítógépről.Az ügynököt manuálisan kell eltávolítani.

A parancsfájl futtatása eltávolítja a védett számítógépet a DPM-adatbázisból (DPMDB), valamint a DCOMTrustedMachines és DPMRADMTrustedMachines megbízható csoportokból.

Remove-ProductionServer.PS1

Szintaxis: Remove-ProductionServer.ps1 -DPMServername [DPMServerName] -PSName [ProtectedComputerName]

Paraméter Leírás
-DPMServername A DPM-kiszolgáló neve.
-PSName Az eltávolítandó védett számítógép neve.

Ha a számítógépet teljes tartománynév vagy NETBIOS-név használatával védték, itt is azt a nevet kell használni.
System_CAPS_ICON_important.jpg Fontos!

Az eltávolítani kívánt számítógépen nem lehetnek aktívan védett adatforrások.

Replika szinkronizálása

A System Center 2012 – Data Protection Manager (DPM) kétféle módszert biztosít replikák szinkronizálásához: növekményes szinkronizálást és konzisztencia-ellenőrzéses szinkronizálást.A növekményes szinkronizálás (amelyre gyakran csak szinkronizálás néven hivatkoznak) átviszi a védett adatok változásait a védett számítógépről a DPM-kiszolgálóra, majd alkalmazza a változtatásokat a replikára.A szinkronizálás konzisztencia-ellenőrzéssel átviszi az adatok változásait a védett számítógépről a DPM-kiszolgálóra, de blokkonkénti összehasonlítást is végez annak biztosításához, hogy a replikában tárolt adatok konzisztensek legyenek a védett adatokkal.

A következő helyzetekben lehet szükség egy replika manuális szinkronizálására:

  • Manuálisan szinkronizálhat egy replikát helyreállítási pont létrehozása előtt, így biztosíthatja, hogy a helyreállítási pont a lehető legfrissebb legyen.Erre a célra válassza a növekményes szinkronizálást.

  • Manuális konzisztencia-ellenőrzést kell végeznie, ha egy replika inkonzisztenssé vált, mert túlcsordulás történt a módosítási naplóban, vagy mert a védett számítógép váratlanul leállt.Az összes szinkronizálási és helyreállításipont-létrehozási feladat sikertelenül fog végződni, amíg nem teszi konzisztenssé a replikát egy konzisztencia-ellenőrzés elvégzésével.

  • Amikor szalagról vagy más cserélhető adathordozóról hoz létre manuálisan replikát, és nem a hálózaton keresztül, el kell végeznie egy konzisztencia-ellenőrzést az adatvédelem megkezdése előtt.

  • Célszerű manuálisan szinkronizálni egy replikát, ha módosítja egy védett számítógép konfigurációját, például az alábbi műveletekkel:

    • Elemek felvétele tárolócsoportba vagy eltávolítása abból

    • Védett elemek fájlrendszerbeli helyének megváltoztatása egy védett számítógépen

A szinkronizálási módszerekkel kapcsolatos további információk: Szinkronizálás [DPM2012_New]

Replika manuális szinkronizálása

  1. Kattintson a DPM felügyeleti konzoljának navigációs sávján látható Védelem gombra.

  2. A kijelzőpanelen válassza ki a szinkronizálni kívánt replikát.

  3. Kattintson a Műveletek ablaktáblában látható Helyreállítási pont létrehozása – lemez elemre.

  4. A Helyreállítási pont létrehozása párbeszédpanelen válassza a Helyreállítási pont létrehozása szinkronizálás után vagy a Csak szinkronizálás lehetőséget.Ha a Csak szinkronizálás lehetőséget választja, a program átviszi a legutóbbi szinkronizálás óta történt változásokat, és alkalmazza azokat a replikára.

  5. Kattintson az OK gombra.

Replika törlése

Törölhet egy replikát, ha már nincs szükség a hozzá tartozó védelmicsoport-tag adatai helyreállításának lehetőségére.A replika törléséhez használt módszer attól függ, hogy a replika aktív vagy inaktív.Azt nevezzük aktív replikának, amelyhez tartozó forrásadatok pillanatnyilag védelem alatt állnak.

Aktív replika törlése

  1. Kattintson a DPM felügyeleti konzoljának navigációs sávján látható Védelem gombra.

  2. A kijelzőpanelen válassza ki a védelmi csoport törölni kívánt elemét.

  3. Kattintson a Műveletek ablaktáblában látható Tag védelmének kikapcsolása elemre.

  4. A Csoportból való eltávolítás párbeszédpanelen válassza ki, hogy törölni kívánja-e a lemezen levő replikát.Ha a helyreállítási pontok szalagon találhatók, válassza ki, hogy meg szeretné-e jelölni lejártként a szalagon levő helyreállítási pontokat.

  5. Kattintson az OK gombra.

    System_CAPS_ICON_note.jpg Megjegyzés

    Aktív replika törlésekor egyúttal törli a korábban védett adatokhoz tartozó összes helyreállítási pontot is, és eltávolítja a társított tagot a védelmi csoportból.További információkért lásd: Védelmi csoport tagjainak eltávolítása [DPM2012_Web].

Inaktív replika törlése

  1. Kattintson a DPM felügyeleti konzoljának navigációs sávján látható Védelem gombra.

  2. A kijelzőpanelen válassza ki a törölni kívánt inaktív replikát.

  3. Kattintson a Műveletek ablaktáblában látható Inaktív védelem eltávolítása elemre.

  4. Az Inaktív védelem törlése párbeszédpanelen válassza a lemezen tárolt replika törlését.Ha a helyreállítási pontok szalagon találhatók, válassza ki, hogy meg szeretné-e jelölni lejártként a szalagon levő helyreállítási pontokat.

    System_CAPS_ICON_note.jpg Megjegyzés

    A program ekkor megjelöli lejáratra a kiválasztott inaktív védelmi tagok adatait.A szalag csak akkor lesz szabadként megjelölve, ha a lejáratra megjelölt összes többi adat érvényessége is lejárt.

  5. Kattintson az OK gombra.Miután rákattintott az OK gombra, a művelet már nem szakítható meg.

    System_CAPS_ICON_note.jpg Megjegyzés

    Inaktív replika törlésekor egyúttal törli a korábban védett adatokhoz tartozó helyreállítási pontokat is.
    System_CAPS_ICON_note.jpg Megjegyzés

    A közös helyen tárolt adatforrásokról az Eltérő védelmi csoportokba tartozó adatok közös elhelyezése lemezen című témakörben olvashat.