Microsoft System Center Data Protection Manager 2012: データを保護する
集中管理と範囲が指定されたコンソールにより、バックアップの実行に関する管理と問題解決の作業が簡略化されます。
Paul Schnackenburg
System Center の製品ファミリの関連性を強化することで、マイクロソフトは、System Center スイート製品がワークロードを監視、管理、自動化、および保護する最良の方法であるというメッセージを補強しています。System Center Data Protection Manager 2012 (DPM 2012) は、System Center スイートの重要なコンポーネントの 1 つです。
System Center Data Protection Manager 2012 は、System Center Virtual Machine Manager 2012 などの他の System Center の製品ファミリのメンバーのように徹底的な改造は行われていませんが、この新しいバージョンには、いくつかの重要な改良が施されています。新しい集中管理の機能が導入され、バックアップ管理者の作業が大幅に簡略化されています。また、範囲が指定された DPM 2012 コンソールとロール ベースのアクセス コントロール (RBAC) の実装方法も、注目すべき改良点です。
DPM 2012 のインストール プロセスとインストール要件は、System Center Data Protection Manager 2010 と似ており、SQL Server データベースが必要になります。インストーラーに SQL Server 2008 R2 が用意されていますが、大規模な環境では、中央に SQL Server をインストールする可能性が高いでしょう。DPM 2012 では、Windows Server 2008、Windows Server 2008 SP2 (x64 のみ)、または Windows Server 2008 R2 (SP1 の有無は問わない) が必要です。ベータ版を試した場合は、リリース候補版 (RC) にアップグレードしてから、製品版 (RTM) にアップグレードできます。
複数の DPM 2012 サーバーで 1 つの SQL Server インスタンスを共有することができます。ただし、1 台の DPM 2012 サーバーで約 2.5 GB メモリ使用するので、DPM 2012 サーバーの台数に合わせて SQL Server サーバーの計画を立てる必要があります。複数の DPM サーバーで 1 つのテープ ライブラリを共有する機能は DPM 2010 から継承されていますが、複数のバージョンを併用して、DPM 2010 サーバーと DPM 2012 サーバーを同じライブラリに接続することはできません。
DPM 2012 のコンソールでは、完全な見直しが行われました。他の System Center ソリューションに倣い、画面上部に表示されていたタブの代わりに "wunderbar" と呼ばれるフォルダー構造が画面の左側に配置されています (図 1 参照)。画面上部には、状況依存のリボンも配置されています。
.jpg)
図 1 新しいコンソールに慣れるのは簡単 (タブが画面の上部ではなく左側に表示されているだけです)
集中管理
大規模な DPM 2010 環境の課題の 1 つは、各 DPM サーバーを基本的に個別に管理する必要があることでした。Windows PowerShell スクリプトを使用すると、一定レベルの集中管理を実現できます。DPM チームは、この状況の改善を望む声に耳を傾け、DPM 2012 では、個別の中央コンソールを提供するのではなく、さらに 1 歩進めて、System Center Operations Manager と統合しました。これは完全に理にかなっており、すべての管理作業の一元化に向けた 1 歩です (図 2 参照)。
.jpg)
図 2 System Center Operations Manager のサーバーとワークステーションで集中管理を設定するのは簡単
Operations Manager は、サードパーティ製の監視システムやチケット システムと統合するため、DPM 2012 のアラートは、サードパティ製のシステムでも表示されます。DPM 2012 のベータ版では Operations Manager 2007 R2 しかサポートされておらず、RC 版では Operations Manager 2012 RC しかサポートされていませんが、RTM 版では、どちらのバージョンも動作することが示唆されています。
集中管理の範囲が DPM 2010 サーバーまで拡張されることも、大規模な DPM 環境の管理者に好意的に受け取られる機能強化でしょう (図 3 参照)。この統合を活用するには、Operations Manager 2012 RC とこの修正プログラムがインストールされている必要があります。Operations Manager サーバーに中央コンソールをインストールします (DPM 2012 インストールのスプラッシュ スクリーンで選択できます)。最後に、Operations Manager に新しい管理パックをインポートします (管理パックは、DPM 2012 RC のインストールで提供されます)。詳細については、TechNet ライブラリの「中央コンソールのインストール (英語)」を参照してください。中央コンソールは、100 台の DPM サーバーと 5 万個のデータ ソースを使用してテストされています。
.jpg)
図 3 大規模な Data Protection Manager 2012 環境の問題解決を簡略化する中央コンソール
最も基本的なレベルでは、この統合により、すべての DPM 2012 サーバーで統合されたアラート ビューが提供されます。生成されたアラートは、ディスク/テープ、データ ソース、保護グループ、およびレプリカのボリュームでグループ化され、最も重要な領域の問題を最初に解決するというプロセスを簡略化します。このトリアージは、コンソールによって 1 つのデータ ソースにのみ影響する問題と複数のデータ ソースに影響する問題が区別されることで、さらに容易になります。アラートは、バックアップの失敗やインフラストラクチャの問題別にも分類されます。そのため、それぞれの問題解決に適した人材を配置できます。
コンソールの右側に表示される状況依存の操作ウィンドウでは、選択したオブジェクトに関連する DPM 2012 タスクが表示されます。これらのタスクには、リモート回復や推奨された修正処理を自動的にリモートで実行するものも含まれます。サービスレベル契約 (SLA) に合わせてアラートを構成することも可能です。5 時間おきのバックアップを保証しているときに、実際には 2 時間おきに特定のデータ ソースしかバックアップしていない場合、DPM 2012 サーバーでは、失敗したバックアップごとにエラーが記録されます。中央コンソールでは、SLA に違反した場合にのみ警告が表示されます。
範囲が指定されたコンソール
集中管理するサーバーとアラートの管理でもまだ十分でないと言わんばかりに、DPM 2012 では、時間を節約する追加の問題解決機能として、範囲が指定されたコンソールも提供しています。Operations Manager で特定のアラートを解決しようとしている場合、[Troubleshoot] (トラブルシューティング) をクリックすると、問題に関連する DPM 2012 サーバー、データ ソース、エージェント、およびバックアップ ジョブのみが表示された DPM 2012 コンソールが開きます。コンソールの上部に、チケット番号、DPM 2012 サーバーの名前、および解決しようとしているアラートが表示されます。問題の原因を解決したら、ジョブ全体を再開する前にテスト バックアップを実行して問題が解決されたことを確認できます。
リモート管理の機能もあります。この機能により、ワークステーションに DPM 2012 コンソールをインストールして、許可のあるリモート DPM 2012 サーバーのコンソールに接続できるので、リモート デスクトップ プロトコル セッションは必要ありません。
証明書ベースの保護
企業のほとんどのコンピューターはドメインに参加していますが、信頼されていないドメインやワークグループ (境界ネットワーク) に参加しているコンピューターを保護しなければならない場合が往々にしてあります。DPM 2010 では、このようなワークロードをローカル アカウントと Windows NT LAN Manager (NTLM) 認証で保護していました。NTLM の脆弱性と厄介なローカル アカウントの管理や監査により、これはすばらしいソリューションではありませんでした。
DPM 2012 では、証明書ベースの認証が導入されており、スタンドアロン構成とクラスター構成の両方で、ファイル サーバー、Hyper-V、および SQL Server のワークロードに対応しています。DPM 2012 のプライマリ サーバーで問題が発生したときに、障害回復用の DPM 2012 のセカンダリ サーバーで証明書ベースの認証を使用して、信頼されていないドメインのデータ ソースを保護することもできます。DPM 2012 のセカンダリ サーバーは同じドメインまたは信頼されているドメインに配置されている必要があります。このラインアップに含まれていないが、証明書ベースの保護をサポートするデータ ソースは、Exchange Server、SharePoint、およびベアメタル回復またはシステム状態だけです。
自己署名証明書は使用できないため、内部の証明機関が必要になります。すべての準備をして運用を開始するには、いくつかの手順を実行する必要があります。まず、各 DPM 2012 サーバー用の証明書を生成します。次に、各サーバーに証明書をインポートし、証明書ベースの保護を有効にします。保護する必要のあるサーバーには、DPM 2012 エージェントもインストールされている必要があります。証明書の有効期限が近くなると、DPM 2012 では、30 日前に警告が表示されます。また、証明書の有効期限が切れる前日には、重要な警告が表示されます。
ロール ベースのアクセス制御
DPM 2012 をより企業で使いやすくするように設計された、もう 1 つのアーキテクチャの変更点は、ロール ベースのアクセス制御 (RBAC) です。RBAC の対象には操作も含まれているので、データを回復する権利を割り当てることはできますが、Exchange Server の RBAC とは異なり、回復できるデータ ソースを制限することはできません。
読み取り専用ユーザー、レポート オペレーター、回復オペレーター、テープ オペレーターとテープ管理者、および完全な DPM 2012 の管理者を含む、全部で 7 つのロールが提供されています。残り 2 つは、サポート ロールです。第一層サポート (ヘルプ デスク) で行えるのは、バックアップを再開し、問題に対して推奨された自動アクションを実行することだけです。第二層サポート (エスカレーション) では、オンデマンドでバックアップを実行し、エージェントを有効または無効にできます。
すべてのロールは Operations Manager コンソールと範囲が指定された DPM 2012 コンソールでサポートされ、Operations Manager から開始されます。RBAC は Operations Manager のロール ベースのシステムに基づいて構築されているため、ロールは DPM 2012 サーバーのネイティブの DPM 2012 コンソールでは適用されません。
拡張された DPM
DPM 2010 では、スタンドアロンの Hyper-V サーバーで実行している仮想マシン (VM) を保護するときに、かなりのオーバーヘッドが生じていました。その都度、仮想ハード ディスク (VHD) ファイル全体を読み取って、変更されたブロックを確認する必要がありました。DPM 2012 では、更新ブロックの追跡機能を使用して、変更されたブロックのみを転送します。これは、バックアップのパフォーマンスを向上するだけでなく、サーバーの全体的な負荷を軽減します。
仮想化された環境では、ゲスト OS 内でバックアップ行うか、ホスト側でバックアップを行うかを選択します。前者では、ファイルとフォルダーのきめ細かい回復機能が提供されます。後者では、一般に VM 全体の回復のみが可能です。
ホスト レベルのバックアップでは、管理が簡略化されるだけでなく、エージェントのライセンスも安価になります。各 VM 用のエージェントごとにライセンス料金を支払う必要はありません。DPM 2010 で新しく導入されたアイテム レベルの回復 (ILR) の機能では、DPM サーバー自体が物理サーバーで実行されている場合に限り、ホスト ベースのバックアップからファイルとフォルダーを回復できました。
DPM 2012 では、DPM 2012 自体が VM で実行されていても、ホスト ベースのバックアップから ILR を利用することができます。どちらのバージョンでも、この機能は Exchange Server、SQL Server、または SharePoint などのトランザクションベースのワークロードは対象としていません。このようなワークロードは、ゲスト OS に DPM 2012 エージェントをインストールした場合にのみ、きめ細かい回復機能を使用して保護できます。(物理ハードウェアで実行されている) Windows Server 2008 と Windows Server 2008 R2 で実行する DPM 2010、および Windows Server 2008 で実行する DPM 2012 で IRL を利用できるようにするには、Hyper-V ロールをインストールする必要があります。Windows Server 2008 R2 で DPM 2012 を実行している場合は、Hyper-V ロールを有効にする必要はありません。
DPM 2010 では SharePoint の保護にも ILR を使用できます。ただし、アイテムを回復する前にステージングの場所にコンテンツ データベース全体が回復されるので、時間がかかります。DPM 2012 では、別の方法を採用し、SQL Server のインスタンスを回復ポイント用のボリュームのデータにリモートでアタッチし、直接アイテムを回復します。この方法により、パフォーマンスが大幅に向上します。この方法は、SQL Server の FILESTREAM データベースに格納されている SharePoint データにも利用できます。
SharePoint のファーム レベルの保護も利用できます。ファームに追加された新しいサイトは、すべて DPM 2012 で自動的に保護されます。残念ながら、この機能は Hyper-V の保護には対応していません。DPM 2010 では、新しく作成された VM を保護するために実行できる Windows PowerShell スクリプトが用意されていましたが、残念ながら組み込みの機能ではありません。DPM 2012 の拡張性の制限は DPM 2010 から変化しておらず、依然として回復ポイントのボリュームについては 40 TB、レプリカ ボリュームについては 80 TB、計 120 TB という上限があります。
DPM 2010 には、利用可能な領域を有効利用するためにテープのコロケーション機能が用意されていましたが、まとめて格納するデータ ソースを実際に制御する機能はありませんでした。DPM 2012 では、一連の保護グループを導入し (図 4 参照)、グループごとに書き込み期間を割り当てます。これは、新しいバックアップ データを書き込むのにテープを利用できる期間です。時間の回復ポイントを管理する有効期限の許容範囲は、期限切れとマークされるまでテープに残ります。
.jpg)
図 4 Data Protection Manager 2012 でデータ保護の基礎を形成する一連の保護グループ
DPM 2010 では、特定の保護グループのバックアップが複数のテープの作業を開始し、1 つの作業で問題が発生した場合、その保護グループのバックアップ全体をやり直す必要がありました。DPM 2012 で、やり直す必要があるのは問題が発生した作業のみです。
Exchange Server のバックアップから単一アイテムを回復する機能がないのは少し残念ですが、これを実現するサポートされた方法を提供する責任は Exchange チームにあるでしょう。DPM 2012 では Active Directory のバックアップをデータ ソースとして認識しますが、Active Directory のバックアップから単一アイテムを回復する機能はありません。
これらの小さな問題を別にすると、DPM 2012 は DPM 2010 のすばらしい後継製品です。集中管理機能、証明書ベースの保護、RBAC などの企業で使いやすい新機能、および範囲が指定されたコンソールやアイテム レベルの回復などの問題解決機能の強化は、歓迎すべき改良点です。これらの改良により、マイクロソフトのワークロード用の最良のバックアップ製品として、DPM 2012 は確固たる評価を受けるでしょう。
.jpg)
Paul Schnackenburg は、286 コンピューターの時代から IT 業界で働いています。オーストラリアのサンシャイン コーストで自分の会社である Expert IT Solutions を経営しながら、パートタイムで IT 関連の講師を務めています。MCSE、MCT、MCTS、および MCITP という認定資格を持ち、Windows Server、Hyper-V、および Exchange のビジネス向けソリューションを専門としています。連絡先は paul@expertitsolutions.com.au (英語のみ) です。彼のブログは TellITasITis.com.au (英語) でご覧になれます。