Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft ИТ-инфраструктура Планирование, управление и контроль Microsoft System Center Data Protection Manager 2012: Защитите свои данные RSS

Microsoft System Center Data Protection Manager 2012: Защитите свои данные

Текущий рейтинг: 0 (проголосовало 0)
 Посетителей: 5068 | Просмотров: 7583 (сегодня 0)  Шрифт: - +

Объединяя семейство продуктов System Center компания подтверждает Microsoft тот месседж, что набор ПО System Center является лучшим способом мониторинга, управления и защиты рабочих нагрузок. Одним из важных компонентов этого набора является System Center Data Protection Manager 2012 (DPM 2012).

Этот член семейства System Center не подвергался такой серьезной переработке, как System Center Virtual Machine Manager 2012, но и в нем в этой версии появились ценные улучшения. Появилась новая функциональность централизованного управления, которая сильно облегчит жизнь администраторов архивирования. Среди заметных новинок ─ разделенная по тематическим областям консоль DPM 2012 и реализация управления доступом на основе ролей (RBAC).

Процесс установки и требования DPM 2012 практически аналогичны версии DPM 2010. Нужен сервер баз данных SQL Server. В составе дистрибутивной версии поставляется SQL Server 2008 R2, но крупным компаниям скорее всего понадобится централизованная установка сервера SQL Server. Для DPM 2012 требуется Windows Server 2008, 2008 SP2 (только 64-разрядная версия) или 2008 R2 с или без пакета исправлений SP1. Если вы работали с бетf-версией, вы можете обновиться до версии-кандидата (RC), который затем можно обновить до финальной версии (RTM).

Несколько серверов DPM 2012 могут работать с одним сервером SQL Server. Каждому серверу требуется 2,5 ГБ памяти, поэтому нужно соответствующим образом планировать развертывание серверов SQL Server. Возможность совместного использования библиотек лент многими серверами DPM осталась с версии DPM 2010, но смешивать версии и одновременно подключать к библиотеке серверы DPM 2010 и DPM 2012 нельзя.

Консоль DPM 2012 полностью поменялась. Теперь в ней используется оформление, присутствующее в других решениях System Center с замечательной панелью слева вместо вкладок вверху (рис. 1). Есть также контекстно-зависимая лента в верхней части.

*

Рис. 1. Освоиться с новой консолью просто — надо просто помнить, что «вкладки» теперь находятся слева, а не вверху

Централизованное управление

Одной из сложностей крупных сред DPM 2010 является то, что каждый сервер DPM должен управляться отдельно. Часть задач по централизованному управлению могут взять на себя сценарии Windows PowerShell. В команде DPM прислушались к запросам пользователей в этой области, но вместо того, чтобы предоставить отдельную центральную консоль управления DPM 2012, они пошли дальше и организовали интеграцию с System Center Operations Manager. Это очень разумный шаг на пути к единой панели управления вся и всем (рис. 2).

*

Рис. 2. Настроить централизованное управление на сервере и рабочих станциях System Center Operations Manager не представляет труда

Operations Manager интегрируется с системами сторонних производителей для мониторинга и управления прецедентами, поэтому оповещения DPM 2012 будут работать и в таких системах. Бета-весия DPM 2012 поддерживала только Operations Manager 2007 R2, а версия-кандидат поддерживает только Operations Manager 2012 RC. Есть признаки, что обе версии будут работать с версией RTM.

Есть другая вещь, которая наверняка понравится тем, кто управляет крупными средами DPM, — централизованное управление охватывает серверы DPM 2010 (рис. 3). Чтобы воспользоваться этой возможностью, требуется установить Operations Manager 2012 RC и исправление, которое можно получить по адресу http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=27218. Установите Central Console на сервер Operations Manager (для этого надо выбрать соответствующий параметр в окне установки DPM 2012). В конце импортируйте новые пакеты управления в Operations Manager (они предоставляются в составе установщика DPM 2012 RC). Подробнее см. страницу «Installing Central Console» в библиотеке TechNet. Центральная консоль тестировалась в среде с 50 тысячами источников данных, размещенных на ста серверах DPM.

*

Рис. 3. Консоль Central Console упрощает устранение неполадок в крупных средах Data Protection Manager 2012

На самом базовом уровне интеграция предоставляет консолидированную картину оповещений на всех серверах DPM 2012. Оповещения группируются по дискам и лентам, источникам данных, группам защиты и томам реплик, что упрощает устранение неполадок на самых важных участках. Анализ также упрощается за счет того, что консоль отделяет неполадки, затрагивающие один источник данных от проблем, затрагивающих много источников. Оповещения также разделяются по неполадкам архивирования или инфраструктуры. Это позволяет назначить правильных людей для решения тех или иных проблем.

Контекстно-зависимая панель Actions в правой части консоли DPM 2012 предлагает задачи в соответствии с выбранным объектом. Эти задачи также предусматривают удаленное восстановление и возможность автоматически и удаленно выполнять рекомендуемые действия по исправлению ситуации. Можно также сконфигурировать уведомления в соответствии с вашими соглашениями об обслуживании (SLA). Если вы гарантируете выполнение архивирования каждые пять часов, но на самом деле архивируете определенный источник данных каждые два часа, DPM 2012 будет регистрировать в журнале ошибки в случае неудачного архивирования. Централизованная консоль будет уведомлять только при нарушении SLA.

Тематическая консоль

DPM 2012 также предлагает дополнительно облегчающую работу тематическую консоль, как будто централизованного управления серверами и оповещениями недостаточно. Когда вы пытаетесь разрешить определенное оповещение в Operations Manager, щелчок кнопки Troubleshoot открывает консоль DPM 2012, в которой содержатся только сервер DPM 2012, источники данных, агенты и задания архивирования, относящиеся к неполадке, вызвавшей это оповещение. Вверху консоли указан номер запроса в службу поддержки, имя сервера DPM 2012 и оповещение, над которым вы работаете. Если вы решите, что устранили причину неполадки, можно запустить проверочное архивирование перед возобновлением всего задания.

Есть также возможность удаленного администрирования. Она позволяет установить консоль DPM 2012 на рабочих станциях и подключаться к любым удаленным серверам DPM 2012, к которым у вас есть доступ, что избавляет от необходимости использования сеансов удаленного рабочего стола.

Основанная на сертификатах защита

Большинство машин на предприятии являются членами домена, но часто бывают ситуации, когда нужно защищать компьютеры в недоверенной среде или рабочих группа (в сетях периметра). В DPM 2010 такие безопасность таких машин обеспечивалась с применением локальных учетных записей и проверки подлинности по протоколу NTLM. Это не очень удачное решение по причине слабого алгоритма шифрования, применяемого в NTLM, а также сложностями управления и аудита локальных учетных записей.

В DPM 2012 появилась проверка подлинности на основе сертификатов, обеспечивающая поддержку  файловых серверов, Hyper-V и серверов SQL Server как изолированном, так и кластерном режиме. Проверку подлинности на основе сертификатов можно также использовать на дополнительном сервере DPM 2012 для обеспечения сохранности данных в случае выходя из строя DPM 2012 в недоверенных доменах. Эти два сервера DPM 2012 должны находиться в одном домене или в доверенных доменах. Основанная на сертификатах защита отсутствует только на таких источниках данных, как Exchange, SharePoint и системах, восстановленных до предыдущего состояния.

Для управления сертификатами придется установить сервер сертификации, потому что такие сертификаты не могут быть самоподписанными. Реализация защиты на основе сертификатов выполняется в несколько этапов. Во-первых, создаются сертификаты для каждого сервера DPM 2012. После этого сертификаты импортируются на серверы и включается основанная на сертификатах безопасность. На каждом защищаемом сервере нужно установить агент DPM 2012. DPM 2012 уведомит вас об истечении срока действия сертификата за 30 дней, а также выведет аварийное предупреждение за день до окончания срока.

Управление доступом на основе ролей

Еще одна архитектурная новинка в DPM 2012 — управление доступом на основе ролей (RBAC). RBAC позволяет предоставить тому или иному пользователю право восстанавливать данные, но, в отличие от RBAC в Exchange, не позволяет ограничить круг данных, которые разрешается восстанавливать.

Предоставляется семь ролей: Read-Only User (пользователь с доступом только для чтения), Reporting Operator (оператор отчетов), Recovery Operator (оператор восстановления), Tape Operator (оператор ленты), Tape Admins (администраторы ленты) и Full DPM 2012 Admin (полный администратор DPM 2012). Есть также две роли поддержки. Члены роли «Tier-1 Support (help desk)» могут только восстанавливать архивирование и выполнять автоматические действия, рекомендуемые в конкретной ситуации. Члены роли «Tier-2 Support (escalation)» могут выполнять архивирование по запросу и включать или отключать агентов.

Все роли поддерживаются консолью Operations Manager и тематической консолью DPM 2012, а запускаются средствами Operations Manager. Роли не применяются во встроенной консоли DPM 2012 на сервере DPM 2012, потому что RBAC основывается на системе ролей Operations Manager.

Расширенный DPM

Сервер DPM 2010 создает существенную дополнительную нагрузку при защите виртуальных машин на изолированных серверах Hyper-V. Для проверки, какие блоки изменились, ему приходится считывать VHD-файлы (Virtual Hard Disk) целиком. В DPM 2012 используется механизм отслеживания изменившихся блоков, что позволяет передавать информацию только об изменившихся блоках. Это обеспечивает не только повышение производительности, но и снижение общей нагрузки на сервер.

В виртуализованных средах всегда приходится решать, на каком уровне выполнять архивирование — на уровне гостевой ОС или на уровне хоста. В первом случае обеспечивается возможность выборочного восстановления файлов и папок, а во втором возможно восстановление виртуальной машины только целиком.

Помимо упрощения управления, архивирование на уровне хоста снижает затраты на лицензирование агента. Не нужно платить за агента на каждой виртуальной машине. Новой в DPM 2010 была возможность восстановления отдельных элементов (Item Level Restore, ILR), что позволяло восстанавливать файлы или папки из созданного на уровне хоста архива, только если сам сервер DPM работал на физической машине.

В DPM 2012 функциональность ILR доступна, даже если DPM 2012 сам размещается на виртуальной машине. Но в обеих версиях это не распространяется на серверы, где используются транзакции, — Exchange, SQL Server или SharePoint. Эти серверы можно защитить с выборочной возможностью восстановления только при наличии агента DPM 2012 на гостевой системе. Чтобы получить доступ к IRL на сервере DPM 2010, установленном на ОС Windows Server 2008 и 2008 R2, или на DPM 2012, установленном на ОС Windows Server 2008 (в обоих случаях речь идет о физической машине), нужно установить роль Hyper-V. При установке DPM 2012 на Windows Server 2008 R2 устанавливать роль не нужно Hyper-V.

Функциональность ILR также доступна в DPM 2010 для защиты SharePoint. Вся база данных контента может восстанавливаться в промежуточном хранилище, после чего из нее можно извлекать отдельные элементы, однако такая операция занимает значительное время. В DPM 2012 применяется другой подход — сервер удаленно подключается к экземпляру SQL Server к тому точек восстановления и напрямую восстанавливает элементы. Такой подход позволяет значительно повысить производительность. Эта возможность также доступна для данных SharePoint, хранимых на SQL Server в базах данных с применением технологии Filestream.

Также доступно восстановление SharePoint на уровне фермы. Любые новые сайты в ферме автоматически защищаются средствами DPM 2012. К сожалению эта функциональность на распространяется на Hyper-V. В DPM 2010 есть сценарий Windows PowerShell, который можно было выполнять для защиты вновь создаваемых виртуальных машин. Хорошо было бы иметь такой же. Пределы масштабируемости в DPM 2012 не изменились по сравнению с DPM 2010. Размер томов точек восстановления не может превышать 40 ТБ, а томов реплик — 80 ТБ, что в совокупности составляет 120 ТБ.

Хотя DPM 2010 поддерживает совмещение лент для оптимизации использования места на лентах, нет возможностей управлять, какие источники данных хранятся вместе. В DPM 2012 появились наборы групп защиты (рис. 4), в каждой из которых можно назначить период записи. Это время, когда лента готова для записи новых архивов. Есть также параметр Expiration Tolerance, который определяет время, на протяжении которого точки восстановления, объявленные устаревшими, остаются на ленте.

*

Рис. 4. Наборы групп защиты составляют основу защиты данных в Data Protection Manager 2012

Если в процессе запуска множественных заданий архивирования групп защиты в одной из групп возникает сбой, DPM 2010 перезапускал архивирование для всей группы защиты. В DPM 2012 достаточно перезапустить соответствующее задание.

Отсутствие возможности восстановления отдельных элементов Exchange немного разочаровывает, но это скорее ответственность команды разработчиков Exchange предоставить поддерживаемый способ выполнения этой задачи. Также нет возможности восстановления отдельных элементов из архивов Active Directory несмотря на то, что DPM 2012 распознает эту службу как источник данных.

Если на время забыть об этих шероховатостях, можно сказать, что DPM 2012 является достойным наследником DPM 2010. Мы приветствуем новые функции для компаний, такие как централизованное управление, защита на основе сертификатов и RBAC, а также улучшения в области устранения неполадок, такие как тематическая консоль и восстановление отдельных компонентов. Они еще раз подтверждают репутацию DPM 2012 как самого лучшего продукта для защиты серверных продуктов Microsoft.

Автор: Пол Шнакенбург  •  Иcточник: TechNetMagazine  •  Опубликована: 24.01.2013
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.