APP下载

使用DPM保护数据安全

2019-06-28河南郭建伟

网络安全和信息化 2019年6期
关键词:磁盘右键文件夹

■ 河南 郭建伟

编者按: SCDPM(System Center Data Protection Manager)是微软System Center产品包中的一款工具,主要用于对系统以及数据进行备份,当其出现问题后可以及时进行恢复。使用DPM不仅可以将数据备份到本地磁盘,磁带或者网络存储中,也可以将其和微软的Azure云存储进行整合,将数据备份到云端。DPM在运行时,需要活动目录域架构的支持。因为其会在后台生成一些报表,所以需要使用到SQL Server数据库。

准备所需的实验环境

例如,在本例中存在名为“FileSrv”的文件服务器,名 为“SQL”的 SQL Server服务器,名为“HyperV1”的Hyper-V主机,名为“DpmSrv”的SCDPM服务器,其全部加入到域环境中,在域控上安装有DNS和DHCP服务。

使用DPM服务器可以保护文件服务器和Hyper-V服务器的数据安全,当文件服务器上的数据发生丢失,或者Hyper-V虚拟机出现损坏故障时,都可以利用DPM来快速有效的进行恢复,实现企业业务的连续性。因为在部署SCDPM服务时,需要连接一个外部的SQL Server数据库实例,所以这里需要配置SQL Server服务器。

实际上,除了DPM需要备份的数据外,其余的信息(例如DPM配置文件、产生的运维信息、日志等)全部保存在SQL Server数据库中。以域管理员身份登录名为“SQL”的服务器,执行SQL Server 2012的安装操作。在安装SQL Server 2012时,在安装向导中的功能选择窗口中不必选择全部项目,只需选择“数据库引擎服务”、“Analysis Services”、“Reporting Services→本机”、“管理工具→完整”等功能组件。在实例名称窗口中不要采用默认的实例名称,这里将其设置为“Dpmsql”。在SQL Server 2012安装向导中的服务器配置窗口中打开“服务账户”面板,针对SQL Server代理、SQL Server数 据 库 引 擎、SQL Server Analysis Services、SQL Server Reporting Services服务来说,在其“账户名”列表中选择“浏览”项,将域账户导入进来。

注意,可以预先在DC上创建专用的域账户,建议不要采用域管理员,因为在很多企业中,域管理员的密码是需要定期更改的。这里为了便于说明,使用了域管理员账户。并输入管理员密码,启动类型设置为自动。在下一步窗口中选择“Windows身份验证模式”项,点击“添加当前用户”按钮,使用当前账户身份进行验证。在下一步的Analysis Service配置窗口中点击“添加当前用户”按钮,使用域管理员拥有分析服务管理权限。其余设置保持默认,执行SQL Server 2012的安装操作。

注意,在SQL Server服务器上需要运行SCDPM安装包,在安装界面中点击“DPM Remote SQL Prep”项,来安装该组件。之后打开SQL Server配置管理器,在左 侧 选 择“SQL Server服务”项,在右侧选择“SQL代理服务”项,将其属性窗口中的“服务”面板中的“启动模式”列表中选择“自动”项,使其可以自动启动。如果SQL Server服务器上开启了Windows防火墙,需要开启TCP 1433端口。

安装和部署DPM服务器

因为DPM服务器和SQL Server服务器是分开部署的,所以需要以域管理员账户身份登录名为“DpmSrv”的服务器,打开SCDPM安装光盘,进入其中的“SQLSVR2012SP1” 目录,执行其中的名为“SQL ManagementStudio_x64_ENU”的程序,就可以安装SQL Server管理工具组件。注意,因为涉及到SQL Server的补丁更新,所以需要访问Internet。如果内网无法访问Internet的话,也可以使用SQL Server安装盘来安装该组件。

图1 安装DPM代理服务

之后进行SCDPM的安装操作,在安装管理控制台中的必备项检查窗口中选择“使用独立SQL Server”项,输入上述SQL实例名(例如“SQL Dpmsql”),输入域管理员账户名、密码以及域名。其余设置保持默认,完成DPM的安装操作。打开SCDPM控制台,在左侧的“库”栏中点击“管理”项,在“磁盘”栏中可以看到当前没有存储池的定义,点击“磁盘”链接,点击工具栏上的“添加”按钮,在打开窗口中显示可用的磁盘信息,这些磁盘可以是本地磁盘,也可使用网络存储。对于DPM存储池来说,会自动将诸如本地磁盘分区的可用空间,和挂载的iSCSI、FC等网络存储自动聚合起来使用。

注意,对于本地磁盘分区,不要对其分配盘符和格式化处理,仅仅需要将其转换为动态磁盘即可。在实际使用时,可以为其准备两个存储盘,其中一个存储盘可以进行分区处理,在其中创建一个共享文件夹(例如“share”),该磁盘不能被DPM使用,主要用于之后讲到的系统裸机还原功能。另外一个磁盘不要进行分区处理,该磁盘作为基本磁盘可被DPM正常使用。在这里选择后一个磁盘,点击添加按钮,将其添加到存储池中。对于基本磁盘来说,DPM会将其转换为动态磁盘,并且其上的所有现有卷将被转换为简单卷。

点击DPM控制台左侧的“代理”链接,点击工具栏上的安装按钮,在向导界面(如图1)中选择“安装代理”项,点击“下一步”按钮,在选择计算机窗口中列出本域中的所有服务器,选择名为“FileSrv”的文件服务器和为“HyperV1”的Hyper-V主机,点击“添加”按钮,将其添加进来,这样就可以在这两台主机上安装DPM代理程序。

对于工作组中的主机,可以选择“附加代理”和“工作组或不受信任域中的计算机”项来进行安装。所谓代理,其实就是DPM的客户端程序。在下一步窗口中输入域管理员账户名和密码,之后选择“是,安装了代理保护后重新启动所选计算机”项,可以在安装了代理服务后重启上述主机。点击“安装”按钮执行具体的安装操作。

图2 创建保护组向导界面

如果出现安装失败的情况,很有可能是在目标主机上开启了Windows防火墙的缘故,将防火墙关闭后,就可以进行安装了。也可以打开DPM安装光盘,点击其中的“DPM保护代理”项,来安装DPM代理程序。在DPM控制台左侧选择“代理”链接,可以看到受到DPM保护的主机名称。在左侧选择“保护”项,在工具栏上点击“新建”按钮,在向导界面(如图3)中点击“下一步”按钮,选择“服务器”项,表示保护对象为文件服务器和应用程序服务器。在下一步窗口中的“可用成员”列表中选择名为“FileSrv”的文件服务器,在其结构列表中选择需要保护的文件夹。如果是系统盘中的内容,还需要选择“System Protection” →“System State”项,将系统状态也保护起来。

点击“下一步”按钮,输入保护组名称。在下一步窗口中设置保护期限,数据同步频率,文件恢复点,应用程序恢复点等参数,一般来说保持默认即可。依次点击“下一步”按钮,在摘要窗口中点击“创建组”按钮。对应的,创建针对Hyper-V服务器的保护组,其方法与上述基本相同,所不同的是在选择组成员时,在可用成员列表中选择名为“HyperV”的主机,在其下打开“HyperV”节点,显示其中包含的所有的虚拟机。选择需要保护的虚拟机。

当然,也可以选择“HyperV”节点,来保护其中的所有虚拟机。在DPM控制台中显示已经存在的保护组信息,包括其名称、类型、保护状态以及保护组中的成员。当“保护状态”列信息变为“确定”时,才可以对其进行保护。

当执行备份时,在保护组列表中选择某个保护对象,例如文件服务器上的某个目录,在其右键菜单上点击“创建恢复点”项,在打开窗口(如图3)中的“为以下对象创建恢复点”列表中选择“短期磁盘保护”项,点击“确定”按钮来创建所需的恢复点。当在文件服务器上打开受保护的目录,删除其中的一些数据后,只需在DPM控制台左侧点击“恢复”项,在右侧的“路径”列表中选择该保护目录,在其右键菜单上点击“显示所有恢复点”项,在所有版本窗口中列出该对象所有的恢复点。

图3 创建恢复点

选择对应的恢复点,点击“恢复”按钮,在向导界面中依次选择该受保护的文件夹,恢复到原始位置,版本恢复行为选择创建副本类型,点击“恢复”按钮执行恢复操作。打开文件服务器,可以看到该文件夹的内容已经恢复到对应的状态了。对于虚拟机的保护来说,其操作方法与之类似。在DPM控制台中选打开对应的虚拟机保护组,选择需要保护的虚拟机,该虚拟机应该处于关闭状态。在其右键菜单上点击“创建恢复点”项,为其创建所需的恢复点。当该虚拟机状态发生改变后,可以在DPM控制台左侧的“可恢复的数据”栏中选择和该虚拟机相关的保护组,在“路径”列表中选择该虚拟机,在其右键菜单上点击“显示所有恢复点”项,在所有版本窗口中列出该对象所有的恢复点,选择对应的恢复点,点击“恢复”按钮,就可以将该虚拟机恢复到对应状态。

实现系统的裸机恢复操作

上面我们简单介绍了如何对文件以及虚拟机进行备份,实际上,使用DPM可以备份微软几乎所有的应用程序。

例如,可以对远程服务器进行裸机还原的备份,这必须满足两个条件。其一是在该机上安装SCDPM代理程序,其二是需要在该机上安装Windows Server Backup组件。因为执行的是系统备份,所以DPM需要调用WSB组件进行备份,在DPM控制台左侧选择“保护”项,在工具栏上点击“新建”按钮,在向导界面上选择“服务器”项,点击“下一步”按钮,选择某台远程服务器(例如名为“Server09”的DNS服务器等),在其下选择“System Protection”项,包括“Bare、Metel Recovery”和“System State”项。

点击“下一步”按钮,输入保护组名称(例如“SystemRestore1”)。 在 下一步窗口中可以设置保护期,默认为5天。这表示当创建好保护组后,DPM会立即针对所保护的对象,创建完整的副本。在“快速完整备份”栏中默认在每天晚上20:00进行快速备份,点击“修改”按钮,可以根据需要设置所需的星期数(例如不选择周日周六等)和备份的时间点。这说明在其介质中只保存5天的副本。当达到指定的时间点后,可以执行完整备份操作。当超过该期限后,会将之前的副本覆盖。其余设置保持默认,点击“创建组”按钮,创建该保护组。

在DPM控制台中选择该保护组,在其右键菜单上点击“执行一致性检查”项,执行备份副本的校验操作。此刻进入名为“Server09”的服务器,在任务管理器中打开“性能”面板,选择“以太网”项,在网络图表中显示较大的流量,说明备份操作正在进行。

当备份完成后,希望将备份数据恢复到新的服务器来实现裸机还原的话,就需要使用到上述谈到的包含“Share”共享文件夹已经分区的磁盘了。在DPM控制台中左侧选择“恢复”项,在“可恢复数据”栏中选择“Server09”服务器中的系统保护项目,在右侧的“恢复时间”列表中选择所需的恢复时间点,在“路径”列表中选择“Bare Metal Recovery”项,在其右键菜单上点击“恢复”项,在向导界面(如图4)中点击“下一步”按钮,选择“复制到网络文件夹”项,选择上述名为“share”的共享目录,其余设置保持默认,点击“恢复”按钮,将备份的内容释放到该共享目录中。

图4 数据恢复向导界面

之后打开该共享目录,在 其 中 看 到 以“DPM”开头的,后跟具体时间日期的文件夹,层层进入其中的子目录,可以看到名为“Windows Image Backup” 的目录,其中保存着系统备份数据。在新的服务器(例如名 为“Server19”)上 使 用Windows Server 2012 R2光盘进行引导,在Windows安装程序界面中点击“修复计算机”项,选择“疑难解答”→“系统映像恢复”项,点击“Windows Server 2012 R2”项,在对计算机进行重镜像。

注意,为了让操作顺利进行,必须在DC上配置DHCP服务,或者在域中使用专门的DHCP服务器。这样可以让该机获得IP地址。

点击“高级”按钮,在弹出窗口中点击“在网络上搜索系统映像”项,输入网络共享文件夹路径,例如“\192.168.1.30sharexxx”,其 中的“192.168.1.30”为提供该共享目录的主机IP,在本例中表示DPM服务器,“xxx”表示其中的层层子目录,即上述“Windows Image Backup”目录以上的路径信息。该路径信息一定要准确设置,否则无法还原。点击“确定”按钮,输入域管理员账户和密码,点击“下一步”按钮,选择需要恢复的备份时间点,点击“完成”按钮,系统提示“要还原的驱动器上的所有数据都将替换为系统映像中的数据”,点击“是”按钮,执行裸机还原操作。之后重启该新的服务器,就可以直接使用了,其系统状态和之前备份的服务器是完全一致的。

注意,该新服务器和之前备份的服务器是不一样的,这里的不一样指的是两者的IP是存在差异的。因为恢复后的新的服务器是没有IP地址的,所以需要手工进行设定。

猜你喜欢

磁盘右键文件夹
轻松整理Win10右键菜单
它的好 它的坏 详解动态磁盘
Fast Folders,让你的文件夹四通八达
自定义“开始”右键控制菜单
创建虚拟机磁盘方式的选择
解决Windows磁盘签名冲突
摸清超标源头 大文件夹这样处理
用右键菜单管理右键菜单
调动右键 解决文件夹管理三大难题
Windows系统下动态磁盘卷的分析与研究