Présentation du produit

Data Protection Manager (DPM) est un logiciel de la suite System Center de Microsoft dont nous allons voir ici la version 2012.DPM permet de protéger, sauvegarder et récupérer des données en s’appuyant sur l’environnement Windows.

Plus précisément le DPM sera capable d’exercer une protection continue sur les données des disques durs cibles en se basant, entre autres, sur le Volume Shadows copy Service (VSS) de Microsoft. Il apporte de plus des outils de surveillances et de déploiements à l’échelle d’une infrastructure complexe.

Rappel : le Volume Shadows copy Service:

Le VSS est un service Windows inclus nativement depuis Vista. Il se charge de faire des sauvegardes par snapshot/cliché sur un volume et à un moment précis. Il peut fonctionner de manière automatique, par exemple une installation de programme, de mise à jour, où une demande manuelle. Il opère au niveau block d’un système de fichier et requiers du NTFS pour fonctionner

DPM peut protéger les versions de Windows suffisamment récentes pour bénéficier du VSS :

-Windows Vista (sauf familiale)/7/8

-Windows Server 2008/2012

-Exchange Server 2007/2007/2013

-SQL Server 2008/2012

-Sharepoint Server 2007/2010/2013/3.0

-Hyper-V 2008/2012

Cependant, le serveur DPM lui-même est conçu pour être installé sur une machine dédié et supporte donc mal toute association. Pour finir DPM permet 3 types de sauvegardes différentes :

– Directement depuis la machine cible jusqu’au stockage disque du serveur DPM

– Depuis la cible jusqu’à une bande magnétique

– Depuis la cible jusqu’au disque dur du serveur DPM pour ensuite un stockage sur bande

Nouveautés de DPM 2012

  • Gestion centralisée de plusieurs serveurs DPM.
  • Gestion à distance de serveurs DPM (DPM Management Shell)
  • Prise en charge de plusieurs serveurs DPM pour partager une seule instance de SQL Server pour la base de données DPM.
  • Authentification basée sur des certificats pour des ordinateurs dans des groupes de travail ou des domaines non approuvés.
  • Récupération au niveau de l’élément optimisée pour les batteries de serveurs SharePoint.
  • Meilleure utilisation des bandes via des ensembles de groupes de protection.
  • Prise en charge de la protection des hôtes VMM.
  • Interface utilisateur actualisée.

Migration de 2010 vers 2012

Avant la mise à jour

La migration depuis un serveur DPM sous version 2010 s’effectue assez facilement à condition de respecter quelques prérequis :

-Système 64 bits

-Windows server 2008 ou 2008 R2

-Version de 2010 à jour

A l’intérieur du CD d’installation vous trouverez deux dossiers principaux, le CCX86 contient l’installer pour la nouvelle console DPM qui pourra être installée sur les machine cliente. Le dossier SCDPM est celui qui nous intéresse ici. En lançant le setup :

On note l’outil de vérification des prérequis à droite, pour lancer l’upgrade on clique sur « Data Protection Manager »

De plus il est vivement conseillé par Microsoft de sauvegarder la base DPM (DPMDB) afin d’éviter toute perte de données. Il est à noter aussi que le programme d’installation :

– Ouvre le port 6075 sur le pare-feu (console DPM étendue)

– Ajoute le groupe DPMSCOM aux groupes Windows

– Ajoute le groupe « Utilisateurs approuvés MSDPM »

– Créer 2 nouveaux journaux d’évènements : « Evénement de sauvegarde DPM » et « Alerte DPM »

Mise à jour de la base de données DPM

Première et importante partie de la mise à jour surtout avec l’ajout de la multi-base de données à DPM 2012 nous permettant de :

– Continuer d’utiliser l’instance locale du server SQL installé sur la machine, donc sur le même serveur que le DPM

– Utiliser seulement une instance de la base SQL avec un server SQL à distance. L’instance SQL pourra donc de ce fait servir pour plusieurs serveurs DPM.

– Déporter aussi l’instance SQL et de ce fait soulager la machine sur laquelle tourne le DPM, dans ce cas aussi l’instance pourra servir à plusieurs serveurs DPM.

Remarque :

– Quel que soit le mode choisi, effectuez une sauvegarde avant.

– Dans le cas où vous possédez plusieurs serveurs DPM, il vaut mieux les mettre à jour séquentiellement et non en parallèle.

– Si vous utilisez déjà une instance d’un serveur SQL, utilisez l’outil de préparation « DPMS Remote SQL Prep » avant de lancer l’installation.

– L’instance SQL crée par DPM est réservée uniquement pour le ou les serveurs DPM, il est déconseillée de l’utiliser pour autre chose.

– Le lien entre les serveurs DOM et SQL passe bien entendu par le protocole TCP/IP veillez à ce qu’il soit actif.

– Avec cette nouvelle version la convention de nommage pour les bases de données DPM a changé. (observable à l’aide du bouton information sur la console administrateur.)

Instance et serveur en local

1. Sauvegarder la base

2. Ajouter MICROSOFT$DPM$ACCT à l’ACL du dossier DPMDB si il n’existe pas déjà. Contrôle total pour cet utilisateur

3. Lancer l’installation

Instance locale et serveur SQL distant

1. Vérifier que le compte utilisateur utilisé pour l’installation est membre de :

– Groupe administrateur sur le serveur DPM

– Le rôle SQL Server Sysadmin sur le serveur où sera installée l’instance SQL

2. Sauvegarder la base

3. Ajouter MICROSOFT$DPM$ACCT à l’ACL du dossier DPMDB si il n’existe pas déjà. Contrôle total pour cet utilisateur

4. Restaurer la sauvegarde de DPMDB sur l’instance distante qui sera utilisée par le/les serveurs DPM. (elle doit être nommée DPMDB)

5. S’assurer que le TCP/IP est actif pour cette instance

6. Lancer le SQL Prep sur le serveur où SQL serveur est installé

7. Lancer l’installation du DPM

Instance et serveur SQL distants

1. Vérifier que le compte utilisateur utilisé pour l’installation est membre de :

– Groupe administrateur sur le serveur DPM

– Le rôle SQL Server Sysadmin sur le serveur où sera installée l’instance SQL

– Le groupe administrateur sur le serveur où sera l’instance SQL

2. Sauvegarder la base

3. Restaurer la sauvegarde de DPMDB sur l’instance qui sera utilisée par le/les serveurs DPM. (elle doit être nommée DPMDB)

4. S’assurer que TCP/IP est actif

5. Lancer le SQL Prep sur le serveur où l’instance du serveur SQL se trouve

6. Lancer l’installation DPM

Partage de bibliothèque de bande préexistante

Dans le cas où une bibliothèque de bande liée à plusieurs serveurs DPM est active, vous devrez supprimer le partage sur chaque ordinateur avant d’installer la mise à jour (en commençant par les clients avant le serveur), et ensuite seulement reconfigurer le partage de la bibliothèque de bande.

La commande à exécuter (en administrateur) pour les machines clientes est :

cd <system drive>:\Program Files\Microsoft DPM\DPM\Setup

SetSharedDPMDatabase.exe -RemoveDatabaseSharing

AddLibraryServerForDPM.exe –DPMServerWithLibraryFQDN du serveur de bibliothèque>-remove

Les commandes à exécuter (en administrateur) pour le serveur sont :

cd <system drive>

:\Program Files\Microsoft DPM\DPM\Setup

Et pour chaque client (mais toujours sur le serveur) :

AddLibraryServerForDpm.exe – ShareLibraryWithDpm<FQDN du serveur de bibliothèque>-remove

Enfin :

SetSharedDPMDatabase.exe –RemoveDatabaseSharing

Dans le cas d’une mise à jour sur des serveurs protégés ou protégeant.

Mise à jour d’un serveur DPM principal (protégé par un autre DPM) :

1. Mise à jour du serveur secondaire (donc ceux qui protègent)

2. Fermez la console d’administration et e Mangement Shell sur le serveur principal

3. Mise à jour du serveur principal puis redémarrage

4. Mettre à niveau les agents de protection sur le/les serveurs protégés

5. On exécute une vérification de cohérence sur toutes les sources de données protégées

Mise à jour d’un serveur secondaire :

1. Fermez les outils d’administration sur le serveur secondaire puis le mettre à niveau enfin redémarrez

2. Mise à jour des serveurs principaux ainsi que de l’agent de protection

3. On exécute une vérification de cohérence sur toutes les sources de données protégées

Remarque :

Si l’emplacement de sauvegarde du système protégé est personnalisé lors de la mise à niveau cette personnalisation sera perdue dans PSdataSourceConfig.xml.

Déploiement de DPM 2012 méthodes et bonne pratiques

Cibler les données à protéger et planifier son architecture

Pour planifier votre déploiement DPM, la première étape est de cibler précisément les sources de données à protéger, leurs tailles dont découlera la capacité du pool de stockage du DPM, ainsi que leurs niveaux de risque. Pour finir, ce dernier va influer à la fois sur la régularité des synchronisations mais aussi la bande passante nécessaire (à la fois pour les clients et le serveur qui devra centraliser toutes ces données).

Afin de connaitre plus précisément la taille des données qui seront sauvegardés par jour sur une source, on va utiliser un taux de modification de données.

Le serveur DPM utilisant une technologie assez proche d’une sauvegarde incrémentielle classique, il est possible de faire une bonne estimation de la taille en regardant le volume de données sauvegardé. Par exemple, sur un volume de 100 Go sur la cible, l’incrément de sauvegarde fait 10 Go pour la journée (sur une journée « type ») le taux de modification est de 10%. Ceci n’est qu’une estimation bien entendu et a souvent une tendance à être plutôt en deçà selon les types de fichiers.

En ce qui concerne le nombre de serveurs à prévoir, selon Microsoft, un serveur DPM avec la configuration minimale est capable de supporter :

Source :technet.microsoft.com

Un serveur DPM quelle que soit sa puissance ou sa capacité de stockage ne peut pas supporter plus de 9000 captures instantanées. Commande pour afficher le nombre actuel : $server.CurrentShadowCopyProvision

placer son serveur DPM ?

Il y a deux éléments principaux lors du choix de l’emplacement réseau d’un serveur DPM :

– Le serveur nécessite une bande passante suffisante et largement dimensionnée dans le cas d’une évolution future en nombres de clients.

– Le serveur doit être dans un domaine Active Directory dont le niveau fonctionnel doit être 2008 ou 2003.

Cependant dans le cas de deux domaines AD différents mais appartenant à la même forêt et bénéficiant d’une relation d’approbation bidirectionnelle, le serveur DPM pourra être commun. Sans cela, deux serveurs seront nécessaires.

Une relation d’approbation bidirectionnelle ne peut être établie que dans une forêt dont le niveau fonctionnel est au moins Windows Server 2008

Quel niveau de protection ?

Grâce au plan défini avant le dépoilement, les cibles devraient être identifiées ainsi que leurs priorités définies au moment de la configuration du serveur. DPM va permettre de désigner des groupes de protections. Ces groupes seront désignés, soit en s’appuyant sur des machines physique, soit sur un type de données spécifique. L’intérêt est que tous les éléments d’un groupe partagent les mêmes objectifs de récupération. Un exemple d’objectifs de récupérations, pour un groupe de serveur de production à très hauts risques :

– Ne pas perdre plus de 15 min de données (fréquence de synchronisation la plus courte)

– Durée de rétention de 2 semaines (combien de temps les données seront stockées)

– Permettre la récupération sur bande pendant 4 ans (planification des points de restaurations)

Points de sécurités

Afin de protéger au mieux votre architecture et d’éviter tout problème liés au serveur DPM :

– Acceptez tous les paramètres de sécurité par défaut

– Pas d’autres services ou logiciels inutile sur le serveur DPM

– Ne plus modifier les paramètres de sécurité après l’installation complète de l’environnement DPM (SQL/IIS/groupes locaux DPM/DCOM)

– Une instance distante de SQL Server ne doit pas être exécutée en tant que système local