Меню Рубрики

Установка sql server на контроллер домена

Вопросы безопасности при установке SQL Server Security Considerations for a SQL Server Installation

ОБЛАСТЬ ПРИМЕНЕНИЯ: SQL Server (только в Windows) База данных SQL Azure Azure Synapse Analytics (хранилище данных SQL) Parallel Data Warehouse APPLIES TO: SQL Server (Windows only) Azure SQL Database Azure Synapse Analytics (SQL DW) Parallel Data Warehouse

Безопасность является важной характеристикой для любого продукта и любого предприятия. Security is important for every product and every business. Следуя простым рекомендациям, можно избежать многих уязвимостей в безопасности. By following simple best practices, you can avoid many security vulnerabilities. В этой статье обсуждаются некоторые рекомендации по безопасности, которых следует придерживаться как до установки SQL Server SQL Server , так и после установки SQL Server SQL Server . This article discusses some security best practices that you should cons >SQL Server SQL Server and after you install SQL Server SQL Server . Сведения о безопасности для конкретных компонентов приводятся в справочных статьях по этим компонентам. Security guidance for specific features is included in the reference articles for those features.

Перед установкой SQL Server SQL Server Before Installing SQL Server SQL Server

При настройке среды сервера выполняйте следующие рекомендации. Follow these best practices when you set up the server environment:

Enhance Physical Security Enhance Physical Security

Физическая и логическая изоляции составляют основу безопасности SQL Server SQL Server . Physical and logical isolation make up the foundation of SQL Server SQL Server security. Для повышения физической безопасности установки SQL Server SQL Server выполните следующие действия. To enhance the physical security of the SQL Server SQL Server installation, do the following tasks:

Установите сервер в помещении, недоступном для посторонних. Place the server in a room accessible only to authorized persons.

Установите компьютеры, на которых размещены базы данных, в физически защищенных местах, идеальным вариантом является запертая компьютерная комната с системой электромагнитного и противопожарного контроля или системой подавления помех. Place computers that host a database in a physically protected location, ideally a locked computer room with monitored flood detection and fire detection or suppression systems.

Установите базы данных в безопасной зоне корпоративной сети и не подключайте экземпляры SQL Server к Интернету напрямую. Install databases in the secure zone of the corporate intranet and do not connect your SQL Servers directly to the Internet.

Регулярно создавайте резервные копии данных и храните их в безопасном месте за пределами расположения компьютера. Back up all data regularly and secure the backups in an off-site location.

Use Firewalls Use Firewalls

Брандмауэры играют важную роль в обеспечении безопасности установки SQL Server SQL Server . Firewalls are important to help secure the SQL Server SQL Server installation. Брандмауэры будут более эффективны, если следовать приведенным ниже правилам. Firewalls will be most effective if you follow these guidelines:

Установите брандмауэр между сервером и Интернетом. Put a firewall between the server and the Internet. Разрешите работу брандмауэра. Enable your firewall. Если он отключен, включите его. If your firewall is turned off, turn it on. Если он включен, не отключайте. If your firewall is turned on, do not turn it off.

Разделите сеть на зоны безопасности, разделенные брандмауэрами. Divide the network into security zones separated by firewalls. Заблокируйте весь поток данных, после чего разрешите только необходимый. Block all traffic, and then selectively admit only what is required.

В многоуровневой архитектуре используйте несколько брандмауэров для создания изолированных подсетей. In a multi-tier environment, use multiple firewalls to create screened subnets.

При установке сервера внутри домена Windows настройте внутренние брандмауэры на разрешение проверки подлинности Windows. When you are installing the server inside a Windows domain, configure interior firewalls to allow Windows Authentication.

Если приложение работает с распределенными транзакциями, настройте брандмауэр на обмен данными между отдельными экземплярами координатора распределенных транзакций Microsoft Microsoft (MS DTC). If your application uses distributed transactions, you might have to configure the firewall to allow Microsoft Microsoft Distributed Transaction Coordinator (MS DTC) traffic to flow between separate MS DTC instances. Кроме того, нужно настроить брандмауэр на разрешение обмена данными между MS DTC и диспетчерами ресурсов (например, SQL Server SQL Server ). You will also have to configure the firewall to allow traffic to flow between the MS DTC and resource managers such as SQL Server SQL Server .

Дополнительные сведения о настройках брандмауэра Windows по умолчанию и описание портов TCP, влияющих на компоненты Компонент Database Engine Database Engine , Службы Analysis Services Analysis Services , Службы Reporting Services Reporting Services и Службы Integration Services Integration Services , см. в разделе Настройка брандмауэра Windows для разрешения доступа к SQL Server. For more information about the default Windows firewall settings, and a description of the TCP ports that affect the Компонент Database Engine Database Engine , Службы Analysis Services Analysis Services , Службы Reporting Services Reporting Services , and Службы Integration Services Integration Services , see Configure the Windows Firewall to Allow SQL Server Access.

Isolate Services Isolate Services

Изолирование служб уменьшает риск того, что подвергнувшаяся опасности служба подвергнет опасности другие службы. Isolating services reduces the risk that one compromised service could be used to compromise others. Чтобы изолировать службы, следуйте приведенным ниже правилам. To isolate services, consider the following guidelines:

  • Запускайте разные службы SQL Server SQL Server под разными учетными записями Windows. Run separate SQL Server SQL Server services under separate Windows accounts. Если возможно, пользуйтесь для каждой из служб SQL Server SQL Server отдельными учетными записями Windows или локальных пользователей, обладающих наименьшими правами. Whenever possible, use separate, low-rights Windows or Local user accounts for each SQL Server SQL Server service. Дополнительные сведения см. в статье Настройка учетных записей службы Windows и разрешений. For more information, see Configure Windows Service Accounts and Permissions.

Configure a Secure File System Configure a Secure File System

Правильный выбор файловой системы повышает уровень безопасности. Using the correct file system increases security. Для установки SQL Server SQL Server необходимо выполнить следующие действия. For SQL Server SQL Server installations, you should do the following tasks:

Используйте файловую систему NTFS. Use the NTFS file system (NTFS). Рекомендуется устанавливать SQL Server SQL Server на файловую систему NTFS, так как она обеспечивает более высокую стабильность и восстанавливаемость, чем файловые системы FAT. NTFS is the preferred file system for installations of SQL Server SQL Server because it is more stable and recoverable than FAT file systems. Кроме того, NTFS реализует параметры управления доступом к файлам и каталогам (ACL), шифрование файловой системы (EFS) и другие средства обеспечения безопасности. NTFS also enables security options like file and directory access control lists (ACLs) and Encrypting File System (EFS) file encryption. Во время установки SQL Server SQL Server установит необходимые списки ACL на разделы реестра и файлы, если программа установки обнаружит NTFS. During installation, SQL Server SQL Server will set appropriate ACLs on registry keys and files if it detects NTFS. Эти разрешения не должны меняться. These permissions should not be changed. В будущих выпусках SQL Server SQL Server может не поддерживаться установка на компьютеры с файловой системой FAT. Future releases of SQL Server SQL Server might not support installation on computers with FAT file systems.

При использовании EFS файлы базы данных будут зашифрованы идентификатором учетной записи, под которой запущен SQL Server SQL Server . If you use EFS, database files will be encrypted under the >SQL Server SQL Server . Только эта учетная запись сможет расшифровать файлы. Only this account will be able to decrypt the files. Если нужно изменить учетную запись, от имени которой запускается SQL Server SQL Server , сначала необходимо расшифровать файлы с использованием старой учетной записи, а затем снова зашифровать их под новой учетной записью. If you must change the account that runs SQL Server SQL Server , you should first decrypt the files under the old account and then re-encrypt them under the new account.

Используйте дисковый массив (RAID) для наиболее критичных файлов данных. Use a redundant array of independent disks (RAID) for critical data files.

Disable NetBIOS and Server Message Block Disable NetBIOS and Server Message Block

На внешних серверах сети должны быть отключены все ненужные протоколы, включая NetBIOS и SMB. Servers in the perimeter network should have all unnecessary protocols disabled, including NetBIOS and server message block (SMB).

NetBIOS использует следующие порты: NetBIOS uses the following ports:

UDP/137 (служба имен NetBIOS); UDP/137 (NetBIOS name service)

UDP/138 (служба дейтаграмм NetBIOS); UDP/138 (NetBIOS datagram service)

UDP/139 (служба сеанса NetBIOS). TCP/139 (NetBIOS session service)

SMB использует следующие порты: SMB uses the following ports:

Веб-серверы и DNS-серверы не требуют наличия NetBIOS или SMB. Web servers and Domain Name System (DNS) servers do not require NetBIOS or SMB. Отключите на них оба протокола, чтобы снизить угрозу раскрытия списка пользователей. On these servers, disable both protocols to reduce the threat of user enumeration.

Установка SQL Server SQL Server на контроллере домена Installing SQL Server SQL Server on a domain controller

Исходя из соображений безопасности, не рекомендуется устанавливать SQL Server SQL Server на контроллере домена. For security reasons, we recommend that you do not install SQL Server SQL Server on a domain controller. SQL Server SQL Server не заблокирует установку на компьютере, который является контроллером домена, однако при этом будут применены следующие ограничения. Setup will not block installation on a computer that is a domain controller, but the following limitations apply:

Запуск служб SQL Server SQL Server на контроллере домена в учетной записи локальной службы невозможен. You cannot run SQL Server SQL Server services on a domain controller under a local service account.

После установки SQL Server SQL Server компьютер, который является членом домена, нельзя будет сделать контроллером домена. After SQL Server SQL Server is installed on a computer, you cannot change the computer from a domain member to a domain controller. Перед этим придется удалить SQL Server SQL Server . You must uninstall SQL Server SQL Server before you change the host computer to a domain controller.

После установки SQL Server SQL Server компьютер, который является контроллером домена, нельзя будет сделать членом домена. After SQL Server SQL Server is installed on a computer, you cannot change the computer from a domain controller to a domain member. Перед этим придется удалить SQL Server SQL Server . You must uninstall SQL Server SQL Server before you change the host computer to a domain member.

SQL Server SQL Server не поддерживает экземпляры отказоустойчивого кластера, где узлы кластера являются контроллерами домена. failover cluster instances are not supported where cluster nodes are domain controllers.

Программа установки SQL Server SQL Server не может создавать группы безопасности или подготавливать учетные записи служб SQL Server SQL Server на контроллере домена, доступном только для чтения. SQL Server SQL Server Setup cannot create security groups or provision SQL Server SQL Server service accounts on a read-only domain controller. В такой ситуации программа установки завершается ошибкой. In this scenario, Setup will fail.

Во время или после установки SQL Server SQL Server During or After Installation of SQL Server SQL Server

После установки вы можете повысить безопасность установки SQL Server SQL Server , следуя приведенным ниже рекомендациям относительно учетных записей и режимов проверки подлинности. After installation, you can enhance the security of the SQL Server SQL Server installation by following these best practices regarding accounts and authentication modes:

Учетные записи службы Service accounts

Запускайте службы SQL Server SQL Server с минимально возможными разрешениями. Run SQL Server SQL Server services by using the lowest possible permissions.

Связывайте службы SQL Server SQL Server с учетными записями локальных пользователей Windows, имеющих наименьшие права доступа, или учетными записями пользователей домена. Associate SQL Server SQL Server services with low privileged Windows local user accounts, or domain user accounts.

Режим проверки подлинности Authentication mode

Требует проверку подлинности Windows для подключений к SQL Server SQL Server . Require Windows Authentication for connections to SQL Server SQL Server .

Используйте проверку подлинности Kerberos. Use Kerberos authentication. Дополнительные сведения см. в разделе Регистрация имени участника-службы для соединений Kerberos. For more information, see Register a Service Principal Name for Kerberos Connections.

Надежные пароли Strong passwords

Всегда назначайте надежный пароль для учетной записи sa . Always assign a strong password to the sa account.

Всегда включайте проверку политики паролей для определения надежности и срока действия пароля. Always enable password policy checking for password strength and expiration.

Для всех имен входа SQL Server SQL Server используйте только надежные пароли. Always use strong passwords for all SQL Server SQL Server logins.

Во время установки SQL Server Express SQL Server Express для группы BUILTIN\Users добавляется имя входа. During setup of SQL Server Express SQL Server Express a login is added for the BUILTIN\Users group. Благодаря этому все прошедшие проверку подлинности пользователи компьютера получают доступ к экземпляру SQL Server Express SQL Server Express как члены роли public. This allows all authenticated users of the computer to access the instance of SQL Server Express SQL Server Express as a member of the public role. Имя входа группы BUILTIN\Users можно удалить, чтобы ограничить доступ к компоненту Компонент Database Engine Database Engine только пользователям компьютера, у которых есть отдельные имена входа, или членам других групп Windows с именами входа. The BUILTIN\Users login can be safely removed to restrict Компонент Database Engine Database Engine access to computer users who have individual logins or are members of other Windows groups with logins.

Читайте также:  Установка без intouch что это

источник

Установка DPM Get DPM installed

Для настройки System Center Data Protection Manager (DPM) нужно сделать следующее: Here’s what you need to do to set up System Center Data Protection Manager (DPM):

  1. Прочитайте раздел Предварительные требования программы установки. Read the Setup prerequisites
  2. Проверьте совместимость операционной системы DPM. Verify the DPM operating system is compatible.
  3. Настройте базу данных SQL Server для хранения параметров DPM и сведений о конфигурации. Set up a SQL Server database to store DPM settings and configuration information.
  4. Установите DPM. Set up DPM. Вы можете установить DPM из пользовательского интерфейса или выполнить автоматическую установку. You can Install DPM from the user interface, or Run an unattended install. Выполните следующие действия, если вам требуется установить DPM на контроллере домена. Follow these instructions if you want to Install DPM on a domain controller

Setup prerequisites Setup prerequisites

Среда Environment Подробные сведения для установки Details or specifics for the installation
Базовые предварительные условия для установки DPM Basic DPM installation prerequisites На сервере DPM должен быть установлен ряд компонентов. A number of components are needed on the DPM server. Следующие компоненты устанавливаются автоматически во время установки. These are installed automatically during setup:

— Платформа .NET Framework 4.0 или 4.5 (DPM 2016/2019); для установки SQL (версии перед SQL 2016) требуется .NET Framework 3.5; для установки SQL (SQL 2016 и более поздние версии) требуется .NET Framework 4.6. — .NET Framework 4.0 or 4.5 (DPM 2016/2019); .NET Framework 3.5 required for SQL installation (Before SQL 2016); .NET Framework 4.6 required for SQL installation (SQL 2016 onwards) . Если этот компонент не устанавливается автоматически, установите его с помощью функции добавления компонентов в диспетчере серверов. Install with Add Features in Server Manager if it doesn’t install automatically.
— Установщик Windows 4.5 (или более поздней версии). — Windows Installer 4.5 (or later). Устанавливается как часть операционной системы, однако этот компонент также можно установить от имени администратора из папки DPM\setup\redist\WindowsInstaller\INSTMSI45.EXE. Installed as part of the operating system but can also be installed as an administrator from DPM\setup\redist\WindowsInstaller\INSTMSI45.EXE.
— Распространяемые пакеты Microsoft Visual C++ 2012, Microsoft Visual C++ 2010 и Microsoft Visual C++ 2008. — Microsoft Visual C++ 2012 Redistributable; Microsoft Visual C++ 2010 Redistributable; Microsoft Visual C++ 2008 Redistributable.
— PowerShell 3.0 (входит в состав Windows Server 2012 R2 или 2012) — PowerShell 3.0 (included with Windows Server 2012 R2 or 2012) База данных DPM DPM database — Проверьте поддерживаемые версии SQL Server для базы данных DPM. — Verify supported SQL Server versions for the DPM database. — SQL Server можно установить на сервере DPM или удаленном сервере. — You can install SQL Server on the DPM server or on a remote server.
— При удаленной установке базы данных компьютер с запущенным удаленным экземпляром сервера должен быть расположен в одном домене и часовом поясе с сервером DPM. — If you install the database remotely the machine running the remote instance must be in the same domain and time zone as the DPM server. — При использовании удаленной базы данных ее следует подготовить перед установкой DPM. — If you’re running a remote database, have it ready before you install DPM
— Нельзя запускать SQL Server в контроллере домена. — You can’t run SQL Server on a domain controller.
— При использовании удаленной базы данных ее следует подготовить перед установкой DPM. — If you’re running a remote database, have it ready before you install DPM. Запустите средство подготовки SQL на удаленном компьютере SQL. Make sure to run SQL Prep tool on remote SQL computer.
— SQL Server может быть автономным или работать в составе кластера. — SQL Server can be standalone or running in a cluster.
— Нельзя использовать развертывание SQL Server AlwaysOn. — You can’t use a SQL Server Always-On deployment.
— Если DPM развернут как виртуальная машина Azure, используйте в качестве удаленного экземпляра SQL Server виртуальную машину Azure с SQL Server. — If you deploy DPM as an Azure virtual machine (VM) use an Azure VM running SQL Server as a remote SQL Server instance. В этом развертывании нельзя использовать локальный экземпляр SQL Server; также в настоящее время не поддерживается база данных SQL Azure. You can’t use an on-premises SQL Server in this deployment, and using an Azure SQL Database isn’t currently supported.
— Если SQL Server кластеризован, сервер отчетов и SQL Server должны располагаться на разных компьютерах. — If SQL Server is clustered, Reporting Server and SQL Server should be on different machines. DPM, установленный в качестве виртуальной машины Hyper-V DPM installed as Hyper-V VM При установке DPM как виртуальной машины Hyper-V учтите, что: If you’re installing DPM as a Hyper-V virtual machine note that:

  • виртуальная установка DPM не предназначена для масштабируемых сред. Virtual DPM installation isn’t for scaled up environments. Вместо этого используйте хранилища с прямым подключением или на основе сетей хранения данных. Instead, use direct attach/SAN-based storage. При использовании VHDX-файлов в масштабируемых средах (Hyper-V на общих томах кластера) может наблюдаться снижение производительности по сравнению с сетями SAN. Performance can suffer in scaled up (Hyper-V on CSV) environments using VHDX files compared to SAN. Поэтому для масштабируемых сред не рекомендуется использовать VHDX-файлы. Therefore, for scaled up environments we don’t recommend using VHDX.
  • Нет ограничения размера для VHDX-файлов. There’s no size limit for VHDX.
    Поддерживаются как фиксированные, так и динамически расширяемые VHDX-файлы. Both fixed and dynamically expanding VHDX files are supported.
  • VHD- и VHDX-файлы поддерживаются в пуле носителей DPM. Both VHD and VHDX files are supported in the DPM storage pool.
    Установка виртуального DPM необходима для поддержки добавления виртуальных жестких дисков в пул носителей. A virtual DPM installation is required to support adding virtual hard drives to the storage pool.
  • Для динамических и фиксированных виртуальных жестких дисков VHD и VHDX-файлы поддерживаются в удаленных общих папках SMB. For dynamic and fixed virtual hard drives, VHD and VHDX files are supported on remote SMB shares.
  • В DPM 2012 R2 с обновлением 3 и последующих версий DPM может работать как виртуальная машина Hyper-V с поддержкой ленточных накопителей с помощью виртуального адаптера Fibre Channel. From DPM 2012 R2 with Update 3 onwards you can run DPM as a Hyper-V virtual machine with support for tape drives using synthetic FC.
  • В конфигурации хранилища DPM высокой доступности виртуальные жесткие диски должны размещаться на масштабируемых файловых серверах (SOFS). For high availability DPM storage, virtual hard drives should be placed on scaled-out file servers (SOFS). Для масштабируемых файловых серверов требуется SMB 3.0. SMB 3.0 is required for scaled-out file servers.
  • Виртуальные установки DPM не поддерживают: Virtual DPM installations don’t support:

  • дисковые пространства Windows 2012 или виртуальные жесткие диски на основе дисковых пространств; Windows 2012 Storage Spaces or virtual hard drives built on top of storage spaces.
    локальное или удаленное размещение VHDX-файлов в дисковых пространствах Windows 2012; Local or remote hosting of VHDX files on Windows 2012 storage space also isn’t supported.
  • включение дедупликации дисков на томах, где размещаются виртуальные жесткие диски; Enabling Disk Dedupe on volumes hosting virtual hard drives.
  • цели iSCSI в Windows 2012 (использующие виртуальные жесткие диски) в качестве пула носителей DPM; Windows 2012 iSCSI targets (which use virtual hard drives) as a DPM storage pool.
  • сжатие NTFS для томов, на которых размещаются VHD-файлы, используемые в пуле носителей DPM; NTFS compression for volumes hosting VHD files used in the DPM storage pool.
  • BitLocker на томах, на которых размещаются VHD-файлы, используемые для пула носителей; BitLocker on volumes hosting VHD files used for the storage pool.
  • встроенный размер сектора 4 КБ физических дисков для VHDX-файлов в пуле носителей DPM; A native 4K sector size of physical disks for VHDX files in the DPM storage pool.
  • виртуальные жесткие диски, размещаемые на серверах Windows 2008. Virtual hard drives hosted on Windows 2008 servers.
DPM в виде виртуальной машины Azure DPM as an Azure virtual machine
  • DPM поддерживается на любой виртуальной машине Azure IaaS размером A2 и более. DPM is supported on any Azure IaaS virtual machine of size A2 or higher.
    Определить размер виртуальной машины DPM можно с помощью калькулятора размера виртуальной машины Azure для DPM. You can select a size for the DPM virtual machine using the DPM Azure virtual machine size calculator. При создании виртуальной машины создавайте экземпляр стандартного уровня, т. к. максимальное число операций ввода-вывода в секунду на подключенных дисках для стандартного уровня выше, чем для базового уровня. When you set up the virtual machine create an instance in the Standard compute tier because the maximum IOPS per attached disk is higher in the Standard tier than in the Basic tier.
  • DPM может защищать рабочие нагрузки, как указано здесь в матрице защиты. DPM can protect the workloads as detailed here in protection matrix.
  • DPM может защищать рабочие нагрузки, работающие на нескольких облачных службах Azure, имеющих общую виртуальную сеть Azure и общую подписку Azure. DPM can protect workloads that run across multiple Azure cloud services that have the same Azure virtual network and Azure subscription.
    DPM, работающий в виде виртуальной машины Azure, не может защищать локальные данные. DPM running as an Azure virtual machine can’t protect on-premises data.
  • Для виртуальной машины DPM используйте отдельную учетную запись хранения, т. к. если учетная запись используется совместно с другими запущенными виртуальными машинами, ограничения на размер и число операций ввода-вывода в секунду для учетной записи хранения могут влиять на производительность виртуальной машины DPM. Use a separate storage account for the DPM virtual machine, because there are size and IOPS limits on a storage account that might impact the performance of the DPM virtual machine if shared with other running virtual machines. Виртуальная машина DPM и защищаемые рабочие нагрузки должны быть частью одной виртуальной сети Azure. The DPM virtual machine and the protected workloads should be part of the same Azure virtual network.
  • Число дисков, которое можно использовать для целевого хранилища (пул носителей DPM), ограничивается размером виртуальной машины (максимум 16). The number of disks that can be used for the target storage (DPM storage pool) is limited by the size of the virtual machine (maximum of 16). Запущенному на сервере DPM агенту архивации Azure требуется собственное временное хранилище для размещения кэша и для данных, восстанавливаемых из облака (локальная область промежуточного хранения). The Azure Backup agent running on the DPM server needs temporary storage for its own use (a cache location), and for data restored from the cloud (local staging area). Обратите внимание, что каждая виртуальная машина Azure имеет некоторый объем временного дискового хранилища. Note that each Azure virtual machine comes with some temporary disk storage. Оно доступно пользователю в виде тома D:\. This is available to the user as the volume D:\. Локальная область промежуточного хранения, требуемая для службы архивации Azure, может быть настроена на диске D:\, а кэш можно разместить на диске C:\. The local staging area needed by Azure Backup can be configured to reside in D:\, and the cache location can be placed on C:\. Таким образом, не требуется отрезать пространство от дисков, подключенных к виртуальной машине DPM. In this way, no space needs to be carved out from the data disks attached to the DPM virtual machine.
  • Вы можете хранить данные на дисках Azure, подключенных к виртуальной машине DPM. You store data on Azure disks attached to the DPM virtual machine. После подключения к виртуальной машине диски и пространство на них управляются из DPM. Once attached to the virtual machine, the disks and the storage space are managed from within DPM. Объем данных, который вы можете архивировать, зависит от числа и размера дисков, подключенных к виртуальной машине DPM. The amount of data you can back up depends on the number and size of disks attached to the DPM virtual machine. Существует ограничение на максимальное число дисков, подключенных к каждой виртуальной машине Azure (4 диска A2V2, A4V2, A8V2), и на максимальный размер каждого диска (1 ТБ). There is a maximum number of disks that can be attached to each Azure virtual machine (4 disks for A2V2, A4V2, A8V2), and maximum size of each disk (1 TB). Это определяет общий объем пула носителей, доступного для резервного копирования. This determines the total backup storage pool available. Мы рекомендуем сохранять данные за один день на подключенном к DPM диске Azure, а более старые данные — в службе архивации Azure. We recommend you retain data for one day on DPM-attached Azure disk, and store data older than one day in the Azure Backup service. Это обеспечивает более длительный диапазон хранения, и позволяет защитить больший объем данных за счет выгрузки его в службу архивации Azure. This provides data store for a longer retention range, and allows you to protect a larger amount of data by offloading it to Azure Backup.
  • Если вы хотите выполнить масштабирование вашей конфигурации, у вас есть следующие варианты: If you want to scale your deployment you have the following options:

    • Вариант 1, вертикальное увеличение масштаба: Увеличьте размер виртуальной машины DPM c A2V2, A4V2 и A8V2, а также добавьте больше локального хранилища. Option 1, Scale up: Increase the size of the DPM virtual machine from A2V2, A4V2, A8V2, and add more local storage.
    • Вариант 2, выгрузка данных: перенесите более старые данные в службу архивации Azure Backup и сохраняйте в подключенном к серверу DPM хранилище только самые новые данные. Option 2, Offload data: Send older data to Azure Backup, and retain only the newest data on the storage attached to the DPM server.
    • Вариант 3, горизонтальное увеличение масштаба: добавление новых серверов DPM для защиты рабочих нагрузок. Option 3, Scale out: Add more DPM servers to protect the workloads.
  • В таблице А ниже приведены ограничения на максимальное число защищаемых рабочих нагрузок для виртуальных машин DPM разных размеров. The maximum number of protected workloads for each DPM virtual machine size is summarized in Table A below.
Размер виртуальной машины VM size Макс. размер защищаемых рабочих нагрузок Max protected workloads Средний размер рабочей нагрузки Avg workload size Средний размер ежедневных изменений Avg workload churn (daily)
A2V2 A2V2 20 20 100 ГБ 100 GB 5-процентное изменение Net 5% churn
A4V2 A4V2 40 40 150 ГБ 150 GB 10-процентное изменение Net 10% churn
A8V2 A8V2 60 60 200 Мб 200 GB 15-процентное изменение Net 15% churn

Настройка базы данных SQL Server Set up a SQL Server database

Вам потребуется настроить базу данных SQL Server, если: You’ll need to set up a SQL Server database if:

  • вы используете DPM 2019, 2016 You’re running DPM 2019, 2016

Установка базы данных SQL Server To set up a SQL Server database:

Запустите программу установки SQL Server на локальном сервере, на котором предполагается установить DPM, или на удаленном сервере. Run SQL Server setup on the local server on which you’ll install DPM, or on a remote server.

На вкладке Установка выберите пункт Новая установка изолированного экземпляра SQL Server или добавление компонентов к существующей установке. On the Installation tab, click New SQL Server stand-alone installation or add features to an existing installation.

На вкладке Ключ продукта введите допустимый лицензионный ключ. On the Product Key tab enter a valid license key. Перед продолжением работы исправьте все ошибки на вкладке Правила поддержки программы установки . On the Setup Support Rules tab, correct any failures before proceeding. На вкладке Роль установки выберите пункт Установка компонентов SQL Server. On the Setup Role tab select SQL Server Feature Installation

На вкладке Выбор компонентов выберите пункт Службы ядра СУБД. On the Feature Selection tab select Database Engine Services. В разделе Компоненты экземпляравыберите пункт Служба отчетов — собственная. In Instance Features, select Reporting Service — Native. Проверьте правила на вкладке Правила установки. On the Installation Rules tab review the rules.

На вкладке Конфигурация экземпляра укажите имя экземпляра SQL Server, который будет использоваться для DPM. On the Instance Configuration tab specify the name of SQL Server instance you’ll use for DPM. Не используйте в имени символ подчеркивания или локализованные символы. Don’t use an underscore or localized characters in the name. Изучите сведения на вкладке Требования к дисковому пространству. In Disk Space Requirements review the information.

В разделе Конфигурация сервера -> Учетные записи служб укажите учетные записи домена, которые службы SQL Server должны использовать для своей работы. In Server Configuration -> Service Accounts specify the domain accounts under which the SQL Server services should run:

Мы рекомендуем использовать одну выделенную учетную запись пользователя домена для запуска служб SQL Server, агента SQL Server, ядра СУБД SQL Server и служб SQL Server Reporting Services. We recommend you use a single, dedicated domain user account to run SQL Server services, SQL Server agent, SQL Server Database Engine, and SQL Server Reporting services.

При установке DPM на контроллере домена только для чтения используйте специально созданную учетную запись DPMSQLSvcsAcctaccount. If you’re installing DPM on an RODC then use the DPMSQLSvcsAcctaccount you created there. Учтите, что учетная запись пользователя должна быть членом локальной группы администраторов на контроллере домена, на котором установлен удаленный экземпляр. Note that the user account must be a member of the local Administrators group on the domain controller where the remote instance is installed. После завершения установки можно удалить учетную запись пользователя из локальной группы администраторов. After setup is complete, you can remove the user account from the local Administrators group. Помимо установки на контроллере домена только для чтения (RODC) вам потребуется ввести пароль, выбранный при настройке RODC для работы с DPM и создании учетной записи DPMR$MACHINENAME. In addition for installation on an RODC you’ll need to enter the password you selected when you set up RODC for DPM and crated the DPMR$MACHINENAME account.

При создании учетной записи пользователя домена задайте для нее минимально возможные привилегии, надежный пароль без срока действия и присвойте ей понятное имя. When you create a domain user account give it the lowest possible privileges, assign it a strong password that does not expire, and give it a name that’s easily identifiable. Позже с помощью мастера вы добавите эту учетную запись в локальную группу администраторов и в предопределенную роль сервера Sysadmin для SQL Server. You’ll add this account to the local Administrators group and to the SQL Server Sysadmin fixed server role later in the wizard.

Для всех служб, за исключением программы запуска управляющей программы полнотекстовой фильтрации (SQL), необходимо выбрать значение «Автоматически». All services except the SQL Full-text Filter Daemon Launcher should be set to Automatic.

На вкладке Конфигурация ядра СУБД выберите параметр «Режим проверки подлинности Windows». On the Database Engine Configuration tab, accept the Windows authentication mode setting. Администраторам DPM требуются разрешения администратор SQL Server. DPM admins need SQL Server administrator permissions. В поле Назначьте администраторов SQL Server добавьте администраторов DPM. In Specify SQL Server administrators, add DPM Admins. При необходимости можно добавить дополнительные учетные записи. You can add additional accounts if you need to. Выполните оставшиеся действия в мастере, принимая параметры по умолчанию, а затем щелкните Все готово для установки -> Установить. Complete the rest of the wizard with the default settings and click Ready to Install -> Install.

При установке SQL Server на удаленном компьютере выполните следующие действия. If you’re installing SQL Server on a remote computer do the following:

Установите файлы поддержки DPM (SQLPrep). Install the DPM support files (SQLPrep). Для этого на компьютере с SQL Server вставьте DVD-диск DPM и запустите файл setup.exe. To do this, on the SQL Server computer insert the DPM DVD and start setup.exe. Следуя указаниям мастера, установите распространяемый компонент Microsoft Visual C++ 2012. Follow the wizard to install the Microsoft Visual C++ 2012 redistributable. Файлы поддержки DPM будут установлены автоматически. The DPM support files will be installed automatically.

Настройте правила брандмауэра так, чтобы сервер DPM мог обмениваться данными с сервером SQL Server. Set up firewall rules so that the DPM server can communicate with the SQL Server computer:

Убедитесь, что протокол TCP/IP включен с аудитом отказов по умолчанию и проверкой политики паролей. Make sure TCP/IP is enabled with default failure audit and enable password policy checking.

Чтобы разрешить TCP-подключения через порт 80, настройте исключение входящего соединения для sqlservr.exe для экземпляра SQL Server, используемого DPM. To allow TCP on port 80, configure an incoming exception for sqlservr.exe for the DPM instance of SQL Server. Сервер отчетов прослушивает HTTP-запросы через порт 80. The report server listens for HTTP requests on port 80.

Включите RPC на удаленном SQL Server. Enable RPC on the remote SQL Server.

Заданный по умолчанию экземпляр ядра СУБД прослушивает TCP-порт 1443. The default instance of the database engine listens on TCP port 1443. Этот параметр можно изменить. This setting can be modified. Чтобы использовать службу обозревателя SQL Server для подключения к экземплярам, которые не прослушивают заданный по умолчанию порт 1433, потребуется UDP-порт 1434. To use the SQL Server Browser service to connect to instances that don’t listen on the default 1433 port, you’ll need UDP port 1434.

Именованный экземпляр SQL Server использует динамические порты по умолчанию. Named instance of SQL Server uses Dynamic ports by default. Этот параметр можно изменить. This setting can be modified.

Просмотреть текущий номер порта, используемый компонентом Database Engine, можно в журнале ошибок SQL Server. You can see the current port number used by the database engine in the SQL Server error log. Журналы ошибок можно просмотреть с помощью SQL Server Management Studio и при подключении к именованному экземпляру. You can view the error logs by using SQL Server Management Studio and connecting to the named instance. Текущий журнал можно просмотреть, выбрав «Управление — журналы SQL Server» в записи «Сервер прослушивает [любой номер_порта]. You can view the current log under the Management — SQL Server Logs in the entry Server is listening on [‘any’ port_number].

  • Для DPM 2016 требуется SQL Server Management Studio (SSMS) версии 16.5 или более ранней. DPM 2016 requires SQL Server Management Studio (SSMS) version 16.5 or earlier. SSMS больше не устанавливается вместе с SQL Server; вы должны скачать и установить SQL Server Management Studio (SSMS) версии 16.5. SSMS is no longer installed with SQL Server; you must Download and install SQL Server Management Studio (SSMS) version 16.5.
  • SSMS версии 17.0 или более поздней не поддерживается для использования с DPM 2016. SSMS version 17.0 or later is not supported with DPM 2016. Дополнительные сведения см. в статье SQL Server Management Studio — Changelog (SSMS) For more information, see SQL Server Management Studio 16.5 release.
  • С помощью DPM 2019 вам необходимо установить SQL SSRS отдельно для SQL 2017. With DPM 2019, you need to install SQL SSRS separately for SQL 2017. При использовании SQL 2017 и более поздних версий службы SSRS не устанавливаются как часть установки SQL. With SQL 2017 and later, SSRS does not get installed as a part of SQL install. См. подробнее об установке SQL Server Reporting Services версии 2017 и выше. For more information, see Install SQL Server Reporting Services (2017 and later).

Установка DPM Install DPM

При установке DPM используйте NetBIOS-имена в качестве доменного имени и имени компьютера SQL. When installing DPM, use NetBIOS names for the domain name and SQL machine name. Не используйте полные доменные имена. Do not use fully qualified domain names (FQDN).

При необходимости извлеките EXE-файл DPM 2016 (для DPM 2016) или EXE-файл DPM 2019 (для DPM 2019) на компьютере, где требуется запустить DPM. If required, extract the DPM 2016.exe (for DPM 2016)/DPM 2019.exe (for DPM 2019) file onto the machine on which you want to run DPM. Для этого запустите исполняемый файл и на экране приветствия нажмите кнопку Далее. To do this, run the exe file and on the Welcome screen, click Next. На странице Выбор целевого расположения укажите место для извлечения файлов установки. In Select Destination Location specify where you want to extract the installation files to. На странице Все готово для извлечения щелкните Извлечь. In Ready to Extract click Extract.. После окончания операции перейдите в указанное расположение и запустите файл Setup.exe. After the extraction finishes go to the specified location and run Setup.exe.

На странице приветствия программы установки DPM нажмите кнопку Далее. On the Welcome page of DPM Setup click Next. На странице условий лицензионного соглашения примите условия соглашения и нажмите кнопку ОК. On the License Terms page accept the agreement > OK.

На странице Проверка готовности к установке дождитесь завершения проверки и устраните все проблемы, прежде чем продолжить. On the Prerequisites Check page, wait for the check and resolve any issues before proceeding.

На странице Регистрация продукта нажмите кнопку Далее. On the Product Registration page click Next. На странице Использование Центра обновления Майкрософт выберите, будет ли DPM обновляться с помощью Центра обновления Майкрософт. On the Microsoft Update Opt-In page, choose whether you want to include DPM in your Microsoft Updates.

На странице Итоговые настройки проверьте параметры и нажмите кнопку Установить. On Summary of Settings page check the settings and click Install. После завершения установки нажмите кнопку Закрыть. After install is complete click Close. Автоматически запустится Центр обновления Windows для проверки изменений. It will automatically launch Windows update to check for changes.

Запуск автоматической установки Run an unattended install

Запустите автоматическую установку следующим образом. Run an unattended install as follows:

Перед началом установки убедитесь, что все необходимые компоненты установлены. Make sure you have the prerequisites installed before you start.

Для удаленного сервера SQL Server необходимо установить .NET Framework 3.5 (для SQL 2016), 4.0 или 4.5 (SQL 2017) на сервере Windows перед установкой SQL. On the remote SQL Server, make sure .NET Framework 3.5 (for SQL 2016) 4.0 or 4.5 (SQL 2017) is installed on Windows server before installing SQL.

Используйте следующий код, чтобы убедиться, что брандмауэр открыт: Use the following code to make sure the firewall is opened:

Установите SQL Server на локальном или удаленном сервере. Install SQL Server on the local or remote server.

Скопируйте следующий текст в блокнот (или другой текстовый редактор) и сохраните сценарий на сервере DPM в виде файла DPMSetup.ini. Copy the following text into Notepad (or another text editor) and save the script on the DPM server as DPMSetup.ini. Один и тот же скрипт используется независимо от того, установлен ли экземпляр SQL Server на сервере DPM или на удаленном сервере. You use the same script whether the SQL Server instance is installed on the DPM server or on a remote server.

При установке DPM используйте NetBIOS-имена в качестве доменного имени и имени компьютера SQL. When installing DPM, use NetBIOS names for the domain name and SQL machine name. Не используйте полные доменные имена. Do not use fully qualified domain names (FQDN).

При создании файла DPMSetup.ini замените текст внутри скобок <> значениями из собственной среды. When creating DPMSetup.ini, replace the text inside <> with values from your own environment. Строки, начинающиеся с решетки (#), являются закомментированными, и программа установки DPM использует значения по умолчанию. Lines beginning with the hash (#) are commented out, and DPM setup uses the default values. Чтобы указать пользовательские значения, введите значения в скобках <> и удалите хэш (#). To specify your own values, type the values within the <> and delete the hash (#).

После сохранения файла в командной строке с повышенными привилегиями на сервере установки введите: start /wait [media location]\setup.exe /i /f

\dpmlog.txt . After saving the file, at an elevated command prompt on the installation server, type: start /wait [media location]\setup.exe /i /f

    [media location] указывает на устройство, откуда будет запускаться setup.exe. [media location] indicates where you’ll run setup.exe from.

is the location of the .ini file.

Установка DPM на контроллере домена Install DPM on a domain controller

Если вы хотите установить DPM на контроллере RODC, необходимо выполнить ряд шагов перед установкой SQL Server и DPM. If you want to set up DPM on an RODC you’ll need to do a couple of steps before you set up SQL Server and install DPM.

Создайте группы безопасности и учетные записи, необходимые для DPM. Create the security groups and accounts needed for DPM. Для этого щелкните Пуск > Администрирование > Active Directory — пользователи и компьютеры > Домен/встроенная и создайте эти группы безопасности. To do this click Start > Administrative Tools > Active Directory Users and Computers > Domain/Builtin and create these security groups. Для каждой группы используйте следующие параметры по умолчанию: «Область» — «Глобальная» и «Тип группы» — «Безопасность». For each group use the default setting for Scope (Global) and Group type (Security):

  • DPMDBReaders$ ; DPMDBReaders$ ;
  • MSDPMTrustedMachines$ ; MSDPMTrustedMachines$ ;
  • DPMRADCOMTrustedMachines$ ; DPMRADCOMTrustedMachines$ ;
  • DPMRADmTrustedMachines$ ; DPMRADmTrustedMachines$ ;
  • DPMDBAdministrators$ ; DPMDBAdministrators$ ;
  • MSDPMTrustedUsers$ ; MSDPMTrustedUsers$ ;
  • DPMSCOM$ ; DPMSCOM$ ;
  • DPMRATrustedDPMRAs$ , где — имя компьютера контроллера домена. DPMRATrustedDPMRAs$ , where is the name of the domain controller.

Добавьте учетную запись локального компьютера для контроллера домена ( ) в группу MSDPMTrustedMachines$ . Add the local machine account for the domain controller ( ) to the MSDPMTrustedMachines$ group. На основном контроллере домена создайте учетную запись пользователя домена с самым низким уровнем разрешений. Then on the primary domain controller create a domain user account with the lowest possible credentials. Назначьте ей надежный бессрочный пароль и добавьте эту учетную запись в группу локальных администраторов. Assign it a strong password that doesn’t expire and add it to the local administrators group.

Запишите эту учетную запись, поскольку она потребуется для настройки служб SQL Server во время установки SQL Server. Make a note of this account because you need to configure the SQL Server services during the installation of SQL Server. Этой учетной записи пользователя можно присвоить любое имя, однако для удобства рекомендуется использовать более значимое имя, например DPMSQLSvcsAcct. You can name this user account anything that you want; however, for the purposes of easily identifying the account’s purpose, you might want to give it a significant name, such as DPMSQLSvcsAcct. В рамках процедур в этом разделе эта учетная запись называется DPMSQLSvcsAcct. For the purposes of these procedures, this account is referred as the DPMSQLSvcsAcct account.

На основном контроллере домена создайте еще одну учетную запись пользователя домена с самым низким уровнем разрешений и присвойте ей имя DPMR$MACHINENAME, назначьте ей надежный бессрочный пароль и добавьте в группу DPMDBReaders$ . On the primary domain controller, create another domain user account with the lowest possible credentials and name the account DPMR$MACHINENAME, assign it a strong password that does not expire, and then add this account to the DPMDBReaders$ group.

Затем создайте группы безопасности и учетные записи пользователей, необходимые для базы данных SQL Server с областью действия «Глобальная» и типом группы «Безопасность». Then create the security groups and user accounts needed for the SQL Server database with scope: global and Group type: security. Группа или учетная запись должна быть в формате . The group or account should be in this format .

где — имя компьютера контроллера домена, на котором будет устанавливаться SQL Server 2008. where is the computer name of the domain controller on which SQL Server 2008 will be installed.

  • — это имя экземпляра SQL Server, который будет создан на контроллере домена. is the name of the instance of SQL Server that you plan to create on the domain controller. В качестве имени экземпляра можно использовать любое имя, отличное от имени экземпляра DPM по умолчанию (MSDPM2010). The instance name can be any name other than the default DPM instance name (MSDPM2010).
  • — по умолчанию это значение назначается программой установки SQL Server. Оно указывает, что группа применяется к службам Reporting Services (MSRS) для основного номера версии экземпляра SQL Server (10). by default is assigned by SQL Server Setup and indicates that the group applies to Reporting Services (MSRS) for the major version of the instance (10) of SQL Server. Для данного выпуска используется значение MSRS1A0_50. For this release, this value is MSRS1A0_50.

На основном контроллере домена добавьте созданную ранее учетную запись пользователя домена (DPMSQLSvcsAcct) в следующие группы: SQLServerReportServerUser$ $MSRS10. SQLServerMSASUser$ $ On the primary domain controller, add the domain user account that you created earlier (the DPMSQLSvcsAcct account) to the following groups: SQLServerReportServerUser$ $MSRS10. SQLServerMSASUser$ $

После выполнения этих действий можно установить SQL Server. After you’ve complete these steps you can install SQL Server:

Войдите в контроллер домена, в котором требуется установить DPM, с учетной записью пользователя домена, созданной ранее. Log onto the domain controller on which you want to install DPM using the domain user account that you created earlier. Мы называем эту учетную запись DPMSQLSvcsAcct. Let’s refer to this account as DPMSQLSvcsAcct.

Начните установку SQL Server. Start to install SQL Server. На странице Конфигурация сервера — учетные записи служб программы установки укажите учетные записи входа для служб SQL Server (агент SQL Server, ядро СУБД SQL Server и службы SQL Server Reporting Services), которые будут выполняться от имени учетной записи пользователя DPMSQLSvcsAcct. On the Server Configuration — Service Accounts page of Setup you specify the login account for the SQL Server services (SQL Server Agent, SQL Server Database Engine, SQL Server Reporting services) to run under the user account DPMSQLSvcsAcct.

После установки SQL Server откройте диспетчер конфигурации SQL Server > Сетевая конфигурация SQL Server > Протоколы, щелкните правой кнопкой мыши Именованные каналы > Включить. After SQL Server is installed, open SQL Server Configuration Manager > SQL Server Network Configuration > Protocols, right-click Named Pipes > Enable. Вам потребуется остановить и перезапустить службу SQL Server. You’ll need to stop and restart the SQL Server service.

Затем можно установить DPM. Then you can install DPM:

На страницеПараметры сервера SQL Server укажите имя экземпляра SQL Server (устанавливается в ходе процедуры в формате localhost\ ), а затем — учетные данные первой созданной учетной записи пользователя домена (DPMSQLSvcsAcct). On the SQL Server Settings page type the name of the instance of SQL Server that you installed in procedure as localhost\ , and then type the credentials for the first domain user account you created (the DPMSQLSvcsAcct account). Эта учетная запись должна быть членом локальной группы администраторов на контроллере домена, на котором установлен удаленный экземпляр. This account must be a member of the local Administrators group on the domain controller where the remote instance is installed. После завершения установки можно удалить учетную запись пользователя из локальной группы администраторов. After setup is complete, you can remove the user account from the local Administrators group.

На странице Параметры безопасности введите тот же пароль, который использовался при создании учетной записи пользователя DPMR$MACHINENAME ранее. On the Security Settings page you’ll need to enter the same password that you used when you created the DPMR$MACHINENAME user account earlier.

Откройте SQL Server Management Studio и подключитесь к экземпляру SQL Server, который настроен для DPM. Open SQL Server Management Studio and connect to the instance of SQL Server that DPM is configured to use. Щелкните Создать запрос, скопируйте приведенный ниже текст на правую панель и нажмите клавишу F5, чтобы выполнить запрос. Click New Query, copy the text below to the right pane, and then press F5 to run the query.

Обновление SQL 2016 до SQL 2017 Upgrade SQL 2016 to SQL 2017

Если вы хотите использовать SQL 2017 с выпуском Semi-Annual Channel DPM 1801 и более поздних версий, нужно обновить SQL 2016 до SQL 2017. If you want to use SQL 2017 with DPM Semi Annual Channel 1801 or later, you must upgrade SQL 2016 to SQL 2017. SQL Server 2016 или SQL Server 2016 с пакетом обновления 1 (SP1) Enterprise либо Standard можно обновить до SQL 2017. You can upgrade SQL Server 2016, or SQL Server 2016 SP1 Enterprise or Standard, to SQL 2017. Ниже приведены инструкции по обновлению SQL 2016 до SQL 2017. The following procedure lists the steps to upgrade SQL 2016 to SQL 2017.

SQL 2017 поддерживается в качестве базы данных с помощью DPM 1801 в сценариях обновления. SQL 2017 is supported as a database with DPM 1801 in upgrade scenarios. С помощью DPM 2019 SQL 2017 поддерживается в качестве базы данных DPM в сценариях новой установки и обновления DPM. With DPM 2019, SQL 2017 is supported as a DPM database, in both new installation and upgrade scenarios of DPM.

В SQL Server создайте резервную копию базы данных отчетов. On the SQL Server, back up the Reporting database.

Создайте резервную копию ключей шифрования. Back up the Encryption Keys.

Очистите папку отчетов на локальном компьютере. Clean up the reporting folders on the local machine.

Установите службу отчетов. Install the Reporting service.

На сервере DPM замените указанный ниже раздел реестра DPM именем нового экземпляра службы отчетов: On the DPM server, change the following DPM registry key to the new reporting instance name.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Data Protection Manager\DB . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft Data Protection Manager\DB

Измените имя виртуального каталога службы отчетов на ReportServer_SSRS. Change the Reporting Service virtual directory name to ReportServer_SSRS.

Настройте службу отчетов, восстановите базу данных и ключи шифрования. Configure the Reporting Service, and restore the database and encryption keys.

источник