Возможности, описание, настройка бэкапа клиентского ПК. В данной статье познакомимся с продуктом System Center Data Protection Manager 2012 R2 (SCDPM) для создания резервных копий данных, произведём защиту пользовательских компьютеров.

 

Одним из самых важных направлений в ИТ является поддержка актуальности информации, потому как всегда присутствует риск её искажения или потери. Этому может способствовать и случайное удаление, и сбой оборудования, и неправильная работа программного обеспечения. Последствия таких действий оборачиваются, как всегда, очень плачевно. Поэтому необходимо иметь знания об уровне важности данных и времени её старения, методах сохранности, проверки целостности и быстром восстановлении. На плечи системного администратора ложится обязанность не допустить аварийной ситуации, а если такое явление и произошло, то вернуться к исходному состоянию в кратчайшие сроки. Нужного результата можно достичь с помощью создания снэпшотов и резервных копий [https://ru.wikipedia.org/wiki/Резервное_копирование].

Если на предприятии нужно обезопасить разновидные данные (виртуальные машины, почту, файловые шары, базы данных Oracle, MS SQL Server, MySQL и другое), то придётся прибегнуть к нескольким решениям (встроенные средства, самописные скрипты, готовые программные продукты), потому как единого централизованного решения до сих пор ещё нет. А если инфраструктура построена на продуктах Microsoft, то лучшим средством по спасению информации является SCDPM [http://www.oszone.net/19822/System-Center-Data-Protection-Manager-2012], который включает в себя следующий перечень возможностей по резервному копированию и восстановлению содержимого:

  • почтового сервера Exchange Server;
  • фермы SharePoint;
  • баз данных СУБД SQL Server;
  • полностью виртуальных машин Hyper-V;
  • файлов с томов и папок как на серверных, так пользовательских OC Windows;
  • восстановление системы для защищаемых серверов.

Появились и новые возможности, отсутствовавшие в предыдущих версиях:

  • поддержка кластеров SQL Server;
  • развёртывание сервера SCDPM в виртуальной среде;
  • размещение архивов в облаке Windows Azure;
  • резервное копирование виртуальных машин Linux.

По причине отсутствия продуктов из первых 2-х пунктов и ленточных носителей в нашей ИТ-инфраструктуре их рассмотрение затрагивать не будем. Новинки пока тоже мало интересны, поэтому будем разбираться с остальным хозяйством.

 

Основные термины

Дадим сразу определения основным терминам, с которыми мы будем регулярно иметь дело:

Replica (Реплика) – основной образ исходных данных.

Recovery point (Точка восстановления, моментальный снимок) - это копия на момент изменения реплики, хранится в виде файла на томе точек восстановления в папке System Volume Information.

Synchronization (Синхронизация) - процесс передачи изменённых данных с защищаемого ПК на сервер DPM, а затем применения их к реплике.

Consistency check (Проверка целостности данных) – тот же процесс синхронизации, но более медленный, по причине выполнения дополнительной проверки информации для гарантирования её совпадения.

Retention range (Диапазон хранения) - это время, на протяжении которого сервер DPM будет хранить точки восстановления, при этом дни, в которые реплика не согласована, учитываться не будут.

 

Требования SCDPM

Перед установкой системы защиты необходимо сначала ознакомиться со всеми ограничениями и требованиями. Их достаточно много [http://technet.microsoft.com/ru-ru/library/hh758176.aspx], но перечислим только некоторые:

  • инсталляция DPM 2012 R2 происходит только на 64-разрядные версии Windows Server 2008R2SP1/2012/2012R2 с использованием 64-разрядного экземпляра SQL Server 2008R2SP2/2012SP1;
  • сервер DPM должен быть отдельным, входить в домен, не иметь Exchange Server, SCOM, роль сервера приложений, не состоять в кластере;
  • для инсталляции DPM необходимы административные привилегии;

Выполнив все требования, установка системы резервного копирования не вызывает сложностей. После этого нужно обратить внимание на другие требования:

  • для хранения архивов понадобится отдельный диск (том), отличный от системного и того, где установлен DPM;
  • тома защищаемых компьютеров должны иметь файловую систему NTFS и объём не менее 1 Гб;
  • для защиты сервера под управлением Windows 2008/2008R2 с установленным Hyper-V требуется инсталлировать обновления/исправления.

 

О производительности

Если мы имеем дело с малыми объёмами защищаемой информации, то особой трепетности у нас это не должно вызвать. Но в большой компании иили территориально распределённой ИТ-инфраструктурой в обязательном порядке следует тщательно продумать и рассчитать нагрузки на производительность сети.

Основные процессы, которые выполняются для передачи данных в DPM это:

  • создание реплики;
  • отслеживание изменений;
  • синхронизация;
  • проверка целостности;
  • полная архивация;
  • резервное копирование на ленту.

Наверное, больше всего сетевых ресурсов требуется при передаче реплики. Для расчёта времени её создания может применяться вот такая формула:

ч = ((объем данных в МБ) / (0,8x - скорость сети в МБ/с)) / 3600 с.

Примечание. Значение скорости сети нужно перевести из битов в байты путем деления на 8. Скорость сети умножается на 0,8, потому как максимальная её эффективность составляет примерно 80%. Для примера 50 Гб со скоростью 1 Гб/c пройдут в пределах 10 минут, а при 100 Мбит/c заставят ждать более 1,5 часа.

Если во время синхронизации происходит обрыв сети, то DPM пытается продолжить этот процесс с места остановки. Если же работоспособность сети нарушается

в процессе проверки целостности данных и возобновляется в течение 5 минут, то DPM пытается продолжить проверку. Но если сеть не работает более 5 минут, реплика помечается как несогласованная.

 

Консоль управления

Консоль управления бэкапами имеет дружелюбный интерфейс, небольшое количество настроек и вид, схожий с другими продуктами System Center. В левом нижнем углу расположены 5 разделов (см. рис. 1):

  • Monitoring (Мониторинг) – позволяет проследить за состоянием всех имеющихся задач (текущих, выполненных, запланированных), содержит соответствующие Critical (Критические), Warning (Предупреждающие), Information (Информационные) уведомления;
  • Protection (Защита) – включает работу с группами защиты, синхронизациями, точками восстановления;
  • Recovery (Восстановление) – используется для поиска и возврата информации из точек восстановления;
  • Reporting (Отчётность) – состоит из набора сводных и подробных отчётов, которые позволяют отобразить и распечатать информацию в виде статистики в наглядном виде;
  • Management (Управление) – управляет агентами, дисковыми пулами.

Рисунок 1. Консоль DPM.

На панели инструментов в каждом из разделов имеется кнопка Options (Настройки), где можно произвести настройку почтового сервера (вкладка SMTP Server) и уведомлений на почту (вкладка Notifications), время обнаружения новых компьютеров в сети (вкладка Auto Discovery), вписать пользователей, которым будет дан доступ для восстановления файлов и папок (вкладка End-user Recovery).

 

Места хранения

В качестве хранилища могут использоваться магнитные ленты, облако Windows Azure, серверы в кластере, дисковые системы (поддерживаются IDE, SATA, SCSI, а также DAS, iSCSI, SAN).

Для каждой единицы защищаемых данных необходимы тома реплики и точки восстановления, создание которых в DPM возможно делать 2-мя способами:

  • автоматически, при котором разметка может произойдёт без участия системного администратора. Тома будут принадлежать Storage Pool (Пулу хранения) и не будут доступны через проводник в операционной системе. При добавлении непустого диска в пул DPM будет использовать только свободное место при этом данные не сотрутся, в пул нельзя будет включить заранее подготовленные тома. Этот способ более распространённый, нежели следующий;
  • вручную (пользовательский том). В этом случае можно указать каждому источнику данных своё устройство хранения (LUN). Разбивку диска на тома выполняет системный администратор с обязательным указанием метки, потому как по ним происходит выбор в консоли DPM. Такой способ позволяет увидеть тома проводником ОС.   

Для добавления дисков в пул, необходимо зайти в раздел Management->Disks, на панели задач нажать кнопку Add (Добавить), в появившемся окне из поля Available disks (Доступные диски) перенести нужный диск во второе поле Selected disks (Выделенные диски) и нажать кнопку ОК (см. рис. 2).

Рисунок 2. Результат подключенного диска к пулу.

Если есть необходимость поработать с томами дисков самостоятельно [http://ystartsev.wordpress.com/2011/08/08/dpm-custom-volumes/ ], то это можно сделать, например, средствами операционной системы, зайдя в Disk Management (Управление дисками).

 

Настройка клиентской части

После подготовки хранилища можно приступить к следующему шагу. На каждый защищаемый компьютер (не только доменный, но и относящийся к рабочей группе или недоверенному домену) следует установить агентов или подключить уже работающих, например, от другого сервера DPM.

Для автоматической установки агентов нужно зайти в раздел Management->Agents, на панели инструментов нажать кнопку Install (Установить). В появившемся окне из списка выбираем необходимый компьютер, вводим учетную запись, имеющую права администратора на целевом компьютере, принимаем решение о надобности перезагрузки машины и жмём кнопку Install. Время установки агента занимает менее 1 минуты. Предусмотрена инсталляция агента и вручную [http://technet.microsoft.com/en-us/library/ff399459.aspx].

В свойствах агента можно произвести ещё настройку по ограничению скорости передаваемой информации (QoS), то есть снизить влияние на пропускную способность сети. Для этого выделяем агента, жмём кнопку Throttle Computer (Регулировка компьютера), в появившемся окне активируем галочку Enable network bandwidth usage throttling (Включить использование регулировки пропускной способности сети) и устанавливаем необходимую скорость в определённый период времени, например, 20 Мбит/c в рабочее время и 100 Мбит/c в остальное. После установки и всех настроек агентов мы будем видеть их общее количество и состояние (см. рис. 3).

Рисунок 3. Результат подключенного агента.

 

О защите данных

Защита информации представляет собой возможность не только её хранения, но и поддержания в актуальном виде.

Существуют 2-е разновидности промежутков хранения данных - Short-term (кратковременная, применяется для дисков) и Long-term (долговременная, используется для лент). В нашем случае подходит только первый вариант, который равен от 1 до 64 дней.

DPM регулярно производит анализ времени хранения информации [http://ystartsev.wordpress.com/2011/02/09/dpm-retention-period/]. Если какие-либо точки восстановления не вписываются в диапазон хранения, то самые старые из них удаляются. Может случится и так, что реплика не проходит синхронизацию либо в расписании по созданию точек восстановления отсутствуют записи, тогда это время не берётся в учёт.

Для возврата файловых данных сервера можно создать до 64 точек восстановления. Следовательно, если создавать по 1 ежедневно, то максимальное их количество можно держать в течение 9 недель. А если будет 1 точка в неделю, то (7*64) диапазон их хранения составит до 448 дней.

Для защиты SQL Server (и Exchange Server) можно иметь до 512 точек восстановления, но задействовать лишь 448 из них, а 64 точки являются зарезервированными под файловую защиту, потому как есть вероятность расположения этих данных на одном разделе.

В зависимости от поставленных задач и выбранного компьютера, защищать можно разное количество информации. Например, для серверов с установленной СУБД предлагается следующее:

  • All SQL Servers - полностью СУБД или отдельные, входящие в них БД;
  • All Shares - папки общего доступа;
  • All Volumes – содержимое всего диска или только некоторые его папки;
  • System Protection – защиту операционной системы, которая в себя включает Bare Metal Recovery (восстановление с нуля) и System State (состояние системы).

Для контроллера домена будут доступны все пункты, как у сервера баз данных, кроме первого.

Если выбрать пользовательскую машину, то спасению подлежат: System Drive (Системный диск), Program Files, AppData, Temporary Internet Files, Desktop (Рабочий стол), Downloads (Загрузки), Favorites (Избранное), Links (Ссылки), My Documents (Документы), My Music (Музыка), My Pictures (Изображения), My Video (Видео), Start Menu (меню Пуск), Startup (Автозагрузка), Quick Launch (Быстрый запуск), Slide Shows (Слайдшоу), User Profiles (Профили пользователя).

Обычно при защите файла в работе DPM используется Block level (Блочный метод), то есть при синхронизации реплики происходит передача только изменившихся блоков данных, которые хранятся в точках восстановления.

Если данным было применено EFS-шифрование либо они подвергались NTFS-сжатию, то здесь будет использоваться другой способ – File level (Файловый), при котором выделение дискового места точкам восстановления тратится гораздо больше, по сравнению с обычным бэкапом. Потому как при изменении даже 1 байта, файл всё равно передаётся целиком в процессе ближайшей синхронизации и также целиком попадает в точку восстановления после синхронизации, несмотря на то, что DPM находит границы файла.

 

Пользовательские компьютеры

Хоть деньги и нужно хранить в сберегательной кассе, а всю важную информацию на сервере, всё же случаются ситуации, когда приходится защищать компьютеры сотрудников компании, а в SCDPM как раз имеется такая возможность.

Data Protection Manager поддерживает всю линейку десктопных операционных систем: Windows XP SP2Vista788.1, кроме версий Home Edition.

В отличии от работы с серверами, при спасении клиентских ПК для системного администратора в консоли DPM отсутствуют оповещения при отказе синхронизации, потому как предусмотрены повторные действия. Но при необходимости можно настроить уведомление для пользователя при создании группы защиты.

Работа с клиентскими машинами внутри сети предприятия никаких сложностей не вызывает. Если замечается более медленная работа во время выполнения процесса бэкапирования, то увеличить быстродействие ПК можно с помощью изменений в реестре. Для этого необходимо создать значение WaitInMSPerRequestForClientRead типа DWORD в HKLMSOFTWAREMicrosoftMicrosoft Data Protection ManagerAgentClientProtection и установить цифру из диапазона от 40 до 100 (по умолчанию 50) [http://blogs.technet.com/b/dpm/archive/2011/08/29/resolving-slow-performance-issues-after-installation-of-the-dpm-client.aspx]. 

Компьютеры, подключенные к корпоративной сети по VPN, также могут быть задействованы для резервного копирования. При этом нужно учитывать, что:

  • скорость подключения к интернету должна быть не менее 1 Мбитс;
  • поддерживаются протоколы PPTP, SSTP, L2TP.

SCDPM имеет возможность предоставить пользователям принимать участие в управлении своими собственными резервными копиями данных, а также операциями по восстановлению ОС, используя функцию “Предыдущие версии”.

 

На практике

Настало время перейти к практике и рассмотреть процедуру защиты пользовательского компьютера. После установки агента и добавления диска в пул переходим в раздел Protection. По нажатию на кнопку New (Новая) на панели инструментов появляется мастер создания группы защиты, в котором нужно пройти несколько шагов для заполнения требуемой информации. Опишем их.

На первом шаге Select protection group (Выбор группы защиты) определяемся с типом защищаемой группы – это клиентские ПК. Далее, в Select group members (Выбор членов группы) выбираем компьютер сотрудника. В Specify protection rules (Укажите правила защиты) создаются правила защиты, например, выбираем папки Desktop и My Documents и присваиваем значение Include (Включить) (см. рис. 4).

Рисунок 4. Создание правила.

Здесь следует принять во внимание, что:

  • для вложенных папок с правилом Include не будет применено резервное копирование, если для вышестоящей папки присвоено Exclude;
  • наоборот, если для папки применено правило включения, а для некоторых подпапок – исключение, то выполнится бэкап всей верхней папки, кроме тех, которые мы не хотим резервировать;
  • при включении известных папок (например, Документы) DPM находит их для всех пользователей данного компьютера, а затем применяет правила. То есть, если профиль сотрудника для компьютера PC1 содержит папку Документы для обоих пользователей User1 и User2, то будет создаваться резервная копия обеих папок.

Если активировать галочку Allow users to specify protection members (Разрешить пользователям указать участников группы защиты), то можно вписать сотрудников, которым будет позволено добавлять другие папки для резервирования. Тут же есть одно ограничение – пользователь не сможет выбрать файлы и папки, которые явно исключены с правами администратора. В поле File type exclusions (Исключить типы файлов) указываются расширения файлов, которые не хотим включать в защиту. Сюда можно вписать .mp3,.wav,.vob иили другие.

Следующий шаг Select data protection method (Выбор метода защиты данных) отвечает за место расположения бэкапа – в нашем случае это диск. На пятом шаге Select short-term goals (Выбор кратковременных целей) предлагается модифицировать умолчания или их оставить: диапазон хранения - 5 дней, Synchronization frequency (Частота синхронизации) - каждые 4 часа, создание точек восстановления - ежедневно в 8-00, 12-00 и 18-00.  

В Allocate storage (Распределение дискового места) отображается размер спасаемых данных и сколько под них необходимо места. В нашем случае для 1 Гб защищаемой информации DPM выделяет 33 Гб места. Галочка Automatically grow the volumes (Автоматический рост томов) означает, что рост дискового тома за пределы назначенного объёма будет происходить автоматически, когда требуется больше пространства для продолжения защиты элементов. Тут нужна повышенная осторожность и более частое наблюдение за занимаемым местом в пуле хранения, иначе оно может неожиданно закончиться.

Сейчас мы можем посмотреть, как DPM разбил диск. Заходим в Disk Management сервера и видим (см. рис. 5), что имеются 2 тома в 30 Гб и 3 Гб, которые отформатированы в системе NTFS. 

Рисунок 5. Автоматическое разбиение диска.

Выбрав компьютер в группе защиты, на панели инструментов будет доступен ряд кнопок, которые нам понадобятся. Например, по нажатию на Consistency check появится 1 единственный вопрос, действительно ли хотим выполнить проверку целостности. Кнопка Recovery point откроет мастер с предложением выбрать 1 из 3-х вариантов:

  • создать точку восстановления после синхронизации – означает передачу изменений с последней синхронизации и затем создание точки восстановления;
  • создать точку восстановления без синхронизации – используется, когда не нужна передача изменений, например, данные удалены с защищённого компьютера, а реплика осталась;
  • только синхронизация – доступна только для файлов - передаёт изменения с последней синхронизации без создания точек восстановления.

Кнопка Disk allocation (Разбиение диска) позволяет внести изменения по выделению места для точки восстановления.

 

Восстановление данных

Весь ранее проделанный путь относительно бэкапов сводится к тому, чтобы вернуть утерянную или искажённую информацию. Если требуются только отдельные файлы, то нет необходимости восстанавливать полностью архив, ведь SCDPM позволяет залезть внутрь и достать их. Теперь узнаем, как происходит возврат данных из полученных резервных копий. Переходим в раздел Recovery.

Для более быстрого нахождения среди всей массы информации можно воспользоваться фильтром. Для этого на панели задач нужно зайти в Search->Files and folders и задать критерии поиска.

В остальных случаях выделяем компьютер, на календаре выбираем нужную дату (доступные точки восстановления отображены другим шрифтом) и время, и видим всё содержимое архива. Далее на выбранной папке или файле жмём правой кнопкой мыши и в меню выбираем пункт Recover. В появившемся окне на шаге Select recovery type (Выбор типа восстановления) нужно определиться с местом расположения исходника. Тут предлагается 3 варианта:

  • Recover to the original location (Восстановить в исходное место);
  • Recover to an alternate location (Восстановить в другое место);
  • Copy to tape (Скопировать на ленту).

Отмечаем 2-й пункт и вводим путь. К стати, для удалённых (VPN) компьютеров первый вариант не работает.

На шаге Specify recovery options (Укажите параметры восстановления) нужно принять решение, как поступить при наличии существующей версии, как будут применены настройки безопасности, изменить ли скорость передачи данных и включать ли восстановление на SAN. Затем Next->Next->Recover. Перейдя в раздел Monitoring, можно наблюдать за процессом возврата. 

В случае каких-либо сбоев за дополнительной информацией можно обратиться к логам, которые хранятся на компьютере пользователя в %Program Files%Microsoft Data Protection ManagerDPMTemp и %USERPROFILE%AppDataRoamingMicrosoftMicrosoft System Center Data Protection Manager 2012.

Если сотруднику предприятия дали права на участие по защите своих данных, он может самостоятельно выбрать во вкладке Защищаемые элементы полностью диск или конкретную папку, запустив клиентскую часть Microsoft System Center 2012 R2 DPM Client (Пуск->Microsoft System Center 2012 R2->Data Protection Manager) (см. рис. 6). А на другой вкладке – Восстановление – пользователь сам может откатиться на предыдущее состояние операционной системы при наличии точек восстановления.

Рисунок 6. Клиентская часть. 

 

Отчёты

В разделе Reporting будут доступны для сформирования (а также отправки по почте) следующие отчёты:

  • Disk Utilization - об использовании дискового пространства;
  • Recovery - о проведенных операциях восстановления;
  • Recovery Point Status - о состоянии точек восстановления;
  • Status - об общем состоянии сервера DPM;
  • Tape Management – об управлении лентой;
  • Tape Utilization – об используемом месте на ленте.

 

Вывод: мы рассмотрели требования, основные понятия и принципы работы системы резервного копирования данных System Center Data Protection Manager 2012 R2. Разобрались на практике, как можно обезопасить информацию с пользовательских компьютеров. Конечно, удобно использовать централизованное средство управления бэкапами, залезть внутрь и отыскать конкретный файл, в короткие сроки возвратить потерянную или искажённую информацию. А в следующей статье рассмотрим работу с серверами.