Data Protection Manager (DPM) がバックアップした情報を保存するためには、DPM データベース (DPMDB) が必要となります。
DPM が DPMDB をホストするためには、SQL Server のインスタンスが必要となります。
DPMDB は、System Center 2012 SP1 までローカル インスタンス、もしくはリモート インスタンス上に配置でき、ローカル インスタンス上にインストールする場合には、DPM サーバーのインストールとともに自動的にインストールすることができました。
System Center 2012 R2 – DPM では、クラスター化された SQL Server 上に DPMDB を配置することが可能になりましたが、ローカル インスタンスに配置する際も DPM のインストール前に手動で SQL Server をインストール、設定する必要があります。
System Center 2012 R2 – DPM でサポートする DPMDB の配置については、以下の方法に分類されます。
この記事では、読み取り専用ドメイン コントローラー (RODC) 上に DPM データベースとしてローカル インスタンスを使用した DPM サーバーのインストール手順について纏めています (番外編)。
※System Center 2012 R2 – DPM のシステム要件は「System requirements for System Center 2012 R2 – DPM」を、SQL Server 要件は「Preparing the DPM SQL Server database」、およびセットアップ要件は、「Setup prerequisites」を参照願います。
なお、OS は Windows Server 2012 R2 Datacenter、SQL Server は SQL Server 2012 Service Pack 1(SP2) Enterprise を使用して 1 台のサーバー (DPM をインストールする RODC サーバー名を「RODCSQL2012」としています) にインストールしており、ドメインに参加、セキュリティが強化された Windows ファイアウォールを無効にした状態としています。
[制限事項]
DPM をドメイン コントローラー (RODC) にインストールした場合は、DPM サーバー上にあるデータ ソースだけが保護されます。つまり、他のコンピューターに DPM エージェントをインストールして保護を構成することはできません。
また、下記 MSDN のサイトにも記載されていますが、ドメイン コントローラー上に SQL Server のインストールはセキュリティ上の理由から推奨していません。
- SQL Server インストールのセキュリティに関する注意点 – SQL Server 2012
https://msdn.microsoft.com/ja-jp/library/ms144228(v=sql.110).aspx
加えて、SQL Server のインストールにグループ管理サービス アカウント (gMSA) を使用することは現時点でサポートされていないことに注意願います。
- Windows サービス アカウントと権限の構成 – SQL Server 2012
https://msdn.microsoft.com/ja-jp/library/ms143504(v=sql.110).aspx
[セキュリティ グループおよびユーザー アカウントの作成手順]
プライマリ ドメイン コントローラー上で実施
DPM に必要なセキュリティ グループとユーザー アカウント、gMSA の作成
- ドメインの Administrator 権限を持ったユーザーでログインします。
- サーバー マネージャーを起動し、[ツール] – [Active Directory ユーザーとコンピューター] をクリックします。
- 以下のグループについて、[グループの範囲] を 「グルーバル」、[グループの種類] を「セキュリティ」として <ドメイン名>\Builtin (ここでのドメイン名は [rodcsqltest.com]) 配下に作成します。
- DPMDBReaders$<コンピューター名>
- MSDPMTrustedMachines$<コンピューター名>
- DPMRADCOMTrustedMachines$<コンピューター名>
- DPMRADmTrustedMachines$<コンピューター名>
- DPMDBAdministrators$<コンピューター名>
- MSDPMTrustedUsers$<コンピューター名>
- DPMSCOM$<コンピューター名>
- DPMRATrustedDPMRAs$<コンピューター名>
※この手順では、ローカル コンピューター アカウントおよび <コンピューター名> を「RODCSQL2012」としています。
- ドメイン コントローラーのローカル コンピューター アカウントを MSDPMTrustedMachines$<コンピューター名> グループに追加します。
- 可能な限り権限が低い資格情報を指定して以下のドメイン ユーザー アカウントを作成し、有効期限がない強力なパスワードを割り当てます。
- DPMSQLSvcsAcct
- DPMR$<コンピューター名>
※DPMSQLSvcsAcct は任意のユーザー名となります。
- DPMR$<コンピューター名>ユーザーを DPMDBReaders$<コンピューター名> グループに追加します。
SQL Server に必要なセキュリティ グループとユーザー アカウントの作成
- ドメインの Administrator 権限を持ったユーザーでログインします。
- サーバー マネージャーを起動し、[ツール] – [Active Directory ユーザーとコンピューター] をクリックします。
- 以下のグループについて、[グループの範囲] を 「グルーバル」、[グループの種類] を「セキュリティ」として <ドメイン名>\Builtin (ここでのドメイン名は [rodcsqltest.com]) 配下に作成します。
- SQLServer2005SQLBrowserUser$<コンピューター名>
※この手順では、<コンピューター名> を「RODCSQL2012」、および<インスタンス名>を「MSSQLSERVER」としています。
- PowerShell を起動し、以下のコマンドレットを入力、実行します。
Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10)) Get-KdsRootKey<br>New-ADServiceAccount -Name <サービス アカウント名> -Enabled $true -DNSHostname <DNS ホスト名> Set-ADServiceAccount -Identity <サービス アカウント名> -PrincipalsAllowedToRetrieveManagedPassword <サーバー名> Add-ADComputerServiceAccount -Identity <サーバー名> -ServiceAccount <サービス アカウント名>
サーバー「RODCSQL2012」上で実施
DPM に必要なセキュリティ グループとユーザー アカウント、および gMSA の作成
※この手順を実施するためには、手順「プライマリ ドメイン コントローラー上で実施 – DPM に必要なセキュリティ グループとユーザー アカウントの作成 」が完了、プライマリ ドメインコントローラーとドメイン情報の同期が取れた後に実施します。
- ドメインの Administrator 権限を持ったユーザーでログインします。
- コマンド プロンプトを起動し、以下のコマンドを入力、実行します。
dsmgmt local roles Add <ドメイン名>\<ユーザー名> administrators show role administrators
※この手順では、<ドメイン名を>「rodctest.com」、<ユーザー名> を作成した「DPMSQLSvcsAcct」としています。
- PowerShell を起動し、以下のコマンドレットを入力、実行します。
Install-ADServiceAccount -Identity <サービス アカウント名>
[SQL Server、および DPM のインストールおよび設定手順]
サーバー「RODCSQL2012」上で実施
SQL Server のインストール
- 作成したドメイン ユーザー (DPMSQLScvsAcct) でログインします。
- .NET Framework 3.5 をインストールします。
- 役割、役割サービス、または機能のインストールまたはアンインストール – .NET Framework 3.5 とその他の機能をオンデマンドでインストールする
https://technet.microsoft.com/ja-jp/library/hh831809.aspx#BKMK_FoD
- 役割、役割サービス、または機能のインストールまたはアンインストール – .NET Framework 3.5 とその他の機能をオンデマンドでインストールする
- SQL Server 2008 R2 x64 のインストール メディアをドライブに挿入し、「Setup.exe」を実行し、[SQL Server インストール センター] を起動します。
- 「インストール」をクリックし、「新規インストールを実行するか、既存のインストールに機能を追加します。」をクリックします。
- [OK] ボタンをクリックします。
- 「プロダクト キーを入力する」を選択、プロダクト キーを入力した後、[次へ] ボタンをクリックします。
- 「ライセンス条項に同意します。」のチェックボックスをオンにし、[次へ] ボタンをクリックします。
- インターネットに接続されている場合、SQL Server 製品の更新プログラムのインストール画面が表示されます。
ここでは、更新プログラムをインストールするために、「SQL Server 製品の更新プログラムを含める」のチェックボックスをオンにし、[次へ] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- 「SQL Server 機能のインストール」を選択し、[次へ] ボタンをクリックします。
- [機能の選択] 画面にて、以下のとおり [インスタンス機能] – [データベース エンジン サービス]、[インスタンス機能] – [データベース エンジン サービス] – [検索のためのフルテキスト抽出とセマンティック抽出]、[インスタンス機能] – [Reporting Services – ネイティブ]、[共有機能] – [管理ツール – 基本]、[共有機能] – [管理ツール – 基本] – [管理ツール – 完全] のチェックボックスをオンにし、[次へ] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- デフォルト設定 (「既定のインスタンス」が選択された状態) のままで、[次へ] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- 照合順序は、ここではデフォルトのままで、[SQL Server エージェント]、[SQL Server データベース エンジン]、および [SQL Server Reporting Services] のアカウント名を作成した管理されたサービス アカウント名 (gMSA) を入力、スタートアップの種類を [SQL Server Broweser] 含めて [自動] に変更後、[次へ] ボタンをクリックします。
英語版における照合順序の推奨は「SQL_Latin1_General_CP1_CI_AS」のようです。- System Center 2012 R2 Data Protection Manager (DPM) 用の環境の準備 https://technet.microsoft.com/ja-jp/library/hh758176.aspx
- [認証モード] をデフォルトの「Windows 認証モード」を設定し、[SQL Server 管理者の指定] では、[現在のユーザーの追加] ボタンをクリックし、[次へ] ボタンをクリックします(データ ディレクトリおよび FILESTREAM はデフォルト設定のままとしています)。
- 「インストールと構成。」を選択し、[次へ] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- [インストール] ボタンをクリックします。
- インストールが完了したら、[閉じる] ボタンをクリックし、[SQL Server インストール センター] の画面を閉じて、SQL Server のインストールを終了します。
Data Protection Manager のインストール
- 作成したドメイン ユーザー (DPMSQLScvsAcct) でログインします。
- System Center 2012 R2 – DPM のインストール メディアをドライブに挿入し、「Setup.exe」を実行します。
- [Data Protection Manager] をクリックします。
- 「ライセンス条項および条件に同意する」のチェックボックスをオンにし、[OK] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- 「スタンドアロン SQL Server を使用する (SQL Server がクラスター化されていない場合)」を選択、SQL Server のインスタンスを入力 (「localhost\MSSQLSERVER」ではなく、「RODCDPM\MSSQLSERVER」)し、[確認してインストール] ボタンをクリックします。
- [次へ] ボタンをクリックします。
なお、SISFilter が このタイミングでインストールされた場合、[キャンセル] ボタンをクリックし、システムを再起動し、再度手順 1. から実施します。 - [ユーザー名]、[会社名] および [プロダクト キー] を入力し、[次へ] ボタンをクリックします。
- [次へ] ボタンをクリックします。
- Windows Update を使用するかどうかの選択を実施 (ここでは、「Microsoft Update を使用しない」を選択しています) し、[次へ] ボタンをクリックします。
- カスタマー エクスペリエンス向上プログラムに参加するかどうかの選択 (ここでは、「いいえ、後で通知を受け取ります」を選択しています) を実施し、[次へ] ボタンをクリックします。
- [インストール] ボタンをクリックします。
- インストールが完了したら、[閉じる] ボタンをクリックします。
- [終了] をクリック、DPM のインストールを終了します。
全ての機能を確認した訳ではありませんが、管理者コンソールの起動および RODC 兼 DPM サーバー自体の保護と回復は可能でした。
[参考]
- System requirements for System Center 2012 R2 – DPM
http://technet.microsoft.com/en-us/library/hh758176.aspx - Setup prerequisites
http://technet.microsoft.com/en-us/library/hh758058.aspx - Preparing the DPM SQL Server database
http://technet.microsoft.com/en-us/library/jj852163.aspx - Setting up a remote SQL Server instance
http://technet.microsoft.com/en-us/library/dn581867.aspx - Setting Up Windows Service Accounts
https://msdn.microsoft.com/ja-jp/library/ms143504(v=sql.105).aspx - ドメイン コントローラーへの DPM のインストール
https://technet.microsoft.com/ja-jp/library/hh758028.aspx - DPM データベースとしてローカル インスタンスを使用した DPM サーバーのインストール | 焦げlog
https://kogelog.com/2014/01/25/20140125-01/ - DPM データベースとしてリモート インスタンスを使用した DPM サーバーのインストール | 焦げlog
https://kogelog.com/2014/05/31/20140531-01/ - DPM データベースとしてクラスター化されたリモート インスタンスを使用した DPM サーバーのインストール | 焦げlog
https://kogelog.com/2015/06/08/20150608-01/ - 読み取り専用ドメイン コントローラー上に DPM データベースとしてローカル インスタンスを使用した DPM サーバーのインストール | 焦げlog
https://kogelog.com/2015/06/17/20150617-01/
