Door de complexiteit van zelfs de wat kleinere omgevingen in het MKB bestaat een netwerk vaak uit meerdere servers voor email en bestanden, de diverse applicaties die ten dienste van de onderneming staan. Vaak een terminal server (of meer) voor thuiswerkers of zelfs intern eventueel aangevuld met een ISA firewall. Al deze machines die al dan niet virtueel zijn uitgevoerd kan iets naars overkomen en daar bestaat al jaren een oplossing voor wat we backup (en restore) noemen. Wanneer we meerdere servers hebben bestaat natuurlijk het reële risico dat we hier overzicht gaan verliezen en dit is nou precies waar Microsofts System Center Dataprotection Manager (DPM) ons komt redden. Met behulp van DPM kunnen we een centrale backup server inrichten die daarna het veiligstellen van de omgeving ter hand kan nemen.
Volgens Microsoft heeft DPM een drietal sterke punten, dat zijn:
- Continu data veilig kunnen stellen van Windows Applicatie en Fileservers
- Snel en betrouwbaar herstel
- Een geavanceerde oplossing die de beste features van disk en tape backup combineert
In dit artikel gaan we kijken wat hiervan precies wordt waargemaakt en in hoeverre DPM een goede aanvulling kan zijn in een Windows omgeving, zowel de grotere als de wat kleinere omgevingen.
Om te begrijpen wat DPM is en wat we ermee kunnen nemen we eerst een klein stapje terug. Traditioneel hebben we de server met daaraan een tapeunit voor de backup oftewel een disk to tape backup. Met een tapeunit kunnen we data archiveren en het systeem herstellen wanneer het niet meer functioneert. Om te beginnen voegt DPM hier een schakel aan toe. In plaats van de backup direct naar tape te maken wordt er eerst een kopie slag gemaakt naar de DPM server. Een disk to disk backup noemen we dat. Dit heeft een aantal voordelen waarvan het meest in het oog springend de snelheid. Disk is veel sneller dan tape waardoor we snel een backup kunnen uitvoeren, het is ook een stuk eenvoudiger om dit meerdere malen per dag of zelfs per uur te doen, immers er hoeven geen tapes gewisseld te worden de nieuwe data wordt eenvoudig toegevoegd aan wat al op de disk staat. Maar dit werkt natuurlijk ook omgekeerd, het herstellen van data gaat ook net zo snel. Wanneer we maar genoeg diskruimte hebben (en dit is relatief goedkoop) dan kunnen we veel backups bewaren en de meeste restore acties ook disk to disk laten verlopen wat veel tijd en ergernis kan schelen. Alleen disk to disk is echter niet voldoende, immers bij het verloren gaan van de hele server omgeving zullen ook de backups op disk verloren gaan. We moeten daarom een middel hebben om ook backups offsite kunnen brengen, dit kan onder meer door een tape backup te verbinden waardoor we een disk to disk to tape backup kunnen maken en zo toch altijd kunnen beschikken over een backup. Data wordt via het netwerk veiliggesteld op de DPM server. Door alleen de wijzigingen door te geven in de bestanden is dit in het dagelijks gebruik een stuk minder data dan bij een traditioneel systeem overgestuurd zou moeten worden.
In een notedop is dit de werking van Microsoft Data Protection Manager. Echter zo eenvoudig als het klinkt is het in Werkelijkheid natuurlijk niet, om dit mechanisme perfect te laten verlopen moet DPM tot veel in staat zijn zodat de data die moet worden veiliggesteld in goede handen is.
Wat hebben we nodig om met DPM aan de slag te kunnen?
Naast ons serverpark moeten we beschikken over een DPM server met voldoende diskruimte voor de backups. Let op dat de diskconfiguratie die gebruikt wordt voor de backups door DPM wordt beheerd, installeer dus niet alles op één grote partitie.
Verder moet de DPM server natuurlijk beschikken over een externe tape unit om de offline backups op te slaan. We kunnen hierbij het beste Windows 2003 x64 installeren als besturingssysteem. DPM is hierop ontworpen en de ondersteuning voor Windows 2008 laat nog veel te wensen over maar daarover later meer.
We kunnen niet meteen beginnen met installeren. Het probleem van veel nieuwe applicaties is dat er eerst een flink aantal aanpassingen moeten worden gedaan om de installatie mogelijk te maken. In het geval van DPM moeten we eerst de VSS update in KB940349 installeren om datacorruptie te voorkomen. Vervolgens moet powershell worden geïnstalleerd want ook DPM gebruikt net als bijvoorbeeld Exchange 2007 intensief gebruik van Powershell. Daarnaast zijn Windows deployment services, Microsoft .NET framework 2.0 en IIS verplichte kost. Als laatste is dan nog Microsoft SQL server 2005 nodig maar dit laatste kan dan als onderdeel van de installatie worden uitgevoerd. Wanneer we al deze voorbereidingen hebben getroffen kan het installeren dan toch echt begonnen. Gelukkig wijst zich dat zichzelf en hebben we snel resultaat en zien we bi het opstarten van de DPM manager het beeld zoals in figuur 1.

Figuur 1 : DPM management interface
Om servers (of werkstations) veilig te kunnen stellen moeten we er nu als eerste voor gaan zorgen dat er een diskvolume beschikbaar is om backups op te plaatsen. Daarom was het ook belangrijk deze beschikbaar te houden tijdens de installatie. In de sectie ‘management’ en dan tabblad disks voegen we nu de disk toe. Tevens kunnen we ook een tapeunit toevoegen in het tabblad libraries zodat we ook een offline backup kunnen verzorgen. Diskbased backup is in opkomst en dat betekent dat sommige bedrijven niet eens meer beschikken over een tape unit maar een externe diskeenheid zoals bijvoorbeeld een Dell RD1000 hebben aangeschaft als disk based alternatief. Het vervelende is dat DPM echter alleen tape units toestaat als offline medium. Gelukkig is hier een elegante oplossing voor beschikbaar in de vorm van een Firestream virtual tapeunit (http://www.cristalink.com/fs/download.aspx). Deze software zorgt ervoor dat we elk diskachtig medium zoals externe harddisken maar ook DVD’s en zelfs usb flash memory als een virtuele tape kunnen inzetten. Hierdoor wordt het mogelijk om dit soort media ook aan DPM te koppelen als offsite medium.
De volgende stap is het installeren van de agents, de DPM server heeft de agents nodig om de backups te kunnen uitvoeren. Middels de DPM console kunnen we deze agents centraal installeren. DPM zal uit active directory de beschikbare machines opvragen zodat er een selectie kan worden gemaakt. Vervolgens kunnen de agents uitgerold worden waarbij wel gelet moet worden op de firewall instellingen. De DPM server heeft toegang nodig tot de doelmachines om de installatie te kunnen volbrengen.
We kunnen de agents ook met de hand installeren waarbij we dan wel als extra actie de agents bekend moeten maken op de DPM server met het volgende powershell commando vanuit de DPM shell:
Attach-ProductionServer.ps1 Productieservernaam Clientservernaam
Type vervolgens naam en wachtwoord gegevens in en de agent zal zichtbaar worden in de DPM Console.
Nu we agents , disken en tape libraries hebben toegevoegd kunnen we dan toch eindelijk gaan beginnen met het backup proces gaan starten. Dit doen we door het maken van een zogenaamde Protection Group. Ga vervolgens in de management Shell naar de sectie ‘Protection” en kies uit het actie paneel ‘Create Protection Group’. Er wordt een wizard gestart waarmee we kunnen kiezen welke data van de agents moet worden veiliggesteld, op welk disk volume dit moet worden opgeslagen en wanneer dit offsite veiliggesteld moet worden.
Na het invullen van de wizard krijgen dan een eindresultaat zoals zichtbaar in figuur 2.

Figuur 2 : Een protection group in DPM
We zijn nu op het punt aangekomen dat het systeem uit zichzelf aan het werk zal gaan en onze gegevens zal veilig stellen. DPM heeft een behoorlijke rapportagefunctie die gebruik maakt van SQL reporting services. In figuur 3 zien we een voorbeeld hiervan, het diskruimte gebruik.

Figuur 3 : Rapportage in DPM
Backup en rapportage is natuurlijk mooi maar hoe kunnen we data terughalen? De DPM manager Shell biedt ons een uitgebreide zoekfunctie in de database met backups. Met behulp van de DPM management Shell zijn we beperkt in wat we wel en niet kunnen terugzetten. In tabel 1 is een kort Overzicht te zien wat er wel en niet wordt ondersteund door DPM.
Product Wat kan worden hersteld
Exchange 2003/2007 Storage Group, Database, Postbus
SQL 2000/2005 Database
Sharepoint 3.0/2007 Farm, Database, Site, Bestand of List
Windows 2003 Volume, Share, Map, Bestand,System State
Virtual Server Configuratie, Virtual Machiens, Data
Windows XP Filedata, System State
Windows Vista Filedata
Windows 2008 Volume, Share, Map, Bestand
Tabel 1: Herstelmogelijkheden van DPM
In de tabel zien we een flink aantal mogelijkheden die DPM ons biedt. Er is echter ook een duidelijk afwezige en dat is de mogelijkheid van system state backups in Windows 2008. De logica hierachter is eigenlijk heel eenvoudig en is is vrij duidelijk wanneer we de disaster recovery procedure beschouwen van een Windows 2003 machine. Deze behelsd namelijk het herstellen van een .bkf bestand naar de doelserver om die vervolgens middels NTBackup weer terug te plaatsen. En hier zit hem dan ook het probleem, zowel Windows 2008 als Windows Vista beschikken niet meer over NTBackup waardoor het herstellen van System state backups niet meer mogelijk is. Mogelijk wordt dit in SP1 voor DPM later dit jaar opgelost maar dit is nog niet zeker.
System State is niet het enige probleem binnen DPM, ook bare metal restore is relatief onbelicht gebleven en moet middels een aparte tool, de System Center Dataprotection Manager System Recovery Tool worden opgelost. Het laatste programma hoort wel bij DPM maar staat niet op de DPM DVD zelf maar apart en het wordt ook afgeraden deze twee programma’s te combineren op dezelfde machine. DPM SRT ondersteund wel bare metal restore maar alleen naar dezelfde hardware.
DPM is niet gratis, er zijn kosten aan verbonden. Aangeschaft moet worden de centrale DPM server licentie en licenties voor de beheerde servers. Er bestaat een enterprise licentie waarmee alles kan worden veiliggesteld en een standaard licentie voor alleen het veiligstellen van fileservers. Dit betekent in het grootste deel van de gevallen gekozen zal moeten worden voor een enterprise licentie, zeker als een bare metal restore noodzakelijk is. DPM wordt ook verkocht in de vorm van System Center suites, wanneer meerdere producten worden afgenomen kan dit interessant blijken.
Na DPM in actie gezien te hebben blijven gemengde gevoelens over. De Block based backup zorgt voor een snel backup proces. De mogelijkheid om granulair Exchange en Sharepoint veilig te stellen maakt het tot een gewild product. Nadeel zijn de system state en Bare Metal restores die er maar een beetje aan lijken te hangen of bij Windows 2008 gewoonweg niet werken. Dit is niet altijd een probleem maar er zijn een aantal gevallen waarbij dit toch wenselijk te noemen is. Afhankelijk van de situatie waarin DPM wordt ingezet kan het daarom noodzakelijk te blijken een aanvullend product in te zetten.
W. Verveen is verbonden aan Ormer ICT dienstverlening als Consultant, daarnaast beheert hij Windows 2000 Wereld
E-mail: w.verveen@ormer.nl
Web: http://www.ormer.nl en http://www.win2kwereld.nl