System Center DPM を使用して Azure にワークロードをバックアップするための準備

この記事では、Azure Backup サービスを使用して、Azure への System Center Data Protection Manager (DPM) バックアップを準備する方法について説明します。

この記事では、次の内容について説明します。

• Azure Backup による DPM のデプロイの概要。
• DPM で Azure Backup を使用するための前提条件と制限。
• Recovery Services バックアップ コンテナーの設定、コンテナーの Azure ストレージの種類の変更 (オプション) など Azure を準備する手順。
• コンテナーの資格情報のダウンロード、Azure Backup エージェントのインストール、コンテナーへの DPM サーバーの登録を含む DPM サーバーを準備する手順。
• 一般的なエラーのトラブルシューティングのヒント。

DPM を Azure にバックアップする理由

System Center DPM は、ファイルとアプリケーション データをバックアップします。 DPM は、Azure Backup と次のように対話します。

• 物理サーバーまたはオンプレミスの VM で実行されている DPM - ディスクおよびテープへのバックアップに加えて、Azure でバックアップ コンテナーにデータをバックアップできます。
• Azure VM で実行されている DPM - System Center 2012 R2 の更新プログラム 3 以降からは、Azure VM に DPM をデプロイできます。 VM に接続された Azure ディスクにデータをバックアップできます。または Azure Backup を使用してデータをバックアップ コンテナーにバックアップできます。

DPM サーバーを Azure にバックアップするメリットは、次のとおりです。

• オンプレミスの DPM では、Azure Backup はテープへの長期的なデプロイの代替手段を用意しています。
• Azure VM で実行されている DPM では、Azure Backup は Azure ディスクからストレージをオフロードできます。 バックアップ コンテナーに古いデータを格納することで、ディスクに新しいデータを格納してビジネスをスケールアップできます。

前提条件と制限事項

開始する前に、Azure Backup 機能が有効になっている Azure アカウントが必要です。 アカウントがない場合は、無料試用アカウントを数分で作成することができます。 Azure Backup の料金を参照してください。

Recovery Services コンテナーを作成する

Recovery Services コンテナーは、経時的に作成された復旧ポイントを保存する管理エンティティです。 バックアップ関連の操作を実行するためのインターフェイスを提供します。 たとえば、オンデマンドのバックアップの作成、復元の実行、バックアップ ポリシーの作成などの操作です。

Recovery Services コンテナーを作成するには、次の手順に従います。

1. Azure portal にサインインします。

2. ビジネス継続性センターを検索し、ビジネス継続性センター ダッシュボードに移動します。

   

3. [ ボールト ] ウィンドウで、[ + ボールト] を選択します。

   

4. [Recovery Services コンテナー]>[続行] の順に選択します。

   

5. [Recovery Services コンテナー] ペインで、次の値を入力します。

   • [サブスクリプション]: 使用するサブスクリプションを選択します。 1 つのサブスクリプションのみのメンバーである場合は、その名前が表示されます。 どのサブスクリプションを使用すればよいかわからない場合は、既定のサブスクリプションを使用してください。 職場または学校アカウントが複数の Azure サブスクリプションに関連付けられている場合にのみ、複数の選択肢が表示されます。

   • [リソース グループ]: 既存のリソース グループを使用するか、新しいリソース グループを作成します。 サブスクリプションで使用可能なリソース グループの一覧を表示するには、[ 既存のものを使用] を選択します。 次に、ドロップダウン リストでリソースを選択します。 新しいリソース グループを作成するには、[新規作成] を選択し、名前を入力します。 リソース グループの詳細については、「Azure Resource Manager の概要」を参照してください。

   • [コンテナー名]: コンテナーを識別するフレンドリ名を入力します。 名前は Azure サブスクリプションに対して一意である必要があります。 2 文字以上で、50 文字以下の名前を指定します。 名前の先頭にはアルファベットを使用する必要があります。また、名前に使用できるのはアルファベット、数字、ハイフンのみです。

   • [リージョン]: コンテナーの地理的リージョンを選択します。 データ ソースを保護するためのコンテナーを作成するには、コンテナーがデータ ソースと同じリージョン内にある "必要があります"。

     重要

     データ ソースの場所が不明な場合は、ウィンドウを閉じます。 ポータルの自分のリソースの一覧に移動します。 複数のリージョンにデータ ソースがある場合は、リージョンごとに Recovery Services コンテナーを作成します。 最初の場所にコンテナーを作成してから、別の場所にコンテナーを作成してください。 バックアップ データを格納するためにストレージ アカウントを指定する必要はありません。 Recovery Services コンテナーと Azure Backup は、その手順を自動的に処理します。

     

6. 値を指定したら、[ 確認と作成] を選択します。

7. Recovery Services コンテナーの作成を完了するには、[作成] を選択します。

   Recovery Services コンテナーの作成に時間がかかることがあります。 右上の [通知] 領域で、状態の通知を監視します。 作成されたコンテナーは、Recovery Services コンテナーのリストに表示されます。 コンテナーが表示されない場合は、[最新の情報に更新] を選択します。

   

Azure Backup では、復旧ポイントが作成された後、バックアップ ポリシーに従って有効期限が切れる前に削除できないようにするために役立つ不変コンテナーがサポートされるようになりました。 ランサムウェア攻撃や悪意のあるアクターなど、さまざまな脅威からバックアップ データを保護するために、最大限の保護のために不変性を元に戻すことができないようにすることができます。 Azure Backup 不変コンテナーの詳細を確認します。

ストレージ設定の変更

geo 冗長ストレージとローカル冗長ストレージのどちらかを選択できます。

• 既定では、コンテナーには geo 冗長ストレージがあります。
• コンテナーがプライマリ バックアップの場合は、オプションの設定を geo 冗長ストレージのままにします。 耐久性が十分でなくても低コストなバックアップが必要な場合は、以下の手順を使用して、ローカル冗長ストレージを構成します。
• Azure ストレージ、geo 冗長ストレージ、ローカル冗長ストレージ、およびゾーン冗長ストレージの各オプションについて学習します。
• 初期バックアップの前にストレージ設定を変更します。 項目をバックアップ済みの場合、ストレージ設定を変更する前にコンテナーへのバックアップを停止します。

ストレージ レプリケーション設定を編集するには、次の手順を実行します。

1. コンテナー ダッシュボードを開きます。

2. [管理] で、[バックアップ インフラストラクチャ] を選択します。

3. [バックアップ構成] メニューで、コンテナーのストレージ オプションを選択します。

   

コンテナー資格情報のダウンロード

DPM サーバーをコンテナーに登録する場合、コンテナーの資格情報を使用します。

• コンテナーの資格情報ファイルは、各バックアップコンテナーごとにポータルによって生成される証明書です。
• ポータルは公開キーを Access Control Service (ACS) にアップロードします。
• マシン登録ワークフローの中で、ユーザーは、証明書の秘密キーを使用できるようになります。この秘密キーによって、マシンが認証されます。
• 認証に基づき、Azure Backup サービスは、指定されたコンテナーにデータを送信します。

コンテナーの資格情報のベスト プラクティス

資格情報を取得するには、Azure portal からセキュリティで保護されたチャネルを介してコンテナーの資格情報ファイルをダウンロードします。

• コンテナーの資格情報は登録ワークフロー中しか使用されません。
• コンテナーの資格情報ファイルが安全で漏えいしないようにするのはユーザーの責任です。
  • 資格情報のコントロールが失われた場合は、コンテナーの資格情報を使用して、他のマシンをコンテナーに登録できます。
  • ただし、バックアップ データは自分に属するパスフレーズを使用して暗号化されているため、既存のバックアップ データが漏えいすることはありません。
• ファイルが、DPM サーバーからアクセスできる場所に保存されることを確実にします。 ファイル共有または SMB に格納されている場合は、アクセス許可を確認します。
• コンテナー資格情報は 48 時間後に有効期限が切れます。 新しいコンテナー資格情報は、必要な回数だけダウンロードできます。 ただし、登録ワークフローでは、最新のコンテナー資格情報ファイルのみを使用してください。
• Azure Backup サービスでは、証明書の秘密キーは認識されません。また、ポータルまたはサービスでは、この秘密キーは使用できません。

次の手順に従って、コンテナーの資格情報ファイルをローカル コンピューターにダウンロードします。

1. Azure portal にサインインします。

2. DPM サーバーを登録するコンテナーを開きます。

3. [設定] で [プロパティ] を選択します。

   

4. [プロパティ]>[バックアップ資格情報] で、[ダウンロード] を選択します。 コンテナー名と現在の日付の組み合わせを使用してポータルがコンテナーの資格情報ファイルを生成し、ダウンロードできるようにします。

   

5. [保存] を選択してフォルダーにコンテナーの資格情報をダウンロードするか、または [名前を付けて保存] を選択して保存場所を指定します。 ファイルの生成には最大で 1 分かかります。

Backup エージェントのインストール

Azure Backup によってバックアップされるすべてのマシンに、Backup エージェント (Microsoft Azure Recovery Service (MARS) エージェントとも呼ばれます) をインストールする必要があります。 次のように、DPM サーバーにエージェントをインストールします。

1. DPM サーバーを登録するコンテナーを開きます。

2. [設定] で [プロパティ] を選択します。

   

3. [プロパティ] ページで、Azure Backup エージェントをダウンロードします。

   

4. ダウンロードした後、MARSAgentInstaller.exe を実行し、 DPM マシンにエージェントをインストールします。

5. エージェントのインストール フォルダーとキャッシュ フォルダーを選択します。 キャッシュの場所の空き領域は、バックアップ データの 5% 以上である必要があります。

6. プロキシ サーバーを使用してインターネットに接続する場合、 [プロキシ構成] 画面で、プロキシ サーバーの詳細を入力します。 認証済みのプロキシを使用する場合は、この画面でユーザー名とパスワードの詳細を入力します。

7. Azure Backup エージェントは、.NET Framework 4.5 と Windows PowerShell を (インストールされていない場合は) インストールして、インストールを完了します。

8. エージェントがインストールされたら、ウィンドウを 閉じます。

   

DPM サーバーのコンテナーへの登録

1. DPM 管理者コンソール >[管理] で、[オンライン] を選択します。 [登録] を選択します。 これにより、サーバーの登録ウィザードが開きます。

2. [プロキシ構成] で、必要に応じてプロキシ設定を指定します。

   

3. [Backup コンテナー] で、ダウンロードしたコンテナー資格情報ファイルを参照して選択します。

   

4. [使用帯域幅の調整] で、必要に応じてバックアップの帯域幅調整を有効にできます。 速度制限を設定して作業時間と日数を指定できます。

   

5. [回復先フォルダーの設定] で、データの回復中に使用できる場所を指定します。

   • Azure Backup は、回復するデータを一時的に保持する領域としてこの場所を使用します。
   • データ復旧プロセスが完了すると、Azure Backup はこの領域のデータをクリーンアップします。
   • この場所は、並列復旧が予期される項目を保持するのに十分な領域が必要です。

   

6. [暗号化設定] で、パスフレーズを生成または指定します。

   • パスフレーズは、クラウドへのバックアップを暗号化する際に使用されます。
   • 16 文字以上指定します。
   • 安全な場所にファイルを保存します。これは回復のために必要です。

   

   警告

   暗号化のパスフレーズはユーザーが所有しており、Microsoft はこれを確認できません。 パスフレーズを紛失または忘れてしまった場合、Microsoft はバックアップ データの回復を支援することはできません。

7. [登録] を選択してコンテナーに DPM サーバーを登録します。

サーバーがコンテナーに正常に登録されると、Microsoft Azure へのバックアップを開始できるようになります。 ワークロードを Azure にバックアップするには、DPM コンソールで保護グループを構成する必要があります。 保護グループを展開する方法を確認してください。

コンテナーの資格情報のトラブルシューティング

期限切れエラー

コンテナーの資格情報ファイルは (ポータルからダウンロード後) 48 時間のみ有効です。 この画面でなんらかのエラー (例: "指定されたコンテナーの資格情報ファイルは期限切れです。") が発生した場合は、Azure portal にサインインし、コンテナーの資格情報ファイルを再度ダウンロードします。

アクセス エラー

コンテナーの資格情報ファイルが、セットアップ アプリケーションがアクセスできる場所で利用できることを確実にします。 アクセス関連のエラーが発生した場合は、コンテナーの資格情報ファイルをこのコンピューターの一時的な場所にコピーし、操作をやり直してください。

無効な資格情報エラー

コンテナーの資格情報が無効であるというエラー (例: "無効なコンテナーの資格情報が指定されました。") が発生した場合、ファイルが破損しているか、最新の資格情報が回復サービスと関連付けられていません。

• ポータルから新しいコンテナーの資格情報ファイルをダウンロードしてから操作をやり直してください。
• このエラーは通常、ユーザーが Azure portal で [コンテナー資格情報のダウンロード] オプションを連続で 2 回選択した場合に発生します。 この場合、2 番目のコンテナーの資格情報ファイルだけが有効です。

関連コンテンツ

• PowerShell を使用して DPM サーバーの Azure へのバックアップを管理します。
• System Center 2012 R2 DPM を使用して Exchange サーバーをバックアップします。