Freigeben über

Bereitstellen des DPM-Schutz-Agents

  • Artikel

Der Schutz-Agent (System Center Data Protection Manager, DPM) ist die Software, die Sie auf jedem Computer installieren, der Daten enthält, die Sie mit DPM sichern möchten. Es besteht aus zwei Komponenten: dem Schutzagent selbst und einem Agentenkoordinator. Dies funktioniert folgendermaßen:

  • Identifiziert die Daten, die DPM schützen und wiederherstellen kann.

  • Ermöglicht dem DPM-Server das Durchsuchen der Freigaben, Volumes und Ordner auf dem geschützten Computer.

  • Erstellt ein Änderungsjournal für jedes geschützte Volume und speichert das Journal in einer ausgeblendeten Datei auf diesem Volume. Es zeichnet alle Änderungen an den geschützten Daten im Änderungsjournal auf und überträgt das Journal vom geschützten Computer an den DPM-Server, damit DPM die primären Daten mit dem Replikat synchronisieren kann.

Sie richten den Agent wie folgt ein:

  • Wenn sich der Computer mit den Daten, die Sie sichern möchten, hinter einer Firewall befindet, müssen Sie Firewallausnahmen einrichten.

  • Wenn sich der Computer nicht hinter einer Firewall befindet oder Sie Firewall-Ausnahmen für den Zugriff konfiguriert haben, können Sie den Agent über die DPM-Konsole installieren.

  • Wenn Sie keinen Zugriff über die Firewall haben, befindet sich der Computer, den Sie schützen möchten, in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne, oder Sie müssen eine andere Installationsmethode verwenden, können Sie den Agent manuell installieren und dann den Agent anfügen.

Einrichten von Firewall-Ausnahmen

Damit ein Schutz-Agent über eine Firewall mit dem DPM-Server kommunizieren kann, sind Firewall-Ausnahmen erforderlich.

Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-Instanz des SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht auf HTTP-Anforderungen an Port 80. In der folgenden Tabelle sind die Protokolle und Ports aufgeführt, die für die Kommunikation zwischen dem DPM-Server und geschützten Servern und Clients erforderlich sind.

Protocol Port Details
DCOM 135/TCP
Dynamisch		 Das DPM-Steuerelementprotokoll verwendet DCOM. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent aufgerufen werden. Der Schutz-Agent reagiert durch Aufrufen von DCOM-Aufrufen auf dem DPM-Server.

TCP-Port 135 ist der VON DCOM verwendete DCE-Endpunktauflösungspunkt.

Standardmäßig weist DCOM Ports dynamisch aus dem TCP-Portbereich von 49152 bis 65535 zu. Sie können diesen Bereich jedoch mithilfe von Komponentendiensten konfigurieren.

Für die DPM-Agent-Kommunikation müssen Sie die oberen Ports 49152-65535 öffnen. Führen Sie die folgenden Schritte aus, um die Ports zu öffnen:

1. Wählen Sie im IIS 7.0-Manager im Bereich "Verbindungen" den Knoten auf Serverebene in der Struktur aus.
2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung.
3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich ein.
4. Nachdem Sie den Portbereich für Ihren FTP-Dienst eingegeben haben, wählen Sie im Bereich "Aktionen " die Option "Übernehmen" aus, um Ihre Konfigurationseinstellungen zu speichern.
TCP 5718/TCP
5719/TCP		 Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu ermöglichen.

DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719.
Domain Name System 53/UDP Wird zwischen DPM und dem Domänencontroller und zwischen dem geschützten Computer und dem Domänencontroller für die Auflösung von Hostnamen verwendet.
Kerberos 88/UDP 88/TCP Wird zwischen DPM und dem Domänencontroller und zwischen dem geschützten Computer und dem Domänencontroller für die Authentifizierung des Verbindungsendpunkts verwendet.
LDAP 389/TCP
389/UDP		 Wird zwischen DPM und dem Domänencontroller für Abfragen verwendet.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Wird zwischen DPM und dem geschützten Computer zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für verschiedene Vorgänge verwendet. Wird für SMB direkt auf TCP/IP für DPM-Funktionen gehostet.

Installieren des Agents über die DPM-Konsole

  1. Wählen Sie in der DPM-Administratorkonsole Verwaltungs-Agents> aus. Wählen Sie im Menüband des Tools die Option "Installieren" aus, um den Installations-Assistenten für den Schutz-Agent zu öffnen.

  2. Wählen Sie auf der Seite "Agent-Bereitstellungsmethode auswählen" die Option "Agents>als Nächstes installieren" aus.

  3. Auf der Seite "Computer auswählen" zeigt DPM eine Liste der verfügbaren Computer an, die sich in derselben Domäne wie der DPM-Server befinden. Fügen Sie den erforderlichen Computer hinzu.

    • Wenn Sie den Assistenten zum ersten Mal verwenden, fragt DPM Active Directory ab, um eine Liste der verfügbaren Computer abzurufen. Nach der ersten Installation speichert DPM die Liste der Computer in der Datenbank, die einmal täglich durch den AutoErmittlungsprozess aktualisiert wird.

    • Um einen Computer in einer anderen Domäne zu finden, der eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet, müssen Sie den vollqualifizierten Domänennamen (FQDN) des Computers eingeben, den Sie schützen möchten. Beispielsweise <"Computer1.Domain1.contoso.com>", wobei "Computer1" der Name des Computers ist, den Sie schützen möchten, und Domain1.contoso.com die Domäne ist, zu der der Zielcomputer gehört.

    • Die Seite "Erweiterte Schaltfläche" ist nur aktiviert, wenn mehr als eine Version eines Schutz-Agents für die Installation auf den Computern verfügbar ist. Sie können diese Option verwenden, um eine frühere Version des Schutz-Agents zu installieren, die vor dem Upgrade des DPM-Servers auf eine neuere Version installiert wurde.

  4. Geben Sie auf der Seite "Anmeldeinformationen eingeben" den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern ist.

    • Übernehmen oder geben Sie im Feld "Domäne " den Domänennamen des Benutzerkontos ein, das Sie zum Installieren des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto gehört möglicherweise zu der Domäne, in der sich der DPM-Server befindet, oder zu einer Domäne, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet.

    • Wenn Sie einen Schutz-Agent auf einem Computer in einer vertrauenswürdigen Domäne installieren, geben Sie Ihre aktuellen Anmeldeinformationen für Domänenbenutzer ein. Sie können Mitglied einer beliebigen Domäne sein, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet, und Sie müssen Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, auf denen Sie einen Agent installieren möchten.

    • Wenn Sie einen Knoten in einem Cluster auswählen, erkennt DPM alle zusätzlichen Knoten im Cluster und zeigt die Seite "Clusterknoten auswählen" an.

  5. Wählen Sie auf der Seite "Clusterknoten auswählen" eine Option aus, die DPM für die Installation von Agents auf zusätzlichen Knoten im Cluster verwenden soll, und wählen Sie dann "Weiter" aus.

  6. Wählen Sie auf der Seite "Methode für neustarten " die Methode aus, mit der die ausgewählten Computer neu gestartet werden sollen, nachdem der Schutz-Agent installiert wurde. Der Computer muss neu gestartet werden, bevor Sie mit dem Schutz von Daten beginnen können. Ein Neustart ist erforderlich, um den Volumefilter zu laden, den DPM zum Nachverfolgen und Übertragen von Änderungen auf Blockebene zwischen dem DPM-Server und den geschützten Computern verwendet.

    • Wenn Sie die Computer später neu starten möchten, wird der Installationsstatus des Schutz-Agents nach dem Neustart des Computers nicht automatisch auf der Registerkarte "Agents" im Aufgabenbereich "Verwaltung" aktualisiert, und Sie müssen "Informationen aktualisieren" auswählen.

    • Sie müssen den Computer nicht neu starten, wenn Sie einen Schutz-Agent auf einem anderen DPM-Server installieren.

    • Wenn eine der von Ihnen ausgewählten Computer Knoten in einem Cluster ist, wird eine zusätzliche Seite "Methode für Neustart auswählen" angezeigt, die Sie verwenden können, um die Methode zum Neustarten der gruppierten Computer auszuwählen. Sie müssen einen Schutz-Agent auf allen Knoten in einem Cluster installieren, um die gruppierten Daten erfolgreich zu schützen. Die Computer müssen neu gestartet werden, bevor Sie mit dem Schutz von Daten beginnen können. Da die Zeit zum Starten von Diensten erforderlich ist, kann es einige Minuten nach einem Neustart dauern, bis DPM den Agent im Cluster kontaktieren kann.

    • DPM startet keinen Computer automatisch neu, der zu einem Microsoft Cluster Server (MSCS)-Cluster gehört. Sie müssen Computer in einem MSCS-Cluster manuell neu starten.

  7. Wählen Sie auf der Seite "Zusammenfassung " die Option "Installieren" aus, um die Installation zu starten. Wenn der EULA angezeigt wird, akzeptieren Sie ihn, damit die Installation gestartet wird. Auf der Registerkarte "Aufgabe " der Installationsseite können Sie sehen, ob die Installation erfolgreich ist. Sie können "Schließen" auswählen, bevor der Assistent abgeschlossen ist, und den Installationsfortschritt auf der Registerkarte "Agents" im Aufgabenbereich "Verwaltung" überwachen. Wenn die Installation nicht erfolgreich ist, können Sie die Warnungen im Aufgabenbereich "Überwachung " auf der Registerkarte "Warnungen " anzeigen.

Hinweis

Nachdem Sie einen Schutz-Agent auf einem Computer installiert haben, der Teil einer Windows SharePoint Services-Farm ist, werden alle Computer in der Farm nicht als geschützte Computer auf der Registerkarte "Agents " im Verwaltungsaufgabenbereich angezeigt, nur der computer, den Sie ausgewählt haben. Wenn die Windows SharePoint Services-Farm jedoch Daten auf dem ausgewählten Computer enthält, schützt DPM die Daten auf allen Computern in der Farm, vorausgesetzt, dass der Schutz-Agent installiert ist.

Manuelles Installieren des Agents

  1. Wenn Sie den Agent auf einem Computer hinter einer Firewall installieren, müssen Sie sicherstellen, dass der Agent über die Firewall übertragen werden kann.

    Sie können beispielsweise den folgenden Befehl auf dem Computer ausführen, um die Windows-Firewall zu konfigurieren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress, where IPAddress> is the address of the DPM server.

    Informationen zum Konfigurieren der Ports-Ausnahme in der Firewall finden Sie unter Konfigurieren von Firewall-Ausnahmen für den Agent.

  2. Öffnen Sie auf dem Computer, den Sie schützen möchten, ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann die folgenden Befehle aus:

    Geben Sie Folgendes ein, um einen Laufwerkbuchstaben zuzuweisen: net use Z: \<DPMServerName>\c$. Hierbei steht Z für den Buchstaben des lokalen Laufwerks, das Sie zuordnen möchten, und <DPMServerName> ist der Name des DPM-Servers, der für den Schutz des Computers eingesetzt wird.

    Gehen Sie wie folgt vor, um das Verzeichnis zu ändern:

    • Geben Sie für einen 64-Bit-Computer Folgendes ein: cd /d <assigned drive letter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<build number.0\amd64 where <assigned drive letter is the drive letter> that you assigned in the previous step and< build number is the latest DPM build number.>> Beispiel: cd /d X:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Geben Sie für einen 32-Bit-Computer Folgendes ein: cd /d <assigned drive letter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<Buildnummer>. 0\i386 , wobei <der zugewiesene Laufwerkbuchstaben> das Laufwerk ist, das Sie im vorherigen Schritt zugeordnet haben, und <die Buildnummer ist die neueste DPM-Buildnummer> .

  3. Um den Schutz-Agent zu installieren, öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann einen der folgenden Befehle aus:

    • Geben Sie für einen 64-Bit-Computer Folgendes ein: DpmAgentInstaller_x64.exe <DPMServerName> , wobei <DPMServerName> der vollqualifizierte Domänenname (FQDN) des DPM-Servers ist. Beispiel: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Geben Sie für einen 32-Bit-Computer Folgendes ein: DpmAgentInstaller_x86.exe< DPMServerName>, wobei <DPMServerName> der vollqualifizierte Domänenname (FQDN) des DPM-Servers ist.

    Hinweis

    • Um eine automatische Installation durchzuführen, können Sie die Option "/q " nach dem Befehl DpmAgentInstaller_x64.exe verwenden. Beispiel: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Um die EULA manuell in einer automatischen Installation zu akzeptieren, verwenden Sie DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Wenn Sie einen DPM-Servernamen in der Befehlszeile angeben, wird der Schutz-Agent installiert und automatisch die Sicherheitskonten, Berechtigungen und Firewall-Ausnahmen konfiguriert, die für die Kommunikation mit dem angegebenen DPM-Server erforderlich sind. Wenn Sie keinen Servernamen angegeben haben, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Zielcomputer, und gehen Sie wie folgt vor:
      1. So ändern Sie den Verzeichnistyp: cd /d <Systemlaufwerk>:\Programme\Microsoft Data Protection Manager\DPM\bin
      2. Typ: SetDpmServer.exe -dpmServerName< DPMServerName>. Dadurch werden die Sicherheitskonten, Berechtigungen und Firewall-Ausnahmen für den Agent für die Kommunikation mit dem Server konfiguriert.

  4. Wenn Sie den Computer dem DPM-Server vor Installation des Agents hinzugefügt haben, werden vom Server nun Sicherungen für den geschützten Computer erstellt. Wenn Sie den Agent installiert haben, bevor Sie den Computer zum DPM-Server hinzugefügt haben, müssen Sie den Computer anfügen, bevor der DPM-Server mit der Erstellung von Sicherungen beginnt.

Installieren des Schutz-Agents auf einem RODC

Führen Sie die folgenden Schritte aus:

  1. Deaktivieren Sie entweder die Firewall auf dem RODC, oder führen Sie die folgenden Befehle auf dem RODC aus, bevor Sie den Agent installieren:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Erstellen und füllen Sie auf dem primären Domänencontroller die folgenden Sicherheitsgruppen (wobei der Name des geschützten Servers der Name des RODC ist, auf dem Sie den Schutz-Agent installieren möchten):

    • Erstellen Sie eine Sicherheitsgruppe namens DPMRADCOMTRUSTEDMACHINES$PSNAME, und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Erstellen Sie eine Sicherheitsgruppe namens DPMRADMTRUSTEDMACHINES$PSNAME, und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Erstellen Sie eine Sicherheitsgruppe namens DPMRATRUSTEDDPMRAS$PSNAME, und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Fügen Sie das Computerkonto des DPM-Servers der Sicherheitsgruppe Builtin\Distributed Com-Benutzer als Mitglied hinzu.

  3. Stellen Sie sicher, dass die Sicherheitsgruppen, die Sie zuvor erstellt haben, auf dem RODC repliziert wurden. Installieren Sie dann den Schutz-Agent manuell auf dem RODC.

  4. Führen Sie auf dem RODC-Server die folgenden Schritte aus, um Start- und Aktivierungsberechtigungen für den DPMRA-Dienst zu erteilen:

    1. Öffnen Sie die DPM-Verwaltungsshell, und führen Sie dann den Befehl dcomcnfg.exe aus.

      Das Fenster "Komponentendienste " wird geöffnet.

    2. Erweitern Sie im Fenster "Komponentendienste" "Computer", erweitern Sie "Arbeitsplatz", erweitern Sie "DCOM-Konfiguration", klicken Sie mit der rechten Maustaste auf denDPM RA-Dienst, und wählen Sie dann "Eigenschaften" aus.

    3. Wählen Sie "Allgemein" aus, und legen Sie dann die Authentifizierungsstufe auf "Standard" fest.

    4. Wählen Sie "Speicherort" aus, und stellen Sie dann sicher, dass nur "Anwendung auf diesem Computer ausführen" ausgewählt ist.

    5. Wählen Sie "Sicherheit" aus, wählen Sie "Anpassen" unter "Start- und Aktivierungsberechtigungen" aus, wählen Sie "Anpassen" und dann "Bearbeiten" aus, um das Dialogfeld "Startberechtigung" zu öffnen.

    6. Weisen Sie im Dialogfeld "Startberechtigung" Berechtigungen für lokales Starten, Remotestart, lokale Aktivierung und Remoteaktivierung für das DPM-Servercomputerkonto zu.

    7. Wählen Sie OK aus, um das Dialogfeld zu schließen.

    8. Navigieren Sie auf dem DPM-Server zu Programme\Microsoft System Center\DPM\DPM\setup, und kopieren Sie die folgenden Dateien in einen Ordner auf dem RODC-Server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Führen Sie auf dem RODC an einer Eingabeaufforderung mit erhöhten Rechten den Befehl setagentcfg.exe einer DPMRA-Domäne\DPMserver aus dem Speicherort aus, den Sie im vorherigen Schritt angegeben haben.

  6. Wechseln Sie auf dem RODC-Server zum Ordner C:\Programme\Microsoft Data Protection Manager\DPM\bin, und führen Sie den Befehl „setdpmserver“ aus:

    Setdpmserver -dpmservername DPMSERVER

  7. Fügen Sie den Schutz-Agent wie im folgenden Abschnitt beschrieben an den DPM-Server an.

Anfügen des Agents

Nachdem Sie den DPM-Agent manuell installiert haben, müssen Sie den Agent an den DPM-Server anfügen.

  1. Wählen Sie >in der DPM-Administratorkonsole auf der Navigationsleiste Verwaltungs-Agents aus. Wählen Sie im Bereich "Aktionen" die Option "Installieren" aus.

  2. Wählen Sie auf der Seite "Agent-Bereitstellungsmethode auswählen" die Option "Agent-Computer>anfügen" in einer vertrauenswürdigen Domäne>aus. Der Installations-Assistent für den Schutz-Agent wird geöffnet.

  3. Auf der Seite "Computer auswählen" zeigt DPM eine Liste der verfügbaren Computer in derselben Domäne wie der DPM-Server an. Wählen Sie einen oder mehrere Computer (maximal 50) aus der Computernamenliste >"Weiter hinzufügen"> aus.

    • Wenn Sie den Assistenten zum ersten Mal verwendet haben, fragt DPM Active Directory ab, um eine Liste potenzieller Computer abzurufen. Nach der ersten Installation zeigt DPM die Liste der Computer in der Datenbank an, die einmal täglich durch den Automatischen Ermittlungsprozess aktualisiert wird.

    • Wenn Sie mehrere Computer mithilfe einer Textdatei hinzufügen möchten, wählen Sie die Schaltfläche "Aus Datei hinzufügen" aus, und geben Sie im Dialogfeld "Aus Datei hinzufügen" den Speicherort der Textdatei ein, oder wählen Sie " Durchsuchen" aus, um zum Speicherort zu navigieren.

  4. Geben Sie auf der Seite "Anmeldeinformationen eingeben" den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern ist. Übernehmen oder geben Sie im Feld "Domäne " den Domänennamen des Benutzerkontos ein, das Sie zum Installieren des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto gehört möglicherweise zu der Domäne, in der sich der DPM-Server befindet, oder zu einer vertrauenswürdigen Domäne. Wenn Sie einen Schutz-Agent auf einem Computer in einer vertrauenswürdigen Domäne installieren, geben Sie Ihre aktuellen Anmeldeinformationen für Domänenbenutzer ein. Sie können Mitglied einer beliebigen vertrauenswürdigen Domäne sein, und Sie müssen Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, die Sie schützen möchten.

  5. Wählen Sie auf der Seite "Zusammenfassung" die Option "Anfügen" aus.