déployez l'agent de protection DPM

Important

Cette version de Data Protection Manager (DPM) a atteint la fin du support. Nous vous recommandons de mettre à niveau vers DPM 2022.

L’agent de protection System Center Data Protection Manager (DPM) est le logiciel que vous installez sur chaque ordinateur qui contient des données que vous souhaitez sauvegarder avec DPM. Il se compose de deux composants : l’agent de protection lui-même et un coordinateur d’agent. Voici son fonctionnement :

• Identifie les données que DPM peut protéger et récupérer.

• Il permet au serveur DPM de parcourir les partages, les volumes et les dossiers sur l'ordinateur protégé.

• Il crée un journal des modifications pour chaque volume protégé et enregistre le journal dans un fichier caché sur ce volume. Il enregistre toutes les modifications apportées aux données protégées dans le journal des modifications et transfère le journal de l’ordinateur protégé vers le serveur DPM afin que DPM puisse synchroniser les données primaires avec le réplica.

Vous devez configurer l’agent comme suit :

• Si l’ordinateur contenant les données que vous souhaitez sauvegarder se trouve derrière un pare-feu, vous devez configurer des exceptions de pare-feu.

• Si l’ordinateur n’est pas derrière un pare-feu ou si vous avez configuré des exceptions de pare-feu pour autoriser l’accès, vous pouvez installer l’agent à partir de la console DPM.

• Si vous n’avez pas accès via le pare-feu, que l’ordinateur que vous souhaitez protéger se trouve dans un groupe de travail ou un domaine non approuvé, ou que vous devez utiliser une autre méthode d’installation, vous pouvez installer l’agent manuellement , puis attacher l’agent.

Configurer des exceptions de pare-feu

Pour qu’un agent de protection puisse communiquer avec le serveur DPM via un pare-feu, des exceptions de pare-feu sont requises.

Configurez une exception entrante pour sqlservr.exe pour le instance DPM du SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80. Le tableau suivant répertorie les protocoles et les ports requis pour la communication entre le serveur DPM et les serveurs et clients protégés.

Protocole	Port	Détails
DCOM	135/TCP dynamique	Le protocole de contrôle DPM utilise DCOM. DPM émet des commandes à destination de l'agent de protection via des appels DCOM sur l'agent. L'agent de protection répond en effectuant des appels DCOM sur le serveur DPM. Le port TCP 135 est le point de résolution de point de terminaison DCE utilisé par DCOM. Par défaut, DCOM assigne dynamiquement des ports à partir de la plage de ports TCP de 49152 à 65535. Cependant, vous pouvez configurer cette étendue à l'aide des services de composants. Pour la communication de l’agent DPM, vous devez ouvrir les ports supérieurs 49152-65535. Pour ouvrir les ports, procédez comme suit : 1. Dans le Gestionnaire IIS 7.0, dans le volet Connections, sélectionnez le nœud au niveau du serveur dans l’arborescence. 2. Double-cliquez sur l’icône Prise en charge du pare-feu FTP dans la liste des fonctionnalités. 3. Entrez une plage de valeurs pour la Plage de ports du canal de données. 4. Après avoir entré la plage de ports de votre service FTP, dans le volet Actions , sélectionnez Appliquer pour enregistrer vos paramètres de configuration.
TCP	5718/TCP 5719/TCP	Le canal de données DPM est basé sur TCP. DPM et l’ordinateur protégé établissent des connexions pour activer les opérations DPM, telles que la synchronisation et la récupération. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719.
DNS	53/UDP	Utilisé entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine pour la résolution de noms d’hôte.
Kerberos	88/UDP 88/TCP	Utilisé entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine pour l’authentification du point de terminaison de connexion.
LDAP	389/TCP 389/UDP	Utilisé entre DPM et le contrôleur de domaine pour les requêtes.
NetBIOS	137/UDP 138/UDP 139/TCP 445/TCP	Utilisé entre DPM et l’ordinateur protégé, entre DPM et le contrôleur de domaine, et entre l’ordinateur protégé et le contrôleur de domaine pour les opérations diverses. Utilisé pour SMB directement hébergé sur TCP/IP pour les fonctions de DPM.

Installer l’agent à partir de la console DPM

1. Dans la console Administrateur DPM, sélectionnezAgentsde gestion>. Sélectionnez Installer dans le ruban de l’outil pour ouvrir l’Assistant Installation de l’agent de protection.

2. Dans la page Sélectionner la méthode de déploiement de l’agent , sélectionnez Installer les agents>Suivant.

3. Dans la page Sélectionner les ordinateurs, DPM affiche la liste des ordinateurs disponibles situés dans le même domaine que le serveur DPM. Ajoutez l'ordinateur requis.

   • La première fois que vous utilisez l’Assistant, DPM interroge Active Directory pour obtenir la liste des ordinateurs disponibles. Après la première installation, DPM stocke la liste des ordinateurs dans sa base de données, qui est mise à jour une fois par jour par le processus de découverte automatique.

   • Pour trouver un ordinateur dans un autre domaine qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM, vous devez taper le nom de domaine complet (FQDN) de l’ordinateur que vous souhaitez protéger. Par exemple, <Computer1.Domain1.contoso.com>, où Computer1 est le nom de l’ordinateur que vous souhaitez protéger et Domain1.contoso.com est le domaine auquel appartient l’ordinateur cible.

   • La page du bouton Avancé est activée uniquement lorsqu’il existe plusieurs versions d’un agent de protection disponibles pour l’installation sur les ordinateurs. Cette option permet d’installer une version précédente de l’agent de protection qui a été installé avant la mise à niveau du serveur DPM vers une version plus récente.

4. Dans la page Entrer les informations d’identification , tapez le nom d’utilisateur et le mot de passe d’un compte de domaine membre du groupe Administrateurs local sur tous les ordinateurs sélectionnés.

   • Dans la zone Domaine , acceptez ou tapez le nom de domaine du compte d’utilisateur que vous utilisez pour installer l’agent de protection sur l’ordinateur cible. Ce compte peut appartenir au domaine dans lequel se trouve le serveur DPM ou à un domaine ayant une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM.

   • Si vous installez un agent de protection sur un ordinateur situé dans un domaine approuvé, entrez vos informations d’identification d’utilisateur de domaine. Vous pouvez être membre de n’importe quel domaine qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM, et vous devez être membre du groupe Administrateurs local sur tous les ordinateurs sélectionnés sur lesquels vous souhaitez installer un agent.

   • Si vous sélectionnez le nœud d’un cluster, DPM détecte tous les nœuds supplémentaires du cluster et affiche la page Sélectionnez les nœuds de cluster.

5. Dans la page Sélectionner des nœuds de cluster , sélectionnez une option que DPM doit utiliser pour installer des agents sur des nœuds supplémentaires dans le cluster, puis sélectionnez Suivant.

6. Dans la page Choisir la méthode de redémarrage , sélectionnez la méthode à utiliser pour redémarrer les ordinateurs sélectionnés une fois l'agent de protection installé. Vous devez redémarrer l'ordinateur avant de pouvoir commencer à protéger les données. Le redémarrage est nécessaire pour charger le filtre de volume que DPM utilise pour suivre et transférer les modifications au niveau du bloc entre le serveur DPM et les ordinateurs protégés.

   • Si vous choisissez de redémarrer les ordinateurs ultérieurement, l’installation de l’agent de protection status n’est pas actualisée automatiquement sous l’onglet Agents de la zone de tâches Gestion après le redémarrage de l’ordinateur, et vous devez sélectionner Actualiser les informations.

   • Vous n’avez pas besoin de redémarrer l’ordinateur si vous installez un agent de protection sur un autre serveur DPM.

   • Si l’un des ordinateurs que vous avez sélectionnés est des nœuds dans un cluster, une page supplémentaire Choisir la méthode de redémarrage s’affiche, que vous pouvez utiliser pour sélectionner la méthode pour redémarrer les ordinateurs en cluster. Vous devez installer un agent de protection sur tous les nœuds d’un cluster pour protéger correctement les données en cluster. Vous devez redémarrer les ordinateurs avant de pouvoir commencer à protéger les données. Le démarrage des services peut prendre quelques minutes après un redémarrage avant que DPM puisse contacter l’agent sur le cluster.

   • DPM ne redémarre pas automatiquement un ordinateur qui appartient à un cluster Microsoft Cluster Server (MSCS). Vous devez redémarrer manuellement les ordinateurs dans un cluster MSCS.

7. Dans la page Résumé , sélectionnez Installer pour commencer l’installation. Si le CLUF apparaît, acceptez-le pour que l’installation démarre. Sous l’onglet Tâche de la page d’installation, vous pouvez voir si l’installation a réussi. Vous pouvez sélectionner Fermer avant la fin de l’Assistant et surveiller la progression de l’installation sous l’onglet Agents de la zone de tâche Gestion . Si l'installation échoue, vous pouvez afficher les alertes dans la zone de tâches Analyse sous l'onglet Alertes .

Notes

Après avoir installé un agent de protection sur un ordinateur qui fait partie d’une batterie de serveurs Windows SharePoint Services, chacun des ordinateurs de la batterie n’apparaît pas en tant qu’ordinateurs protégés sous l’onglet Agents de la zone de tâches Gestion, mais uniquement sur l’ordinateur que vous avez sélectionné. Cependant, si la batterie de serveurs Windows SharePoint Services possède des données sur l’ordinateur sélectionné, DPM protège les données stockées sur tous les ordinateurs de la batterie de serveurs, à condition que l’agent de protection soit installé sur ceux-ci.

Installation de l’agent manuellement

1. Si vous installez l’agent sur un ordinateur derrière un pare-feu, vous devez vous assurer que l’agent peut être envoyé via le pare-feu.

   Par exemple, vous pouvez exécuter la commande suivante sur l’ordinateur pour configurer le Pare-feu Windows : netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<Adresse_IP> , où Adresse_IP est l’adresse du serveur DPM.

   Pour configurer les exceptions de ports sur le pare-feu, consultez Configurer des exceptions de pare-feu pour l’agent.

2. Sur l’ordinateur à protéger, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez les commandes suivantes :

   Pour attribuer une lettre de lecteur, tapez : net use Z: \<DPMServerName>\c$ où Z est la lettre du lecteur local que vous voulez attribuer et <DPMServerName> le nom du serveur DPM qui doit protéger l’ordinateur.

   Pour modifier le répertoire, procédez comme suit :

   • Pour un ordinateur 64 bits, tapez : cd /d <assigned drive letter> :\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numéro de> build.0\amd64 où <la lettre> de lecteur affectée est la lettre de lecteur que vous avez affectée à l’étape précédente et <le numéro> de build est le numéro de build DPM le plus récent. Par exemple : cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • Pour un ordinateur 32 bits, tapez : cd /d <assigned drive letter> :\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numéro de build>l ;. 0\i386 où <la lettre> de lecteur affectée est le lecteur que vous avez mappé à l’étape précédente et <le numéro> de build est le dernier numéro de build DPM.

3. Pour installer l’agent de protection, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez l’une des commandes suivantes :

   • Pour un ordinateur 64 bits, tapez : DpmAgentInstaller_x64.exe <DPMServerName> où <DPMServerName> est le nom de domaine complet (FQDN) du serveur DPM. Par exemple : DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • Pour un ordinateur 32 bits, tapez : DpmAgentInstaller_x86.exe <DPMServerName> où <DPMServerName> est le nom de domaine complet (FQDN) du serveur DPM.

   Notes

   • Pour effectuer une installation silencieuse, vous pouvez utiliser l'option /q après la commande DpmAgentInstaller_x64.exe. Par exemple : DpmAgentInstaller_x64.exe /q <DPMServerName>
   • Pour accepter manuellement le CLUF dans une installation silencieuse, utilisez DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
   • Si vous spécifiez un nom de serveur DPM dans la ligne de commande, il installe l’agent de protection et configure automatiquement les comptes de sécurité, les autorisations et les exceptions de pare-feu nécessaires pour que l’agent communique avec le serveur DPM spécifié. Si vous n’avez pas spécifié de nom de serveur, ouvrez une invite de commandes avec élévation de privilèges sur l’ordinateur cible, puis procédez comme suit :

   1. Pour modifier le type d’annuaire, tapez : cd /d <lecteur système> :\Program Files\Microsoft Data Protection Manager\DPM\bin
   2. Type : SetDpmServer.exe -dpmServerName <DPMServerName> . Cela configure les comptes de sécurité, les autorisations et les exceptions de pare-feu pour que l’agent communique avec le serveur.

4. Si vous avez ajouté l’ordinateur au serveur DPM avant d’installer l’agent, le serveur commence à créer des sauvegardes pour l’ordinateur protégé. Si vous avez installé l’agent avant d’avoir ajouté l’ordinateur au serveur DPM, vous devez attacher l’ordinateur avant que le serveur DPM ne commence à créer des sauvegardes.

Installation de l'agent de protection sur un RODC

Suivez ces étapes :

1. Désactivez le pare-feu sur le rodc ou exécutez les commandes suivantes sur le rodc avant d’installer l’agent :

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. Sur le contrôleur de domaine principal, créez et remplissez les groupes de sécurité suivants (où le nom du serveur protégé est le nom du rodc sur lequel vous envisagez d’installer l’agent de protection) :

   • Créez un groupe de sécurité nommé DPMRADCOMTRUSTEDMACHINES$PSNAME, puis ajoutez le compte ordinateur du serveur DPM comme membre.

   • Créez un groupe de sécurité nommé DPMRADMTRUSTEDMACHINES$PSNAME, puis ajoutez le compte ordinateur du serveur DPM comme membre.

   • Créez un groupe de sécurité nommé DPMRATRUSTEDDPMRAS$PSNAME, puis ajoutez le compte d’ordinateur du serveur DPM en tant que membre.

   • Ajoutez le compte ordinateur du serveur DPM en tant que membre du groupe de sécurité Utilisateurs du modèle COM distribué/intégré.

3. Assurez-vous que les groupes de sécurité que vous avez créés précédemment ont été répliqués sur le RODC. Installez ensuite manuellement l’agent de protection sur le RODC.

4. Sur le serveur RODC, procédez comme suit pour accorder des autorisations d’exécution et d’activation pour le service DPMRA :

   1. Ouvrez DPM Management Shell, puis exécutez la commande dcomcnfg.exe.

      La fenêtre Services de composants s'ouvre.

   2. Dans la fenêtre Services de composants , développez Ordinateurs, Poste de travail, Configuration DCOM, cliquez avec le bouton droit sur le serviceDPM RA , puis sélectionnez Propriétés.

   3. Sélectionnez Général, puis définissez le Niveau d’authentificationsur Par défaut.

   4. Sélectionnez Emplacement, puis vérifiez que seule l’option Exécuter l’application sur cet ordinateur est sélectionnée.

   5. Sélectionnez Sécurité, personnaliser sousAutorisations de lancement et d’activation, personnaliser, puis modifier pour ouvrir la boîte de dialogue Autorisation de lancement.

   6. Dans la boîte de dialogue Autorisation d’exécution, attribuez les autorisations Exécution locale, Exécution à distance, Activation locale et Activation à distance au compte ordinateur du serveur DPM.

   7. puis cliquez sur OK pour fermer la boîte de dialogue.

   8. Accédez à Program Files\Microsoft System Center\DPM\DPM\setup sur le serveur DPM, copiez les fichiers suivants dans un dossier sur le serveur RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. Sur le RODC, à partir d’une invite de commandes avec élévation de privilèges, exécutez la commande setagentcfg.exe a DPMRA domain\DPMserver à partir de l’emplacement que vous avez spécifié à l’étape précédente.

6. Sur le serveur RODC, accédez au dossier C:\Program Files\Microsoft Data Protection Manager\DPM\bin et exécutez la commande setdpmserver :

   Setdpmserver -dpmservername DPMSERVER

7. Attachez l’agent de protection au serveur DPM comme indiqué dans la section suivante.

Attachement de l'agent

Une fois que vous avez installé l’agent DPM manuellement, vous devez attacher l’agent au serveur DPM.

1. Dans la console Administrateur DPM, dans la barre de navigation, sélectionnezAgentsde gestion>. Dans le volet Actions , sélectionnez Installer.

2. Dans la page Sélectionnez la méthode de déploiement de l'agent , sélectionnez Attacher les agents>Ordinateur situé dans un domaine approuvé>Suivant. L'Assistant Installation de l'agent de protection s'ouvre alors.

3. Dans la page Sélectionner des ordinateurs , DPM affiche la liste des ordinateurs disponibles dans le même domaine que le serveur DPM. Sélectionnez un ou plusieurs ordinateurs (50 maximum) dans la liste > Nom de l’ordinateurAjouter>suivant.

   • S’il s’agit de la première fois que vous utilisez l’Assistant, DPM interroge Active Directory pour obtenir la liste des ordinateurs potentiels. Après la première installation, DPM affiche la liste des ordinateurs figurant dans sa base de données, qui est mise quotidiennement via le processus de détection automatique.

   • Pour ajouter plusieurs ordinateurs à l’aide d’un fichier texte, sélectionnez le bouton Ajouter à partir d’un fichier et, dans la boîte de dialogue Ajouter à partir d’un fichier , tapez l’emplacement du fichier texte ou sélectionnez Parcourir pour accéder à son emplacement.

4. Dans la page Entrer les informations d’identification , tapez le nom d’utilisateur et le mot de passe d’un compte de domaine membre du groupe Administrateurs local sur tous les ordinateurs sélectionnés. Dans la zone Domaine , acceptez ou tapez le nom de domaine du compte d’utilisateur que vous utilisez pour installer l’agent de protection sur l’ordinateur cible. Ce compte peut appartenir au domaine dans lequel se trouve le serveur DPM, ou à un domaine approuvé. Si vous installez un agent de protection sur un ordinateur situé dans un domaine approuvé, entrez vos informations d’identification d’utilisateur de domaine. Vous pouvez être membre de tout domaine approuvé. En outre, vous devez être membre du groupe Administrateurs local sur tous les ordinateurs que vous souhaitez protéger.

5. Dans la page Résumé , sélectionnez Attacher.