Déployer l’agent de protection DPM
L’agent de protection System Center Data Protection Manager (DPM) est le logiciel que vous installez sur chaque ordinateur qui contient des données que vous souhaitez sauvegarder avec DPM. Il se compose de deux composants : l’agent de protection lui-même et un coordinateur d’agent. Voici ce qu’elle fait :
Identifie les données que DPM peut protéger et récupérer.
Permet au serveur DPM de parcourir les partages, volumes et dossiers sur l’ordinateur protégé.
Crée un journal de modification pour chaque volume protégé et stocke le journal dans un fichier masqué sur ce volume. Il enregistre les modifications apportées aux données protégées dans le journal des modifications et transfère le journal de l’ordinateur protégé vers le serveur DPM afin que DPM puisse synchroniser les données primaires avec le réplica.
Vous allez configurer l’agent comme suit :
Si l’ordinateur contenant les données que vous souhaitez sauvegarder se trouve derrière un pare-feu, vous devez configurer des exceptions de pare-feu.
Si l’ordinateur ne se trouve pas derrière un pare-feu ou si vous avez configuré des exceptions de pare-feu pour autoriser l’accès, vous pouvez installer l’agent à partir de la console DPM.
Si vous n’avez pas accès via le pare-feu, l’ordinateur que vous souhaitez protéger se trouve dans un groupe de travail ou un domaine non approuvé, ou vous devez utiliser une autre méthode d’installation, vous pouvez installer l’agent manuellement , puis attacher l’agent.
Configurer des exceptions de pare-feu
Pour qu’un agent de protection communique avec le serveur DPM via un pare-feu, des exceptions de pare-feu sont requises.
Configurez une exception entrante pour sqlservr.exe pour l’instance DPM de SQL Server afin d’autoriser TCP sur le port 80. Le serveur de rapports écoute les requêtes HTTP sur le port 80. Le tableau suivant répertorie les protocoles et les ports requis pour la communication entre le serveur DPM et les serveurs et clients protégés.
Protocole | Port | Détails |
---|---|---|
DCOM | 135/TCP Dynamique |
Le protocole de contrôle DPM utilise DCOM. DPM émet des commandes à destination de l'agent de protection via des appels DCOM sur l'agent. L'agent de protection répond en effectuant des appels DCOM sur le serveur DPM. Le port TCP 135 est le point de résolution de point de terminaison DCE utilisé par DCOM. Par défaut, DCOM affecte dynamiquement des ports de la plage de ports TCP de 49152 à 65535. Cependant, vous pouvez configurer cette étendue à l'aide des services de composants. Pour la communication de l’agent DPM, vous devez ouvrir les ports supérieurs 49152-65535. Pour ouvrir les ports, procédez comme suit : 1. Dans le Gestionnaire IIS 7.0, dans le volet Connexions , sélectionnez le nœud au niveau du serveur dans l’arborescence. 2. Double-cliquez sur l’icône Prise en charge du pare-feu FTP dans la liste des fonctionnalités. 3. Entrez une plage de valeurs pour la Plage de ports du canal de données. 4. Après avoir entré la plage de ports de votre service FTP, dans le volet Actions , sélectionnez Appliquer pour enregistrer vos paramètres de configuration. |
TCP | 5718/TCP 5719/TCP |
Le canal de données DPM est basé sur TCP. DPM et l’ordinateur protégé lancent des connexions pour activer les opérations DPM, telles que la synchronisation et la récupération. DPM communique avec le coordinateur d’agents sur le port 5718 et avec l’agent de protection sur le port 5719. |
DNS | 53/UDP | Utilisé entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine pour la résolution de noms d’hôte. |
Kerberos | 88/UDP 88/TCP | Utilisé entre DPM et le contrôleur de domaine et entre l’ordinateur protégé et le contrôleur de domaine pour l’authentification du point de terminaison de connexion. |
LDAP | 389/TCP 389/TCP |
Utilisé entre DPM et le contrôleur de domaine pour les requêtes. |
NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Utilisé entre DPM et l’ordinateur protégé, entre DPM et le contrôleur de domaine, et entre l’ordinateur protégé et le contrôleur de domaine pour diverses opérations. Utilisé pour SMB directement hébergé sur TCP/IP pour les fonctions DPM. |
Installer l’agent à partir de la console DPM
Dans la console Administrateur DPM, sélectionnez Agents de gestion>. Sélectionnez Installer dans le ruban de l’outil pour ouvrir l’Assistant Installation de l’agent de protection.
Dans la page Sélectionner la méthode de déploiement de l’agent, sélectionnez Installer les agents>Suivant.
Dans la page Sélectionner des ordinateurs , DPM affiche la liste des ordinateurs disponibles qui se trouvent dans le même domaine que le serveur DPM. Ajoutez l'ordinateur requis.
La première fois que vous utilisez l’Assistant, DPM interroge Active Directory pour obtenir la liste des ordinateurs disponibles. Après la première installation, DPM stocke la liste des ordinateurs de sa base de données, qui est mise à jour une fois par jour par le processus de découverte automatique.
Pour rechercher un ordinateur dans un autre domaine qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM, vous devez taper le nom de domaine complet (FQDN) de l’ordinateur que vous souhaitez protéger. Par exemple, <Computer1.Domain1.contoso.com>, où Computer1 est le nom de l’ordinateur que vous souhaitez protéger et Domain1.contoso.com est le domaine auquel appartient l’ordinateur cible.
La page bouton Avancé est activée uniquement lorsqu’il existe plusieurs versions d’un agent de protection disponibles pour l’installation sur les ordinateurs. Vous pouvez utiliser cette option pour installer une version précédente de l’agent de protection installée avant la mise à niveau du serveur DPM vers une version plus récente.
Dans la page Entrer les informations d’identification, tapez le nom d’utilisateur et le mot de passe d’un compte de domaine membre du groupe Administrateurs local sur tous les ordinateurs sélectionnés.
Dans la zone Domaine , acceptez ou tapez le nom de domaine du compte d’utilisateur que vous utilisez pour installer l’agent de protection sur l’ordinateur cible. Ce compte peut appartenir au domaine dans lequel se trouve le serveur DPM ou à un domaine qui a une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM.
Si vous installez un agent de protection sur un ordinateur sur un domaine approuvé, entrez vos informations d’identification utilisateur de domaine actuelles. Vous pouvez être membre de n’importe quel domaine disposant d’une relation d’approbation bidirectionnelle avec le domaine dans lequel se trouve le serveur DPM, et vous devez être membre du groupe Administrateurs local sur tous les ordinateurs sélectionnés sur lesquels vous souhaitez installer un agent.
Si vous sélectionnez un nœud dans un cluster, DPM détecte tous les nœuds supplémentaires du cluster et affiche la page Sélectionner des nœuds de cluster.
Dans la page Sélectionner des nœuds de cluster, sélectionnez une option que DPM doit utiliser pour installer des agents sur des nœuds supplémentaires dans le cluster, puis sélectionnez Suivant.
Dans la page Choisir la méthode de redémarrage , sélectionnez la méthode à utiliser pour redémarrer les ordinateurs sélectionnés une fois l'agent de protection installé. Vous devez redémarrer l'ordinateur avant de pouvoir commencer à protéger les données. Un redémarrage est nécessaire pour charger le filtre de volume que DPM utilise pour suivre et transférer les modifications au niveau du bloc entre le serveur DPM et les ordinateurs protégés.
Si vous choisissez de redémarrer les ordinateurs ultérieurement, l’état de l’installation de l’agent de protection n’est pas actualisé automatiquement sous l’onglet Agents dans la zone Tâche de gestion après le redémarrage de l’ordinateur, et vous devez sélectionner Actualiser les informations.
Vous n’avez pas besoin de redémarrer l’ordinateur si vous installez un agent de protection sur un autre serveur DPM.
Si l’un des ordinateurs que vous avez sélectionnés est des nœuds dans un cluster, une page de méthode de redémarrage supplémentaire s’affiche, que vous pouvez utiliser pour sélectionner la méthode pour redémarrer les ordinateurs en cluster. Vous devez installer un agent de protection sur tous les nœuds d’un cluster pour protéger correctement les données en cluster. Vous devez redémarrer les ordinateurs avant de pouvoir commencer à protéger les données. Le temps nécessaire pour démarrer les services peut prendre quelques minutes après un redémarrage avant que DPM puisse contacter l’agent sur le cluster.
DPM ne redémarre pas automatiquement un ordinateur appartenant à un cluster Microsoft Cluster Server (MSCS). Vous devez redémarrer manuellement les ordinateurs dans un cluster MSCS.
Dans la page Résumé , sélectionnez Installer pour commencer l’installation. Si le CLUF apparaît, acceptez-le pour que l’installation démarre. Sous l’onglet Tâche de la page d’installation, vous pouvez voir si l’installation réussit. Vous pouvez sélectionner Fermer avant la fin de l’Assistant et surveiller la progression de l’installation sous l’onglet Agents dans la zone de tâche Gestion . Si l'installation échoue, vous pouvez afficher les alertes dans la zone de tâches Analyse sous l'onglet Alertes .
Remarque
Une fois que vous avez installé un agent de protection sur un ordinateur qui fait partie d’une batterie de serveurs Windows SharePoint Services, chacun des ordinateurs de la batterie de serveurs n’apparaît pas en tant qu’ordinateurs protégés sous l’onglet Agents dans la zone Des tâches de gestion , seul l’ordinateur que vous avez sélectionné. Toutefois, si la batterie de serveurs Windows SharePoint Services contient des données sur l’ordinateur sélectionné, DPM protège les données sur tous les ordinateurs de la batterie, à condition que l’agent de protection soit installé.
Installation de l’agent manuellement
Si vous installez l’agent sur un ordinateur derrière un pare-feu, vous devez vous assurer que l’agent peut être envoyé via le pare-feu.
Par exemple, vous pouvez exécuter la commande suivante sur l’ordinateur pour configurer le Pare-feu Windows : netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push » dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress, où IPAddress> est l’adresse du serveur DPM.
Pour configurer les exceptions de ports sur le pare-feu, consultez Configurer des exceptions de pare-feu pour l’agent.
Sur l’ordinateur que vous souhaitez protéger, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez les commandes suivantes :
Pour attribuer une lettre de lecteur, tapez : net use Z: \<DPMServerName>\c$ où Z est la lettre du lecteur local que vous voulez attribuer et <DPMServerName> le nom du serveur DPM qui doit protéger l’ordinateur.
Pour modifier le répertoire, procédez comme suit :
Pour un ordinateur 64 bits, tapez : cd /d <assigned drive letter> :\Program Files\Microsoft DPM\DPM\DPM\ProtectionAgents\RA\5.0.<build number.0\amd64 where< assigned drive letter> is the drive letter that you assigned in the previous step and< build number is the latest DPM build number.>> Par exemple : cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
Pour un ordinateur 32 bits, tapez : cd /d <assigned drive letter> :\Program Files\Microsoft DPM\DPM\DPM\ProtectionAgents\RA\5.0.<numéro de build>. 0\i386 où< la lettre> de lecteur affectée est le lecteur que vous avez mappé à l’étape précédente et< le numéro> de build est le dernier numéro de build DPM.
Pour installer l’agent de protection, ouvrez une fenêtre d’invite de commandes avec élévation de privilèges, puis exécutez l’une des commandes suivantes :
Pour un ordinateur 64 bits, tapez : DpmAgentInstaller_x64.exe <DPMServerName> où< DPMServerName> est le nom de domaine complet (FQDN) du serveur DPM. Par exemple : DPMAgentInstaller_x64.exe DPMserver1.contoso.com
Pour un ordinateur 32 bits, tapez : DpmAgentInstaller_x86.exe DPMServerName où <DPMServerName>> est le nom de domaine complet (FQDN) du serveur DPM.<
Remarque
- Pour effectuer une installation silencieuse, vous pouvez utiliser l’option /q après la commande DpmAgentInstaller_x64.exe . Par exemple : DpmAgentInstaller_x64.exe /q <DPMServerName>
- Pour accepter manuellement le CLUF dans une installation silencieuse, utilisez DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
- Si vous spécifiez un nom de serveur DPM dans la ligne de commande, il installe l’agent de protection et configure automatiquement les comptes de sécurité, les autorisations et les exceptions de pare-feu nécessaires pour que l’agent communique avec le serveur DPM spécifié. Si vous n’avez pas spécifié de nom de serveur, ouvrez une invite de commandes avec élévation de privilèges sur l’ordinateur ciblé et procédez comme suit :
- Pour modifier le type de répertoire : cd /d <system drive> :\Program Files\Microsoft Data Protection Manager\DPM\bin
- Type : SetDpmServer.exe -dpmServerName< DPMServerName>. Cela configure les comptes de sécurité, les autorisations et les exceptions de pare-feu pour que l’agent communique avec le serveur.
Si vous avez ajouté l’ordinateur au serveur DPM avant d’installer l’agent, le serveur commence à créer des sauvegardes pour l’ordinateur protégé. Si vous avez installé l’agent avant d’ajouter l’ordinateur au serveur DPM, vous devez attacher l’ordinateur avant que le serveur DPM commence à créer des sauvegardes.
Installation de l'agent de protection sur un RODC
Procédez comme suit :
Désactivez le pare-feu sur le rodc ou exécutez les commandes suivantes sur le rodc avant d’installer l’agent :
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
Sur le contrôleur de domaine principal, créez et remplissez les groupes de sécurité suivants (où le nom du serveur protégé est le nom du contrôleur de domaine principal sur lequel vous envisagez d’installer l’agent de protection) :
Créez un groupe de sécurité nommé DPMRADCOMTRUSTEDMACHINES$PSNAME, puis ajoutez le compte d’ordinateur du serveur DPM en tant que membre.
Créez un groupe de sécurité nommé DPMRADMTRUSTEDMACHINES$PSNAME, puis ajoutez le compte d’ordinateur du serveur DPM en tant que membre.
Créez un groupe de sécurité nommé DPMRATRUSTEDDPMRAS$PSNAME, puis ajoutez le compte d’ordinateur du serveur DPM en tant que membre.
Ajoutez le compte ordinateur du serveur DPM en tant que membre du groupe de sécurité Utilisateurs du modèle COM distribué/intégré.
Assurez-vous que les groupes de sécurité que vous avez créés précédemment ont été répliqués sur le RODC. Installez ensuite manuellement l’agent de protection sur le RODC.
Sur le serveur RODC, procédez comme suit pour accorder des autorisations d’exécution et d’activation pour le service DPMRA :
Ouvrez DPM Management Shell, puis exécutez la commande dcomcnfg.exe.
La fenêtre Services de composants s'ouvre.
Dans la fenêtre Services de composants, développez Ordinateurs, Développez Mon ordinateur, développez Configuration DCOM, cliquez avec le bouton droit sur leservice DPM RA , puis sélectionnez Propriétés.
Sélectionnez Général, puis définissez le niveau d’authentification par défaut.
Sélectionnez Emplacement, puis vérifiez que seule l’application Exécuter sur cet ordinateur est sélectionnée.
Sélectionnez Sécurité, sélectionnez Personnaliser sous Lancer et Autorisations d’activation, sélectionnez Personnaliser, puis Sélectionnez Modifier pour ouvrir la boîte de dialogue Autorisation de lancement.
Dans la boîte de dialogue Autorisation de lancement, attribuez des autorisations pour le lancement local, le lancement à distance, l’activation locale et l’activation à distance pour le compte d’ordinateur du serveur DPM.
Sélectionnez OK pour fermer la boîte de dialogue.
Accédez à Program Files\Microsoft System Center\DPM\DPM\setup sur le serveur DPM, copiez les fichiers suivants dans un dossier sur le serveur RODC.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
Sur le RODC, à partir d’une invite de commandes avec élévation de privilèges, exécutez la commande setagentcfg.exe a DPMRA domain\DPMserver à partir de l’emplacement que vous avez spécifié à l’étape précédente.
Sur le serveur RODC, accédez au dossier C:\Program Files\Microsoft Data Protection Manager\DPM\bin et exécutez la commande setdpmserver :
Setdpmserver -dpmservername DPMSERVER
Attachez l’agent de protection au serveur DPM comme indiqué dans la section suivante.
Attachement de l'agent
Une fois que vous avez installé l’agent DPM manuellement, vous devez attacher l’agent au serveur DPM.
Dans la console Administrateur DPM, dans la barre de navigation, sélectionnez Agents de gestion>. Dans le volet Actions , sélectionnez Installer.
Dans la page Sélectionnez la méthode de déploiement de l'agent , sélectionnez Attacher les agents>Ordinateur situé dans un domaine approuvé>Suivant. L'Assistant Installation de l'agent de protection s'ouvre alors.
Dans la page Sélectionner des ordinateurs , DPM affiche la liste des ordinateurs disponibles dans le même domaine que le serveur DPM. Sélectionnez un ou plusieurs ordinateurs (50 maximum) dans la liste> De noms d’ordinateur Ajouter>suivant.
Si c’est la première fois que vous avez utilisé l’Assistant, DPM interroge Active Directory pour obtenir la liste des ordinateurs potentiels. Après la première installation, DPM affiche la liste des ordinateurs figurant dans sa base de données, qui est mise quotidiennement via le processus de détection automatique.
Pour ajouter plusieurs ordinateurs à l’aide d’un fichier texte, sélectionnez le bouton Ajouter à partir du fichier , puis, dans la boîte de dialogue Ajouter à partir d’un fichier texte, tapez l’emplacement du fichier texte ou sélectionnez Parcourir pour accéder à son emplacement.
Dans la page Entrer les informations d’identification, tapez le nom d’utilisateur et le mot de passe d’un compte de domaine membre du groupe Administrateurs local sur tous les ordinateurs sélectionnés. Dans la zone Domaine , acceptez ou tapez le nom de domaine du compte d’utilisateur que vous utilisez pour installer l’agent de protection sur l’ordinateur cible. Ce compte peut appartenir au domaine dans lequel se trouve le serveur DPM, ou à un domaine approuvé. Si vous installez un agent de protection sur un ordinateur sur un domaine approuvé, entrez vos informations d’identification utilisateur de domaine actuelles. Vous pouvez être membre de tout domaine approuvé. En outre, vous devez être membre du groupe Administrateurs local sur tous les ordinateurs que vous souhaitez protéger.
Dans la page Résumé , sélectionnez Attacher.