A DPM védelmi ügynök telepítése
Fontos
A Data Protection Manager (DPM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a DPM 2022-re.
A System Center Data Protection Manager (DPM) védelmi ügynök az a szoftver, amelyet minden olyan számítógépre telepít, amely a DPM-hez biztonsági másolatot készíteni kívánt adatokat tartalmaz. Két összetevőből áll: magából a védelmi ügynökből és egy ügynökkoordinátorból. A következő feladatokat látja el:
Azonosítja azokat az adatokat, amelyeket a DPM képes megvédeni és helyreállítani.
Lehetővé teszi, hogy a DPM-kiszolgáló tallózzon a védett számítógépen lévő megosztások, kötetek és mappák között.
Minden egyes védett kötethez különálló módosítási naplót hoz létre, és a naplót az adott köteten egy rejtett fájlban tárolja. A módosítási naplóban rögzíti a védett adatok módosításait, és átviszi a naplót a védett számítógépről a DPM-kiszolgálóra, hogy a DPM szinkronizálhassa az elsődleges adatokat a replikával.
Az ügynököt a következőképpen telepítheti:
Ha a biztonsági másolatot készíteni kívánt adatokat tartalmazó számítógép tűzfal mögött található, tűzfalkivételeket kell beállítania.
Ha a számítógép nincs tűzfal mögött, vagy tűzfalkivételeket konfigurált a hozzáférés engedélyezéséhez, telepítheti az ügynököt a DPM-konzolról.
Ha nem rendelkezik hozzáféréssel a tűzfalon keresztül, a védeni kívánt számítógép munkacsoportban vagy nem megbízható tartományban található, vagy másik telepítési módszert kell használnia, manuálisan telepítheti az ügynököt , majd csatolhatja az ügynököt.
A tűzfalkivételek beállítása
A védelmi ügynököknek a DPM-kiszolgálóval való kommunikációjához a tűzfalon keresztül tűzfalkivételekre van szükség.
Konfiguráljon bejövő kivételt sqlservr.exe a SQL Server DPM-példányához, hogy engedélyezze a TCP-t a 80-s porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket. Az alábbi táblázat a DPM-kiszolgáló és a védett kiszolgálók, illetve ügyfelek közti kommunikációhoz szükséges protokollok és portok listáját tartalmazza.
Protokoll | Port | Részletek |
---|---|---|
DCOM | 135/TCP Dinamikus |
A DPM vezérlőprotokoll a DCOM-protokollt használ. A DPM úgy ad ki parancsokat a védelmi ügynök számára, hogy DCOM-hívásokat kezdeményez az ügynökön. A védelmi ügynök úgy válaszol, hogy a DPM-kiszolgálón ad meg DCOM-hívásokat. A 135-ös TCP-port a DCOM által használt DCE-végponti feloldási pont. Alapértelmezés szerint a DCOM dinamikusan rendel portokat a 49152 és 65535 közötti TCP-porttartományhoz. Ezt a tartományt azonban módosíthatja a komponensszolgáltatások használatával. A DPM-ügynök kommunikációja esetén meg kell nyitnia a 49152-65535-ös portot. A portok megnyitásához kövesse az alábbi lépéseket: 1. Az IIS 7.0 Kezelőben a Connections panelen válassza ki a kiszolgálószintű csomópontot a fában. 2. Kattintson duplán az FTP-tűzfal támogatása ikonra a szolgáltatások listájában. 3. Adjon meg értéktartományt az adatcsatorna porttartományához. 4. Miután megadta az FTP-szolgáltatás porttartományát, a Műveletek panelen válassza az Alkalmaz lehetőséget a konfigurációs beállítások mentéséhez. |
TCP | 5718/TCP 5719/TCP |
A DPM adatcsatornája a TCP protokollt használja. A DPM és a védett számítógép is kezdeményez kapcsolatokat a DPM-műveletek, például a szinkronizálás és a helyreállítás engedélyezéséhez. A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál. |
DNS | 53/UDP | A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használják a gazdagépnév feloldásához. |
Kerberos | 88/UDP 88/TCP | A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használják a kapcsolati végpont hitelesítéséhez. |
LDAP | 389/TCP 389/UDP |
A DPM és a tartományvezérlő között használatos a lekérdezésekhez. |
NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
A DPM és a védett számítógép, a DPM és a tartományvezérlő között, valamint a védett számítógép és a tartományvezérlő között használják a különböző műveletekhez. Az SMB használja közvetlenül a TCP/IP protokollon a DPM funkcióihoz. |
A védelmi ügynök telepítése a DPM-konzolból
A DPM felügyeleti konzolján válassza a Felügyeleti>ügynökök lehetőséget. Válassza a Telepítés lehetőséget az eszköz menüszalagján a Védelmi ügynök telepítővarázslójának megnyitásához.
Az Ügynöktelepítési módszer kiválasztása lapon válassza az Ügynökök> telepítéseTovább lehetőséget.
A Számítógépek kiválasztása lapon a DPM megjeleníti azokat az elérhető számítógépeket, amelyek ugyanabban a tartományban találhatók, mint a DPM-kiszolgáló. Adja hozzá a kívánt számítógépet.
A varázsló első használatakor a DPM lekérdezi az Active Directoryt az elérhető számítógépek listájának lekéréséhez. Az első telepítés után a DPM az adatbázisában tárolja a számítógépek listáját, amelyet az automatikus felderítési folyamat naponta egyszer frissít.
Ha olyan számítógépet szeretne keresni egy másik tartományban, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található, be kell gépelnie a védeni kívánt számítógép teljes tartománynevét (FQDN). Például <a Computer1.Domain1.contoso.com>, ahol a Számítógép1 a védeni kívánt számítógép neve, Domain1.contoso.com pedig az a tartomány, amelyhez a célszámítógép tartozik.
A Speciális gomboldal csak akkor engedélyezett, ha egy védelmi ügynök több verziója is elérhető a számítógépeken való telepítéshez. Ezzel a beállítással telepítheti a védelmi ügynök korábbi verzióját, amely a DPM-kiszolgáló újabb verzióra történő frissítése előtt volt telepítve.
Az Enter Credentials (Hitelesítő adatok megadása) lapon írja be egy olyan tartományi fiók felhasználónevét és jelszavát, amely a helyi Rendszergazdák csoport tagja az összes kijelölt számítógépen.
A Tartomány mezőben fogadja el vagy írja be annak a felhasználói fióknak a tartománynevét, amelyet a védelmi ügynök telepítéséhez használ a célszámítógépen. Ez a fiók tartozhat ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, vagy olyan tartományhoz, amely kétirányú megbízhatósági kapcsolattal rendelkezik a DPM-kiszolgálót tartalmazó tartománnyal.
Ha megbízható tartományon keresztül telepít védelmi ügynököt egy számítógépre, az aktuális tartományának felhasználói hitelesítő adatait adja meg. Bármely tartomány tagja lehet, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található, és a helyi Rendszergazdák csoport tagjának kell lennie minden olyan számítógépen, amelyre ügynököt szeretne telepíteni.
Ha kiválaszt egy fürtben lévő csomópontot, a DPM felismeri a fürtben lévő további csomópontokat, és megjeleníti a Fürtcsomópontok kiválasztása lapot.
A Fürtcsomópontok kiválasztása lapon válassza ki azt a lehetőséget, amelyet a DPM-nek használnia kell az ügynökök telepítéséhez a fürt további csomópontjaira, majd válassza a Tovább gombot.
Az Újraindítási módszer kiválasztása lapon válassza ki az újraindítási módszert, amelyet a kiválasztott számítógépek újraindításához kell majd használni a védelmi ügynök telepítése után. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. Az újraindításra azért van szükség, hogy a rendszer betöltse azt a kötetszűrőt, amelyet a DPM a blokkszintű változások követéséhez és átviteléhez használ a DPM-kiszolgáló és a védett számítógépek között.
Ha később újra szeretné indítani a számítógépeket, a védelmi ügynök telepítési állapota nem frissül automatikusan a Felügyelet feladatterület Ügynökök lapján, miután a számítógép újraindult, és ki kell választania az Információ frissítése lehetőséget.
Nem kell újraindítania a számítógépet, ha védelmi ügynököt telepít egy másik DPM-kiszolgálóra.
Ha a kiválasztott számítógépek bármelyike csomópont egy fürtben, megjelenik egy további Újraindítási módszer kiválasztása lap, amellyel kiválaszthatja a fürtözött számítógépek újraindításának módját. A fürtözött adatok sikeres védelméhez telepítenie kell egy védelmi ügynököt a fürt összes csomópontjára. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. Mivel a szolgáltatások indításához időre van szükség, az újraindítás után néhány percig is eltarthat, amíg a DPM kapcsolatba lép a fürt ügynökével.
A DPM nem indítja újra automatikusan a Microsoft Cluster Server- (MSCS-) fürthöz tartozó számítógépeket. Az MSCS-fürtökben lévő számítógépeket kézzel kell újraindítania.
Az Összefoglalás lapon válassza a Telepítés lehetőséget a telepítés megkezdéséhez. Ha megjelenik az EULA, fogadja el a telepítés indításához. A telepítési oldal Feladat lapján láthatja, hogy a telepítés sikeres volt-e. A varázsló befejezése előtt válassza a Bezárás lehetőséget, és figyelje a telepítés állapotát a Felügyelet feladatterület Ügynökök lapján. Ha a telepítés sikertelen, a riasztásokat a Figyelés feladatterületen tekintheti át a Riasztások lapon.
Megjegyzés
Miután telepített egy védelmi ügynököt egy Windows SharePoint Services farm részét képező számítógépre, a farm minden számítógépe nem jelenik meg védett számítógépként a Felügyelet feladatterület Ügynökök lapján, csak a kiválasztott számítógépen. Ha azonban a Windows SharePoint Services-farm adatokat tárol a kiválasztott számítógépen, a DPM a farmban lévő összes számítógépen védeni fogja az adatokat, ha az összes számítógépen telepítve van a védelmi ügynök.
Az ügynök manuális telepítése
Ha egy tűzfal mögötti számítógépre telepíti az ügynököt, gondoskodnia kell arról, hogy az ügynök ki legyen küldve a tűzfalon keresztül.
A Windows tűzfal megfelelő konfigurálásához például futtassa a számítógépen a netsh advfirewall firewall add rule name="Távoli DPM-ügynök leküldésének engedélyezése" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-cím> parancsot (ahol az
a DPM-kiszolgáló címe). A tűzfal portkivételeinek konfigurálásáról a Tűzfalkivétel konfigurálása az ügynök számára című témakörben olvashat.
A védeni kívánt számítógépen nyisson meg egy emelt szintű parancssori ablakot, majd futtassa a következő parancsokat:
Meghajtóbetűjel hozzárendeléséhez írja be a következőt : net use Z: \<DPMServerName>\c$ ahol a Z a hozzárendelni kívánt helyi meghajtóbetűjel, a <DPMServerName> pedig a számítógép védelmét biztosító DPM-kiszolgáló neve.
A könyvár módosításához tegye a következőt:
64 bites számítógép esetén írja be a következőt: cd /d <hozzárendelt meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildszám.0>\amd64, ahol <a hozzárendelt meghajtóbetűjel> az előző lépésben hozzárendelt meghajtóbetűjel, a buildszám> pedig< a DPM legújabb buildszáma. Például: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
32 bites számítógép esetén írja be a következőt: cd /d <hozzárendelt meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildszám>l;. 0\i386 , ahol <a hozzárendelt meghajtóbetűjel> az előző lépésben leképezett meghajtó, a <buildszám> pedig a DPM legújabb buildszáma.
A védelmi ügynök telepítéséhez nyisson meg egy emelt szintű parancssori ablakot, majd futtassa az alábbi parancsok egyikét:
64 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x64.exe <DPMServerName> , ahol <a DPMServerName> a DPM-kiszolgáló teljes tartományneve (FQDN). Például: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
32 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x86.exe <DPMServerName> , ahol <a DPMServerName> a DPM-kiszolgáló teljes tartományneve (FQDN).
Megjegyzés
- Csendes telepítés végrehajtásához használja a /q lehetőséget a DpmAgentInstaller_x64.exe parancs után. Például: DpmAgentInstaller_x64.exe /q <DPMServerName>
- Ha manuálisan szeretné elfogadni az EULA-t egy csendes telepítésben, használja aDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA parancsot.
- Ha megad egy DPM-kiszolgálónevet a parancssorban, az telepíti a védelmi ügynököt, és automatikusan konfigurálja azokat a biztonsági fiókokat, engedélyeket és tűzfal kivételeket, amely ahhoz szükséges, hogy az ügynök kommunikáljon a megadott DPM-kiszolgálóval. Ha nem adott meg kiszolgálónevet, nyisson meg egy rendszergazda jogú parancssort a célzott számítógépen, és tegye a következőt:
- A könyvtár típusának módosítása: cd /d <rendszermeghajtó>:\Program Files\Microsoft Data Protection Manager\DPM\bin
- Típus: SetDpmServer.exe -dpmServerName <DPMServerName>. Ez konfigurálja a biztonsági fiókokat, engedélyeket és tűzfal kivételeket, hogy az ügynök kommunikáljon a kiszolgálóval.
Ha az ügynök telepítése előtt hozzáadta a számítógépet a DPM-kiszolgálóhoz, a kiszolgáló megkezdi a biztonsági másolatok létrehozását a védett számítógéphez. Ha az ügynököt azt megelőzően telepítette, hogy a számítógépet hozzáadta a DPM-kiszolgálóhoz, a számítógépet csatolnia kell, mielőtt a DPM-kiszolgáló elkezdi a biztonsági mentések létrehozását.
A védelmi ügynök telepítése írásvédett tartományvezérlőre
Használja az alábbi lépéseket:
Kapcsolja ki a tűzfalat az rodc-on, vagy futtassa a következő parancsokat az rodc-on az ügynök telepítése előtt:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
Az elsődleges tartományvezérlőn hozza létre és töltse fel a következő biztonsági csoportokat (ahol a védett kiszolgáló neve annak az RODC-nek a neve, amelyre telepíteni kívánja a védelmi ügynököt):
Hozzon létre egy DPMRADCOMTRUSTEDMACHINES$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.
Hozzon létre egy DPMRADMTRUSTEDMACHINES$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.
Hozzon létre egy DPMRATRUSTEDDPMRAS$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.
Adja hozzá a DPM-kiszolgálói számítógépfiókot a Builtin\Distributed Com Users biztonsági csoport tagjaként.
Győződjön meg róla, hogy a korábban létrehozott biztonsági csoportok replikálása megtörtént az RODC-n. Ezután telepítse manuálisan a védelmi ügynököt az írásvédett tartományvezérlőre.
Az alábbi lépéseket az írásvédett tartományvezérlő kiszolgálóján elvégezve indítási és aktiválási engedélyeket adhat a DPMRA szolgáltatásnak:
Nyissa meg a DPM Management Shellt, majd futtassa a parancsotdcomcnfg.exe.
Megnyílik a Komponensszolgáltatások ablak.
A Komponensszolgáltatások ablakban bontsa ki a Számítógépek, a Saját számítógép, a DCOM Config csomópontot, kattintson a jobb gombbal aDPM RA szolgáltatásra , majd válassza a Tulajdonságok lehetőséget.
Válassza az Általános lehetőséget, majd állítsa a hitelesítési szintet Alapértelmezettértékre.
Válassza a Hely lehetőséget, majd győződjön meg arról, hogy csak az alkalmazás futtatása ezen a számítógépen van kiválasztva.
Válassza a Biztonság lehetőséget, válassza a Testreszabás lehetőséget az Indítási és aktiválási engedélyek területen, válassza a Testreszabás lehetőséget, majd válassza a Szerkesztés lehetőséget az Indítási engedély párbeszédpanel megnyitásához.
Az Indítási engedély párbeszédpanelen rendeljen hozzá engedélyeket a DPM-kiszolgáló gépfiókjának helyi indítási, távoli indítási, helyi aktiválási és távoli aktiválási beállításaihoz.
A párbeszédpanel bezárásához kattintson az OK gombra .
Lépjen a Program Files\Microsoft System Center\DPM\DPM\DPM\setup lapra a DPM-kiszolgálón, másolja a következő fájlokat az RODC-kiszolgáló egyik mappájába.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
Az írásvédett tartományvezérlő rendszergazda jogú parancssorából futtassa a setagentcfg.exe a DPMRA domain\DPMserver parancsot az előző lépésben megadott helyről.
Az RODC-kiszolgálón keresse meg a C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappát , és futtassa a setdpmserver parancsot:
Setdpmserver -dpmservername DPM_KISZOLGÁLÓ_NEVE
Csatolja a védelmi ügynököt a DPM-kiszolgálóhoz az alábbi szakaszban leírtak szerint.
Az ügynök csatolása
Miután manuálisan telepítette a DPM-ügynököt, csatolnia kell az ügynököt a DPM-kiszolgálóhoz.
A DPM felügyeleti konzol navigációs sávján válassza a Felügyeleti>ügynökök lehetőséget. A Műveletek panelen válassza a Telepítés lehetőséget.
Az Ügynöktelepítési módszer kiválasztása lapon válassza az Ügynökök csatolása>Megbízható tartományban lévő számítógép>Tovább elemet. Elindul a Védelmi ügynökök telepítővarázslója.
A Számítógépek kiválasztása lapon a DPM megjeleníti az elérhető számítógépek listáját a DPM-kiszolgálóval azonos tartományban. Válasszon ki egy vagy több számítógépet (legfeljebb 50) a Számítógépnév listából, majd válassza a Tovább hozzáadása> lehetőséget>.
Ha először használja a varázslót, a DPM lekérdezi az Active Directoryt a lehetséges számítógépek listájának lekéréséhez. Az első telepítést követően a DPM az adatbázisában jeleníti meg a számítógépek listáját, amelyet naponta frissít az automatikus felderítési folyamat.
Ha több számítógépet szeretne hozzáadni egy szövegfájllal, válassza a Fájl hozzáadása gombot, majd a Fájl hozzáadása párbeszédpanelen írja be a szövegfájl helyét, vagy a Tallózás gombra kattintva keresse meg a helyét.
Az Enter Credentials (Hitelesítő adatok megadása) lapon írja be egy olyan tartományi fiók felhasználónevét és jelszavát, amely az összes kijelölt számítógépen a helyi Rendszergazdák csoport tagja. A Tartomány mezőbe fogadja el vagy írja be annak a felhasználói fióknak a tartománynevét, amellyel a védelmi ügynököt a célszámítógépre telepíti. Ez a fiók tartozhat ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, vagy egy megbízható tartományhoz. Ha megbízható tartományon keresztül telepít védelmi ügynököt egy számítógépre, az aktuális tartományának felhasználói hitelesítő adatait adja meg. Bármelyik megbízható tartomány tagja lehet, és a helyi Rendszergazdák csoport tagjának kell lennie minden védeni kívánt számítógépen.
Az Összefoglalás lapon válassza a Csatolás lehetőséget.