A DPM védelmi ügynök üzembe helyezése

A System Center Data Protection Manager (DPM) védelmi ügynök az a szoftver, amelyet minden olyan számítógépre telepít, amely a DPM-ről biztonsági másolatot készíteni kívánt adatokat tartalmaz. Két összetevőből áll: maga a védelmi ügynök és egy ügynökkoordinátor. A következőt teszi:

• Azonosítja azokat az adatokat, amelyeket a DPM képes megvédeni és helyreállítani.

• Lehetővé teszi, hogy a DPM-kiszolgáló tallózzon a védett számítógépen található megosztások, kötetek és mappák között.

• Létrehoz egy változásnaplót minden védett kötethez, és a naplót egy rejtett fájlban tárolja a köteten. A módosítási naplóban rögzíti a védett adatok módosításait, és átviszi a naplót a védett számítógépről a DPM-kiszolgálóra, hogy a DPM szinkronizálhassa az elsődleges adatokat a replikával.

Az ügynök beállítása az alábbiak szerint történik:

• Ha a biztonsági másolatot készíteni kívánt adatokat tartalmazó számítógép tűzfal mögött található, kell beállítania a tűzfalak kivételét.

• Ha a számítógép nem tűzfal mögött található, vagy tűzfalkivételeket úgy konfigurált, hogy engedélyezi a hozzáférést, telepítheti az ügynököt a DPM-konzolról.

• Ha nem fér hozzá a tűzfalon keresztül, a védeni kívánt számítógép munkacsoportban vagy nem megbízható tartományban található, vagy másik telepítési módszert kell használnia, akkor telepítse az ügynököt kézzel, majd csatolja az ügynököt.

Tűzfal-kivételek beállítása

Ahhoz, hogy egy védelmi ügynök tűzfalon keresztül kommunikáljon a DPM-kiszolgálóval, tűzfalak kivételére van szükség.

Konfiguráljon egy bejövő kivételt az SQL Server DPM-példányához sqlservr.exe-ra, hogy engedélyezze a TCP-t a 80-as porton. A jelentéskészítő kiszolgáló figyeli a HTTP-kéréseket a 80-as porton. Az alábbi táblázat a DPM-kiszolgáló és a védett kiszolgálók és ügyfelek közötti kommunikációhoz szükséges protokollokat és portokat sorolja fel.

Protokoll	Kikötő	Részletek
DCOM	135/TCP Dinamikus	A DPM vezérlőprotokoll a DCOM-t használja. A DPM DCOM-hívások útján ad utasításokat a védelmi ügynök számára. A védelmi ügynök DCOM-hívások meghívásával válaszol a DPM-kiszolgálón. A 135-ös TCP-port a DCOM által használt DCE végpontfeloldási pont. A DCOM alapértelmezés szerint dinamikusan rendel portokat a 49152 és 65535 közötti TCP-porttartományhoz. Ezt a tartományt azonban a Component Services használatával konfigurálhatja. A DPM-ügynök kommunikációja esetén meg kell nyitnia a 49152-65535-ös portok felső portját. A portok megnyitásához hajtsa végre a következő lépéseket: 1. Az IIS 7.0 Managerben a Kapcsolatok panelen válassza ki a kiszolgálószintű csomópontot a fán. 2. Kattintson duplán az FTP-tűzfal támogatási ikonra a funkciók listájában. 3. Adjon meg egy értéktartományt a adatcsatorna porttartományának. 4. Miután megadta az FTP-szolgáltatás porttartományát, a Műveletek panelen válassza a Alkalmaz opciót a konfigurációs beállítások mentéséhez.
TCP	5718/TCP 5719/TCP	A DPM-adatcsatorna TCP-n alapul. A DPM és a védett számítógép is kezdeményez kapcsolatokat a DPM-műveletek, például a szinkronizálás és a helyreállítás engedélyezéséhez. A DPM az 5718-os porton lévő ügynökkoordinátorsal és az 5719-ben lévő védelmi ügynökkel kommunikál.
DNS (Domain névrendszer)	53/UDP	A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használják az állomásnévfeloldáshoz.
Kerberos	88/UDP 88/TCP	A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használják a kapcsolati végpont hitelesítéséhez.
LDAP hozzáférési protokoll	389/TCP 389/UDP	A DPM és a tartományvezérlő között használják a lekérdezésekhez.
NetBIOS	137/UDP 138/UDP 139/TCP 445/TCP	A DPM és a védett számítógép, a DPM és a tartományvezérlő között, valamint a védett számítógép és a tartományvezérlő között használják a különböző műveletekhez. A DPM funkciókhoz közvetlenül a TCP/IP-n üzemeltetett SMB-hez használatos.

Az ügynök telepítése a DPM-konzolról

1. A DPM felügyeleti konzolján válassza a Felügyeleti>Ügynököklehetőséget. Válassza a Telepítés lehetőséget az eszköztár szalagon a Védelmi ügyfél telepítővarázslójának megnyitásához.

2. Az Ügynöktelepítési módszer kiválasztása lapon válassza Ügynökök telepítése>Következőlehetőséget.

3. A Számítógépek kiválasztása lapon a DPM megjeleníti azoknak az elérhető számítógépeknek a listáját, amelyek ugyanabban a tartományban vannak, mint a DPM-kiszolgáló. Adja hozzá a szükséges számítógépet.

   • A varázsló első használatakor a DPM lekérdezi az Active Directoryt az elérhető számítógépek listájának lekéréséhez. Az első telepítés után a DPM az adatbázisában tárolja a számítógépek listáját, amelyet az automatikus felderítési folyamat naponta egyszer frissít.

   • Ha olyan számítógépet szeretne keresni egy másik tartományban, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található, be kell gépelnie a védeni kívánt számítógép teljes tartománynevét (FQDN). Például <Computer1>.Domain1.contoso.com, ahol Computer1 a védeni kívánt számítógép neve, és Domain1.contoso.com az a tartomány, amelyhez a célszámítógép tartozik.

   • A Speciális gomblap csak akkor engedélyezett, ha egy védelmi ügynök több verziója is elérhető a számítógépeken való telepítéshez. Ezzel a beállítással telepítheti a dpm-kiszolgáló újabb verzióra való frissítése előtt telepített védelmi ügynök egy korábbi verzióját.

4. Az Hitelesítő adatok megadása lapon írja be egy olyan tartományfiók felhasználónevét és jelszavát, amely az összes kijelölt számítógépen a helyi Rendszergazdák csoport tagja.

   • A Tartomány mezőbe írja be vagy fogadja el annak a felhasználói fióknak a tartománynevét, amellyel a védelmi ügynököt a célszámítógépre telepíti. Ez a fiók ahhoz a tartományhoz tartozhat, amelyben a DPM-kiszolgáló található, vagy olyan tartományhoz, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található.

   • Ha egy megbízható tartományon keresztül telepít egy védelmi ügynököt egy számítógépre, adja meg az aktuális tartomány felhasználói hitelesítő adatait. Bármely tartomány tagja lehet, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található, és a helyi Rendszergazdák csoport tagjának kell lennie az összes kiválasztott számítógépen, amelyen ügynököt szeretne telepíteni.

   • Ha kijelöl egy csomópontot egy fürtben, a DPM észleli a fürt összes további csomópontjait, és megjeleníti a Fürtcsomópontok kiválasztása lapot.

5. A Fürtcsomópontok kijelölése lapon válassza ki azt a lehetőséget, amelyet a DPM-nek használnia kell az ügynökök telepítéséhez a fürt további csomópontjaira, majd válassza a Továbblehetőséget.

6. Az Újraindítási módszer kiválasztása lapon válassza ki azt a módszert, a amelyet a védelmi ügynök telepítése után a kijelölt számítógépek újraindításához használ. Az adatok védelme előtt újra kell indítani a számítógépet. Újraindítás szükséges a DPM által a blokkszintű változások nyomon követéséhez és átviteléhez használt kötetszűrő betöltéséhez a DPM-kiszolgáló és a védett számítógépek között.

   • Ha a számítógépek későbbi újraindítását választja, a védelmi ügynök telepítési állapota nem frissül automatikusan a Felügyeleti feladatterület Ügynökök lapján, és ki kell választania Frissítési információk.

   • Nem kell újraindítania a számítógépet, ha védelmi ügynököt telepít egy másik DPM-kiszolgálóra.

   • Ha a kijelölt számítógépek közül bármelyik csomópontként szerepel egy fürtben, megnyílik egy további Újraindítási módszer kiválasztása oldal, amely segítségével kiválaszthatja, hogyan szeretné újraindítani a fürtözött számítógépet. A fürt adatok sikeres védelméhez telepítenie kell egy védelmi ügynököt az összes csomópontra a fürtön belül. A számítógépeket újra kell indítani, mielőtt megkezdené az adatok védelmét. Mivel a szolgáltatások indításához idő szükséges, az újraindítás után néhány percig is eltarthat, amíg a DPM képes kapcsolatot létesíteni a fürt ügynökével.

   • A DPM nem indítja automatikusan újra a Microsoft klaszterkiszolgáló (MSCS) klaszterhez tartozó számítógépet. A számítógépeket manuálisan kell újraindítania egy MSCS klaszterben.

7. A Összefoglalás lapon válassza a Telepítés lehetőséget a telepítés megkezdéséhez. Ha megjelenik az EULA, fogadja el a telepítés indításához. A telepítési lap Feladat lapján láthatja, hogy a telepítés sikeres volt-e. A varázsló befejezése előtt kiválaszthatja bezárása lehetőséget, és figyelheti a telepítés előrehaladását a Ügynökök lapon a Felügyeleti feladatterületen. Ha a telepítés sikertelen, a riasztásokat a Riasztások lapon, a Figyelés feladatterületén tekintheti meg.

Jegyzet

Miután telepített egy védelmi ügynököt egy Windows SharePoint Services-farm részét képező számítógépre, a farm minden számítógépe nem jelenik meg védett számítógépként a Felügyeleti feladatterület Ügynökök lapján, csak a kiválasztott számítógépen. Ha azonban a Windows SharePoint Services-farmban vannak adatok a kiválasztott számítógépen, a DPM a farm összes számítógépén védi az adatokat, feltéve, hogy mindegyiken telepítve van a védelmi ügynök.

Az ügynök manuális telepítése

1. Ha egy tűzfal mögötti számítógépre telepíti az ügynököt, győződjön meg arról, hogy az ügynököt ki lehet küldeni a tűzfalon keresztül.

   Futtathatja például a következő parancsot a számítógépen a Windows tűzfal konfigurálásához: netsh advfirewall tűzfal szabály hozzáadása névvel="A DPM távoli ügynök leküldésének engedélyezése" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, ahol az IPAddress a DPM-kiszolgáló címe.

   A tűzfal portkivételének konfigurálásához tekintse meg Az ügynöktűzfalkivételeinek konfigurálása című témakört.

2. A védeni kívánt számítógépen nyisson meg egy emelt szintű parancssori ablakot, majd futtassa a következő parancsokat:

   Meghajtóbetűjel hozzárendeléséhez írja be a következőt: net use Z: \<DPMServerName>\c$ ahol Z a hozzárendelni kívánt helyi meghajtóbetűjel, és <DPMServerName> a számítógép védelmét biztosító DPM-kiszolgáló neve.

   A címtár módosításához tegye a következőket:

   • 64 bites számítógép esetén írja be a következőt: cd /d <hozzárendelt meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildszám>.0\amd64 ahol <hozzárendelt meghajtóbetűjel> az előző lépésben hozzárendelt meghajtóbetűjel, <buildszám pedig> a DPM legújabb buildszáma. Például: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • 32 bites számítógép esetén írja be a következőt: cd /d <hozzárendelt meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildszám>l;.0\i386, ahol <hozzárendelt meghajtóbetűjel> az előző lépésben leképezett meghajtó, és <buildszám,> a DPM legújabb buildszáma.

3. A védelmi ügynök telepítéséhez nyisson meg egy rendszergazda jogú parancssori ablakot, majd futtassa az alábbi parancsok egyikét:

   • 64 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x64.exe <DPMServerName>, ahol <DPMServerName> a DPM-kiszolgáló teljes tartományneve (FQDN). Például: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • 32 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x86.exe <DPMServerName>, ahol <DPMServerName> a DPM-kiszolgáló teljes tartományneve (FQDN).

   Jegyzet

   • Csendes telepítés végrehajtásához a DpmAgentInstaller_x64.exe parancs után használhatja a /q lehetőséget. Például: DpmAgentInstaller_x64.exe /q <DPMServerName>
   • Ha manuálisan szeretné elfogadni az EULA-t csendes telepítésben, használja a DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
   • Ha a parancssorban megad egy DPM-kiszolgálónevet, az telepíti a védelmi ügynököt, és automatikusan konfigurálja azokat a biztonsági fiókokat, engedélyeket és tűzfal kivételeket, amely ahhoz szükséges, hogy az ügynök kommunikáljon a megadott DPM-kiszolgálóval. Ha nem adott meg kiszolgálónevet, nyisson meg egy rendszergazda jogú parancssort a megcélzott számítógépen, és tegye a következőket:
     1. A könyvtártípus módosítása: cd /d <rendszermeghajtó>:\Program Files\Microsoft Data Protection Manager\DPM\bin
     2. Típus: SetDpmServer.exe -dpmServerName <DPMServerName>. Ez konfigurálja az ügynök biztonsági fiókjait, engedélyeit és tűzfal-kivételeit a kiszolgálóval való kommunikációhoz.

4. Ha az ügynök telepítése előtt hozzáadta a számítógépet a DPM-kiszolgálóhoz, a kiszolgáló elkezd biztonsági másolatot készíteni a védett számítógépről. Ha az ügynököt még azelőtt telepítette, hogy hozzáadta volna a számítógépet a DPM-kiszolgálóhoz, csatolnia kell a számítógépet, mielőtt a DPM-kiszolgáló megkezdené a biztonsági másolatok létrehozását.

A Védelmi Ügynök telepítése RODC-re

Kövesse az alábbi lépéseket:

1. Kapcsolja ki a tűzfalat az RODC-n, vagy futtassa a következő parancsokat az RODC-n az ügynök telepítése előtt:

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. Az elsődleges tartományvezérlőn hozza létre és töltse fel a következő biztonsági csoportokat (ahol a védett kiszolgáló neve annak az RODC-nek a neve, amelyre telepíteni kívánja a védelmi ügynököt):

   • Hozzon létre egy DPMRADCOMTRUSTEDMACHINES$PSNAMEnevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.

   • Hozzon létre egy DPMRADMTRUSTEDMACHINES$PSNAMEnevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgálógép-fiókot.

   • Hozzon létre egy DPMRATRUSTEDDPMRAS$PSNAMEnevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgálógép-fiókot.

   • Adja hozzá a DPM-kiszolgálói számítógépfiókot a Builtin\Distributed Com-felhasználók biztonsági csoport tagjaként.

3. Bizonyosodjon meg arról, hogy a korábban létrehozott biztonsági csoportok replikálódtak az RODC-n. Ezután manuálisan telepítse a védelmi ügynököt az RODC-re.

4. Az RODC-kiszolgálón hajtsa végre a következő lépéseket a DPMRA szolgáltatás indítási és aktiválási engedélyeinek megadásához:

   1. Nyissa meg a DPM Management Shellt, majd futtassa a parancsot dcomcnfg.exe.

      Megnyílik a Component Services ablak.

   2. A Component Services ablakban bontsa ki Számítógépek, bontsa ki Sajátgép, bontsa ki a DCOM konfigurációt, kattintson a jobb gombbal aDPM RA szolgáltatásra, majd válassza a Tulajdonságoklehetőséget.

   3. Válassza a Általánoslehetőséget, majd állítsa a Hitelesítési Szint az Alapértelmezettbeállításra.

   4. Válassza ki a Helylehetőséget, majd győződjön meg arról, hogy kizárólag a Alkalmazás futtatása ezen a számítógépen van kiválasztva.

   5. Válassza a Biztonság lehetőséget, válassza a Testreszabás lehetőséget az Indítási és aktiválási engedélyek területen, válassza a Testreszabás lehetőséget, majd válassza a Szerkesztés lehetőséget az Indítási engedélyek párbeszédpanel megnyitásához.

   6. Az Indítási engedély párbeszédpanelen rendeljen engedélyeket a helyi indításhoz, távoli indításhoz, helyi aktiváláshozés távoli aktiváláshoz a DPM-kiszolgáló számítógépfiókjának.

   7. A párbeszédpanel bezárásához válassza az OK lehetőséget.

   8. Lépjen a Program Files\Microsoft System Center\DPM\DPM\setup mappába a DPM-kiszolgálón, és másolja a következő fájlokat az RODC-kiszolgáló valamelyik mappájába.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. Az RODC-n, egy rendszergazda jogú parancssorból futtassa a setagentcfg.exe a DPMRA domain\DPMserver parancsot az előző lépésben megadott helyről.

6. Az RODC-kiszolgálón keresse meg a C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappát, és futtassa a setdpmserver parancsot:

   Setdpmserver -dpmservername DPMSERVER

7. Csatolja a védelmi ügynököt a DPM-kiszolgálóhoz az alábbi szakaszban leírtak szerint.

Az ügynök csatolása

Miután manuálisan telepítette a DPM-ügynököt, csatolnia kell az ügynököt a DPM-kiszolgálóhoz.

1. A DPM felügyeleti konzol navigációs sávján válassza a Kezelés>Éles kiszolgálók lehetőséget. A Műveletek panelen válassza a Hozzáadás lehetőséget.

2. Az Ügynöktelepítési módszer kiválasztása lapon válassza a Ügynökök csatolása>megbízható tartományon lévő számítógéphez>, majd kattintson a Következőgombra. Megnyílik a Védelmi Ügynök telepítővarázslója.

3. A Számítógépek kiválasztása lapon a DPM megjeleníti a DPM-kiszolgálóval azonos tartományban lévő elérhető számítógépek listáját. Jelöljön ki egy vagy több számítógépet (legfeljebb 50) a Számítógép neve listából. >Hozzáadás>Következő.

   • Ha először használja a varázslót, a DPM lekérdezi az Active Directoryt a lehetséges számítógépek listájának lekéréséhez. Az első telepítés után a DPM megjeleníti az adatbázisában lévő számítógépek listáját, amelyet az automatikus felderítési folyamat naponta egyszer frissít.

   • Ha szövegfájllal szeretne több számítógépet hozzáadni, válassza a Hozzáadás fájlból gombot, és a Fájl hozzáadása párbeszédpanelen írja be a szövegfájl helyét, vagy válassza a Tallózás lehetőséget a helyére való navigáláshoz.

4. Az Hitelesítő adatok megadása lapon írja be egy olyan tartományfiók felhasználónevét és jelszavát, amely az összes kijelölt számítógépen a helyi Rendszergazdák csoport tagja. A Tartomány mezőbe írja be vagy fogadja el annak a felhasználói fióknak a tartománynevét, amellyel a védelmi ügynököt a célszámítógépre telepíti. Ez a fiók ahhoz a tartományhoz tartozhat, amelyben a DPM-kiszolgáló található, vagy egy megbízható tartományhoz. Ha egy megbízható tartományon keresztül telepít egy védelmi ügynököt egy számítógépre, adja meg az aktuális tartomány felhasználói hitelesítő adatait. Bármely megbízható tartomány tagja lehet, és a helyi Rendszergazdák csoport tagjának kell lennie az összes védeni kívánt számítógépen.

5. Az Összefoglalás lapon válassza a Csatoláslehetőséget.