DPM 保護エージェントを展開する
System Center Data Protection Manager (DPM) 保護エージェントは、DPM でバックアップするデータを含む各コンピューターにインストールするソフトウェアです。 保護エージェント自体とエージェント コーディネーターの 2 つのコンポーネントで構成されます。 これは次のように動作します。
DPM が保護および回復できるデータを識別します。
DPM サーバーが、保護されたコンピューター上の共有、ボリューム、およびフォルダーを参照できるようにします。
保護されたボリュームごとに変更履歴を作成し、そのボリュームの非表示ファイルにジャーナルを格納します。 これは、保護されたデータに対する変更を変更履歴に記録し、DPM がプライマリ データをレプリカと同期できるように、保護されたコンピューターから DPM サーバーにジャーナルを転送します。
エージェントは次のように設定します。
バックアップするデータを含むコンピューターがファイアウォールの内側にある場合は、ファイアウォールの例外を 設定する必要があります。
コンピューターがファイアウォールの内側にない場合、またはアクセスを許可するようにファイアウォール例外を構成している場合は、DPM コンソールからエージェントを インストールできます。
ファイアウォール経由でアクセスできない場合、保護するコンピューターがワークグループまたは信頼されていないドメインにある場合、または別のインストール方法を使用する必要がある場合は、 エージェントを手動でインストールしてから エージェントを 接続。
ファイアウォールの例外を設定する
保護エージェントがファイアウォールを介して DPM サーバーと通信するには、ファイアウォールの例外が必要です。
ポート 80 で TCP を許可するように、SQL Server の DPM インスタンスのsqlservr.exeの受信例外を構成します。 レポート サーバーは、ポート 80 で HTTP 要求をリッスンします。 次の表に、DPM サーバーおよび保護対象サーバーとクライアント間の通信に必要なプロトコルとポートを一覧表示します。
| プロトコル | Port | 詳細 |
|---|---|---|
| DCOM | 135/TCP 動的 |
DPM 制御プロトコルは DCOM を使用します。 DPM は、エージェントで DCOM の呼び出しを起動して、保護エージェントにコマンドを発行します。 保護エージェントは、DPM サーバーで DCOM の呼び出しを起動して応答します。 TCP ポート 135 は、DCOM が使用するエンドポイント解決ポイントです。 既定では、DCOM は TCP ポート範囲 49152 ~ 65535 から動的にポートを割り当てます。 ただし、この範囲は、コンポーネント サービスを使用して構成することができます。 DPM エージェント通信の場合は、上位ポート 49152 から 65535 を開く必要があります。 ポートを開くには、次の手順を実行します。 1. IIS 7.0 Manager の Connections ペインで、ツリー内のサーバー レベルノードを選択します。 2. 機能の一覧で [FTP ファイアウォール サポート] アイコンをダブルクリックします。 3. [データ チャネルのポート範囲] に値の範囲を入力します。 4. FTP サービスのポート範囲を入力した後、 Actions ペインで Apply を選択して構成設定を保存します。 |
| TCP | 5718/TCP 5719/TCP |
DPM データ チャネルは TCP をベースにしています。 DPM と保護されたコンピューターの両方が接続を開始して、同期や回復などの DPM 操作を有効にします。 DPM は、ポート 5718 でエージェント コーディネーターと通信し、ポート 5719 で保護エージェントと通信します。 |
| DNS | 53/UDP | DPM とドメイン コントローラーの間、およびホスト名解決のために保護されたコンピューターとドメイン コントローラーの間で使用されます。 |
| Kerberos | 88/UDP 88/TCP | DPM とドメイン コントローラーの間、および接続エンドポイントの認証のために保護されたコンピューターとドメイン コントローラーの間で使用されます。 |
| LDAP | 389/TCP 389/UDP |
DPM とドメイン コントローラーの間でクエリに使用されます。 |
| NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
DPM と保護されたコンピューターの間、DPM とドメイン コントローラーの間、その他の操作のために保護されたコンピューターとドメイン コントローラーの間で使用されます。 DPM 関数の TCP/IP で直接ホストされる SMB に使用されます。 |
DPM コンソールからエージェントをインストールする
DPM 管理者コンソールで、 Management>Agents を選択します。 ツール リボンの Install を選択して、保護エージェントのインストール ウィザードを開きます。
エージェント展開方法の選択 ページで、エージェントのインストール>次を選択します。
コンピューターの選択 ページに、DPM サーバーと同じドメイン内にある使用可能なコンピューターの一覧が表示されます。 必要なコンピューターを追加します。
ウィザードを初めて使用する場合、DPM は Active Directory にクエリを実行して、使用可能なコンピューターの一覧を取得します。 最初のインストール後、DPM はコンピューターの一覧をデータベースに格納します。この一覧は、自動検出プロセスによって毎日 1 回更新されます。
DPM サーバーが配置されているドメインと双方向の信頼関係を持つ別のドメイン内のコンピューターを検索するには、保護するコンピューターの完全修飾ドメイン名 (FQDN) を入力する必要があります。 たとえば、 <Computer1>.Domain1.contoso.com。ここで、 Computer1 は保護するコンピューターの名前で、 Domain1.contoso.com はターゲット コンピューターが属するドメインです。
Advanced ボタン ページは、コンピューターにインストールできる保護エージェントのバージョンが複数ある場合にのみ有効になります。 このオプションを使用すると、DPM サーバーをより新しいバージョンにアップグレードする前にインストールされた以前のバージョンの保護エージェントをインストールできます。
Enter Credentials ページで、選択したすべてのコンピューターのローカル Administrators グループのメンバーであるドメイン アカウントのユーザー名とパスワードを入力します。
Domain ボックスで、ターゲット コンピューターに保護エージェントをインストールするために使用しているユーザー アカウントのドメイン名を受け入れるか、入力します。 このアカウントは、DPM サーバーが配置されているドメイン、または DPM サーバーが配置されているドメインと双方向の信頼関係を持つドメインに属している可能性があります。
信頼されたドメイン全体のコンピューターに保護エージェントをインストールする場合は、現在のドメイン ユーザー資格情報を入力します。 DPM サーバーが配置されているドメインと双方向の信頼関係を持つ任意のドメインのメンバーにすることができ、エージェントをインストールするすべての選択したコンピューターのローカル管理者グループのメンバーである必要があります。
クラスター内のノードを選択すると、DPM はクラスター内のすべての追加ノードを検出し、 クラスター ノードの選択 ページを表示します。
クラスター ノードの選択 ページで、クラスター内の追加のノードにエージェントをインストールするために DPM で使用するオプションを選択し、 次へを選択します。
[再起動方法の選択 ] ページで、保護エージェントをインストールした後にコンピューターの再起動に使用する方法を選択します。 データの保護を開始するには、コンピューターを再起動する必要があります。 DPM サーバーと保護されたコンピューター間のブロック レベルの変更を追跡および転送するために DPM が使用するボリューム フィルターを読み込むには、再起動が必要です。
後でコンピューターを再起動することを選択した場合、コンピューターの再起動後に Management タスク領域の Agents タブで保護エージェントのインストール状態が自動的に更新されず、Refresh Information を選択する必要があります。
別の DPM サーバーに保護エージェントをインストールする場合は、コンピューターを再起動する必要はありません。
選択したコンピューターのいずれかがクラスター内のノードである場合は、クラスター化されたコンピューターを再起動する方法を選択するために使用できる追加の Choose Restart Method ページが表示されます。 クラスター化されたデータを正常に保護するには、クラスター内のすべてのノードに保護エージェントをインストールする必要があります。 データの保護を開始するには、コンピューターを再起動する必要があります。 サービスの開始に時間が必要な場合、DPM がクラスター上のエージェントに接続できるようになるまで、再起動後に数分かかる場合があります。
DPM は、Microsoft クラスター サーバー (MSCS) クラスターに属するコンピューターを自動的に再起動しません。 MSCS クラスター内のコンピューターは手動で再起動する必要があります。
Summary ページで Install を選択してインストールを開始します。 EULA が表示された場合は、インストールを開始するために使用許諾契約書を受け入れます。 インストール ページの Task タブで、インストールが成功したかどうかを確認できます。 ウィザードが完了する前に Close を選択し、Management タスク領域の Agents タブでインストールの進行状況を監視できます。 インストールが失敗した場合は、[監視 ] タスク領域の [アラート ] タブで、アラートを確認することができます。
Note
Windows SharePoint Services ファームの一部であるコンピューターに保護エージェントをインストールすると、ファーム内の各コンピューターは、Management タスク領域の Agents タブに保護されたコンピューターとして表示されません。選択したコンピューターのみ。 ただし、Windows SharePoint Services ファームに選択したコンピューター上のデータがある場合、DPM は、すべてのコンピューターに保護エージェントがインストールされていれば、ファーム内のすべてのコンピューター上のデータを保護します。
エージェントを手動でインストールする
ファイアウォールの内側のコンピューターにエージェントをインストールする場合は、エージェントをファイアウォール経由でプッシュできることを確認する必要があります。
たとえば、コンピューター上で次のコマンドを実行して Windows ファイアウォールを構成できます。 netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>。IPAddress は DPM サーバーのアドレスです。
ファイアウォールでのポート例外の構成については、「 エージェントに対するファイアウォール例外の構成」を参照してください。
保護するコンピューターで、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。
ドライブ文字を割り当てるには、「net use Z: \<DPMServerName>\c$」と入力します。ここで Z は割り当てるローカル ドライブ文字であり、<DPMServerName> はコンピューターの保護に使用する DPM サーバーの名前です。
ディレクトリを変更するには、次のようにします。
64 ビット コンピューターの場合は、「cd /d <割り当てられたドライブ文字>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<ビルド番号>.0\amd64では<割り当てられたドライブ文字>は前の手順で割り当てたドライブ文字で、ビルド番号<>は最新の DPM ビルド番号です。 例: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
32 ビット コンピューターの場合は、「cd /d <割り当てられたドライブ文字>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<ビルド番号>。0\i386<割り当てられたドライブ文字>は前の手順でマップしたドライブで、<ビルド番号>は最新の DPM ビルド番号です。
保護エージェントをインストールするには、管理者特権のコマンド プロンプト ウィンドウを開き、次のいずれかのコマンドを実行します。
64 ビット コンピューターの場合は、「DpmAgentInstaller_x64.exe <DPMServerName>DPMServerName<> DPM サーバーの完全修飾ドメイン名 (FQDN) を入力します。 例: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
32 ビット コンピューターの場合は、「 DpmAgentInstaller_x86.exe <DPMServerName> <DPMServerName> は DPM サーバーの完全修飾ドメイン名 (FQDN) です。
Note
- サイレント インストールを実行するには、DpmAgentInstaller_x64.exe コマンドの後に /q オプションを使用できます。 例: /q <DPMServerName DpmAgentInstaller_x64.exe>
- サイレント インストールで EULA に手動で同意するには、/q <DPMServerName> /IAcceptEULA DpmAgentInstaller_x64.exe使用します。
- コマンド ラインで DPM サーバー名を指定すると、保護エージェントがインストールされ、エージェントが指定された DPM サーバーと通信するために必要なセキュリティ アカウント、アクセス許可、ファイアウォール例外が自動的に構成されます。 サーバー名を指定しなかった場合は、対象のコンピューターで管理者特権のコマンド プロンプトを開き、次の操作を行います。
- ディレクトリの種類を変更するには: cd /d <システム ドライブ>:\Program Files\Microsoft Data Protection Manager\DPM\bin
- 型: -dpmServerName <DPMServerName> をSetDpmServer.exeします。 これにより、エージェントがサーバーと通信するためのセキュリティ アカウント、アクセス許可、ファイアウォールの例外が構成されます。
エージェントをインストールする前にコンピューターを DPM サーバーに追加すると、DPM サーバーが保護対象コンピューターのバックアップ作成を開始します。 DPM サーバーにコンピューターを追加する前にエージェントをインストールした場合は、DPM サーバーがバックアップの作成を開始する前にコンピューターを接続する必要があります。
RODC での保護エージェントのインストール
次の手順に従います:
エージェントをインストールする前に、RODC のファイアウォールをオフにするか、RODC で次のコマンドを実行します。
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yesnetsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yesnetsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allownetsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
プライマリ ドメイン コントローラーで、次のセキュリティ グループを作成して設定します (保護されたサーバー名は、保護エージェントをインストールする予定の RODC の名前です)。
DPMRADCOMTRUSTEDMACHINES$PSNAME という名前のセキュリティ グループを作成し、DPM サーバー コンピューター アカウントをメンバーとして追加します。
DPMRADMTRUSTEDMACHINES$PSNAME という名前のセキュリティ グループを作成し、DPM サーバー コンピューター アカウントをメンバーとして追加します。
DPMRATRUSTEDDPMRAS$PSNAME という名前のセキュリティ グループを作成し、DPM サーバー コンピューター アカウントをメンバーとして追加します。
DPM サーバー マシン アカウントを Builtin\Distributed Com Users セキュリティ グループのメンバーとして追加します。
事前に作成したセキュリティ グループが RODC でレプリケートされていることを確認します。 次に、保護エージェントを RODC に手動でインストールします。
RODC サーバーで、次の手順を実行して、DPMRA サービスの起動とアクティブ化のアクセス許可を付与します。
DPM 管理シェルを開き、コマンド dcomcnfg.exeを実行します。
[コンポーネント サービス ] ウィンドウが開きます。
Component Services ウィンドウで、Computersを展開し、My Computerを展開し、DCOM Config を展開して、DPM RA サービスを右クリックして、Properties を選択します。
Generalを選択し、認証レベルを Default に設定します。
Location を選択し、このコンピューター上の Run アプリケーションのみが選択されていることを確認。
Security を選択し、[起動とアクティブ化のアクセス許可で Customize を選択しCustomizeを選択し、Edit を選択して Launch Permission ダイアログ ボックスを開きます。
[ 起動のアクセス許可 ] ダイアログ ボックスで、DPM サーバー コンピューター アカウントの Local Launch、 Remote Launch、 Local Activation、 Remote Activation のアクセス許可を割り当てます。
OK を選択してダイアログ ボックスを閉じます。
DPM サーバーで Program Files\Microsoft System Center\DPM\DPM\setup に移動し、RODC サーバーのフォルダーに次のファイルをコピーします。
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
RODC で、管理者特権を使用してコマンド プロンプトを開き、直前のステップで指定した場所からコマンド setagentcfg.exe a DPMRA domain\DPMserver を実行します。
RODC サーバーで、C:\Program Files\Microsoft Data Protection Manager\DPM\bin フォルダーに移動し、次の setdpmserver コマンドを実行します。
Setdpmserver -dpmservername DPMSERVER
次のセクションで詳しく説明するように 保護エージェントを DPM サーバーにアタッチします。
エージェントの接続
DPM エージェントを手動でインストールしたら、DPM サーバーにエージェントをアタッチする必要があります。
DPM 管理者コンソールのナビゲーション バーで、 Management>Agents を選択します。 Actions ペインで、Install を選択します。
エージェント展開方法の選択 ページで、信頼されたドメインエージェント>Computer>Next を選択します。 保護エージェントのインストール ウィザードが開きます。
コンピューターの選択 ページで、DPM サーバーと同じドメイン内の使用可能なコンピューターの一覧が表示されます。 Computer 名リストから 1 つ以上のコンピューター (最大 50 台) を選択>追加>次。
ウィザードを初めて使用する場合、DPM は Active Directory にクエリを実行して、潜在的なコンピューターの一覧を取得します。 初回インストールの後、そのデータベースにあるコンピューターの一覧が表示されます。この一覧は、自動検出プロセスによって 1 日 1 回更新されます。
テキスト ファイルを使用して複数のコンピューターを追加するには、[ ファイルから追加 ] ボタンを選択し、[ ファイルから追加 ] ダイアログ ボックスで、テキスト ファイルの場所を入力するか、[ Browse を選択してその場所に移動します。
Enter Credentials ページで、選択したすべてのコンピューターのローカル Administrators グループのメンバーであるドメイン アカウントのユーザー名とパスワードを入力します。 Domain ボックスで、ターゲット コンピューターに保護エージェントをインストールするために使用しているユーザー アカウントのドメイン名を受け入れるか、入力します。 このアカウントは、DPM サーバーが存在しているドメインか、信頼されているドメインに属している可能性があります。 信頼されたドメイン全体のコンピューターに保護エージェントをインストールする場合は、現在のドメイン ユーザー資格情報を入力します。 信頼されているドメインいずれかのメンバーの資格情報が使用できますが、保護対象の選択されたすべてのコンピューターでローカル Administrators グループのメンバーである必要があります。
Summary ページで、Attach を選択します。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示