Udostępnij za pośrednictwem

Wdrażanie agenta ochrony programu DPM

  • Artykuł

Agent ochrony programu System Center Data Protection Manager (DPM) to oprogramowanie instalowane na każdym komputerze zawierającym dane, których kopię zapasową chcesz utworzyć za pomocą programu DPM. Składa się z dwóch składników: samego agenta ochrony i koordynatora agenta. Oto, co robi:

  • Identyfikuje dane, które program DPM może chronić i odzyskiwać.

  • Umożliwia serwerowi programu DPM przeglądanie udziałów, woluminów i folderów na komputerze chronionym.

  • Tworzy dziennik zmian dla każdego chronionego woluminu i przechowuje dziennik w ukrytym pliku na tym woluminie. Rejestruje wszelkie zmiany w chronionych danych w dzienniku zmian i przesyła dziennik z komputera chronionego do serwera programu DPM, aby program DPM mógł zsynchronizować dane podstawowe z repliką.

Agent zostanie skonfigurowany w następujący sposób:

  • Jeśli komputer zawierający dane, które chcesz utworzyć kopię zapasową, znajduje się za zaporą, należy skonfigurować wyjątki zapory.

  • Jeśli komputer nie znajduje się za zaporą lub skonfigurowano wyjątki zapory w celu zezwolenia na dostęp, możesz zainstalować agenta z konsoli programu DPM.

  • Jeśli nie masz dostępu za pośrednictwem zapory, komputer, który chcesz chronić, znajduje się w grupie roboczej lub niezaufanej domenie lub musisz użyć innej metody instalacji, możesz zainstalować agenta ręcznie , a następnie dołączyć agenta.

Konfigurowanie wyjątków zapory

Aby agent ochrony komunikował się z serwerem programu DPM za pośrednictwem zapory, wymagane są wyjątki zapory.

Skonfiguruj wyjątek przychodzący dla sqlservr.exe dla wystąpienia programu DPM programu SQL Server, aby zezwolić na protokół TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80. W poniższej tabeli wymieniono protokoły i porty wymagane do komunikacji między serwerem programu DPM a serwerami chronionymi i klientami.

Protokół Port Szczegóły
DCOM 135/TCP
Dynamiczny		 Protokół sterowania programu DPM używa modelu DCOM. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM.

Port TCP 135 to punkt rozwiązywania punktów końcowych DCE używany przez model DCOM.

Domyślnie dcOM przypisuje porty dynamicznie z zakresu portów TCP od 49152 do 65535. Można jednak skonfigurować ten zakres przy użyciu usług składników.

W przypadku komunikacji agenta programu DPM należy otworzyć górne porty 49152-65535. Aby otworzyć porty, wykonaj następujące kroki:

1. W Menedżerze usług IIS 7.0 w okienku Połączenia wybierz węzeł na poziomie serwera w drzewie.
2. Kliknij dwukrotnie ikonę Obsługa zapory FTP na liście funkcji.
3. Wprowadź zakres wartości zakresu portów kanału danych.
4. Po wprowadzeniu zakresu portów dla usługi FTP w okienku Akcje wybierz pozycję Zastosuj , aby zapisać ustawienia konfiguracji.
TCP 5718/TCP
5719/TCP		 Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i komputer chroniony inicjują połączenia w celu włączenia operacji programu DPM, takich jak synchronizacja i odzyskiwanie.

Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719.
DNS 53/UDP Używany między programem DPM a kontrolerem domeny i między komputerem chronionym a kontrolerem domeny na potrzeby rozpoznawania nazw hosta.
Kerberos 88/UDP 88/TCP Używany między programem DPM a kontrolerem domeny i między komputerem chronionym a kontrolerem domeny do uwierzytelniania punktu końcowego połączenia.
LDAP 389/TCP
389/UDP		 Używany między programem DPM a kontrolerem domeny na potrzeby zapytań.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Używany między programem DPM a komputerem chronionym między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny na potrzeby różnych operacji. Używany do bezpośredniej obsługi protokołu SMB hostowanego w protokole TCP/IP dla funkcji programu DPM.

Instalowanie agenta z konsoli programu DPM

  1. W konsoli administratora programu DPM wybierz pozycję Agenci zarządzania>. Wybierz pozycję Zainstaluj na wstążce narzędzi, aby otworzyć Kreatora instalacji agenta ochrony.

  2. Na stronie Wybierz metodę wdrażania agenta wybierz pozycję Zainstaluj agentów>Dalej.

  3. Na stronie Wybieranie komputerów program DPM wyświetli listę dostępnych komputerów znajdujących się w tej samej domenie co serwer programu DPM. Dodaj wymagany komputer.

    • Przy pierwszym użyciu kreatora program DPM wysyła zapytanie do usługi Active Directory, aby uzyskać listę dostępnych komputerów. Po pierwszej instalacji program DPM przechowuje listę komputerów w bazie danych, która jest aktualizowana raz dziennie przez proces automatycznego odnajdywania.

    • Aby znaleźć komputer w innej domenie, która ma dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, należy wpisać w pełni kwalifikowaną nazwę domeny (FQDN) komputera, który ma być chroniony. Na przykład <Computer1.Domain1.contoso.com>, gdzie Computer1 jest nazwą komputera, który ma być chroniony, a Domain1.contoso.com jest domeną, do której należy komputer docelowy.

    • Strona przycisku Zaawansowane jest włączona tylko wtedy, gdy na komputerach jest dostępna więcej niż jedna wersja agenta ochrony. Tej opcji można użyć do zainstalowania poprzedniej wersji agenta ochrony, który został zainstalowany przed uaktualnieniem serwera PROGRAMU DPM do nowszej wersji.

  4. Na stronie Wprowadź poświadczenia wpisz nazwę użytkownika i hasło dla konta domeny, które jest członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach.

    • W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika używanego do zainstalowania agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w którą znajduje się serwer programu DPM, lub do domeny, która ma dwukierunkową relację zaufania z domeną, w którą znajduje się serwer programu DPM.

    • Jeśli instalujesz agenta ochrony na komputerze w zaufanej domenie, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej domeny, która ma dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, i musisz być członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach, na których chcesz zainstalować agenta.

    • W przypadku wybrania węzła w klastrze program DPM wykryje wszystkie dodatkowe węzły w klastrze i wyświetli stronę Wybieranie węzłów klastra .

  5. Na stronie Wybieranie węzłów klastra wybierz opcję, która ma być używana przez program DPM do instalowania agentów w dodatkowych węzłach w klastrze, a następnie wybierz przycisk Dalej.

  6. Na stronie Wybierz metodę ponownego uruchomienia wybierz metodę ponownego uruchomienia, która ma być używana przez wybrane komputery po zainstalowaniu agenta ochrony. Komputer rozpocznie ochronę danych dopiero po ponownym uruchomieniu. Ponowne uruchomienie jest niezbędne do załadowania filtru woluminu używanego przez program DPM do śledzenia i przesyłania zmian na poziomie bloku między serwerem programu DPM a komputerami chronionymi.

    • Jeśli wybierzesz opcję ponownego uruchomienia komputerów później, stan instalacji agenta ochrony nie zostanie automatycznie odświeżony na karcie Agenci w obszarze zadań Zarządzanie po ponownym uruchomieniu komputera i należy wybrać pozycję Odśwież informacje.

    • Nie musisz ponownie uruchamiać komputera, jeśli instalujesz agenta ochrony na innym serwerze programu DPM.

    • Jeśli którykolwiek z wybranych komputerów to węzły w klastrze, zostanie wyświetlona dodatkowa strona Wybierz metodę ponownego uruchomienia , której można użyć do wybrania metody ponownego uruchomienia klastrowanych komputerów. Aby pomyślnie chronić dane klastrowane, należy zainstalować agenta ochrony na wszystkich węzłach w klastrze. Komputery rozpoczną ochronę danych dopiero po ponownym uruchomieniu. Czas wymagany do uruchomienia usług może potrwać kilka minut po ponownym uruchomieniu programu DPM, zanim program DPM będzie mógł skontaktować się z agentem w klastrze.

    • Program DPM nie uruchamia automatycznie komputera należącego do klastra programu Microsoft Cluster Server (MSCS). Komputery w klastrze MSCS muszą zostać uruchomione ponownie ręcznie.

  7. Na stronie Podsumowanie wybierz pozycję Zainstaluj, aby rozpocząć instalację. Jeśli zostanie wyświetlona umowa LICENCYJNA, zaakceptuj ją, aby rozpocząć instalację. Na karcie Zadanie na stronie instalacji można sprawdzić, czy instalacja zakończyła się pomyślnie. Możesz wybrać pozycję Zamknij przed zakończeniem pracy kreatora i monitorować postęp instalacji na karcie Agenci w obszarze zadań Zarządzanie . Jeśli instalacja się nie powiedzie, alerty możesz sprawdzić na karcie Alerty w obszarze zadań Monitorowanie .

Uwaga

Po zainstalowaniu agenta ochrony na komputerze należącym do farmy programu Windows SharePoint Services każdy z komputerów w farmie nie będzie wyświetlany jako komputery chronione na karcie Agenci w obszarze zadań Zarządzanie tylko wybranym komputerem. Jeśli jednak farma programu Windows SharePoint Services zawiera dane na wybranym komputerze, program DPM chroni dane na wszystkich komputerach w farmie, pod warunkiem że wszystkie z nich mają zainstalowanego agenta ochrony.

Ręczne instalowanie agenta

  1. W przypadku zainstalowania agenta na komputerze za zaporą należy upewnić się, że agent może zostać wypchnięty przez zaporę.

    Na przykład można uruchomić następujące polecenie na komputerze, aby skonfigurować Zaporę systemu Windows: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress, gdzie IPAddress> jest adresem serwera DPM.

    Aby skonfigurować wyjątek dla portu na zaporze, patrz Konfigurowanie wyjątków zapory dla agenta.

  2. Na komputerze, który chcesz chronić, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

    Aby przypisać literę dysku, wpisz: net use Z: \<DPMServerName>\c$ gdzie Z jest literą dysku lokalnego, którą chcesz przypisać, a <DPMServerName> jest nazwą serwera DPM, który będzie chronić komputer.

    Aby zmienić katalog, wykonaj następujące czynności:

    • W przypadku komputera 64-bitowego wpisz: cd /d <przypisanej litery> dysku:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numer> kompilacji.0\amd64, gdzie< przypisana litera dysku to litera> dysku przypisana w poprzednim kroku, a <numer> kompilacji to najnowszy numer kompilacji programu DPM. Na przykład: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • W przypadku komputera 32-bitowego wpisz: cd /d <przypisanej litery> dysku:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numer kompilacji>. 0\i386 , gdzie <przypisana litera> dysku to dysk zamapowany w poprzednim kroku, a <numer> kompilacji to najnowszy numer kompilacji programu DPM.

  3. Aby zainstalować agenta ochrony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom jedno z następujących poleceń:

    • W przypadku komputera 64-bitowego wpisz: DpmAgentInstaller_x64.exe DPMServerName<, gdzie <DPMServerName>> jest w pełni kwalifikowaną nazwą domeny (FQDN) serwera DPM. Na przykład: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • W przypadku komputera 32-bitowego wpisz: DpmAgentInstaller_x86.exe DPMServerName, gdzie< DPMServerName>> jest w pełni kwalifikowaną nazwą domeny (FQDN) serwera DPM.<

    Uwaga

    • Aby przeprowadzić instalację dyskretną, można użyć /q opcji po DpmAgentInstaller_x64.exe polecenia. Na przykład: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Aby ręcznie zaakceptować umowy EULA w instalacji dyskretnej, użyj polecenia DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Jeśli określisz nazwę serwera programu DPM w wierszu polecenia, instaluje agenta ochrony i automatycznie konfiguruje konta zabezpieczeń, uprawnienia i wyjątki zapory niezbędne dla agenta do komunikowania się z określonym serwerem PROGRAMU DPM. Jeśli nie określono nazwy serwera, otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze docelowym i wykonaj następujące czynności:
    1. Aby zmienić typ katalogu: cd /d <dysk> systemowy:\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Typ: SetDpmServer.exe -dpmServerName DPMServerName><. Spowoduje to skonfigurowanie kont zabezpieczeń, uprawnień i wyjątków zapory dla agenta w celu komunikowania się z serwerem.

  4. Jeśli komputer został dodany do serwera programu DPM przed zainstalowaniem agenta, serwer zacznie tworzyć kopie zapasowe dla chronionego komputera. Jeśli agent został zainstalowany przed dodaniu komputera do serwera programu DPM, należy dołączyć komputer przed rozpoczęciem tworzenia kopii zapasowych przez serwer programu DPM.

Instalacja agenta ochrony programu DPM na kontrolerze RODC

Wykonaj następujące kroki:

  1. Przed zainstalowaniem agenta wyłącz zaporę na kontrolerze RODC lub uruchom następujące polecenia na kontrolerze RODC:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Na podstawowym kontrolerze domeny utwórz i wypełnij następujące grupy zabezpieczeń (gdzie chroniona nazwa serwera jest nazwą kontrolera RODC, na którym planujesz zainstalować agenta ochrony):

    • Utwórz grupę zabezpieczeń o nazwie DPMRADCOMTRUSTEDMACHINES$PSNAME, a następnie dodaj konto komputera serwera PROGRAMU DPM jako członka.

    • Utwórz grupę zabezpieczeń o nazwie DPMRADMTRUSTEDMACHINES$PSNAME, a następnie dodaj konto komputera serwera PROGRAMU DPM jako członka.

    • Utwórz grupę zabezpieczeń o nazwie DPMRATRUSTEDDPMRAS$PSNAME, a następnie dodaj konto komputera serwera PROGRAMU DPM jako członka.

    • Dodaj konto komputera serwera PROGRAMU DPM jako członka grupy zabezpieczeń Builtin\Distributed Com Users .

  3. Sprawdź, czy utworzone wcześniej grupy zabezpieczeń zostały zreplikowane na kontrolerze RODC. Następnie ręcznie zainstaluj agenta ochrony na kontrolerze RODC.

  4. Wykonaj następujące kroki na serwerze kontrolera RODC, aby udzielić usłudze DPMRA uprawnień uruchamiania i aktywacji:

    1. Otwórz powłokę zarządzania programu DPM, a następnie uruchom polecenie dcomcnfg.exe.

      Zostanie wyświetlone okno Usługi składowe .

    2. W oknie Usługi składowe rozwiń węzeł Komputery, rozwiń węzeł Mój komputer, rozwiń węzeł Konfiguracja DCOM, kliknij prawym przyciskiem myszy usługęDPM RA, a następnie wybierz polecenie Właściwości.

    3. Wybierz pozycję Ogólne, a następnie ustaw pozycję Poziom uwierzytelniania na Wartość domyślna.

    4. Wybierz pozycję Lokalizacja, a następnie upewnij się, że wybrano tylko pozycję Uruchom aplikację na tym komputerze .

    5. Wybierz pozycję Zabezpieczenia, wybierz pozycję Dostosuj w obszarze Uprawnienia uruchamiania i aktywacji, wybierz pozycję Dostosuj, a następnie wybierz pozycję Edytuj , aby otworzyć okno dialogowe Uprawnienia uruchamiania.

    6. W oknie dialogowym Uruchamianie uprawnienia przypisz uprawnienia do uruchamiania lokalnego, uruchamiania zdalnego, aktywacji lokalnej i aktywacji zdalnej dla konta komputera serwera PROGRAMU DPM.

    7. Kliknij przycisk OK, aby zamknąć okno dialogowe.

    8. Przejdź do folderu Program Files\Microsoft System Center\DPM\DPM\setup na serwerze DPM, skopiuj następujące pliki do folderu na serwerze RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Na kontrolerze RODC w wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie setagentcfg.exe a domena_usługi_DPMRA\serwer_programu_DPM w lokalizacji określonej w poprzednim kroku.

  6. Na serwerze RODC przejdź do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin i uruchom polecenie setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Dołącz agenta ochrony do serwera programu DPM zgodnie z opisem w poniższej sekcji.

Dołączanie agenta

Po ręcznym zainstalowaniu agenta programu DPM należy dołączyć agenta do serwera programu DPM.

  1. W konsoli administratora programu DPM na pasku nawigacyjnym wybierz pozycję Agenci zarządzania>. W okienku Akcje wybierz pozycję Zainstaluj.

  2. Na stronie Wybierz metodę wdrażania agenta wybierz pozycję Dołącz komputer agentów>w zaufanej domenie>Dalej. Zostanie otwarty Kreator instalacji agenta ochrony.

  3. Na stronie Wybieranie komputerów program DPM wyświetla listę dostępnych komputerów w tej samej domenie co serwer programu DPM. Wybierz co najmniej jeden komputer (maksymalnie 50) z listy >Nazwa komputera Dodaj>dalej.

    • Jeśli używasz kreatora po raz pierwszy, program DPM wysyła zapytanie do usługi Active Directory, aby uzyskać listę potencjalnych komputerów. Po pierwszej instalacji program DPM wyświetla listę komputerów w bazie danych, która jest aktualizowana raz dziennie przez proces automatycznego odnajdywania.

    • Aby dodać wiele komputerów przy użyciu pliku tekstowego, wybierz przycisk Dodaj z pliku , a następnie w oknie dialogowym Dodaj z pliku wpisz lokalizację pliku tekstowego lub wybierz pozycję Przeglądaj , aby przejść do jego lokalizacji.

  4. Na stronie Wprowadź poświadczenia wpisz nazwę użytkownika i hasło dla konta domeny, które jest członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach. W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika używanego do zainstalowania agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w którą znajduje się serwer programu DPM lub do zaufanej domeny. Jeśli instalujesz agenta ochrony na komputerze w zaufanej domenie, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej zaufanej domeny i musisz być członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach, które chcesz chronić.

  5. Na stronie Podsumowanie wybierz pozycję Dołącz.