Wdrażanie agenta ochrony programu DPM

Ważne

Ta wersja programu Data Protection Manager (DPM) osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu DPM 2022.

Agent ochrony programu System Center Data Protection Manager (DPM) to oprogramowanie instalowane na każdym komputerze zawierającym dane, których kopię zapasową chcesz utworzyć za pomocą programu DPM. Składa się z dwóch składników: samego agenta ochrony i koordynatora agenta. Oto, jakie pełni funkcje:

  • Identyfikuje dane, które program DPM może chronić i odzyskiwać.

  • Zezwala serwerowi programu DPM na przeglądanie udziałów, woluminów i folderów na komputerze chronionym.

  • Tworzy oddzielny dziennik zmian dla każdego chronionego woluminu i przechowuje ten dziennik na woluminie w ukrytym pliku. Rejestruje wszelkie zmiany w chronionych danych w dzienniku zmian i przesyła dziennik z komputera chronionego do serwera programu DPM, aby program DPM mógł zsynchronizować dane podstawowe z repliką.

Skonfiguruj agenta w następujący sposób:

Konfigurowanie wyjątków zapory

Aby agent ochrony mógł komunikować się z serwerem programu DPM przez zaporę, wymagane jest wprowadzenie wyjątków zapory.

Skonfiguruj wyjątek przychodzący dla sqlservr.exe dla wystąpienia programu DPM SQL Server, aby zezwolić na ruch TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80. W poniższej tabeli przedstawiono protokoły i porty wymagane do komunikacji między serwerem DPM i chronionymi serwerami i klientami.

Protokół Port Szczegóły
DCOM 135/TCP
Dynamiczny
Protokół kontroli programu DPM używa protokołu DCOM. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM.

Port TCP o numerze 135 to punkt rozwiązywania punktu końcowego zabezpieczeń DCE używany przez protokół DCOM.

Domyślnie dcOM przypisuje porty dynamicznie z zakresu portów TCP od 49152 do 65535. Ten zakres można jednak skonfigurować przy użyciu usług składowych.

W przypadku komunikacji z agentem programu DPM należy otworzyć górne porty 49152-65535. Aby otworzyć porty, należy wykonać następujące czynności:

1. W Menedżerze usług IIS 7.0 w okienku Połączenia wybierz węzeł na poziomie serwera w drzewie.
2. Kliknij dwukrotnie ikonę Obsługa zapory FTP na liście funkcji.
3. Wprowadź zakres wartości dla zakresu portów kanału danych.
4. Po wprowadzeniu zakresu portów dla usługi FTP w okienku Akcje wybierz pozycję Zastosuj , aby zapisać ustawienia konfiguracji.
TCP 5718/TCP
5719/TCP
Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i komputer chroniony inicjują połączenia w celu włączenia operacji programu DPM, takich jak synchronizacja i odzyskiwanie.

Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719.
DNS 53/UDP Używany między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny do rozpoznawania nazw hostów.
Kerberos 88/UDP 88/TCP Używany między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny na potrzeby uwierzytelniania punktu końcowego połączenia.
LDAP 389/TCP
389/UDP
Używany do przesyłania zapytań podczas komunikacji między programem DPM a kontrolerem domeny.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
Używany między programem DPM a komputerem chronionym, między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny na potrzeby różnych operacji. Używany do ruchu SMB obsługiwanego bezpośrednio przez protokół TCP/IP na potrzeby funkcji programu DPM.

Instalacja agenta z konsoli programu DPM

  1. W konsoli administratora programu DPM wybierz pozycjęAgencizarządzania>. Wybierz pozycję Zainstaluj na wstążce narzędzi, aby otworzyć Kreatora instalacji agenta ochrony.

  2. Na stronie Wybierz metodę wdrażania agenta wybierz pozycję Zainstaluj agentów>Dalej.

  3. Na stronie Wybierz komputery program DPM wyświetli listę komputerów dostępnych w tej samej domenie co serwer programu DPM. Dodaj wymagany komputer.

    • Przy pierwszym użyciu kreatora program DPM wysyła zapytanie do usługi Active Directory, aby uzyskać listę dostępnych komputerów. Po pierwszej instalacji program DPM przechowuje listę komputerów w bazie danych, która jest aktualizowana raz dziennie przez proces automatycznego odnajdywania.

    • Aby znaleźć komputer w innej domenie, która ma dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, należy wpisać w pełni kwalifikowaną nazwę domeny (FQDN) komputera, który ma być chroniony. Na przykład <Computer1.Domain1.contoso.com, gdzie Computer1> to nazwa komputera, który ma być chroniony, a Domain1.contoso.com to domena, do której należy komputer docelowy.

    • Strona przycisku Zaawansowane jest włączona tylko wtedy, gdy na komputerach jest dostępna więcej niż jedna wersja agenta ochrony. Jeśli przycisk jest aktywny, można go użyć, aby zainstalować poprzednią wersję agenta ochrony, która została zainstalowana przed uaktualnieniem serwera programu DPM do nowszej wersji.

  4. Na stronie Wprowadź poświadczenia wpisz nazwę użytkownika i hasło dla konta domeny, które jest członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach.

    • W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika używanego do zainstalowania agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer programu DPM, lub do domeny, która ma ustanowioną dwukierunkową relację zaufania z domeną zawierającą serwer programu DPM.

    • Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej domeny, która ma dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, i musi być członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach, na których chcesz zainstalować agenta.

    • Jeśli wybierzesz węzeł w klastrze, program DPM wykryje wszystkie dodatkowe węzły tego klastra i wyświetli stronę Wybierz węzły klastra.

  5. Na stronie Wybieranie węzłów klastra wybierz opcję, której program DPM ma używać do instalowania agentów w dodatkowych węzłach w klastrze, a następnie wybierz przycisk Dalej.

  6. Na stronie Wybierz metodę ponownego uruchomienia wybierz metodę ponownego uruchomienia, która ma być używana przez wybrane komputery po zainstalowaniu agenta ochrony. Komputer rozpocznie ochronę danych dopiero po ponownym uruchomieniu. Ponowne uruchomienie jest niezbędne, aby załadować filtr woluminu używany przez program DPM do śledzenia i transferowania zmian na poziomie bloku między serwerem programu DPM a komputerami chronionymi.

    • Jeśli później wybierzesz opcję ponownego uruchomienia komputerów, stan instalacji agenta ochrony nie zostanie automatycznie odświeżony na karcie Agenci w obszarze zadań Zarządzanie po ponownym uruchomieniu komputera i musisz wybrać pozycję Odśwież informacje.

    • Nie musisz ponownie uruchamiać komputera, jeśli instalujesz agenta ochrony na innym serwerze programu DPM.

    • Jeśli którykolwiek z wybranych komputerów jest węzłami w klastrze, zostanie wyświetlona dodatkowa strona Wybierz metodę ponownego uruchomienia , której można użyć do wybrania metody ponownego uruchomienia klastrowanych komputerów. Aby pomyślnie chronić dane klastrowane, należy zainstalować agenta ochrony na wszystkich węzłach w klastrze. Komputery rozpoczną ochronę danych dopiero po ponownym uruchomieniu. Ponieważ czas wymagany do uruchamiania usług może potrwać kilka minut po ponownym uruchomieniu, zanim program DPM będzie mógł skontaktować się z agentem w klastrze.

    • Program DPM nie uruchamia automatycznie ponownie komputera należącego do klastra serwera klastra Microsoft (MSCS). Komputery w klastrze MSCS muszą zostać uruchomione ponownie ręcznie.

  7. Na stronie Podsumowanie wybierz pozycję Zainstaluj , aby rozpocząć instalację. Jeśli zostanie wyświetlona umowa LICENCYJNA, zaakceptuj ją, aby rozpocząć instalację. Na karcie Zadanie na stronie instalacji można sprawdzić, czy instalacja zakończyła się pomyślnie. Możesz wybrać pozycję Zamknij przed zakończeniem pracy kreatora i monitorować postęp instalacji na karcie Agenci w obszarze zadań Zarządzanie . Jeśli instalacja się nie powiedzie, alerty możesz sprawdzić na karcie Alerty w obszarze zadań Monitorowanie .

[! UWAGA] Po zainstalowaniu agenta ochrony na komputerze należącym do farmy Windows SharePoint Services każda z komputerów w farmie nie będzie wyświetlana jako chronione komputery na karcie Agenci w obszarze zadań Zarządzanie tylko wybranym komputerem. Jeśli jednak farma programu Windows SharePoint Services zawiera dane na wybranych komputerach, program DPM będzie chronić te dane na wszystkich komputerach w farmie, pod warunkiem że na wszystkich z nich jest zainstalowany agent ochrony.

Ręczna instalacja agenta

  1. Jeśli zainstalujesz agenta na komputerze za zaporą, musisz upewnić się, że agenta można wypchnąć przez zaporę.

    Na przykład możesz uruchomić następujące polecenie na komputerze, aby skonfigurować Zaporę systemu Windows: netsh advfirewall firewall add rule name="Zezwalaj na wypchnięcie zdalnego agenta programu DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<adres_IP>, gdzie adres_IP jest adresem serwera DPM.

    Aby skonfigurować wyjątek dla portu na zaporze, patrz Konfigurowanie wyjątków zapory dla agenta.

  2. Na komputerze, który chcesz chronić, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

    Aby przypisać literę dysku, wpisz: net use Z: \<DPMServerName>\c$ gdzie Z jest literą dysku lokalnego, którą chcesz przypisać, a <DPMServerName> jest nazwą serwera DPM, który będzie chronić komputer.

    Aby zmienić katalog, wykonaj następujące czynności:

    • W przypadku komputera 64-bitowego wpisz: cd /d <przypisana litera> dysku:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.< numer> kompilacji.0\amd64, gdzie <przypisana litera dysku to litera> dysku przypisana w poprzednim kroku, a <numer> kompilacji to najnowszy numer kompilacji programu DPM. Na przykład: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • W przypadku komputera 32-bitowego wpisz: cd /d <przypisana litera> dysku:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.< numer&kompilacji gtl;. 0\i386, gdzie <przypisana litera> dysku to dysk zamapowany w poprzednim kroku, a <numer> kompilacji to najnowszy numer kompilacji programu DPM.

  3. Aby zainstalować agenta ochrony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom jedno z następujących poleceń:

    • W przypadku komputera 64-bitowego wpisz: DpmAgentInstaller_x64.exe <DPMServerName, gdzie DPMServerName>>jest w pełni kwalifikowaną nazwą domeny (FQDN) serwera DPM.< Na przykład: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • W przypadku komputera 32-bitowego wpisz: DpmAgentInstaller_x86.exe <DPMServerName, gdzie DPMServerName>>jest w pełni kwalifikowaną nazwą domeny (FQDN) serwera DPM.<

    Uwaga

    • Aby przeprowadzić instalację dyskretną, można użyć /q opcji po DpmAgentInstaller_x64.exe polecenia. Na przykład: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Aby ręcznie zaakceptować umowy EULA w instalacji dyskretnej, użyj poleceniaDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • W przypadku określenia nazwy serwera programu DPM w wierszu polecenia program instaluje agenta ochrony i automatycznie konfiguruje konta zabezpieczeń, uprawnienia i wyjątki zapory niezbędne dla agenta do komunikowania się z określonym serwerem programu DPM. Jeśli nie określono nazwy serwera, otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze docelowym i wykonaj następujące czynności:
    1. Aby zmienić typ katalogu: cd /d <dysk> systemowy:\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Typ: SetDpmServer.exe -dpmServerName <DPMServerName>. Spowoduje to skonfigurowanie kont zabezpieczeń, uprawnień i wyjątków zapory dla agenta w celu komunikowania się z serwerem.
  4. Jeśli komputer został dodany do serwera programu DPM przed zainstalowaniem agenta, serwer rozpocznie tworzenie kopii zapasowych dla chronionego komputera. Jeśli agent został zainstalowany przed dodaniem komputera do serwera programu DPM, komputer należy dołączyć, zanim serwer programu DPM rozpocznie tworzenie kopii zapasowych.

Instalacja agenta ochrony programu DPM na kontrolerze RODC

Wykonaj następujące kroki:

  1. Przed zainstalowaniem agenta wyłącz zaporę na kontrolerze RODC lub uruchom następujące polecenia na kontrolerze RODC:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Na podstawowym kontrolerze domeny utwórz i wypełnij następujące grupy zabezpieczeń (gdzie nazwa chronionego serwera jest nazwą kontrolera RODC, na którym planujesz zainstalować agenta ochrony):

    • Utwórz grupę zabezpieczeń o nazwie DPMRADCOMTRUSTEDMACHINES$PSNAME, a następnie dodaj konto komputera serwera DPM jako członka.

    • Utwórz grupę zabezpieczeń o nazwie DPMRADMTRUSTEDMACHINES$PSNAME, a następnie dodaj konto komputera serwera DPM jako element członkowski.

    • Utwórz grupę zabezpieczeń o nazwie DPMRATRUSTEDDPMRAS$PSNAME, a następnie dodaj konto komputera serwera PROGRAMU DPM jako członka.

    • Dodaj konto komputera serwera programu DPM jako element członkowski grupy zabezpieczeń Builtin\Distributed Com Users .

  3. Sprawdź, czy utworzone wcześniej grupy zabezpieczeń zostały zreplikowane na kontrolerze RODC. Następnie ręcznie zainstaluj agenta ochrony na kontrolerze RODC.

  4. Wykonaj następujące kroki na serwerze kontrolera RODC, aby udzielić usłudze DPMRA uprawnień uruchamiania i aktywacji:

    1. Otwórz powłokę zarządzania programu DPM, a następnie uruchom polecenie dcomcnfg.exe.

      Zostanie wyświetlone okno Usługi składowe .

    2. W oknie Usługi składowe rozwiń węzeł Komputery, rozwiń węzeł Mój komputer, rozwiń węzeł Konfiguracja DCOM, wybierz i przytrzymaj usługęRA programu DPM , a następnie wybierz pozycję Właściwości.

    3. Wybierz pozycję Ogólne, a następnie ustaw wartość Domyślnypoziom uwierzytelniania.

    4. Wybierz pozycję Lokalizacja, a następnie upewnij się, że wybrano tylko pozycję Uruchom aplikację na tym komputerze .

    5. Wybierz pozycję Zabezpieczenia, wybierz pozycję Dostosuj w obszarze Uprawnienia uruchamiania i aktywacji, wybierz pozycję Dostosuj, a następnie wybierz pozycję Edytuj , aby otworzyć okno dialogowe Uprawnienia uruchamiania .

    6. W oknie dialogowym Uprawnienie do uruchamiania przypisz uprawnienia do uruchamiania lokalnego, uruchamiania zdalnego, aktywacji lokalnej i aktywacji zdalnej dla konta komputera serwera programu DPM.

    7. Wybierz przycisk OK, aby zamknąć okno dialogowe.

    8. Przejdź do folderu Program Files\Microsoft System Center\DPM\DPM\setup na serwerze DPM, skopiuj następujące pliki do folderu na serwerze KONTROLERA RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Na kontrolerze RODC w wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie setagentcfg.exe a domena_usługi_DPMRA\serwer_programu_DPM w lokalizacji określonej w poprzednim kroku.

  6. Na serwerze KONTROLERA RODC przejdź do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin i uruchom polecenie setdpmserver:

    Setdpmserver -dpmservername NAZWA_SERWERA_DPM

  7. Dołącz agenta ochrony do serwera programu DPM zgodnie z opisem w poniższej sekcji.

Dołączanie agenta

Po ręcznym zainstalowaniu agenta programu DPM należy dołączyć agenta do serwera programu DPM.

  1. W konsoli administratora programu DPM na pasku nawigacyjnym wybierz pozycjęAgencizarządzania>. W okienku Akcje wybierz pozycję Zainstaluj.

  2. Na stronie Wybierz metodę wdrożenia agenta wybierz pozycję Dołącz agentów>Komputer w zaufanej domenie>Dalej. Zostanie otwarty Kreator instalacji agenta ochrony.

  3. Na stronie Wybieranie komputerów program DPM wyświetla listę dostępnych komputerów w tej samej domenie co serwer programu DPM. Wybierz co najmniej jeden komputer (maksymalnie 50) z listy >Nazwa komputeraDodaj>dalej.

    • Jeśli po raz pierwszy użyto kreatora, program DPM wysyła zapytanie do usługi Active Directory w celu uzyskania listy potencjalnych komputerów. Po pierwszej instalacji program DPM wyświetla listę komputerów ze swojej bazy danych, która jest aktualizowana raz dziennie przez proces autowykrywania.

    • Aby dodać wiele komputerów przy użyciu pliku tekstowego, wybierz przycisk Dodaj z pliku , a następnie w oknie dialogowym Dodaj z pliku wpisz lokalizację pliku tekstowego lub wybierz pozycję Przeglądaj , aby przejść do jego lokalizacji.

  4. Na stronie Wprowadź poświadczenia wpisz nazwę użytkownika i hasło dla konta domeny, które jest członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach. W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika używanego do zainstalowania agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer DPM, lub do domeny zaufanej. Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej zaufanej domeny oraz musisz być członkiem lokalnej grupy administratorów na wszystkich komputerach docelowych, które chcesz chronić.

  5. Na stronie Podsumowanie wybierz pozycję Dołącz.