Поделиться через


Установка агента защиты DPM

 

Опубликовано: Март 2016

Применимо к: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Для установки агентов защиты на находящихся за пределами брандмауэра компьютерах и серверах, которые вы хотите защищать, используется мастер установки агентов защиты. Если компьютеры находятся за брандмауэром или в рабочей группе (домене), не имеющей двустороннего отношения доверия с доменом, где расположен сервер System Center 2012 – Data Protection Manager (DPM), агент защиты можно установить вручную. После ручной установки для включения защиты вам потребуется добавить агент в консоль администрирования DPM. Процедуру установки агентов защиты на компьютерах, находящихся за брандмауэром, см. в разделе Установка агентов защиты на компьютерах за брандмауэром [DPM2012_Web]. Процедуру установки агентов защиты на компьютерах, находящихся в рабочей группе или домене без двустороннего отношения доверия с доменом, в котором находится сервер DPM, см. в разделе Установка агентов защиты на компьютерах в рабочей группе или недоверенном домене [DPM2012_Web].

  • Установка агента защиты из консоли DPM — используйте эту процедуру для установки агента на компьютер, находящийся за пределами брандмауэра, либо на компьютер, для которого настройки брандмауэра могут быть изменены, чтобы обеспечить взаимодействие между агентом и сервером DPM.

  • Ручная установка агента защиты — используйте эту процедуру, если компьютер находится за брандмауэром, блокирующим трафик между агентом и сервером DPM, или если у вас возникают проблемы, связанные с сетью или разрешениями.

  • Установка агента защиты на компьютерах в рабочей группе или в недоверенном домене — в этом сценарии вам потребуется настроить сертификат для проверки подлинности, а затем установить агент. Дополнительные сведения см. в статье Защита компьютеров в рабочих группах и недоверенных доменах.

  • Установка агента защиты на контроллер домена только для чтения. Агент может быть установлен на контроллер домена, доступный только для чтения (RODC). Обратите внимание, что если на контроллере домена только для чтения включен брандмауэр, вы должны либо отключить его, либо перед установкой агента выполнить следующие команды.

  • DPM. Вы можете установить агент защиты с использованием образа сервера программой DPMAgentInstaller.exe без указания сервера Установка агента защиты с помощью образа сервера. Когда образ будет применен к компьютеру и компьютер будет подключен к сети, необходимо будет запустить программу SetDpmServer.exe, чтобы завершить настройку и создать исключения брандмауэра.

  • Установка агента защиты с помощью System Center Configuration Manager. System Center Configuration Manager можно использовать для установки агента защиты DPM в целевых системах, если вы знаете, как создавать и развертывать приложения в System Center Configuration Manager. Дополнительные сведения см. в статье Создание приложений в Configuration Manager.

Установка агента защиты из консоли DPM

  1. В консоли администрирования DPM последовательно щелкните Управление > Агенты. Щелкните Установка на ленте инструментов для запуска мастера установки агентов защиты.

  2. На странице Выбор метода развертывания агента последовательно щелкните Установить агенты > Далее.

  3. На странице Выбор компьютеров в DPM отображается список доступных компьютеров, находящихся в том же домене, что и сервер DPM. Добавьте требуемый компьютер.

    • При первом запуске мастера DPM запрашивает Active Directory для получения списка доступных компьютеров. После первой установки DPM сохраняет список компьютеров в базе данных, которая обновляется один раз в день в процессе автоматического обнаружения.

    • Чтобы найти компьютер в другом домене, имеющем двустороннее отношение доверия с доменом, в котором находится сервер DPM, необходимо ввести полное доменное компьютера, который необходимо защитить (например, <Computer1>.Domain1.contoso.com, где Computer1 — имя компьютера, который необходимо защитить, а Domain1.contoso.com — домен, в который входит целевой компьютер).

    • Кнопка Дополнительно включается, только когда для установки на компьютеры доступно более одной версии агента защиты. Эту функцию можно использовать для установки предыдущей версии агента защиты, которая была установлена до обновления сервера DPM до более новой версии.

  4. На странице Ввод учетных данных введите имя пользователя и пароль для учетной записи домена, которая является членом локальной группы администраторов на всех выбранных компьютерах.

    • В поле Домен примите или укажите имя домена учетной записи пользователя, которая используется для установки агента защиты на целевом компьютере. Эта учетная запись может принадлежать домену, в котором находится сервер DPM, или домену, имеющему двустороннее отношение доверия с доменом, в котором находится сервер DPM.

    • Если вы устанавливаете агент защиты на компьютер в доверенном домене, введите свои учетные данные пользователя текущего домена. Вы можете быть членом любого домена, имеющего двустороннее отношение доверия с доменом, в котором находится сервер DPM, но при этом должны быть членом локальной группы администраторов на всех выбранных компьютерах, на которые необходимо установить агент.

    • Если выбрать узел кластера, DPM обнаружит все дополнительные узлы кластера и отобразит страницу Выберите узлы кластера.

  5. На странице Выберите узлы кластера выберите вариант, который DPM должен использовать для установки агентов на дополнительных узлах кластера, затем щелкните Далее.

  6. На странице Выбор метода перезапуска выберите метод перезагрузки выбранных компьютеров после установки агента защиты. Прежде чем можно будет обеспечить защиту данных, компьютер должен быть перезагружен. Перезагрузка необходима для загрузки фильтра томов, который используется в DPM для отслеживания и передачи изменений на уровне блоков между системой DPM и защищенными компьютерами.

    • Если вы решите отложить перезагрузку компьютеров, состояние установки агента защиты после перезагрузки не будет автоматически обновлено на вкладке Агенты области задач Управление — вам потребуется нажать кнопку Обновить информацию.

    • Обратите внимание, что перезагрузка компьютера не требуется, если вы устанавливаете агент защиты на другой сервер DPM.

    • Если какие-либо из выбранных компьютеров являются узлами кластера, появится дополнительная страница Выбор метода перезапуска, на которой можно выбрать метод перезагрузки кластеризованных компьютеров. Для успешной защиты кластеризованной информации необходимо установить агент защиты на все узлы кластера. Прежде чем можно будет обеспечить защиту данных, компьютеры должны быть перезагружены. Поскольку запуск служб занимает некоторое время, после перезагрузки может пройти несколько минут, прежде чем DPM сможет обратиться к агенту в кластере.

    • DPM не будет автоматически перезагружать компьютер, который входит в кластер Microsoft Cluster Server (MSCS). Компьютеры в составе кластера MSCS необходимо перезагрузить вручную.

  7. На странице Сводка нажмите кнопку Установить, чтобы начать установку. Если появится лицензионное соглашение, примите его для начала установки. На вкладке Задача страницы установки вы увидите, была ли установка успешной. Вы можете нажать кнопку Закрыть до окончания работы мастера и следить за ходом установки с вкладки Агенты области задач Управление. Если установка не выполнена, предупреждения можно просмотреть на вкладке Предупреждения в области задач Наблюдение.

    Примечание. После установки агента защиты на компьютере, который входит в ферму Windows SharePoint Services, в качестве защищенных на вкладке Агенты в области задач Управление будут отображаться не все компьютеры этой фермы, а только выбранный. Однако если ферма Windows SharePoint Services содержит данные на выбранном компьютере, данные на всех компьютерах фермы будут защищены с помощью DPM, если на всех из них будет установлен агент защиты.

Ручная установка агента защиты

  1. При установке агента на компьютер, защищенный брандмауэром, убедитесь в возможности обмена данными с агентом через брандмауэр.

    Например, для настройки брандмауэра Windows выполните на компьютере следующую команду: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-адрес>, где "IP-адрес" — это адрес сервера DPM.

    Сведения о настройке исключений портов в брандмауэре см. в разделе Настройка исключений брандмауэра для агента.

  2. На компьютере, который необходимо защитить, откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

    Для назначения буквы диска введите:
    net use Z: \\<DPMServerName>\c$
    , где Z — это буква локального диска, которую вы хотите назначить, а <DPMServerName> — имя сервера DPM, который будет защищать компьютер.

    Для смены текущего каталога сделайте следующее:

    • Для 64-разрядного компьютера введите: **cd /d <назначенная буква диска>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<номер сборки>.0\amd64**, где <назначенная буква диска> — буква диска, назначенная на предыдущем шаге, а <номер сборки> — номер последней сборки DPM. Пример: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Для 32-разрядного компьютера введите: **cd /d <назначенная буква диска>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<номер сборки>.0\i386**
      , где <назначенная буква диска> — буква диска, назначенная на предыдущем шаге, а <номер сборки> — номер последней сборки DPM.

  3. Для установки агента защиты откройте командную строку с повышенными привилегиями и выполните одну из следующих команд:

    • Для 64-разрядного компьютера введите: DpmAgentInstaller_x64.exe <DPMServerName>
      , где <DPMServerName> — полное доменное имя (FQDN) сервера DPM. Пример: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Для 32-разрядного компьютера введите: DpmAgentInstaller_x86.exe <DPMServerName>
      , где <DPMServerName> — полное доменное имя (FQDN) сервера DPM.

    Примечание.

    • Для выполнения автоматической установки можно использовать параметр /q после команды DpmAgentInstaller_x64.exe. Например: DpmAgentInstaller_x64.exe /q <DPMServerName>

    • Чтобы вручную принять лицензионное соглашение в ходе автоматической установки, используйте команду DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA.

    • Если в командной строке указать имя сервера DPM, будет установлен агент защиты и автоматически настроены учетные записи безопасности, разрешения и исключения брандмауэра, необходимые для взаимодействия агента с указанным сервером DPM. Если вы не указали имя сервера, откройте командную строку с повышенными привилегиями на целевом компьютере и сделайте следующее:

      1. Для смены текущего каталога введите: cd /d <системный диск>: \Program Files\Microsoft Data Protection Manager\DPM\bin.

      2. Введите: SetDpmServer.exe –dpmServerName <DPMServerName>. Будут настроены учетные записи безопасности, разрешения и исключения брандмауэра для взаимодействия агента с сервером.

  4. Если вы добавили компьютер на сервер DPM перед установкой агента, сервер DPM начнет создание резервных копий защищаемого компьютера. Если агент был установлен прежде, чем компьютер был добавлен на сервер DPM, необходимо присоединить компьютер, чтобы сервер DPM начал создавать резервные копии. См. раздел Присоединение агента защиты DPM.

Установка агента защиты на контроллер домена только для чтения

  1. Перед установкой агента отключите брандмауэр на контроллере домена только для чтения или выполните на нем следующие команды.

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. На основном контроллере домена создайте и заполните следующие группы безопасности, где имя защищенного сервера — это имя контроллера домена только для чтения, на котором планируется установить агент защиты.

    • Создайте группу безопасности с именем DPMRADCOMTRUSTEDMACHINES$PSNAME, а затем добавьте учетную запись компьютера сервера DPM в качестве члена.

    • Создайте группу безопасности с именем DPMRADMTRUSTEDMACHINES$PSNAME, а затем добавьте учетную запись компьютера сервера DPM в качестве члена.

    • Создайте группу безопасности с именем DPMRATRUSTEDDPMRAS$PSNAME, а затем добавьте учетную запись компьютера сервера DPM в качестве члена.

    • Добавьте учетную запись компьютера сервера DPM в качестве члена группы безопасности Builtin\Distributed Com Users.

  3. Убедитесь, что ранее созданные группы безопасности реплицированы на контроллере домена только для чтения. Затем вручную установите агент защиты на контроллер домена только для чтения.

  4. На сервере контроллера домена только для чтения выполните следующие действия, чтобы предоставить службе DPMRA разрешения на запуск и активацию.

    1. Откройте командную консоль DPM и выполните команду dcomcnfg.exe.

      Откроется окно Службы компонентов.

    2. В окне Службы компонентов последовательно разверните узлы Компьютеры, Мой компьютер и "Настройка DCOM", щелкните правой кнопкой мыши службу DPM RA и выберите пункт Свойства.

    3. Откройте вкладку Общие и установите для параметра Уровень проверки подлинности значение По умолчанию.

    4. Откройте вкладку Расположение и убедитесь, что установлен только флажок Запустить приложение на данном компьютере.

    5. Выберите раздел Безопасность, щелкните Настроить в разделе Разрешения на запуск и активацию, выберите Настроить, а затем нажмите кнопку Изменить, чтобы открыть диалоговое окно Разрешение на запуск.

    6. В диалоговом окне Разрешение на запуск назначьте разрешения для параметров Локальный запуск, Удаленный запуск, Локальная активация и Удаленная активация в учетной записи компьютера сервера DPM.

    7. Нажмите кнопку ОК, чтобы закрыть диалоговое окно.

    8. Откройте папку %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup на сервере DPM и скопируйте следующие файлы в папку на сервере контроллера домена только для чтения.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. На контроллере домена только для чтения из командной строки с повышенными привилегиями выполните команду setagentcfg.exe a DPMRA domain\DPMserver в каталоге, который был указан на предыдущем этапе.

  6. На сервере контроллера домена только для чтения перейдите в папку "C:\Program Files\Microsoft Data Protection Manager\DPM\bin" и выполните команду setdpmserver:

    Setdpmserver -dpmservername DPMSERVER.

  7. Присоедините агент защиты к серверу DPM. См. раздел Присоединение агента защиты DPM.

Установка агента защиты с помощью образа сервера

  1. На компьютере, на котором необходимо установить агент защиты, в командной строке введите DpmAgentInstaller.exe.

  2. Примените образ сервера к физическому компьютеру и подключите компьютер к сети.

  3. Присоедините компьютер к домену и выполните вход, используя учетную запись пользователя домена, которая является членом локальной группы администраторов.

  4. В командной строке перейдите в каталог cd <буква системного диска>:\Program Files\Microsoft Data Protection Manager\bin и выполните команду SetDpmServer.exe <имя сервера DPM>.

    Укажите полное доменное имя сервера DPM. В качестве домена защищенного компьютера или уникальных имен компьютеров в разных доменах следует указывать только имя компьютера.

    System_CAPS_ICON_important.jpg Важно

    Программу SetDpmServer.exe необходимо запускать из каталога <буква диска>:\Program Files\Microsoft Data Protection Manager\bin. Если ее запустить из какого-либо другого места, операция выполнена не будет.

  5. Подключите агент. См. раздел Присоединение агента защиты DPM.

Установка агента защиты с помощью System Center Configuration Manager

  1. Чтобы создать приложение для агента защиты DPM, необходимо сообщить администратору Configuration Manager следующие данные.

    • Путь к общей папке с файлами DpmAgentInstaller.exe и DpmAgentInstaller_AMD64.exe.

    • Список серверов, на которые нужно установить агенты защиты.

    • Имя сервера DPM.

  2. Приложение SCCM для агента должно вызывать одну из следующих командных строк.

    • Для компьютеров x86 выполните DPMAgentinstaller.exe /q <FQDN сервера DPM> /IAcceptEula.

    • Для компьютеров x64 выполните DPMAgentInstaller_x64.exe /q <FQDN сервера DPM> /IAcceptEula.

  3. Чтобы установить агент защиты x64 с помощью SCCM:

    1. создайте приложение, выполняющее команду DPMAgentinstaller_x64.exe /q <FQDN сервера DPM> /IAcceptEula;

    2. создайте коллекцию компьютеров целевых систем, в которых для каждого сервера DPM используется агент одного и того же типа. Нацельте это приложение на системы, которые будут сопоставлены с указанным компьютером DRM.