Поделиться через

Развертывание агента защиты DPM

  • Статья

Агент защиты System Center Data Protection Manager (DPM) — это программное обеспечение, которое устанавливается на каждом компьютере, содержащее данные, которые необходимо создать с помощью DPM. Он состоит из двух компонентов: самого агента защиты и координатора агента. Выполняются следующие операции:

  • Определяет данные, которые DPM может защитить и восстановить.

  • Позволяет серверу DPM просматривать общие папки, тома и папки на защищенном компьютере.

  • Создает журнал изменений для каждого защищенного тома и сохраняет журнал в скрытом файле на этом томе. Он записывает все изменения защищенных данных в журнале изменений и передает журнал с защищенного компьютера на сервер DPM, чтобы DPM могли синхронизировать первичные данные с репликой.

Вы настроите агент следующим образом:

  • Если компьютер, содержащий данные, которые требуется создать резервную копию, находится за брандмауэром, необходимо настроить исключения брандмауэра.

  • Если компьютер не стоит за брандмауэром или вы настроили исключения брандмауэра, чтобы разрешить доступ, можно установить агент из консоли DPM.

  • Если у вас нет доступа через брандмауэр, компьютер, который вы хотите защитить, находится в рабочей группе или ненадежном домене, или вам нужно использовать другой метод установки, вы можете установить агент вручную , а затем подключить агент.

Настройка исключений брандмауэра

Для взаимодействия агента защиты с сервером DPM через брандмауэр требуются исключения брандмауэра.

Настройте входящее исключение для sqlservr.exe для экземпляра DPM SQL Server, чтобы разрешить TCP через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80. В следующей таблице перечислены протоколы и порты, необходимые для взаимодействия между сервером DPM и защищаемыми серверами и клиентами.

Протокол Порт Сведения
DCOM 135/TCP
Динамический		 Протокол управления DPM использует DCOM. DPM дает команды агенту защиты, создавая для него вызовы DCOM. Агент защиты отвечает, создавая вызовы DCOM на сервере DPM.

TCP-порт 135 — это точка разрешения конечных точек DCE, используемая DCOM.

По умолчанию DCOM динамически назначает порты из диапазона TCP-портов от 49152 до 65535. Тем не менее, можно настроить этот диапазон с помощью служб компонентов.

Для обмена данными агента DPM необходимо открыть верхние порты 49152-65535. Чтобы открыть порты, выполните следующие действия.

1. В диспетчере IIS 7.0 в области "Подключения " выберите узел уровня сервера в дереве.
2. Дважды щелкните значок Поддержка брандмауэра FTP в списке компонентов.
3. Укажите диапазон значений для пункта Диапазон портов канала данных.
4. После ввода диапазона портов для службы FTP в области действий нажмите кнопку "Применить ", чтобы сохранить параметры конфигурации.
TCP 5718/TCP
5719/TCP		 Канал данных DPM основан на протоколе TCP. DPM и защищенный компьютер инициируют подключения для включения операций DPM, таких как синхронизация и восстановление.

DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719.
DNS 53/UDP Используется между DPM и контроллером домена и между защищенным компьютером и контроллером домена для разрешения имен узлов.
Kerberos 88/UDP 88/TCP Используется между DPM и контроллером домена и между защищенным компьютером и контроллером домена для проверки подлинности конечной точки подключения.
LDAP 389/TCP
389/UDP		 Используется между DPM и контроллером домена для запросов.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Используется между DPM и защищенным компьютером, между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена для других операций. Используется для SMB, размещенного непосредственно в функциях TCP/IP для функций DPM.

Установка агента из консоли DPM

  1. В консоли администрирования DPM выберите агенты управления>. Выберите " Установить " на ленте средства, чтобы открыть мастер установки агента защиты.

  2. На странице "Выбор метода развертывания агента" нажмите кнопку "Установить агенты>далее".

  3. На странице "Выбор компьютеров" DPM отображает список доступных компьютеров, которые находятся в том же домене, что и сервер DPM. Добавьте требуемый компьютер.

    • При первом использовании мастера DPM запрашивает Active Directory для получения списка доступных компьютеров. После первой установки DPM хранит список компьютеров в базе данных, который обновляется каждый день процессом автоматического обнаружения.

    • Чтобы найти компьютер в другом домене с двусторонним отношением доверия с доменом, в который находится сервер DPM, необходимо ввести полное доменное имя (FQDN) компьютера, в который требуется защитить. Например, <Computer1.Domain1.contoso.com, где Computer1> — имя компьютера, который требуется защитить, и Domain1.contoso.com — это домен, к которому принадлежит целевой компьютер.

    • Страница "Дополнительно " включена только в том случае, если на компьютерах доступно несколько версий агента защиты. Этот параметр можно использовать для установки предыдущей версии агента защиты, установленной перед обновлением сервера DPM до более последней версии.

  4. На странице "Ввод учетных данных" введите имя пользователя и пароль для учетной записи домена, являющейся членом локальной группы администраторов на всех выбранных компьютерах.

    • В поле "Домен" примите или введите доменное имя учетной записи пользователя, которую вы используете для установки агента защиты на целевом компьютере. Эта учетная запись может принадлежать домену, в который находится сервер DPM или в домене с двусторонним отношением доверия с доменом, в который находится сервер DPM.

    • Если вы устанавливаете агент защиты на компьютере в доверенном домене, введите учетные данные текущего пользователя домена. Вы можете быть членом любого домена, который имеет двустороннее отношение доверия с доменом, в котором находится сервер DPM, и вы должны быть членом локальной группы администраторов на всех выбранных компьютерах, на которых требуется установить агент.

    • Если выбрать узел в кластере, DPM обнаруживает все дополнительные узлы в кластере и отображает страницу "Выбор узлов кластера".

  5. На странице "Выбор узлов кластера" выберите параметр, используемый DPM для установки агентов на дополнительных узлах в кластере, а затем нажмите кнопку "Далее".

  6. На странице Выбор метода перезапуска выберите метод перезагрузки выбранных компьютеров после установки агента защиты. Прежде чем можно будет обеспечить защиту данных, компьютер должен быть перезагружен. Перезагрузка необходима для загрузки фильтра томов, который DPM использует для отслеживания и передачи изменений на уровне блока между сервером DPM и защищенными компьютерами.

    • Если вы выберете перезагрузку компьютеров позже, состояние установки агента защиты не обновляется автоматически на вкладке "Агенты" в области задач "Управление " после перезагрузки компьютера, и вам потребуется выбрать "Обновить сведения".

    • Если вы устанавливаете агент защиты на другом сервере DPM, не нужно перезагрузить компьютер.

    • Если любой из выбранных компьютеров является узлами в кластере, появится дополнительная страница "Выбор метода перезапуска", которую можно использовать для выбора метода перезапуска кластеризованных компьютеров. Для успешной защиты кластеризованных данных необходимо установить агент защиты на всех узлах в кластере. Прежде чем можно будет обеспечить защиту данных, компьютеры должны быть перезагружены. По мере необходимости для запуска служб может потребоваться несколько минут после перезапуска, прежде чем DPM сможет связаться с агентом в кластере.

    • DPM не перезагрузит компьютер, принадлежащий кластеру Microsoft Cluster Server (MSCS). Компьютеры в составе кластера MSCS необходимо перезагрузить вручную.

  7. На странице "Сводка" выберите "Установить", чтобы начать установку. Если появится лицензионное соглашение, примите его для запуска установки. На вкладке "Задача " на странице установки вы увидите, выполнена ли установка успешно. Вы можете выбрать "Закрыть ", прежде чем мастер завершит работу и отслеживать ход установки на вкладке "Агенты" в области задач "Управление ". Если установка не выполнена, предупреждения можно просмотреть на вкладке Предупреждения в области задач Наблюдение .

Примечание.

После установки агента защиты на компьютере, который входит в ферму Windows SharePoint Services, каждый из компьютеров в ферме не будет отображаться как защищенные компьютеры на вкладке "Агенты " в области задач "Управление ", только выбранный компьютер. Однако если ферма Windows SharePoint Services содержит данные на выбранном компьютере, DPM защищает данные на всех компьютерах фермы, если все они установлены агентом защиты.

Установка агента вручную

  1. Если агент установлен на компьютере за брандмауэром, необходимо убедиться, что агент можно отправить через брандмауэр.

    Например, можно выполнить следующую команду на компьютере, чтобы настроить брандмауэр Windows: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=any remoteip=<IPAddress, где IPAddress> является адресом сервера DPM.

    Сведения о настройке исключений портов в брандмауэре см. в разделе Настройка исключений брандмауэра для агента.

  2. На компьютере, который вы хотите защитить, откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

    Для назначения буквы диска введите: net use Z: <DPMServerName>\c$, где Z — это буква локального диска, которую вы хотите назначить, а <DPMServerName> — имя сервера DPM, который будет защищать компьютер.

    Для смены текущего каталога сделайте следующее:

    • Для 64-разрядного компьютера введите cd /d< назначенное букву> диска:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<номер> сборки.0\amd64<, где назначенная буква> диска — буква диска, назначенная на предыдущем шаге, и <номер сборки — это последний номер> сборки DPM. Пример: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Для 32-разрядного компьютера введите cd /d< назначенную букву> диска:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<номер сборки>. 0\i386, где <назначенная буква> диска — это диск, сопоставленный на предыдущем шаге, и <номер сборки является последним номером> сборки DPM.

  3. Чтобы установить агент защиты, откройте окно командной строки с повышенными привилегиями и выполните одну из следующих команд:

    • Для 64-разрядного компьютера введите: DpmAgentInstaller_x64.exe DPMServerName, где< DPMServerName>> является полным доменным именем (FQDN) сервера DPM.< Например, DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Для 32-разрядного компьютера введите: DpmAgentInstaller_x86.exe DPMServerName, где< DPMServerName>> — полное доменное имя сервера DPM.<

    Примечание.

    • Чтобы выполнить автоматическую установку , можно использовать параметр /q после команды DpmAgentInstaller_x64.exe . Например: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Чтобы принять EULA вручную в автоматической установке, используйте DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Если указать имя сервера DPM в командной строке, он устанавливает агент защиты и автоматически настраивает учетные записи безопасности, разрешения и исключения брандмауэра, необходимые для взаимодействия агента с указанным сервером DPM. Если имя сервера не указано, откройте командную строку с повышенными привилегиями на целевом компьютере и выполните следующие действия:
      1. Изменение типа каталога: cd /d <системного диска>:\Program Files\Microsoft Data Protection Manager\DPM\bin
      2. Тип: SetDpmServer.exe -dpmServerName< DPMServerName>. Это настраивает учетные записи безопасности, разрешения и исключения брандмауэра для агента для взаимодействия с сервером.

  4. Если вы добавили компьютер на сервер DPM перед установкой агента, сервер начнет создание резервных копий защищаемого компьютера. Если агент установлен перед добавлением компьютера на сервер DPM, необходимо подключить компьютер, прежде чем сервер DPM начнет создавать резервные копии.

Установка агента защиты на контроллер домена только для чтения

Необходимые действия:

  1. Отключите брандмауэр в RODC или выполните следующие команды в RODC перед установкой агента:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. На основном контроллере домена создайте и заполните следующие группы безопасности (где защищенное имя сервера — имя контроллера домена, на котором планируется установить агент защиты):

    • Создайте группу безопасности с именем DPMRADCOMTRUSTEDMACHINES$PSNAME, а затем добавьте учетную запись сервера DPM в качестве члена.

    • Создайте группу безопасности с именем DPMRADMTRUSTEDMACHINES$PSNAME, а затем добавьте учетную запись сервера DPM в качестве члена.

    • Создайте группу безопасности с именем DPMRATRUSTEDDPMRAS$PSNAME, а затем добавьте учетную запись сервера DPM в качестве члена.

    • Добавьте учетную запись компьютера сервера DMP в качестве члена группы безопасности Builtin\Distributed Com Users.

  3. Убедитесь, что ранее созданные группы безопасности реплицированы на контроллере домена только для чтения. Затем вручную установите агент защиты на контроллер домена только для чтения.

  4. На сервере контроллера домена только для чтения выполните следующие действия, чтобы предоставить службе DPMRA разрешения на запуск и активацию.

    1. Откройте оболочку управления DPM и выполните команду dcomcnfg.exe.

      Откроется окно Службы компонентов .

    2. В окне "Службы компонентов" разверните "Компьютеры", разверните узел "Мой компьютер", разверните конфигурацию DCOM, щелкните правойкнопкой мыши службу DPM RA и выберите "Свойства".

    3. Выберите "Общие", а затем задайте для уровня проверки подлинности значение По умолчанию.

    4. Выберите расположение и убедитесь, что выбрано только приложение запуска на этом компьютере .

    5. Выберите "Безопасность", выберите "Настроить" в разделе "Разрешения запуска и активация", выберите "Настроить", а затем выберите "Изменить", чтобы открыть диалоговое окно "Разрешение запуска".

    6. В диалоговом окне "Разрешение запуска" назначьте разрешения для локального запуска, удаленного запуска, локальной активации и удаленной активации для учетной записи сервера DPM.

    7. Выберите OK, чтобы закрыть диалоговое окно.

    8. Откройте папку Program Files\Microsoft System Center\DPM\DPM\setup на сервере DPM и скопируйте следующие файлы в папку на сервере контроллера домена только для чтения.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. На контроллере домена только для чтения из командной строки с повышенными привилегиями выполните команду setagentcfg.exe a DPMRA domain\DPMserver в каталоге, который был указан на предыдущем этапе.

  6. На сервере контроллера домена только для чтения перейдите в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin и выполните команду setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Подключите агент защиты к серверу DPM, как описано в следующем разделе.

Присоединение агента

После установки агента DPM вручную необходимо подключить агент к серверу DPM.

  1. В консоли администрирования DPM на панели навигации выберите агенты управления>. В области "Действия" выберите "Установить".

  2. На странице Выбор метода развертывания агента выберите вариант Присоединить агенты>Компьютер в доверенном домене>Далее. Откроется мастер установки агента защиты.

  3. На странице "Выбор компьютеров" DPM отображает список доступных компьютеров в том же домене, что и сервер DPM. Выберите один или несколько компьютеров (максимум 50) в списке >"Добавить>имя компьютера".

    • Если это первый раз, когда вы использовали мастер, DPM запрашивает Active Directory, чтобы получить список потенциальных компьютеров. После первой установки DPM отображает список компьютеров из базы данных, которая обновляется один раз в день в процессе автоматического обнаружения.

    • Чтобы добавить несколько компьютеров с помощью текстового файла, нажмите кнопку "Добавить из файла" и в диалоговом окне "Добавить из файла" введите расположение текстового файла или нажмите кнопку "Обзор", чтобы перейти к его расположению.

  4. На странице "Ввод учетных данных" введите имя пользователя и пароль для учетной записи домена, являющейся членом локальной группы администраторов на всех выбранных компьютерах. В поле "Домен" примите или введите доменное имя учетной записи пользователя, которую вы используете для установки агента защиты на целевом компьютере. Эта учетная запись может принадлежать домену, в котором находится сервер DPM, или доверенному домену. Если вы устанавливаете агент защиты на компьютере в доверенном домене, введите учетные данные текущего пользователя домена. Вы можете быть членом любого доверенного домена, но при этом должны быть членом локальной группы администраторов на всех выбранных компьютерах, которые необходимо защитить.

  5. На странице "Сводка" нажмите кнопку "Присоединить".