Dela via


Distribuera DPM-skyddsagenten

Viktigt

Den här versionen av Data Protection Manager (DPM) har nått slutet av supporten. Vi rekommenderar att du uppgraderar till DPM 2022.

DPM-skyddsagenten (System Center Data Protection Manager) är den programvara som du installerar på varje dator som innehåller data som du vill säkerhetskopiera med DPM. Den består av två komponenter: själva skyddsagenten och en agentkoordinator. Den gör följande:

  • Identifierar de data som DPM kan skydda och återställa.

  • Gör det möjligt för DPM-servern att söka i resurser, volymer och mappar på den skyddade datorn.

  • Skapar en separat journal för varje skyddad volym och lagrar journalen i en dold fil på den volymen. Den registrerar alla ändringar av skyddade data i ändringsjournalen och överför journalen från den skyddade datorn till DPM-servern så att DPM kan synkronisera primära data med repliken.

Konfigurera agenten på följande sätt:

  • Om datorn som innehåller de data som du vill säkerhetskopiera finns bakom en brandvägg måste du konfigurera brandväggsfel.

  • Om datorn inte finns bakom en brandvägg eller om du har konfigurerat brandväggsfel för att tillåta åtkomst kan du installera agenten från DPM-konsolen.

  • Om du inte har åtkomst via brandväggen finns den dator som du vill skydda i en arbetsgrupp eller en obetrodd domän, eller om du behöver använda en annan installationsmetod kan du installera agenten manuellt och sedan koppla agenten.

Konfigurera brandväggsundantag

Brandväggsundantag krävs för att en skyddsagent ska kunna kommunicera med DPM-servern via en brandvägg.

Konfigurera ett inkommande undantag för sqlservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-förfrågningar på port 80. Följande tabell innehåller de protokoll och portar som krävs för kommunikation mellan DPM-servern och skyddade servrar och klienter.

Protokoll Port Information
DCOM 135/TCP
Dynamisk
DPM-kontrollprotokollet använder DCOM. DCOM utfärdar kommandon till skyddsagenten genom att aktivera DCOM-anrop på agenten. Skyddsagenten svarar genom att aktivera DCOM-anrop på DPM-servern.

TCP-port 135 är den upplösningspunkt för DCE-slutpunkt som används av DCOM.

Som standard tilldelar DCOM portar dynamiskt från TCP-portintervallet 49152 till 65535. Du kan dock konfigurera detta intervall med komponenttjänsterna.

För DPM-agentkommunikation måste du öppna de övre portarna 49152-65535. Gör så här för att öppna portarna:

1. Välj noden på servernivå i trädet i fönstret Connections i IIS 7.0-hanteraren.
2. Dubbelklicka på ikonen FTP-brandväggsstöd i listan över funktioner.
3. Ange ett värdeintervall för datakanalens portintervall.
4. När du har angett portintervallet för FTP-tjänsten går du till fönstret Åtgärder och väljer Använd för att spara konfigurationsinställningarna.
TCP 5718/TCP
5719/TCP
DPM-datakanalen baseras på TCP. Både DPM och den skyddade datorn initierar anslutningar för att aktivera DPM-åtgärder, till exempel synkronisering och återställning.

DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719.
DNS 53/UDP Används mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten för värdnamnsmatchning.
Kerberos 88/UDP 88/TCP Används mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten för autentisering av anslutningsslutpunkten.
LDAP 389/TCP
389/UDP
Används mellan DPM och domänkontrollanten för frågor.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
Används mellan DPM och den skyddade datorn, mellan DPM och domänkontrollanten, och mellan den skyddade datorn och domänkontrollanten för diverse åtgärder. Används för SMB som är direkt värdbaserad på TCP/IP för DPM-funktioner.

Installera agenten från DPM-konsolen

  1. I DPM-administratörskonsolen väljer du Hanteringsagenter>. Välj Installera i menyfliksområdet för verktyget för att öppna installationsguiden för skyddsagenten.

  2. På sidan Välj agentdistributionsmetod väljer du Installera agenter>Nästa.

  3. På sidan Välj datorer visar DPM en lista över tillgängliga datorer som finns i samma domän som DPM-servern. Lägg till nödvändig dator.

    • Första gången du använder guiden frågar DPM Active Directory för att hämta en lista över tillgängliga datorer. Efter den första installationen lagrar DPM listan över datorer i databasen, som uppdateras en gång om dagen av processen för automatisk identifiering.

    • Om du vill hitta en dator i en annan domän som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i måste du ange det fullständigt kvalificerade domännamnet (FQDN) för den dator som du vill skydda. Till exempel <Computer1.Domain1.contoso.com>, där Dator1 är namnet på den dator som du vill skydda och Domain1.contoso.com är den domän som måldatorn tillhör.

    • Sidan Avancerat är bara aktiverad när det finns mer än en version av en skyddsagent tillgänglig för installation på datorerna. Du kan använda det här alternativet om du vill installera en tidigare version av skyddsagenten som var installerad innan du uppgraderade DPM-servern till en senare version.

  4. På sidan Ange autentiseringsuppgifter skriver du användarnamnet och lösenordet för ett domänkonto som är medlem i den lokala gruppen Administratörer på alla valda datorer.

    • I rutan Domän godkänner eller skriver du domännamnet för det användarkonto som du använder för att installera skyddsagenten på måldatorn. Kontot kan höra till den domän där DPM-servern finns eller en domän som har ömsesidigt förtroende med den domän där DPM-servern finns.

    • Om du installerar en skyddsagent på en dator i en betrodd domän anger du inloggningsinformationen för domänen. Du kan vara medlem i en domän som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i, och du måste vara medlem i den lokala gruppen Administratörer på alla valda datorer där du vill installera en agent.

    • Om du väljer en nod i ett kluster känner DPM av alla ytterligare noder i klustret och visar sidan Välj klusternoder.

  5. På sidan Välj klusternoder väljer du ett alternativ som du vill att DPM ska använda för att installera agenter på ytterligare noder i klustret och väljer sedan Nästa.

  6. På sidan Välj metod för omstart väljer du vilken metod som ska användas för att starta om de valda datorerna när skyddsagenten installerats. Datorn måste startas om innan du kan börja skydda data. En omstart krävs för att läsa in det volymfilter som DPM använder för att spåra och överföra ändringar på blocknivå mellan DPM-servern och de skyddade datorerna.

    • Om du väljer att starta om datorerna senare uppdateras inte installationsstatusen för skyddsagenten automatiskt på fliken Agenter i aktivitetsområdet Hantering när datorn har startats om och du måste välja Uppdatera information.

    • Du behöver inte starta om datorn om du installerar en skyddsagent på en annan DPM-server.

    • Om någon av de datorer som du har valt är noder i ett kluster visas ytterligare sidan Välj omstartsmetod , som du kan använda för att välja metoden för att starta om de klustrade datorerna. Du måste installera en skyddsagent på alla noder i ett kluster för att skydda klustrade data. Datorerna måste startas om innan du kan börja skydda data. Eftersom det krävs tid för att starta tjänster kan det ta några minuter efter en omstart innan DPM kan kontakta agenten i klustret.

    • DPM startar inte automatiskt om en dator som tillhör ett MSCS-kluster (Microsoft Cluster Server). Datorerna i ett MSCS-kluster måste startas om manuellt.

  7. På sidan Sammanfattning väljer du Installera för att påbörja installationen. Om licensavtalet visas godkänner du det för att installationen ska starta. På fliken Aktivitet på installationssidan kan du se om installationen har slutförts. Du kan välja Stäng innan guiden är klar och övervaka installationsframsteget på fliken Agenter i aktivitetsområdet Hantering . Om installationen misslyckas kan du visa aviseringarna på fliken Aviseringar i aktivitetsområdet Övervakning.

Anteckning

När du har installerat en skyddsagent på en dator som ingår i en Windows SharePoint Services servergrupp visas inte var och en av datorerna i servergruppen som skyddade datorer på fliken Agenter i aktivitetsområdet Hantering, bara den dator som du har valt. Men om Windows SharePoint Services-servergruppen har data på den valda datorn skyddar DPM data på alla datorer i servergruppen, förutsatt att alla har skyddsagenten installerad.

Installera agenten manuellt

  1. Om du installerar agenten på en dator bakom en brandvägg måste du se till att agenten kan push-överföras via brandväggen.

    Du kan till exempel köra följande kommando på datorn för att konfigurera Windows-brandväggen: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-adress>, där IP-adress är adressen för DPM-servern.

    Om du vill konfigurera portundantag i brandväggen kan du se Konfigurera brandväggsundantag för agenten.

  2. Öppna ett upphöjt kommandotolkfönster på den dator som du vill skydda och kör sedan följande kommandon:

    Om du vill tilldela en enhetsbeteckning skriver du: net use Z: \<DPMServerName>\c$ där Z är den lokala enhetsbeteckning som du vill tilldela och <DPMServerName> är namnet på DPM-servern som skyddar datorn.

    Om du vill ändra katalogen gör du följande:

    • För en 64-bitars dator skriver du: cd /d <tilldelad enhetsbeteckning>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<build number.0>\amd64 där <den tilldelade enhetsbeteckningen> är enhetsbeteckningen som du tilldelade i föregående steg och <versionsnumret> är det senaste DPM-versionsnumret. Till exempel: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • För en 32-bitars dator skriver du: cd /d <tilldelad enhetsbeteckning>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<build number>l;. 0\i386 där <den tilldelade enhetsbeteckningen> är den enhet som du mappade i föregående steg och <versionsnumret> är det senaste DPM-versionsnumret.

  3. Om du vill installera skyddsagenten öppnar du ett upphöjt kommandotolkfönster och kör sedan något av följande kommandon:

    • För en 64-bitars dator skriver du: DpmAgentInstaller_x64.exe <DPMServerName> där <DPMServerName> är DPM-serverns fullständigt kvalificerade domännamn (FQDN). Exempel: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • För en 32-bitars dator skriver du: DpmAgentInstaller_x86.exe <DPMServerName> där <DPMServerName> är det fullständigt kvalificerade domännamnet (FQDN) för DPM-servern.

    Anteckning

    • Om du vill utföra en tyst installation kan du använda alternativet /q efter kommandotDpmAgentInstaller_x64.exe . Exempel: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Om du vill acceptera licensavtalet manuellt i en tyst installation använder duDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Om du anger ett DPM-servernamn på kommandoraden installerar den skyddsagenten och konfigurerar automatiskt de säkerhetskonton, behörigheter och brandväggsfel som krävs för att agenten ska kunna kommunicera med den angivna DPM-servern. Om du inte angav något servernamn öppnar du en kommandotolk med förhöjd behörighet på måldatorn och gör följande:
    1. Så här ändrar du katalogtypen: cd /d <systemenhet>:\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Typ: SetDpmServer.exe -dpmServerName <DPMServerName>. Detta konfigurerar säkerhetskonton, behörigheter och brandväggs undantag för agenten att kommunicera med servern.
  4. Om du har lagt till datorn på DPM-servern innan du installerade agenten börjar servern skapa säkerhetskopior för den skyddade datorn. Om du installerade agenten innan du lade till måldatorn till DPM-servern måste du koppla datorn innan DPM-servern börjar skapa säkerhetskopior.

Installera skyddsagenten på en skrivskyddad domänkontrollant (RODC)

Följ dessa steg:

  1. Stäng av brandväggen på RODC eller kör följande kommandon på RODC innan du installerar agenten:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. På den primära domänkontrollanten skapar och fyller du i följande säkerhetsgrupper (där det skyddade servernamnet är namnet på den RODC som du planerar att installera skyddsagenten på):

    • Skapa en säkerhetsgrupp med namnet DPMRADCOMTRUSTEDMACHINES$PSNAME och lägg sedan till DPM-serverdatorkontot som medlem.

    • Skapa en säkerhetsgrupp med namnet DPMRADMTRUSTEDMACHINES$PSNAME och lägg sedan till DPM-serverdatorkontot som medlem.

    • Skapa en säkerhetsgrupp med namnet DPMRATRUSTEDDPMRAS$PSNAME och lägg sedan till DPM-serverdatorkontot som medlem.

    • Lägg till DPM-serverdatorkontot som medlem i säkerhetsgruppen Builtin\Distributed Com Users .

  3. Kontrollera att de säkerhetsgrupper som du skapade tidigare har replikerats på RODC. Installera sedan skyddsagenten manuellt på den skrivskyddade domänkontrollanten.

  4. På RODC-servern utför du följande steg för att tilldela start- och aktiveringsbehörighet för DPMRA-tjänsten:

    1. Öppna DPM Management Shell och kör sedan kommandot dcomcnfg.exe.

      Fönstret Komponenttjänster .

    2. I fönstret Komponenttjänster expanderar du Datorer, Expandera Min dator, expanderaR DCOM Config, högerklickar påDPM RA-tjänsten och väljer sedan Egenskaper.

    3. Välj Allmänt och ange sedan Autentiseringsnivå till Standard.

    4. Välj Plats och kontrollera sedan att endast Kör program på den här datorn är markerat.

    5. Välj Säkerhet, välj Anpassa under Start- och aktiveringsbehörigheter, välj Anpassa och välj sedan Redigera för att öppna dialogrutan Starta behörighet .

    6. I dialogrutan Starta behörighet tilldelar du behörigheter för lokal start, fjärrstart, lokal aktivering och fjärraktivering för DPM-serverdatorkontot.

    7. Välj OK för att stänga dialogrutan.

    8. Gå till Program Files\Microsoft System Center\DPM\DPM\setup på DPM-servern och kopiera följande filer till en mapp på RODC-servern.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Utgå från en kommandotolk med förhöjd behörighet på den skrivskyddade domänkontrollanten och kör kommandot setagentcfg.exe a DPMRA domain\DPMserver från platsen som du angav i föregående steg.

  6. På RODC-servern bläddrar du till mappen C:\Program Files\Microsoft Data Protection Manager\DPM\bin och kör kommandot setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Koppla skyddsagenten till DPM-servern enligt beskrivningen i följande avsnitt.

Bifoga agenten

När du har installerat DPM-agenten manuellt måste du koppla agenten till DPM-servern.

  1. I DPM-administratörskonsolen går du till navigeringsfältet och väljer Hanteringsagenter>. I fönstret Åtgärder väljer du Installera.

  2. På sidan Välj agentdistributionsmetod väljer du Bifoga agenter>Dator på betrodd domän>Nästa. Installationsguiden för skyddsagent öppnas.

  3. På sidan Välj datorer visar DPM en lista över tillgängliga datorer i samma domän som DPM-servern. Välj en eller flera datorer (högst 50) i listan >DatornamnLägg till>nästa.

    • Om det är första gången du använder guiden frågar DPM Active Directory för att hämta en lista över potentiella datorer. Efter den första installationen visar DPM listan med datorer i databasen, som uppdateras dagligen med automatisk identifiering.

    • Om du vill lägga till flera datorer med hjälp av en textfil väljer du knappen Lägg till från fil . I dialogrutan Lägg till från fil anger du platsen för textfilen eller väljer Bläddra för att navigera till dess plats.

  4. På sidan Ange autentiseringsuppgifter skriver du användarnamnet och lösenordet för ett domänkonto som är medlem i den lokala gruppen Administratörer på alla valda datorer. I rutan Domän godkänner eller skriver du domännamnet för det användarkonto som du använder för att installera skyddsagenten på måldatorn. Kontot kan höra till den domän där DPM-servern finns eller en betrodd domän. Om du installerar en skyddsagent på en dator i en betrodd domän anger du inloggningsinformationen för domänen. Du kan vara medlem i vilken betrodd domän som helst, och du måste vara medlem i den lokala gruppen Administratörer på alla valda datorer som du vill skydda.

  5. På sidan Sammanfattning väljer du Bifoga.