通过

部署 DPM 保护代理

  • 项目

System Center Data Protection Manager (DPM) 保护代理是在每台计算机上安装的软件,其中包含要备份到 DPM 的数据。 它由两个组件组成:保护代理本身和代理协调器。 下面是它的作用:

  • 标识 DPM 可以保护和恢复的数据。

  • 允许 DPM 服务器浏览受保护计算机上的共享、卷和文件夹。

  • 为每个受保护的卷创建一个更改日记,并将日记存储在该卷上的隐藏文件中。 它会记录对更改日志中受保护数据所做的任何更改,并将日志从受保护的计算机传输到 DPM 服务器,以便 DPM 可以将主数据与副本同步。

将按如下所示设置代理:

  • 如果包含要备份的数据的计算机位于防火墙后面,则需要 设置防火墙例外

  • 如果计算机不在防火墙后面,或者你已将防火墙例外配置为允许访问,则可以 从 DPM 控制台安装代理。

  • 如果没有通过防火墙的访问权限,要保护的计算机位于工作组或不受信任的域中,或者需要使用其他安装方法,可以 手动 安装代理,然后 附加代理

设置防火墙例外

若要保护代理通过防火墙与 DPM 服务器通信,需要防火墙例外。

为 SQL Server 的 DPM 实例sqlservr.exe配置传入异常,以允许端口 80 上的 TCP。 报表服务器在端口 80 上侦听 HTTP 请求。 下表列出了 DPM 服务器与受保护服务器和客户端之间进行通信所必需的协议和端口。

协议 端口 详细信息
DCOM 135/TCP
动态		 DPM 控制协议使用 DCOM。 DPM 通过在保护代理上引发 DCOM 调用向保护代理发出命令。 保护代理通过在 DPM 服务器上引发 DCOM 调用来响应。

TCP 端口 135 是 DCOM 使用的 DCE 终结点解析点。

默认情况下,DCOM 从 TCP 端口范围 49152 到 65535 动态分配端口。 但是,你可以使用组件服务来配置此范围。

对于 DPM 代理通信,必须打开高端口 49152-65535。 要查看端口,请执行下列步骤:

1. 在 IIS 7.0 管理器的 “连接 ”窗格中,选择树中的服务器级节点。
2. 在功能列表中双击“FTP 防火墙支持”图标。
3. 为“数据通道端口范围”输入值范围。
4. 输入 FTP 服务的端口范围后,在“操作”窗格中,选择“应用以保存配置设置。
TCP 5718/TCP
5719/TCP		 DPM 数据通道基于 TCP。 DPM 和受保护的计算机都启动连接以启用 DPM 操作,例如同步和恢复。

DPM 在端口 5718 上与代理协调器通信,在端口 5719 上与保护代理通信。
DNS 53/UDP 在 DPM 和域控制器之间以及受保护计算机和域控制器之间用于主机名解析。
Kerberos 88/UDP 88/TCP 在 DPM 和域控制器之间以及受保护计算机与域控制器之间用于对连接终结点进行身份验证。
LDAP 389/TCP
389/UDP		 在 DPM 和域控制器之间用于查询。
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 在 DPM 与受保护的计算机之间、DPM 和域控制器之间以及受保护计算机和域控制器之间用于其他操作。 用于直接托管在 DPM 函数的 TCP/IP 上的 SMB。

从 DPM 控制台安装代理

  1. 在 DPM 管理员控制台中,选择“管理>代理”。 在工具功能区上选择“ 安装 ”以打开保护代理安装向导。

  2. “选择代理部署方法”页上,选择“下一步安装代理>”。

  3. 在“选择计算机”页上,DPM 显示与 DPM 服务器位于同一域中的可用计算机列表。 添加所需的计算机。

    • 首次使用向导时,DPM 会查询 Active Directory 以获取可用计算机的列表。 首次安装后,DPM 将计算机列表存储在其数据库中,该列表每天由自动发现过程更新一次。

    • 若要在另一个域中查找与 DPM 服务器所在的域具有双向信任关系的计算机,必须键入要保护的计算机的完全限定域名(FQDN)。 例如,<Computer1.Domain1.contoso.com>,其中 Computer1 是要保护的计算机的名称,Domain1.contoso.com 是目标计算机所属的域。

    • 仅当计算机上有多个可用于安装的保护代理版本时,才会启用“高级”按钮页。 可以使用此选项安装在将 DPM 服务器升级到较新版本之前安装的以前版本的保护代理。

  4. “输入凭据 ”页上,键入域帐户的用户名和密码,该帐户是所有选定计算机上的本地管理员组的成员。

    • “域 ”框中,接受或键入用于在目标计算机上安装保护代理的用户帐户的域名。 此帐户可能属于 DPM 服务器所在的域或与 DPM 服务器所在的域具有双向信任关系的域。

    • 如果要跨受信任的域在计算机上安装保护代理,请输入当前域用户凭据。 可以是与 DPM 服务器所在的域具有双向信任关系的任何域的成员,并且必须是要安装代理的所有选定计算机上的本地管理员组的成员。

    • 如果选择群集中的节点,DPM 将检测群集中的所有其他节点,并显示 “选择群集节点 ”页。

  5. “选择群集节点 ”页上,选择希望 DPM 用于在群集中的其他节点上安装代理的选项,然后选择“ 下一步”。

  6. 在“选择重新启动方法” 页上,选择要用于在保护代理安装之后重启所选计算机的方法。 必须重启计算机,然后才能开始保护数据。 需要重启才能加载 DPM 用于跟踪和传输 DPM 服务器与受保护计算机之间的块级更改的卷筛选器。

    • 如果选择稍后重启计算机,则计算机重启后,“管理任务”区域中的“代理”选项卡上不会自动刷新保护代理安装状态,需要选择“刷新信息”。

    • 如果要在另一个 DPM 服务器上安装保护代理,则无需重启计算机。

    • 如果选择的任何计算机都是群集中的节点,则会显示一个附加 的“选择重启方法 ”页,可用于选择用于重启群集计算机的方法。 需要在群集中的所有节点上安装保护代理才能成功保护群集数据。 必须重启计算机,然后才能开始保护数据。 由于需要时间才能启动服务,重启后可能需要几分钟时间,然后 DPM 才能联系群集上的代理。

    • DPM 不会自动重启属于Microsoft群集服务器(MSCS)群集的计算机。 你必须手动重启 MSCS 群集中的计算机。

  7. “摘要”页上,选择“安装以开始安装。 如果出现 EULA,请接受它以启动安装。 在 安装页的“任务 ”选项卡上,可以看到安装是否成功。 可以在向导完成之前选择“关闭”,并在“管理”任务区域中的“代理”选项卡中监视安装进度。 如果安装不成功,你可以在“监视” 任务区域中的“警报” 选项卡上查看警报。

注意

在属于 Windows SharePoint Services 场的计算机上安装保护代理后,场中的每个计算机不会在管理任务区域中的“代理”选项卡上显示为受保护的计算机,而只会显示所选计算机。 但是,如果 Windows SharePoint Services 场在所选计算机上具有数据,则 DPM 会保护服务器场中所有计算机上的数据,前提是所有这些计算机都安装了保护代理。

手动安装代理

  1. 如果在防火墙后面的计算机上安装代理,则需要确保代理可以通过防火墙推送。

    例如,可以在计算机上运行以下命令来配置 Windows 防火墙: netsh advfirewall 防火墙添加规则名称=“允许 DPM 远程代理推送”dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress,其中 IPAddress> 是 DPM 服务器的地址。

    若要在防火墙上配置端口例外,请参阅 为代理配置防火墙例外

  2. 在要保护的计算机上,打开提升的命令提示符窗口,然后运行以下命令:

    若要分配驱动器号,请键入:net use Z: \<DPMServerName>\c$,其中,Z 是要分配的本地驱动器号,<DPMServerName> 是将保护计算机的 DPM 服务器的名称。

    若要更改目录,请执行以下操作:

    • 对于 64 位计算机,请键入:cd /d< 分配的驱动器号>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<内部版本号>.0\amd64,其中<分配的驱动器号>是上一步中分配的驱动器号,<内部版本号>是最新的 DPM 内部版本号。 例如: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • 对于 32 位计算机,请键入:cd /d< 分配的驱动器号>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<内部版本号。0\i386,其中<分配的驱动器号>是你在上一步中映射的驱动器,<内部版本号是最新的 DPM 内部版本号>

  3. 若要安装保护代理,请打开提升的命令提示符窗口,然后运行以下命令之一:

    • 对于 64 位计算机,请键入:DpmAgentInstaller_x64.exe DPMServerName,其中< DPMServerName>> 是 DPM 服务器的完全限定域名(FQDN)。< 例如: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • 对于 32 位计算机,请键入:DpmAgentInstaller_x86.exe DPMServerName,其中< DPMServerName>> 是 DPM 服务器的完全限定域名(FQDN)。<

    注意

    • 若要执行无提示安装,可以在DpmAgentInstaller_x64.exe命令后使用 /q 选项。 例如: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • 若要在无提示安装中手动接受 EULA,请使用 DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • 如果在命令行中指定 DPM 服务器名称,它将安装保护代理,并自动配置代理与指定 DPM 服务器通信所需的安全帐户、权限和防火墙例外。 如果未指定服务器名称,请在目标计算机上打开提升的命令提示符并执行以下操作:
      1. 若要更改目录类型: cd /d <系统驱动器>:\Program Files\Microsoft Data Protection Manager\DPM\bin
      2. 类型:SetDpmServer.exe -dpmServerName< DPMServerName>。 这会配置代理与服务器通信的安全帐户、权限和防火墙例外。

  4. 如果在安装代理之前将计算机添加到 DPM 服务器,则该服务器将开始为受保护计算机创建备份。 如果在将计算机添加到 DPM 服务器之前安装了代理,则必须在 DPM 服务器开始创建备份之前附加计算机。

在 RODC 上安装保护代理

使用以下步骤:

  1. 在安装代理之前,请在 RODC 上关闭防火墙,或在 RODC 上运行以下命令:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. 在主域控制器上,创建并填充以下安全组(其中受保护的服务器名称是你计划安装保护代理的 RODC 的名称):

    • 创建名为 DPMRADCOMTRUSTEDMACHINES$PSNAME 的安全组,然后将 DPM 服务器计算机帐户添加为成员。

    • 创建名为 DPMRADMTRUSTEDMACHINES$PSNAME 的安全组,然后将 DPM 服务器计算机帐户添加为成员。

    • 创建名为 DPMRATRUSTEDDPMRAS$PSNAME 的安全组,然后将 DPM 服务器计算机帐户添加为成员。

    • 将 DPM 服务器计算机帐户添加为 Builtin\Distributed Com Users 安全组的成员。

  3. 确保之前创建的安全组已在 RODC 上复制。 然后,在 RODC 上手动安装保护代理。

  4. 在 RODC 服务器上,执行以下步骤以授予 DPMRA 服务的启动和激活权限:

    1. 打开 DPM 命令行管理程序,然后运行命令 dcomcnfg.exe

      “组件服务” 窗口将打开。

    2. “组件服务”窗口中,依次展开“计算机”、“我的计算机”、“DCOM 配置”、“DPM RA 服务”,然后选择“属性”。

    3. 选择“常规”,然后将“身份验证级别”设置为“默认”。

    4. 选择“位置”,并确保仅选中此计算机上的“运行应用程序”。

    5. 选择“安全性”,在“启动”和“激活权限”下选择“自定义,然后选择“编辑以打开“启动权限”对话框。

    6. “启动权限”对话框中,为 DPM 服务器计算机帐户分配本地启动、远程启动本地激活远程激活的权限

    7. 选择确定关闭对话框。

    8. 导航到 DPM 服务器上的 Program Files\Microsoft System Center\DPM\DPM\setup,将以下文件复制到 RODC 服务器上的文件夹中。

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. 在 RODC 上,在提升的命令提示符处,从上一步中指定的位置运行 setagentcfg.exe a DPMRA domain\DPMserver 命令。

  6. 在 RODC 服务器上,浏览到 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹,并运行 setdpmserver 命令:

    Setdpmserver -dpmservername DPMSERVER

  7. 如以下部分所述,将保护代理 附加到 DPM 服务器。

附加代理

手动安装 DPM 代理后,需要将代理附加到 DPM 服务器。

  1. 在 DPM 管理员控制台的导航栏中,选择“管理>代理”。“操作 ”窗格中,选择“ 安装”。

  2. “选择代理部署方法”页上,选择“下一步”,在受信任的域>上附加代理>计算机。 保护代理安装向导将打开。

  3. 在“选择计算机”页上,DPM 显示与 DPM 服务器位于同一域中的可用计算机列表。 从“计算机名称”列表中选择>一台或多台计算机(最多 50 台计算机)。“添加>下一步”。

    • 如果这是你第一次使用向导,DPM 会查询 Active Directory 以获取潜在计算机的列表。 第一次安装之后,DPM 将显示其数据库中的计算机列表,该数据库每天通过自动发现过程更新一次。

    • 若要使用文本文件添加多台计算机,请选择“从文件添加”按钮,然后在“从文件添加”对话框中键入文本文件的位置,或选择“浏览导航到其位置。

  4. “输入凭据 ”页上,键入域帐户的用户名和密码,该帐户是所有选定计算机上的本地管理员组的成员。 在 “域 ”框中,接受或键入用于在目标计算机上安装保护代理的用户帐户的域名。 此帐户可能属于 DPM 服务器所在的域或属于受信任的域。 如果要跨受信任的域在计算机上安装保护代理,请输入当前域用户凭据。 你可以是任何受信任域的成员,并且必须是要保护的所有选定计算机上的本地“管理员”组的成员。

  5. “摘要 ”页上,选择“ 附加”。