共用方式為

  • 發行項

安裝 DPM 保護代理程式

 

發行︰ 2016年3月

適用於: System Center 2012 SP1 - Data Protection Manager、System Center 2012 - Data Protection Manager、System Center 2012 R2 Data Protection Manager

您可以在要保護的電腦和伺服器上使用 [保護代理程式安裝精靈] 來安裝位於防火牆外部的保護代理程式,您也可以在位於防火牆後方的電腦上,或是在位於與 System Center 2012 – Data Protection Manager (DPM) 伺服器所在網域不具雙向信任關係的工作群組或網域中的電腦上,手動安裝保護代理程式。 當您手動安裝保護代理程式之後,即需在 [DPM 系統管理員主控台] 中連接代理程式以啟用保護。 若要在位於防火牆內部的電腦上安裝保護代理程式,請參閱在防火牆後面的電腦上安裝代理程式 [DPM2012_Web]。 若要在和 DPM 伺服器所在網域不具雙向信任關係的工作群組或網域中的電腦上安裝保護代理程式,請參閱在工作群組或不受信任之網域中的電腦上安裝代理程式 [DPM2012_Web]

  • 從 DPM 主控台安裝保護代理程式:使用此程序來將代理程式安裝在位於防火牆外部的電腦上,或安裝在可透過此程序修改防火牆以允許代理程式和 DPM 伺服器之間通訊的電腦上。

  • 手動安裝保護代理程式:如果電腦位於防火牆後方並封鎖代理程式與 DPM 伺服器之間的流量,或如果您遇到網路或權限相關問題,請使用此程序。

  • 在位於工作群組和不信任網域中的電腦上安裝保護代理程式:在本案例中,您需要設定供驗證使用的憑證,然後安裝代理程式。 如需詳細資訊,請參閱保護工作群組和不受信任網域中的電腦

  • 在 RODC 上安裝保護代理程式:您可以在唯讀網域控制站 (RODC) 上安裝代理程式。 請注意,如果已在 RODC 上啟用防火牆,則您必須先關閉防火牆或執行下列命令,然後再安裝代理程式。

  • 使用伺服器映像安裝保護代理程式:您可以使用伺服器映像來安裝保護代理程式,而不需使用 DPMAgentInstaller.exe 來指定 DPM 伺服器。 將映像套用到電腦並將該電腦上線之後,您可以執行 SetDpmServer.exe 以完成設定並建立防火牆例外狀況。

  • 使用 System Center Configuration Manager 安裝保護代理程式 — 如果您很熟悉在 System Center Configuration Manager 內建立與部署應用程式,就可以使用 System Center Configuration Manager 在目標系統上安裝 DPM 保護代理程式。 如需在 Configuration Manager 中建立應用程式的詳細資訊,請參閱如何在 Configuration Manager 中建立應用程式

從 DPM 主控台安裝保護代理程式

  1. 在 [DPM 系統管理員主控台] 中,按一下 [管理] > [代理程式]。 按一下工具功能區上的 [安裝],以開啟 [保護代理程式安裝精靈]。

  2. 在 [選擇代理程式部署方法] 頁面上,依序按一下 [安裝代理程式] > [下一步]。

  3. 在 [選取電腦] 頁面上,DPM 會顯示與 DPM 伺服器位於相同網域中的可用電腦清單。 加入所需的電腦。

    • 第一次使用精靈時,DPM 會查詢 Active Directory 以取得可用的電腦清單。 首次安裝之後,DPM 會在其資料庫中儲存電腦清單,這會由自動探索程序每天更新一次。

    • 若要在與 DPM 伺服器所在網域具有雙向信任關係的其他網域中尋找電腦,您必須輸入要保護之電腦的完整網域名稱 (例如,<Computer1>.Domain1.contoso.com,其中 Computer1 是要保護的目標電腦名稱,而 Domain1.contosa.com 是目標電腦所屬的網域)。

    • 只有當電腦上具備多個可安裝的保護代理程式版本時,[進階] 按鈕頁面才會啟用。 您可以使用此選項來安裝您在將 DPM 伺服器升級到最新版之前已安裝的舊版保護代理程式。

  4. 在 [輸入認證] 頁面上,輸入屬於所有選定電腦上本機系統管理員群組成員之網域帳戶的使用者名稱和密碼。

    • 在 [網域] 方塊中,接受或輸入要用來在目標電腦上安裝保護代理程式之使用者帳戶的網域名稱。 此帳戶可能屬於 DPM 伺服器所在的網域,或者屬於與 DPM 伺服器所在網域具有雙向信任關係的網域。

    • 如果您打算在跨受信任網域的電腦上安裝保護代理程式,請輸入您目前的網域使用者認證。 您可以是任一個與 DPM 伺服器所在網域具有雙向信任關係之網域的成員,而且必須是所有要安裝代理程式之選定電腦上本機系統管理員群組的成員。

    • 如果您選取叢集中的節點,DPM 會偵測叢集中的所有其他節點,並顯示 [選擇叢集節點] 頁面。

  5. 在 [選擇叢集節點] 頁面上,選取要讓 DPM 用於在叢集中的其他節點上安裝代理程式的選項,然後按 [下一步]。

  6. 在 [選擇重新啟動的方式] 頁面上,選取安裝保護代理程式之後要用來重新啟動選定電腦的方法。 必須先重新啟動電腦,然後才能開始保護資料。 需要重新啟動才能載入磁碟區篩選器,DPM 會使用此篩選器來追蹤和傳輸 DPM 伺服器和受保護電腦之間的區塊層級變更。

    • 如果您選擇稍後重新啟動電腦,重新啟動電腦後,在 [管理] 工作區中的 [代理程式] 索引標籤上,保護代理程式安裝狀態就不會自動重新整理,而您將需要按一下 [重新整理資訊]。

    • 請注意,如果您打算將保護代理程式安裝在另一部 DPM 伺服器上,則無需重新啟動電腦。

    • 如果您選取的任一部電腦是叢集中的節點,則會出現額外的 [選擇重新啟動的方式] 頁面,讓您可用來選取重新啟動叢集電腦的方法。 您必須在叢集中的所有節點上安裝保護代理程式,才能成功保護叢集資料。 必須先重新啟動電腦,然後才能開始保護資料。 重新啟動完成之後,由於啟動服務需要一段時間,所以 DPM 可能需要幾分鐘才能連上叢集上的代理程式。

    • DPM 將不會自動重新啟動屬於 Microsoft Cluster Server (MSCS) 叢集的電腦。 您必須手動重新啟動 MSCS 叢集中的電腦。

  7. 在 [摘要] 頁面上,按一下 [安裝] 開始安裝。 如果出現 [使用者授權合約],您必須接受該合約才能開始安裝。 在 [安裝] 頁面的 [工作] 索引標籤上,您可以查看安裝是否已成功。 在精靈結束之前,您可以按一下 [關閉],並在 [管理] 工作區域的 [代理程式] 索引標籤上監視安裝進度。 如果安裝失敗,您可以檢視 [警示] 索引標籤上 [監視] 工作區域中的警示。

    附註:在屬於 Windows SharePoint Services 伺服器陣列的電腦上安裝保護代理程式之後,陣列中的每部電腦都不會在 [管理] 工作區域的 [代理程式] 索引標籤上顯示為受保護的電腦,而只會顯示您選取的電腦。 但是,如果 Windows SharePoint Services 伺服器陣列在選取的電腦上有資料,DPM 即會保護伺服器陣列之所有電腦上的資料 (假設它們全都安裝保護代理程式)。

手動安裝保護代理程式

  1. 如果您在使用防火牆的電腦上安裝代理程式,請務必確定代理程式可以通過防火牆推送。

    例如,您可以在要設定 Windows 防火牆的電腦上執行下列命令:netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>,其中 IPAddress 是指 DPM 伺服器的位址。

    若要在防火牆上設定連接埠例外狀況,請參閱設定代理程式的防火牆例外狀況

  2. 在要保護的電腦上,開啟提高權限的命令提示字元視窗,然後執行下列命令:

    若要指派磁碟機代號,請輸入
    net use Z: \\<DPMServerName>\c$
    ,其中 Z 是要指派的本機磁碟機代號,而 <DPMServerName> 是將會保護電腦的 DPM 伺服器名稱。

    若要變更目錄,請執行下列命令:

    • 若是 64 位元電腦,請輸入 cd /d <指派的磁碟機代號>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<組建編號>.0\amd64,其中 <指派的磁碟機代號> 為您在上一個步驟指派的磁碟機代號,而 <組建編號> 為最新的 DPM 組建編號。 例如:**cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64**

    • 若是 32 位元電腦,請輸入:**cd /d <指派的磁碟機代號>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<組建編號>.0\i386**
      ,其中 <指派的磁碟機代號> 為您在上一個步驟對應的磁碟機代號,而 <組建編號> 為最新的 DPM 組建編號。

  3. 若要安裝保護代理程式,請開啟提高權限的命令提示字元視窗,然後執行下列任一個命令:

    • 若是 64 位元電腦,請輸入:DpmAgentInstaller_x64.exe <DPMServerName>
      ,其中 <DPMServerName> 是 DPM 伺服器的完整網域名稱 (FQDN)。例如:DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • 若是 32 位元電腦,請輸入:DpmAgentInstaller_x86.exe <DPMServerName>
      ,其中 <DPMServerName> 是 DPM 伺服器的完整網域名稱。

    附註:

    • 若要執行無訊息安裝,您可以在 DpmAgentInstaller_x64.exe 命令後面使用 /q 選項。例如:DpmAgentInstaller_x64.exe /q <DPMServerName>

    • 若要在無訊息安裝中手動接受 [使用者授權合約],請使用 DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA

    • 如果在命令列中指定 DPM 伺服器名稱,則會安裝保護代理程式,並自動設定代理程式所需的安全性帳戶、權限及防火牆例外狀況,以便與指定的 DPM 伺服器通訊。 如果您沒有指定伺服器名稱,請在目標電腦上開啟提升權限的命令提示字元,並執行下列動作:

      1. 若要切換目錄,請輸入 cd /d <系統磁碟機>:\Program Files\Microsoft Data Protection Manager\DPM\bin

      2. 類型:SetDpmServer.exe –dpmServerName <DPMServerName>。 這會設定安全性帳戶、權限和防火牆例外,以便代理程式與伺服器進行通訊。

  4. 如果在安裝代理程式之前,就先將電腦新增到 DPM 伺服器,則 DPM 伺服器會開始建立受保護電腦的備份。 如果在將電腦新增到 DPM 伺服器之前先安裝了代理程式,就必須先連接該電腦,DPM 伺服器才會開始建立備份。 請參閱 連接 DPM 保護代理程式

在 RODC 上安裝保護代理程式

  1. 安裝代理程式前,請先關閉 RODC 上的防火牆,或在 RODC 上執行下列命令:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. 在網域主控站上,建立然後填入下列安全性群組,其中受保護的伺服器名稱為您規劃要在其上安裝保護代理程式的 RODC 名稱:

    • 建立名為 DPMRADCOMTRUSTEDMACHINES$PSNAME 的安全性群組,然後新增 DPM 伺服器電腦帳戶做為成員。

    • 建立名為 DPMRADMTRUSTEDMACHINES$PSNAME 的安全性群組,然後新增 DPM 伺服器電腦帳戶做為成員。

    • 建立名為 DPMRATRUSTEDDPMRAS$PSNAME 的安全性群組,然後新增 DPM 伺服器電腦帳戶做為成員。

    • 新增 DPM 伺服器電腦帳戶做為 Builtin\Distributed Com Users 安全性群組的成員。

  3. 確定您稍早建立的安全性群組已在 RODC 上進行複寫。 然後在 RODC 上手動安裝保護代理程式。

  4. 在 RODC 伺服器上執行下列步驟,以授與 DPMRA 服務的啟動和啟用權限:

    1. 開啟 DPM 管理介面,然後執行命令 dcomcnfg.exe

      隨即會開啟 [元件服務] 視窗。

    2. 在 [元件服務] 視窗中,依序展開 [電腦]、[我的電腦] 和 [DCOM Config],以滑鼠右鍵按一下 [DPMRA] 服務,然後按一下 [內容]。

    3. 按一下 [一般],然後將 [驗證等級] 設定為 [預設值]。

    4. 按一下 [位置],然後確定只選取 [在這台電腦上執行應用程式]。

    5. 按一下 [安全性],在 [啟動和啟用權限] 下選取 [自訂],選取 [自訂],然後按一下 [編輯] 開啟 [啟動權限] 對話方塊。

    6. 在 [啟動權限] 對話方塊中,指派 [本機啟動]、[遠端啟動]、[本機啟用] 和 [遠端啟用] 的權限給 DPM 伺服器電腦帳戶。

    7. 按一下 [確定] 關閉對話方塊。

    8. 瀏覽至 DPM 伺服器上的 %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup ,將下列檔案複製到 RODC 伺服器上的資料夾。

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. 在 RODC 上提高權限的命令提示字元中,從您在上一個步驟所指定的位置執行命令 setagentcfg.exe a DPMRA domain\DPMserver

  6. 在 RODC 上,瀏覽至 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾,然後執行 setdpmserver 命令:

    Setdpmserver -dpmservername DPMSERVER

  7. 將保護代理程式連接到 DPM 伺服器。 請參閱 連接 DPM 保護代理程式

使用伺服器映像安裝保護代理程式

  1. 在要安裝保護代理程式之電腦的命令提示字元中,輸入 DpmAgentInstaller.exe

  2. 將伺服器映像套用到實體電腦,然後將該電腦上線。

  3. 將電腦加入網域,然後利用本機系統管理員群組成員的網域使用者帳戶登入。

  4. 在命令提示字元中,移至 cd <系統磁碟機代號>:\Program Files\Microsoft Data Protection Manager\bin,然後執行 SetDpmServer.exe <dpm 伺服器名稱>

    為 DPM 伺服器指定完整網域名稱 (FQDN)。 對於受保護電腦的網域或對於跨網域的唯一電腦名稱,只需指定電腦名稱。

    System_CAPS_ICON_important.jpg 重要

    您必須從 <磁碟機代號>:\Program Files\Microsoft Data Protection Manager\bin 執行 SetDpmServer.exe。 如果您從任何其他位置執行此程式,則操作將會失敗。

  5. 連結代理程式。 請參閱 連接 DPM 保護代理程式

使用 System Center Configuration Manager 安裝保護代理程式

  1. 若要為應用程式建立 DPM 保護代理程式,您必須提供下列內容給 Configuration Manager 系統管理員:

    • DpmAgentInstaller.exeDpmAgentInstaller_AMD64.exe 檔案的共用路徑。

    • 要安裝保護代理程式的目標伺服器清單。

    • DPM 伺服器的名稱。

  2. 代理程式的 SCCM 應用程式應叫用下列其中一個命令列:

    • 若是 x86 電腦,請執行 DPMAgentinstaller.exe /q <FQDN DPM 伺服器名稱> /IAcceptEula

    • 若是 x64 電腦,請執行 DPMAgentInstaller_x64.exe /q <FQDN DPM 伺服器名稱> /IAcceptEula

  3. 若要使用 SCCM 安裝 X64 保護代理程式:

    1. 建立執行 DPMAgentinstaller_x64.exe /q <FQDN DPM 伺服器名稱> /IAcceptEula 的應用程式。

    2. 為針對每部 DPM 伺服器都使用相同代理程式類型的目標系統建立電腦集合。 將應用程式的目標設為將會對應至指定 DPM 電腦的系統。