部署 DPM 保護代理程式
System Center Data Protection Manager (DPM) 保護代理程式是您在每部計算機上安裝的軟體,其中包含您想要備份 DPM 的數據。 它包含兩個元件:保護代理程式本身和代理程式協調器。 以下是其用途:
識別 DPM 可以保護及復原的數據。
允許 DPM 伺服器瀏覽受保護電腦上的共用、磁碟區和資料夾。
為每個受保護的磁碟區建立變更日誌,並將日誌儲存在該磁碟區上的隱藏檔案中。 它會記錄變更日誌中受保護數據的任何變更,並將日誌從受保護的計算機傳輸到 DPM 伺服器,讓 DPM 可以將主要數據與復本同步處理。
您將設定代理程式,如下所示:
如果包含您要備份之數據的計算機位於防火牆後方,則必須 設定防火牆例外狀況。
如果計算機不在防火牆後方,或您已設定防火牆例外狀況以允許存取,您可以從 DPM 控制台安裝代理程式。
如果您沒有透過防火牆的存取權,您要保護的計算機位於工作組或不受信任的網域中,或者您需要使用不同的安裝方法,您可以 手動 安裝代理程式,然後 附加代理程式。
設定防火牆例外狀況
若要讓保護代理程式透過防火牆與 DPM 伺服器通訊,則需要防火牆例外狀況。
為 SQL Server 的 DPM 實例設定sqlservr.exe傳入例外狀況,以允許埠 80 上的 TCP。 報表伺服器會在連接埠 80 上接聽 HTTP 要求。 下表列出 DPM 伺服器和受保護伺服器與用戶端之間進行通訊所需的通訊協定和連接埠。
通訊協定 | 連接埠 | 詳細資料 |
---|---|---|
DCOM | 135/TCP 動態 |
DPM 控制通訊協定會使用DCOM。 DPM 藉由叫用代理程式上的 DCOM 呼叫,來發出命令給保護代理程式。 保護代理程式藉由叫用 DPM 伺服器上的 DCOM 呼叫來回應。 TCP 連接埠 135 是 DCOM 所使用的 DCE 端點解析點。 根據預設,DCOM 會從 49152 到 65535 的 TCP 連接埠範圍動態指派埠。 不過,您可以使用元件服務來設定此範圍。 針對 DPM 代理程式通訊,您必須開啟上方埠 49152-65535。 若要開啟連接埠,請執行下列步驟: 1.在 IIS 7.0 管理員的 [ 連線 ] 窗格中,選取樹狀結構中的伺服器層級節點。 2.按兩下 功能清單中的 FTP 防火牆支援 圖示。 3.輸入數據通道埠範圍的值 範圍。 4.輸入 FTP 服務的埠範圍之後,在 [動作 ] 窗格中,選取 [ 套用 ] 以儲存組態設定。 |
TCP | 5718/TCP 5719/TCP |
DPM 資料通道是以 TCP 為根據。 DPM 和受保護的計算機都會起始連線,以啟用 DPM 作業,例如同步處理和復原。 DPM 會與連接埠 5718 上的代理程式協調員通訊,以及與連接埠 5719 上的保護代理程式通訊。 |
DNS | 53/UDP | 在 DPM 與域控制器之間,以及受保護電腦與域控制器之間用於主機名解析。 |
Kerberos | 88/UDP 88/TCP | 在 DPM 與域控制器之間,以及受保護電腦與域控制器之間用來驗證連線端點。 |
LDAP | 389/TCP 389/UDP |
在 DPM 與域控制器之間用於查詢。 |
NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
在 DPM 與受保護的電腦之間、DPM 與域控制器之間,以及受保護計算機與域控制器之間用於其他作業。 用於直接裝載於 DPM 函式之 TCP/IP 上的 SMB。 |
從 DPM 控制台安裝代理程式
在 [DPM 系統管理員控制台] 中,選取 [管理>代理程式]。 選取 工具功能區上的 [安裝 ],以開啟 [保護代理程序安裝精靈]。
在 [選取代理程式部署方法] 頁面上,選取 [安裝代理程式>] [下一步]。
在 [ 選取計算機] 頁面上,DPM 會顯示與 DPM 伺服器位於相同網域中的可用計算機清單。 加入所需的電腦。
第一次使用精靈時,DPM 會查詢 Active Directory 以取得可用的計算機清單。 第一次安裝之後,DPM 會將計算機清單儲存在其資料庫中,由自動探索程式每天更新一次。
若要在另一個網域中尋找與 DPM 伺服器所在網域具有雙向信任關係的計算機,您必須輸入您要保護之計算機的完整功能變數名稱 (FQDN)。 例如,<Computer1.Domain1.contoso.com>,其中 Computer1 是您要保護的電腦名稱,Domain1.contoso.com 是目標電腦所屬的網域。
只有在計算機上有多個可用的保護代理程式版本時,才會啟用 [ 進階 ] 按鈕頁面。 您可以使用此選項,將 DPM 伺服器升級至較新版本之前,安裝已安裝的舊版保護代理程式。
在 [ 輸入認證 ] 頁面上,輸入網域帳戶的使用者名稱和密碼,該帳戶是所有所選計算機上本機 Administrators 群組的成員。
在 [ 網域 ] 方塊中,接受或輸入您用來在目標計算機上安裝保護代理程式的用戶帳戶功能變數名稱。 此帳戶可能屬於 DPM 伺服器所在的網域,或屬於與 DPM 伺服器所在網域具有雙向信任關係的網域。
如果您要在信任網域的計算機上安裝保護代理程式,請輸入您目前的網域用戶認證。 您可以是任何具有 DPM 伺服器所在網域雙向信任關係之網域的成員,而且您必須是您要安裝代理程式之所有所選電腦上本機 Administrators 群組的成員。
如果您選取叢集中的節點,DPM 會偵測叢集中的所有其他節點,並顯示 [ 選取叢集節點 ] 頁面。
在 [ 選取叢集節點 ] 頁面上,選取您想要 DPM 用於在叢集中其他節點上安裝代理程式的選項,然後選取 [下一步]。
在 [選擇重新啟動的方式] 頁面上,選取安裝保護代理程式之後要用來重新啟動選定電腦的方法。 必須先重新啟動電腦,然後才能開始保護資料。 必須重新啟動,才能載入 DPM 用來追蹤和傳輸 DPM 伺服器與受保護計算機之間區塊層級變更的磁碟區篩選。
如果您稍後選取重新啟動計算機,保護代理程式安裝狀態不會在計算機重新啟動之後的 [管理] 工作區域中的 [代理程式] 索引標籤上自動重新整理,而且您必須選取 [重新整理資訊]。
如果您要在另一部 DPM 伺服器上安裝保護代理程式,則不需要重新啟動電腦。
如果您選取的任何電腦都是叢集中的節點,則會出現額外的 [選擇重新啟動方法] 頁面,您可以使用此頁面來選取重新啟動叢集計算機的方法。 您必須在叢集中的所有節點上安裝保護代理程式,才能成功保護叢集數據。 必須先重新啟動電腦,然後才能開始保護資料。 啟動服務所需的時間可能需要幾分鐘的時間,DPM 才能連絡叢集上的代理程式。
DPM 不會自動重新啟動屬於Microsoft叢集伺服器 (MSCS) 叢集的計算機。 您必須手動重新啟動 MSCS 叢集中的電腦。
在 [ 摘要] 頁面上,選取 [ 安裝 ] 以開始安裝。 如果出現EULA,請接受它以啟動安裝。 在安裝頁面的 [ 工作 ] 索引標籤上,您可以看到安裝是否成功。 您可以在精靈完成之前選取 [關閉],並在 [管理] 工作區域中的 [代理程式] 索引卷標中監視安裝進度。 如果安裝失敗,您可以檢視 [警示] 索引標籤上 [監視] 工作區域中的警示。
注意
在屬於 Windows SharePoint Services 伺服器陣列的電腦上安裝保護代理程式之後,伺服器陣列中的每個電腦都不會在 [管理] 工作區域中的 [代理程式] 索引卷標上顯示為受保護的計算機,而只會顯示您選取的電腦。 不過,如果 Windows SharePoint Services 伺服器陣列在選取的電腦上有數據,DPM 會保護伺服器數位中所有電腦上的數據,前提是所有計算機都已安裝保護代理程式。
手動安裝代理程式
如果您在防火牆後方計算機上安裝代理程式,您必須確保代理程式可以透過防火牆推送。
例如,您可以在計算機上執行下列命令來設定 Windows 防火牆: netsh advfirewall firewall add rule name=“Allow DPM Remote Agent Push” dir=in action=allow service=any enable=yes profile=any remoteip<=IPAddress,其中 IPAddress> 是 DPM 伺服器的位址。
若要在防火牆上設定連接埠例外狀況,請參閱 設定代理程式的防火牆例外狀況。
在您想要保護的計算機上,開啟提升許可權的命令提示字元視窗,然後執行下列命令:
若要指派驅動器號,請輸入:net use Z: \<DPMServerName>\c$ ,其中 Z 是您要指派<的本機驅動器號,DPMServerName> 是將保護計算機的 DPM 伺服器名稱。
若要變更目錄,請執行下列命令:
若為64位計算機,請輸入:cd /d< 指派的驅動器號>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<build number.0\amd64,其中<指派的驅動器號是您在上一個步驟中指派的驅動器號>,而<組建編號是最新的 DPM 組建編號。>> 例如: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
針對 32 位計算機,請輸入:cd /d< 指派的驅動器號>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<組建編號>l;。0\i386,其中<指派的驅動器號>是您在上一個步驟中對應的磁碟驅動器,而<組建編號是最新的 DPM 組建編號。>
若要安裝保護代理程式,請開啟提升許可權的命令提示字元視窗,然後執行下列其中一個命令:
若為64位電腦,請輸入:DpmAgentInstaller_x64.exe DPMServerName,其中< DPMServerName>> 是 DPM 伺服器的完整功能變數名稱 (FQDN)。< 例如: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
若為32位電腦,請輸入:DpmAgentInstaller_x86.exe DPMServerName,其中< DPMServerName>> 是 DPM 伺服器的完整功能變數名稱 (FQDN)。<
注意
- 若要執行無訊息安裝,您可以在 DpmAgentInstaller_x64.exe 命令之後使用 /q 選項。 例如: DpmAgentInstaller_x64.exe /q <DPMServerName>
- 若要在無訊息安裝中手動接受 EULA,請使用 DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
- 如果您在命令行中指定 DPM 伺服器名稱,它會安裝保護代理程式,並自動設定代理程式與指定 DPM 伺服器通訊所需的安全性帳戶、許可權和防火牆例外狀況。 如果您未指定伺服器名稱,請在目標電腦上開啟提升許可權的命令提示字元,然後執行下列動作:
- 若要變更目錄類型: cd /d <系統磁碟驅動器>:\Program Files\Microsoft Data Protection Manager\DPM\bin
- 類型:SetDpmServer.exe -dpmServerName< DPMServerName>。 這會設定代理程式與伺服器通訊的安全性帳戶、許可權和防火牆例外狀況。
如果您在安裝代理程式之前將電腦新增至 DPM 伺服器,伺服器就會開始建立受保護電腦的備份。 如果您在將電腦新增至 DPM 伺服器之前安裝代理程式,則必須在 DPM 伺服器開始建立備份之前附加電腦。
在 RODC 上安裝保護代理程式
採取以下步驟:
在安裝代理程式之前,請先關閉 RODC 上的防火牆,或在 RODC 上執行下列命令:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
在主要域控制器上,建立並填入下列安全組(其中受保護的伺服器名稱是您打算安裝保護代理程式的 RODC 名稱):
建立名為 DPMRADCOMTRUSTEDMACHINES$PSNAME 的安全組,然後將 DPM 伺服器電腦帳戶新增為成員。
建立名為 DPMRADMTRUSTEDMACHINES$PSNAME 的安全組,然後將 DPM 伺服器電腦帳戶新增為成員。
建立名為 DPMRATRUSTEDDPMRAS$PSNAME 的安全組,然後將 DPM 伺服器電腦帳戶新增為成員。
將 DPM 伺服器電腦帳戶新增為 Builtin\Distributed Com Users 安全組的成員。
確定您稍早建立的安全性群組已在 RODC 上進行複寫。 然後在 RODC 上手動安裝保護代理程式。
在 RODC 伺服器上執行下列步驟,以授與 DPMRA 服務的啟動和啟用權限:
開啟 DPM 管理命令介面,然後執行命令 dcomcnfg.exe。
隨即會開啟 [元件服務] 視窗。
在 [ 元件服務 ] 視窗中,依序展開 [計算機]、 [我的計算機]、[DCOM 設定]、以滑鼠右鍵按兩下DPM RA 服務,然後選取 [屬性]。
選取 [ 一般],然後將 [ 驗證層級 ] 設定為 [預設]。
選取 [ 位置],然後確定只 選取 [在此計算機上 執行應用程式]。
選取 [安全性],選取 [啟動和啟用許可權] 下的 [自定義],選取 [自定義],然後選取 [編輯] 以開啟 [啟動許可權] 對話框。
在 [啟動許可權] 對話框中,為 DPM 伺服器電腦帳戶指派本機啟動、遠端啟動、本機啟用和遠端啟用的許可權。
選取 [確定] 關閉對話方塊。
流覽至 DPM 伺服器上的 Program Files\Microsoft System Center\DPM\DPM\setup ,將下列檔案複製到 RODC 伺服器上的資料夾。
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
在 RODC 上提高權限的命令提示字元中,從您在上一個步驟所指定的位置執行命令 setagentcfg.exe a DPMRA domain\DPMserver 。
在 RODC 伺服器上,流覽至 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾 ,然後執行 setdpmserver 命令:
Setdpmserver -dpmservername DPMSERVER
將保護代理程式 附加至 DPM 伺服器,如下一節所述。
連接代理程式
手動安裝 DPM 代理程序之後,您必須將代理程式附加至 DPM 伺服器。
在 DPM 系統管理員主控台的導覽列中,選取 [管理>代理程式]。 在 [ 動作] 窗格中,選取 [ 安裝]。
在 [選取代理程式部署方法] 頁面上,選取 [下一步] 信任網域>上的 [附加代理程序>計算機]。 隨即會開啟 [保護代理程式安裝精靈]。
在 [ 選取計算機] 頁面上,DPM 會在與 DPM 伺服器相同的網域中顯示可用的計算機清單。 從 [計算機名稱] 清單 [新增>下一步] 中>選取一或多部計算機(最大值 50 部)。
如果這是您第一次使用精靈,DPM 會查詢 Active Directory 以取得潛在計算機的清單。 首次安裝之後,DPM 會顯示其資料庫中的電腦清單,這會由自動探索程序每天更新一次。
若要使用文字檔新增多部計算機,請選取 [從檔案 新增] 按鈕,然後在 [新增檔案 ] 對話框中輸入文本檔的位置,或選取 [流覽 ] 以流覽至其位置。
在 [ 輸入認證 ] 頁面上,輸入網域帳戶的使用者名稱和密碼,該帳戶是所有所選計算機上本機 Administrators 群組的成員。 在 [ 網域 ] 方塊中,接受或輸入您用來在目標計算機上安裝保護代理程式的用戶帳戶功能變數名稱。 此帳戶可能屬於 DPM 伺服器所在的網域或屬於受信任的網域。 如果您要在信任網域的計算機上安裝保護代理程式,請輸入您目前的網域用戶認證。 您可以是任一個受信任網域的成員,而且必須是所有要保護之選定電腦上本機系統管理員群組的成員。
在 [ 摘要] 頁面上,選取 [ 附加]。