Share via

Nasaďte agenta ochrany aplikace DPM

  • Článek

Důležité

Tato verze Aplikace Data Protection Manager (DPM) dosáhla konce podpory. Doporučujeme upgradovat na DPM 2022.

Agent ochrany aplikace System Center Data Protection Manager (DPM) je software, který nainstalujete do každého počítače, který obsahuje data, která chcete zálohovat pomocí aplikace DPM. Skládá se ze dvou komponent: samotného agenta ochrany a koordinátora agenta. Zde jsou jeho funkce:

  • Identifikuje data, která aplikace DPM může chránit a obnovit.

  • Umožňuje serveru aplikace DPM procházet sdílené soubory, svazky a složky na chráněném počítači.

  • Vytváří samostatný deník změn pro každý chráněný svazek a ukládá tento deník do skrytého souboru na tomto svazku. Zaznamenává všechny změny chráněných dat v deníku změn a přenese deník z chráněného počítače na server DPM, aby aplikace DPM mohl synchronizovat primární data s replikou.

Agenta nastavíte takto:

  • Pokud se počítač obsahující data, která chcete zálohovat, nachází za bránou firewall, budete muset nastavit výjimky brány firewall.

  • Pokud počítač není za bránou firewall nebo jste nakonfigurovali výjimky brány firewall pro povolení přístupu, můžete agenta nainstalovat z konzoly DPM.

  • Pokud nemáte přístup přes bránu firewall, počítač, který chcete chránit, je v pracovní skupině nebo nedůvěryhodné doméně nebo potřebujete použít jinou metodu instalace, můžete agenta nainstalovat ručně a pak agenta připojit.

Nastavení výjimek brány firewall

Aby mohl agent ochrany komunikovat se serverem aplikace DPM přes bránu firewall, je potřeba nastavit výjimky brány firewall.

Nakonfigurujte příchozí výjimku pro sqlservr.exe pro instanci DPM SQL Server tak, aby umožňovala tcp na portu 80. Server sestav čeká na požadavky HTTP na portu 80. V následující tabulce jsou protokoly a porty potřebné pro komunikaci mezi serverem DPM a chráněnými servery a klienty.

Protokol Port Podrobnosti
DCOM 135/TCP
Dynamická		 Řídicí protokol aplikace DPM používá model DCOM. Aplikace DPM vysílá příkazy agentům ochrany vyvoláním volání DCOM na agenta. Agent ochrany reaguje vyvoláním volání DCOM na server DPM.

Port TCP 135 je bodem rozlišení koncového bodu DCE, který používá model DCOM.

Ve výchozím nastavení přiřadí DCOM porty dynamicky z rozsahu portů TCP 49152 až 65535. Tento rozsah je ale možné nakonfigurovat pomocí Služby komponent.

Pro komunikaci agenta DPM musíte otevřít horní porty 49152-65535. Porty otevřete následujícím způsobem:

1. Ve Správci služby IIS 7.0 vyberte v podokně Connections uzel na úrovni serveru ve stromu.
2. V seznamu funkcí poklikejte na ikonu Podpora brány firewall ftp .
3. Zadejte rozsah hodnot pro rozsah portů datového kanálu.
4. Po zadání rozsahu portů pro službu FTP vyberte v podokně Akce možnost Použít a uložte nastavení konfigurace.
TCP 5718/TCP
5719/TCP		 Datový kanál aplikace DPM je založený na TCP. DPM i chráněný počítač inicializuje připojení, aby bylo možné provádět operace DPM, jako je synchronizace a obnovení.

Aplikace DPM komunikuje s koordinátorem agenta prostřednictvím portu 5718 a s agentem ochrany prostřednictvím portu 5719.
DNS 53/UDP Používá se mezi DPM a řadičem domény a mezi chráněným počítačem a řadičem domény pro překlad názvů hostitelů.
Kerberos 88/UDP 88/TCP Používá se mezi DPM a řadičem domény a mezi chráněným počítačem a řadičem domény k ověření koncového bodu připojení.
LDAP 389/TCP
389/UDP		 Používá se k dotazování mezi aplikací DPM a řadičem domény.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Používá se mezi aplikací DPM a chráněným počítačem, mezi aplikací DPM a řadičem domény a mezi chráněným počítačem a řadičem domény pro různé operace. Používá se pro SMB přímo hostované na TCP/IP pro funkce aplikace DPM.

Instalace agenta z konzoly DPM

  1. V konzole správce APLIKACE DPM vyberteAgentipro správu>. Výběrem možnosti Nainstalovat na pásu karet nástroje otevřete Průvodce instalací agenta ochrany.

  2. Na stránce Vybrat metodu nasazení agenta vyberte Nainstalovat agenty>Další.

  3. Na stránce Vybrat počítače zobrazí aplikace DPM seznam dostupných počítačů ve stejné doméně jako server aplikace DPM. Přidejte požadovaný počítač.

    • Při prvním použití průvodce se aplikace DPM dotazuje služby Active Directory, aby získala seznam dostupných počítačů. Po první instalaci aplikace DPM uloží seznam počítačů ve své databázi, která se aktualizuje jednou denně procesem automatického zjišťování.

    • Chcete-li najít počítač v jiné doméně, který má obousměrný vztah důvěryhodnosti s doménou, ve které se nachází server DPM, musíte zadat plně kvalifikovaný název domény (FQDN) počítače, který chcete chránit. Například <Computer1.Domain1.contoso.com>, kde Computer1 je název počítače, který chcete chránit, a Domain1.contoso.com je doména, do které cílový počítač patří.

    • Stránka tlačítka Upřesnit je povolená jenom v případě, že je pro instalaci na počítačích k dispozici více než jedna verze agenta ochrany. Tuto možnost můžete použít k instalaci předchozí verze agenta ochrany, která byla nainstalována před upgradem serveru DPM na novější verzi.

  4. Na stránce Zadat přihlašovací údaje zadejte uživatelské jméno a heslo pro účet domény, který je členem místní skupiny Administrators na všech vybraných počítačích.

    • Do pole Doména přijměte nebo zadejte název domény uživatelského účtu, který používáte k instalaci agenta ochrany na cílový počítač. Tento účet může patřit do domény, v níž je umístěn server aplikace DPM, nebo do domény, která má oboustranný vztah důvěryhodnosti s doménou, v níž je server aplikace DPM.

    • Pokud instalujete agenta ochrany na počítač v rámci důvěryhodné domény, zadejte své aktuální přihlašovací údaje pro doménu. Můžete být členem libovolné domény, která má obousměrný vztah důvěryhodnosti s doménou, ve které se nachází server DPM, a musíte být členem místní skupiny Administrators na všech vybraných počítačích, na které chcete nainstalovat agenta.

    • Pokud vyberete uzel v clusteru, aplikace DPM detekuje všechny další uzly v clusteru a zobrazí stránku Vybrat uzly clusteru.

  5. Na stránce Vybrat uzly clusteru vyberte možnost, kterou má dpm používat k instalaci agentů na další uzly v clusteru, a pak vyberte Další.

  6. Na stránce Zvolte způsob restartu vyberte způsob, kterým chcete restartovat vybrané počítače po dokončení instalace agenta ochrany. Než počítač začne chránit data, je třeba jej restartovat. Restart je nezbytný pro načtení filtru svazku, který aplikace DPM využívá ke sledování a přenosu změn na úrovni blokování mezi serverem aplikace DPM a chráněnými počítači.

    • Pokud se rozhodnete počítače později restartovat, stav instalace agenta ochrany se po restartování počítače na kartě Agenti v oblasti úloh Správa automaticky neaktualizuje a budete muset vybrat Aktualizovat informace.

    • Pokud instalujete agenta ochrany na jiný server DPM, nemusíte restartovat počítač.

    • Pokud některý z počítačů, které jste vybrali, jsou uzly v clusteru, zobrazí se další stránka Zvolit metodu restartování , na které můžete vybrat metodu restartování clusterovaných počítačů. Abyste mohli úspěšně chránit data clusteru, musíte na všechny uzly v clusteru nainstalovat agenta ochrany. Než počítače začnou chránit data, je třeba je restartovat. Vzhledem k tomu, že spuštění služeb vyžaduje čas, může po restartování trvat několik minut, než aplikace DPM může kontaktovat agenta v clusteru.

    • APLIKACE DPM automaticky nerestartuje počítač, který patří do clusteru Microsoft Cluster Server (MSCS). V clusteru MSCS je třeba počítač restartovat ručně.

  7. Na stránce Souhrn vyberte Nainstalovat a spusťte instalaci. Pokud se zobrazí smlouva EULA, přijměte ji, aby se instalace spustila. Na kartě Úloha na stránce instalace uvidíte, jestli byla instalace úspěšná. Před dokončením průvodce můžete vybrat Zavřít a sledovat průběh instalace na kartě Agenti v oblasti úloh Správa . Pokud dopadla instalace neúspěšně, můžete zobrazit výstrahy v oblasti úlohy Sledování na kartě Výstrahy.

Poznámka

Po instalaci agenta ochrany do počítače, který je součástí Windows SharePoint Services farmy, se nebudou všechny počítače ve farmě zobrazovat jako chráněné počítače na kartě Agenti v oblasti úloh Správa, ale jenom počítač, který jste vybrali. Pokud však má farma služby Windows SharePoint Services data na vybraném počítači, aplikace DPM chrání data na všech počítačích ve farmě – za předpokladu, že je na všech nainstalován agent ochrany.

Ruční instalace agenta

  1. Pokud agenta nainstalujete na počítač za bránou firewall, musíte zajistit, aby se agent mohl vysunout přes bránu firewall.

    Třeba ke konfiguraci brány Windows Firewall můžete na počítači spustit následující příkaz: netsh advfirewall firewall add rule name="Povolit průchod vzdáleného agenta DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAdresa>, kde IPAdresa je adresa serveru DPM.

    Pokyny ke konfiguraci výjimky portů v bráně firewall najdete v článku Konfigurace výjimek brány firewall pro agenta.

  2. Na počítači, který chcete chránit, otevřete okno příkazového řádku se zvýšenými oprávněními a spusťte následující příkazy:

    Pokud chcete přiřadit písmeno jednotky, zadejte: net use Z: \<DPMServerName>\c$ , kde Z je písmeno místní jednotky, které chcete přiřadit, a <DPMServerName> je název serveru DPM, který bude chránit počítač.

    Chcete-li změnit adresář, postupujte takto:

    • U 64bitového počítače zadejte: cd /d <přiřazené písmeno> jednotky:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<číslo buildu.0>\amd64, kde <přiřazené písmeno> jednotky je písmeno jednotky, které jste přiřadili v předchozím kroku, a <číslo> sestavení je číslo nejnovějšího sestavení DPM. Příklad: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • U 32bitového počítače zadejte: cd /d <přiřazené písmeno> jednotky:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<číslo buildu>l;. 0\i386, kde <přiřazené písmeno> jednotky je jednotka, kterou jste namapovali v předchozím kroku, a <číslo> sestavení je číslo nejnovějšího sestavení DPM.

  3. Pokud chcete nainstalovat agenta ochrany, otevřete okno příkazového řádku se zvýšenými oprávněními a spusťte jeden z následujících příkazů:

    • U 64bitového počítače zadejte: DpmAgentInstaller_x64.exe <NÁZEVSERVERU> DPM, kde <DPMServerName> je plně kvalifikovaný název domény (FQDN) serveru DPM. Příklad: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • U 32bitového počítače zadejte: DpmAgentInstaller_x86.exe <NÁZEV>_SERVERU DPM, kde <DPMServerName> je plně kvalifikovaný název domény (FQDN) serveru DPM.

    Poznámka

    • Pokud chcete provést bezobslužnou instalaci, můžete použít možnost /q za příkazemDpmAgentInstaller_x64.exe . Příklad: DpmAgentInstaller_x64.exe /q <NázevServeru> DPM
    • Pokud chcete ručně přijmout smlouvu EULA v bezobslužné instalaci, použijte DpmAgentInstaller_x64.exe /q <NázevServeru> DPM /IAcceptEULA.
    • Pokud zadáte název serveru DPM na příkazovém řádku, nainstaluje se agent ochrany a automaticky nakonfiguruje účty zabezpečení, oprávnění a výjimky brány firewall nezbytné pro komunikaci agenta se zadaným serverem DPM. Pokud jste nezadali název serveru, otevřete příkazový řádek se zvýšenými oprávněními v cílovém počítači a proveďte následující kroky:
    1. Změna typu adresáře: cd /d <system drive>:\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Typ: SetDpmServer.exe -dpmServerName <DPMServerName>. Tím se nakonfigurují účty zabezpečení, oprávnění a výjimky brány firewall pro komunikaci agenta se serverem.

  4. Pokud jste počítač přidali na server DPM před instalací agenta, server začne vytvářet zálohy chráněného počítače. Pokud jste nainstalovali agenta před přidáním počítače k serveru aplikace DPM, musíte připojit počítač před tím, než server aplikace začne vytvářet zálohy.

Nainstalujte agenta ochrany do RODC.

Proveďte následující kroky:

  1. Před instalací agenta vypněte bránu firewall na řadiči domény jen pro čtení nebo na řadiči domény jen pro čtení spusťte následující příkazy:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Na primárním řadiči domény vytvořte a vyplňte následující skupiny zabezpečení (kde název chráněného serveru je název řadiče domény jen pro čtení, na který plánujete nainstalovat agenta ochrany):

    • Vytvořte skupinu zabezpečení s názvem DPMRADCOMTRUSTEDMACHINES$PSNAME a pak přidejte účet počítače serveru DPM jako člena.

    • Vytvořte skupinu zabezpečení s názvem DPMRADMTRUSTEDMACHINES$PSNAME a pak přidejte účet počítače serveru DPM jako člena.

    • Vytvořte skupinu zabezpečení s názvem DPMRATRUSTEDDPMRAS$PSNAME a pak přidejte účet počítače serveru DPM jako člena.

    • Přidejte účet počítače serveru DPM jako člena skupiny zabezpečení Builtin\Distributed Com Users .

  3. Ujistěte se, že se skupiny zabezpečení, které jste vytvořili dříve, zreplikovali na RODC. Pak nainstalujte ručně agenta ochrany na řadiči domény jen pro čtení.

  4. Na serveru řadiče domény jen pro čtení udělte pomocí následujících kroků spouštěcí a aktivační oprávnění službě DPMRA:

    1. Otevřete prostředí DPM Management Shell a spusťte příkaz dcomcnfg.exe.

      Otevře se okno Služba komponent .

    2. V okně Služba komponent rozbalte položku Počítače, rozbalte položku Tento počítač, rozbalte položku Konfigurace modelu DCOM, klikněte pravým tlačítkem na službuDPM RA a pak vyberte Vlastnosti.

    3. Vyberte Obecné a pak nastavte Úroveň ověřování na Výchozí.

    4. Vyberte Umístění a ujistěte se, že je vybraná jenom možnost Spustit aplikaci v tomto počítači .

    5. Vyberte Zabezpečení, v části Spouštěcí a aktivační oprávnění vyberte Přizpůsobit, vyberte Přizpůsobit a pak vyberte Upravit. Otevře se dialogové okno Oprávnění ke spuštění.

    6. V dialogovém okně Oprávnění ke spuštění přiřaďte oprávnění pro místní spuštění, vzdálené spuštění, místní aktivaci a vzdálenou aktivaci pro účet počítače serveru DPM.

    7. Kliknutím na OK dialogové okno zavřete.

    8. Na serveru DPM přejděte do složky Program Files\Microsoft System Center\DPM\DPM\setup a zkopírujte následující soubory do složky na serveru řadiče domény jen pro čtení.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. V řadiči domény jen pro čtení spusťte pomocí příkazového řádku se zvýšenými oprávněními příkaz setagentcfg.exe a DPMRA domain\DPMserver z umístění, které jste zadali v předchozím kroku.

  6. Na serveru řadiče domény jen pro čtení přejděte do složky C:\Program Files\Microsoft Data Protection Manager\DPM\bin a spusťte příkaz setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Připojte agenta ochrany k serveru DPM, jak je podrobně popsáno v následující části.

Připojení agenta

Po ruční instalaci agenta DPM budete muset agenta připojit k serveru DPM.

  1. V konzole správce aplikace DPM na navigačním panelu vyberteAgentipro správu>. V podokně Akce vyberte Nainstalovat.

  2. Na stránce Vybrat způsob nasazení agenta vyberte Připojit agenty>Počítač v důvěryhodné doméně>Další. Otevře se Průvodce instalací agenta ochrany.

  3. Na stránce Vybrat počítače zobrazí aplikace DPM seznam dostupných počítačů ve stejné doméně jako server DPM. Vyberte jeden nebo více počítačů (maximálně 50) ze seznamu >Název počítačePřidat>další.

    • Pokud průvodce používáte poprvé, APLIKACE DPM se dotáže služby Active Directory, aby získala seznam potenciálních počítačů. Po první instalaci aplikace DPM zobrazuje seznam počítačů ve své databázi, která se aktualizuje jednou denně pomocí procesu automatického zjišťování.

    • Pokud chcete přidat více počítačů pomocí textového souboru, vyberte tlačítko Přidat ze souboru a v dialogovém okně Přidat ze souboru zadejte umístění textového souboru nebo vyberte Procházet a přejděte na jeho umístění.

  4. Na stránce Zadat pověření zadejte uživatelské jméno a heslo pro účet domény, který je členem místní skupiny Administrators na všech vybraných počítačích. Do pole Doména přijměte nebo zadejte název domény uživatelského účtu, který používáte k instalaci agenta ochrany na cílový počítač. Tento účet může patřit k doméně, v níž je umístěn server aplikace DPM, nebo k důvěryhodné doméně. Pokud instalujete agenta ochrany na počítač v rámci důvěryhodné domény, zadejte své aktuální přihlašovací údaje pro doménu. Můžete být členem kterékoli důvěryhodné domény a musíte být členem místní skupiny Správci na všech vybraných počítačích, které chcete chránit.

  5. Na stránce Souhrn vyberte Připojit.