Bereitstellen des DPM-Schutz-Agents
Wichtig
Diese Version von Data Protection Manager (DPM) hat das Supportende erreicht. Sie sollten ein Upgrade auf DPM 2019 durchführen.
Beim System Center Data Protection Manager-Schutz-Agent (DPM) handelt es sich um eine Softwarekomponente, die Sie auf allen Computern installieren, die Daten enthalten, die Sie mit DPM sichern möchten. Sie besteht aus zwei Komponenten: dem Schutz-Agent selbst und einem Agent-Koordinator. Funktionsbeschreibung:
Identifizieren der Daten, die von DPM geschützt und wiederhergestellt werden können.
Befähigen des DPM-Servers, Freigaben, Volumes und Ordner auf dem geschützten Computer zu durchsuchen.
Erstellt ein separates Änderungsjournal für jedes geschützte Volume und speichert das Journal in einer verborgenen Datei auf dem jeweiligen Volume. Zeichnet alle Änderungen an geschützten Daten im Änderungsjournal auf, und überträgt das Journal vom geschützten Computer zum DPM-Server, damit die primären Daten von DPM mit dem Replikat synchronisiert werden können.
Gehen Sie wie folgt vor, um den Agent einzurichten:
Wenn sich der Computer, der die zu sichernden Daten enthält, hinter einer Firewall befindet, müssen Sie Firewallausnahmen einrichten.
Wenn sich der Computer nicht hinter einer Firewall befindet, oder Sie Firewallausnahmen für den Zugriff konfiguriert haben, können Sie den Agent über die DPM-Verwaltungskonsole installieren.
Wenn Sie keinen Zugriff über die Firewall haben, sich der zu schützende Computer in einer Arbeitsgruppe oder nicht vertrauenswürdigen Domäne befindet oder Sie lediglich eine andere Installationsmethode verwenden möchten, können Sie den Agent alternativ manuell installieren und ihn anschließend anfügen.
Einrichten von Firewallausnahmen
Damit ein Schutz-Agent mit dem DPM-Server über eine Firewall kommunizieren kann, sind Firewallausnahmen erforderlich.
Konfigurieren Sie eine eingehende Ausnahme für „sqservr.exe“ für die DPM-Instanz von SQL Server, um TCP an Port 80 zuzulassen. Der Berichtsserver lauscht an Port 80. Die folgende Tabelle listet die Protokolle und Ports auf, die für die Kommunikation zwischen dem DPM-Server und geschützten Servern und Clients erforderlich sind.
| Protokoll | Port | Details |
|---|---|---|
| DCOM | 135/TCP Dynamisch |
Das DPM-Steuerungsprotokoll verwendet DCOM. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent ausgelöst werden. Der Schutz-Agent antwortet durch DCOM-Aufrufe an den DPM-Server. TCP-Port 135 ist der von DCOM verwendete DCE-Endpunktauflösungspunkt. Standardmäßig werden Ports im TCP-Portbereich von 49152 bis 65535 von DCOM dynamisch zugewiesen. Sie können diesen Bereich mithilfe von Komponentendiensten konfigurieren. Beachten Sie, dass die oberen Ports 49152–65535 für die Kommunikation mit dem DPM-Agent geöffnet sein müssen. Führen Sie folgende Schritte aus, um die Ports zu öffnen: 1. Klicken Sie in IIS 7.0 Manager im Bereich Verbindungen auf den Knoten auf Serverebene in der Struktur. 2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung. 3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich ein. 4. Klicken Sie nach der Eingabe des Portbereichs für den FTP-Dienst im Bereich Aktionen auf Anwenden, um die Konfigurationseinstellungen zu speichern. |
| TCP | 5718/TCP 5719/TCP |
Der DPM-Datenkanal basiert auf TCP. Sowohl von DPM als auch vom geschützten Computer werden Verbindungen hergestellt, um DPM-Operationen wie Synchronisierung und Wiederherstellung zu aktivieren. DPM kommuniziert mit dem Agent-Koordinator auf Port 5718 und mit dem Schutz-Agent auf Port 5719. |
| DNS | 53/UDP | Wird zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller zur Hostnamensauflösung verwendet. |
| Kerberos | 88/UDP 88/TCP | Wird zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller zur Authentifizierung des Verbindungsendpunkts verwendet. |
| LDAP | 389/TCP 389/UDP |
Wird zwischen DPM und dem Domänencontroller für Abfragen verwendet. |
| NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Wird zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für sonstige Operationen verwendet. Wird für direkt auf TCP/IP gehostetes SMB für DPM-Funktionen verwendet. |
Installieren des Agents über die DPM-Konsole
Klicken Sie in der DPM-Verwaltungskonsole auf VerwaltungAgents. Klicken Sie im Menüband auf Installieren , um den Installations-Assistenten für Schutz-Agents zu öffnen.
Klicken Sie auf der Seite Agentbereitstellungsmethode auswählen auf Agents installierenWeiter.
Auf der Seite Computer auswählen wird von DPM eine Liste der verfügbaren Computer angezeigt, die sich in derselben Domäne wie der DPM-Server befinden. Fügen Sie den erforderlichen Computer hinzu.
Bei der erstmaligen Verwendung des Assistenten wird Active Directory von DPM abgefragt, um eine Liste der verfügbaren Computer zu erhalten. Nach der erstmaligen Installation wird von DPM die Liste der Computer in seiner Datenbank gespeichert, die einmal pro Tag durch die AutoErmittlung aktualisiert wird.
Um einen Computer in einer anderen Domäne zu finden, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet, müssen Sie den vollqualifizierten Domänennamen des Computers eingeben, den Sie schützen möchten (z.B. Computer1>.Domain1.contoso.com, wobei > für den Namen des Computers steht, den Sie schützen möchten, und Domain1.contoso.com die Domäne angibt, zu der der Zielcomputer gehört.
Die Schaltfläche Erweitert ist nur dann aktiviert, wenn mehrere Versionen eines Schutz-Agents zur Installation auf den Computern verfügbar sind. Sie können diese Option dazu verwenden, um eine frühere Version des Schutz-Agents zu installieren, die vor dem Upgrade des DPM-Servers auf eine neuere Version installiert war.
Geben Sie auf der Seite Anmeldeinformationen eingeben den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Administratorengruppe auf allen ausgewählten Computern ist.
Übernehmen Sie im Feld Domäne den Domänennamen, oder geben Sie den Domänennamen des Benutzerkontos ein, das Sie für die Installation des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto kann zur Domäne gehören, in der sich der DPM-Server befindet, oder zu einer Domäne, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet.
Wenn Sie einen Schutz-Agent auf einem Computer über eine vertrauenswürdige Domäne hinweg installieren, geben Sie die Benutzeranmeldeinformationen Ihrer aktuellen Domäne an. Sie können ein Mitglied einer beliebigen Domäne sein, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet, und Sie müssen Mitglied der lokalen Administratorengruppe auf allen ausgewählten Computern sein, auf denen Sie einen Agent installieren möchten.
Wenn Sie einen Knoten in einem Cluster auswählen, werden alle weiteren Knoten im Cluster von DPM erkannt, und es wird die Seite Clusterknoten auswählen angezeigt.
Wählen Sie auf der Seite Clusterknoten auswählen eine Option aus, die von DPM zum Installieren von Agents auf zusätzlichen Knoten im Cluster verwendet werden soll, und klicken Sie dann auf Weiter.
Wählen Sie auf der Seite Methode für Neustart auswählen die Methode aus, die nach der Installation des Schutz-Agents für den Neustart der ausgewählten Computer verwendet werden soll. Der Computer muss neu gestartet werden, bevor Sie mit dem Schützen von Daten beginnen können. Ein Neustart ist erforderlich, um den Volumefilter zu laden, der von DPM zum Nachverfolgen und Übertragen von Änderungen auf Blockebene zwischen dem DPM-Server und den geschützten Computern verwendet werden soll.
Wenn Sie den Computer später neu starten, wird der Installationsstatus des Schutz-Agents auf der Registerkarte Agents im Aufgabenbereich Verwaltung nach dem Neustart des Computers nicht automatisch aktualisiert, und Sie müssen auf Informationen aktualisieren klicken.
Sie müssen den Computer nicht neu starten, wenn Sie einen Schutz-Agent auf einem anderen DPM-Server installieren.
Wenn einer der ausgewählten Computer ein Knoten in einem Cluster ist, wird ein weiteres Mal die Seite Methode für Neustart auswählen angezeigt, auf der Sie die Methode für Neustart der gruppierten Computer auswählen können. Sie müssen einen Schutz-Agent auf allen Knoten eines Clusters installieren, damit die Clusterdaten erfolgreich geschützt werden. Die Computer müssen neu gestartet werden, bevor Sie mit dem Schützen von Daten beginnen können. Aufgrund der benötigten Zeit zum Starten der Dienste kann es nach dem Neustart einige Minuten dauern, bis DPM den Agent im Cluster kontaktieren kann.
Von DPM wird kein automatischer Neustart eines Computers ausgeführt, der zu einem MSCS-Cluster (Microsoft Cluster Server) gehört. Sie müssen Computer in einem MSCS-Cluster manuell neu starten.
Klicken Sie auf der Seite Zusammenfassung auf Installieren , um mit der Installation zu beginnen. Wenn die Lizenzbedingungen angezeigt werden, akzeptieren Sie sie, damit die Installation gestartet wird. Auf der Registerkarte Aufgabe der Installationsseite wird angezeigt, ob die Installation erfolgreich ausgeführt wurde. Sie können auf Schließen klicken, bevor der Assistent abgeschlossen ist, und den Installationsfortschritt auf der Registerkarte Agents des Aufgabenbereichs Verwaltung überwachen. Wenn die Installation nicht erfolgreich war, können Sie die Warnungen im Aufgabenbereich Überwachung auf der Registerkarte Warnungen überprüfen.
Anmerkung: Nachdem Sie einen Schutz-Agent auf einem Computer installiert haben, der Teil einer Windows SharePoint Services-Farm ist, werden auf der Registerkarte Agents im Aufgabenbereich Verwaltung nicht alle Computer in der Farm als geschützte Computer angezeigt, sondern nur der ausgewählte Computer. Wenn die Windows SharePoint Services-Farm jedoch über Daten auf dem ausgewählten Computer verfügt, werden die Daten auf allen Computern in der Farm von DPM geschützt, vorausgesetzt, der Schutz-Agent ist auf allen Computern installiert.
Manuelles Installieren des Agents
Wenn Sie den Agent auf einem Computer hinter einer Firewall installieren, müssen Sie sicherstellen, dass der Agent durch die Firewall übertragen werden kann.
Sie können z.B. den folgenden Befehl auf dem Computer ausführen, um Windows-Firewall zu konfigurieren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=IP-Adresse> , wobei „IP-Adresse“ die Adresse des DPM-Servers angibt.
Eine Anleitung zum Konfigurieren der Portausnahme für die Firewall finden Sie unter Konfigurieren von Firewallausnahmen für den Agent.
Öffnen Sie auf dem zu schützenden Computer eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie anschließend die folgenden Befehle aus:
Geben Sie Folgendes ein, um einen Laufwerkbuchstaben zuzuweisen: net use Z: \DPMServerName\c$. Hierbei steht Z für den Buchstaben des lokalen Laufwerks, das Sie zuordnen möchten, und DPMServerName ist der Name des DPM-Servers, der für den Schutz des Computers eingesetzt wird.
Gehen Sie wie folgt vor, um das Verzeichnis zu ändern:
Für einen 64-Bit-Computer geben Sie Folgendes ein: cd /d Zugewiesener Laufwerkbuchstabe:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\5.0. Buildnummer> .0\amd64. Hierbei steht > für den im vorherigen Schritt zugeordneten Laufwerkbuchstaben und < entspricht der Nummer des neuesten DPM-Builds. Beispiel: cd /d X:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
Für einen 32-Bit-Computer geben Sie Folgendes ein: cd /d Zugewiesener Laufwerkbuchstabe:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.Buildnummer&.0\i386. Hierbei steht & für den im vorherigen Schritt zugeordneten Laufwerkbuchstaben und < entspricht der Nummer des neuesten DPM-Builds.
Öffnen Sie zum Installieren des Schutz-Agents eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie anschließend die folgenden Befehle aus:
Für einen 64-Bit-Computer geben Sie Folgendes ein: DpmAgentInstaller_x64.exe DPMServerName , wobei DPMServerName> der vollqualifizierte Domänenname des DPM-Servers ist. Beispiel: >
Für einen 32-Bit-Computer geben Sie Folgendes ein: DpmAgentInstaller_x86.exe , wobei DPMServerName> der vollqualifizierte Domänenname des DPM-Servers ist.
Anmerkung:
Zur Durchführung einer unbeaufsichtigten Installation können Sie die Option /q an den Befehl DpmAgentInstaller_x64.exe anhängen. Beispiel: DpmAgentInstaller_x64.exe /q DPMServerName
Verwenden Sie DpmAgentInstaller_x64.exe /q DPMServerName> /IAcceptEULA, um die Lizenzbedingungen bei einer unbeaufsichtigten Installation manuell zu akzeptieren.
Wenn Sie einen DPM-Servernamen angeben, werden der Schutz-Agent installiert und Sicherheitskonten, Berechtigungen und Firewallausnahmen für die Kommunikation des Agents mit dem angegebenen DPM-Server automatisch konfiguriert. Wenn Sie keinen Servernamen angegeben haben, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Zielcomputer, und gehen Sie wie folgt vor:
So ändern Sie den Verzeichnistyp: cd /d Systemlaufwerk :\Programme\Microsoft Data Protection Manager\DPM\bin
Type: SetDpmServer.exe -dpmServerName DPMServerName . Dadurch werden Sicherheitskonten, Berechtigungen und Firewallausnahmen für den Agent für die Kommunikation mit dem Server konfiguriert.
Wenn Sie den Computer dem DPM-Server vor Installation des Agents hinzugefügt haben, werden vom Server nun Sicherungen für den geschützten Computer erstellt. Wenn Sie den Agent auf dem Zielcomputer vor dessen Hinzufügen auf dem DPM-Server installiert haben, müssen Sie den Computer verbinden, damit von dem DPM-Server Sicherungen für den geschützten Computer erstellt werden.
Installieren des Schutz-Agents auf einem RODC
Gehen Sie dazu folgendermaßen vor:
Deaktivieren Sie die Firewall auf dem RODC, oder führen Sie die folgenden Befehle auf dem RODC aus, bevor Sie den Agent installieren:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yesnetsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yesnetsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allownetsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
Erstellen und füllen Sie auf dem primären Domänencontroller folgende Sicherheitsgruppen (dabei ist der Name des geschützten Servers "PSNAME" der Name des RODCs, auf dem Sie den Schutz-Agent installieren möchten):
Erstellen Sie eine Sicherheitsgruppe unter dem Namen DPMRADCOMTRUSTEDMACHINES$PSNAME, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.
Erstellen Sie eine Sicherheitsgruppe unter dem Namen DPMRADCOMTRUSTEDMACHINES$PSNAME, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.
Erstellen Sie eine Sicherheitsgruppe unter dem Namen DPMRATRUSTEDDPMRAS$PSNAME , und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.
Fügen Sie das Computerkonto des DPM-Servers der Sicherheitsgruppe Builtin\Distributed Com-Benutzer als Mitglied hinzu.
Vergewissern Sie sich, dass die zuvor erstellten Sicherheitsgruppen auf dem RODC repliziert wurden. Installieren Sie dann den Schutz-Agent manuell auf dem RODC.
Führen Sie auf dem RODC-Server folgende Schritte aus, um Berechtigungen zum Starten und Aktivieren des DPMRA-Diensts zu erteilen:
Öffnen Sie die DPM-Verwaltungsshell, und führen Sie den Befehl dcomcnfg.exe aus.
Es wird das Fenster Komponentendienste geöffnet.
Erweitern Sie im Fenster Komponentendienste zunächst Computerund dann erneut Computer. Erweitern Sie "DCOM-Konfiguration", klicken Sie mit der rechten Maustaste auf den DienstDPM RA , und klicken Sie auf Eigenschaften.
Klicken Sie auf Allgemein, und wählen Sie für Authentifizierungsebene die Option Standard aus.
Klicken Sie auf Speicherort, und stellen Sie sicher, dass nur Anwendung auf diesem Computer ausführen ausgewählt ist.
Klicken Sie auf Sicherheit, wählen Sie unter Start- und Aktivierungsberechtigungen die Option Anpassen, wählen Sie erneut Anpassen, und klicken Sie dann auf Bearbeiten, um das Dialogfeld Startberechtigung zu öffnen.
Erteilen Sie dem Computerkonto des DPM-Servers im Dialogfeld Startberechtigung die Berechtigungen für Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung.
Klicken Sie auf OK , um das Dialogfeld zu schließen.
Navigieren Sie auf dem DPM-Server zu Programme\Microsoft System Center\DPM\DPM\setup, und kopieren Sie die folgenden Dateien in einen Ordner auf dem RODC-Server.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
Führen Sie auf dem RODC an einer Eingabeaufforderung mit erhöhten Rechten den Befehl setagentcfg.exe a DPMRA domain\DPMserver von dem im vorherigen Schritt angegebenen Speicherort aus aus.
Wechseln Sie auf dem RODC-Server zum Ordner C:\Programme\Microsoft Data Protection Manager\DPM\bin, und führen Sie den Befehl „setdpmserver“ aus:
Setdpmserver -dpmservername DPMSERVER
Fügen Sie den Schutz-Agent wie im folgenden Abschnitt beschrieben dem DPM-Server hinzu.
Anfügen des Agents
Nachdem Sie die DPM-Agents manuell installiert haben, müssen Sie den Agent an den DPM-Server anfügen.
Klicken Sie auf der Navigationsleiste der DPM-Verwaltungskonsole auf VerwaltungAgents. Klicken Sie im Bereich Aktionen auf Installieren.
Wählen Sie auf der Seite Agentbereitstellungsmethode auswählen Folgendes aus: Agents verbindenComputer in einer vertrauenswürdigen DomäneWeiter. Der Installations-Assistent des Schutz-Agents wird geöffnet.
Auf der Seite "Computer auswählen" wird von DPM eine Liste der verfügbaren Computer in der Domäne des DPM-Servers angezeigt. Wählen Sie in der Liste Computername durch Klicken auf HinzufügenWeiter einen oder mehrere Computer (maximal 50) aus.
Wenn Sie den Assistenten jetzt zum ersten Mal verwenden, wird von DPM eine Abfrage von Active Directory ausgeführt, um eine Liste möglicher Computer zu erhalten. Nach der ersten Installation zeigt DPM die Liste der Computer in der Datenbank an, die täglich anhand der AutoErmittlung aktualisiert wird.
Wenn Sie mehrere Computer unter Verwendung einer Textdatei hinzufügen möchten, klicken Sie auf die Schaltfläche Aus Datei hinzufügen , und geben Sie im Dialogfeld Aus Datei hinzufügen den Speicherort der Textdatei an, oder klicken Sie auf "Durchsuchen", um zum entsprechenden Speicherort zu navigieren.
Geben Sie auf der Seite "Anmeldeinformationen eingeben" den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Gruppe "Administratoren" auf allen ausgewählten Computern ist. Übernehmen Sie im Feld Domäne den Domänennamen, oder geben Sie den Domänennamen des Benutzerkontos ein, das Sie für die Installation des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto kann zur Domäne, in der sich der DPM-Server befindet, oder zu einer vertrauenswürdigen Domäne gehören. Wenn Sie einen Schutz-Agent auf einem Computer über eine vertrauenswürdige Domäne hinweg installieren, geben Sie die Benutzeranmeldeinformationen Ihrer aktuellen Domäne an. Sie können ein Mitglied einer beliebigen vertrauenswürdigen Domäne sein, und Sie müssen ein Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, die Sie schützen möchten.
Klicken Sie auf der Seite "Zusammenfassung" auf Anfügen.