A DPM védelmi ügynök telepítése

  • Cikk

Fontos

A Data Protection Manager (DPM) ezen verziója elérte a támogatás végét. Javasoljuk, hogy frissítsen a DPM 2022-re.

A System Center Data Protection Manager (DPM) védelmi ügynök az a szoftver, amelyet minden olyan számítógépre telepít, amely a DPM-hez biztonsági másolatot készíteni kívánt adatokat tartalmaz. Két összetevőből áll: magából a védelmi ügynökből és egy ügynökkoordinátorból. A következő feladatokat látja el:

  • Azonosítja azokat az adatokat, amelyeket a DPM képes megvédeni és helyreállítani.

  • Lehetővé teszi, hogy a DPM-kiszolgáló tallózzon a védett számítógépen lévő megosztások, kötetek és mappák között.

  • Minden egyes védett kötethez különálló módosítási naplót hoz létre, és a naplót az adott köteten egy rejtett fájlban tárolja. A módosítási naplóban rögzíti a védett adatok módosításait, és átviszi a naplót a védett számítógépről a DPM-kiszolgálóra, hogy a DPM szinkronizálhassa az elsődleges adatokat a replikával.

Az ügynököt a következőképpen telepítheti:

A tűzfalkivételek beállítása

A védelmi ügynököknek a DPM-kiszolgálóval való kommunikációjához a tűzfalon keresztül tűzfalkivételekre van szükség.

Konfiguráljon bejövő kivételt sqlservr.exe a SQL Server DPM-példányához, hogy engedélyezze a TCP-t a 80-s porton. A jelentéskiszolgáló a 80-as porton figyeli a HTTP-kéréseket. Az alábbi táblázat a DPM-kiszolgáló és a védett kiszolgálók, illetve ügyfelek közti kommunikációhoz szükséges protokollok és portok listáját tartalmazza.

Protokoll Port Részletek
DCOM 135/TCP
Dinamikus		 A DPM vezérlőprotokoll a DCOM-protokollt használ. A DPM úgy ad ki parancsokat a védelmi ügynök számára, hogy DCOM-hívásokat kezdeményez az ügynökön. A védelmi ügynök úgy válaszol, hogy a DPM-kiszolgálón ad meg DCOM-hívásokat.

A 135-ös TCP-port a DCOM által használt DCE-végponti feloldási pont.

Alapértelmezés szerint a DCOM dinamikusan rendel portokat a 49152 és 65535 közötti TCP-porttartományhoz. Ezt a tartományt azonban módosíthatja a komponensszolgáltatások használatával.

A DPM-ügynök kommunikációja esetén meg kell nyitnia a 49152-65535-ös portot. A portok megnyitásához kövesse az alábbi lépéseket:

1. Az IIS 7.0 Kezelőben a Connections panelen válassza ki a kiszolgálószintű csomópontot a fában.
2. Kattintson duplán az FTP-tűzfal támogatása ikonra a szolgáltatások listájában.
3. Adjon meg értéktartományt az adatcsatorna porttartományához.
4. Miután megadta az FTP-szolgáltatás porttartományát, a Műveletek panelen válassza az Alkalmaz lehetőséget a konfigurációs beállítások mentéséhez.
TCP 5718/TCP
5719/TCP		 A DPM adatcsatornája a TCP protokollt használja. A DPM és a védett számítógép is kezdeményez kapcsolatokat a DPM-műveletek, például a szinkronizálás és a helyreállítás engedélyezéséhez.

A DPM az ügynökkoordinátorral az 5718-as porton, a védelmi ügynökkel pedig az 5719-es porton keresztül kommunikál.
DNS 53/UDP A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használják a gazdagépnév feloldásához.
Kerberos 88/UDP 88/TCP A DPM és a tartományvezérlő, valamint a védett számítógép és a tartományvezérlő között használják a kapcsolati végpont hitelesítéséhez.
LDAP 389/TCP
389/UDP		 A DPM és a tartományvezérlő között használatos a lekérdezésekhez.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 A DPM és a védett számítógép, a DPM és a tartományvezérlő között, valamint a védett számítógép és a tartományvezérlő között használják a különböző műveletekhez. Az SMB használja közvetlenül a TCP/IP protokollon a DPM funkcióihoz.

A védelmi ügynök telepítése a DPM-konzolból

  1. A DPM felügyeleti konzolján válassza a Felügyeleti>ügynökök lehetőséget. Válassza a Telepítés lehetőséget az eszköz menüszalagján a Védelmi ügynök telepítővarázslójának megnyitásához.

  2. Az Ügynöktelepítési módszer kiválasztása lapon válassza az Ügynökök> telepítéseTovább lehetőséget.

  3. A Számítógépek kiválasztása lapon a DPM megjeleníti azokat az elérhető számítógépeket, amelyek ugyanabban a tartományban találhatók, mint a DPM-kiszolgáló. Adja hozzá a kívánt számítógépet.

    • A varázsló első használatakor a DPM lekérdezi az Active Directoryt az elérhető számítógépek listájának lekéréséhez. Az első telepítés után a DPM az adatbázisában tárolja a számítógépek listáját, amelyet az automatikus felderítési folyamat naponta egyszer frissít.

    • Ha olyan számítógépet szeretne keresni egy másik tartományban, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található, be kell gépelnie a védeni kívánt számítógép teljes tartománynevét (FQDN). Például <a Computer1.Domain1.contoso.com>, ahol a Számítógép1 a védeni kívánt számítógép neve, Domain1.contoso.com pedig az a tartomány, amelyhez a célszámítógép tartozik.

    • A Speciális gomboldal csak akkor engedélyezett, ha egy védelmi ügynök több verziója is elérhető a számítógépeken való telepítéshez. Ezzel a beállítással telepítheti a védelmi ügynök korábbi verzióját, amely a DPM-kiszolgáló újabb verzióra történő frissítése előtt volt telepítve.

  4. Az Enter Credentials (Hitelesítő adatok megadása) lapon írja be egy olyan tartományi fiók felhasználónevét és jelszavát, amely a helyi Rendszergazdák csoport tagja az összes kijelölt számítógépen.

    • A Tartomány mezőben fogadja el vagy írja be annak a felhasználói fióknak a tartománynevét, amelyet a védelmi ügynök telepítéséhez használ a célszámítógépen. Ez a fiók tartozhat ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, vagy olyan tartományhoz, amely kétirányú megbízhatósági kapcsolattal rendelkezik a DPM-kiszolgálót tartalmazó tartománnyal.

    • Ha megbízható tartományon keresztül telepít védelmi ügynököt egy számítógépre, az aktuális tartományának felhasználói hitelesítő adatait adja meg. Bármely tartomány tagja lehet, amely kétirányú megbízhatósági kapcsolatban áll azzal a tartománnyal, amelyben a DPM-kiszolgáló található, és a helyi Rendszergazdák csoport tagjának kell lennie minden olyan számítógépen, amelyre ügynököt szeretne telepíteni.

    • Ha kiválaszt egy fürtben lévő csomópontot, a DPM felismeri a fürtben lévő további csomópontokat, és megjeleníti a Fürtcsomópontok kiválasztása lapot.

  5. A Fürtcsomópontok kiválasztása lapon válassza ki azt a lehetőséget, amelyet a DPM-nek használnia kell az ügynökök telepítéséhez a fürt további csomópontjaira, majd válassza a Tovább gombot.

  6. Az Újraindítási módszer kiválasztása lapon válassza ki az újraindítási módszert, amelyet a kiválasztott számítógépek újraindításához kell majd használni a védelmi ügynök telepítése után. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. Az újraindításra azért van szükség, hogy a rendszer betöltse azt a kötetszűrőt, amelyet a DPM a blokkszintű változások követéséhez és átviteléhez használ a DPM-kiszolgáló és a védett számítógépek között.

    • Ha később újra szeretné indítani a számítógépeket, a védelmi ügynök telepítési állapota nem frissül automatikusan a Felügyelet feladatterület Ügynökök lapján, miután a számítógép újraindult, és ki kell választania az Információ frissítése lehetőséget.

    • Nem kell újraindítania a számítógépet, ha védelmi ügynököt telepít egy másik DPM-kiszolgálóra.

    • Ha a kiválasztott számítógépek bármelyike csomópont egy fürtben, megjelenik egy további Újraindítási módszer kiválasztása lap, amellyel kiválaszthatja a fürtözött számítógépek újraindításának módját. A fürtözött adatok sikeres védelméhez telepítenie kell egy védelmi ügynököt a fürt összes csomópontjára. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. Mivel a szolgáltatások indításához időre van szükség, az újraindítás után néhány percig is eltarthat, amíg a DPM kapcsolatba lép a fürt ügynökével.

    • A DPM nem indítja újra automatikusan a Microsoft Cluster Server- (MSCS-) fürthöz tartozó számítógépeket. Az MSCS-fürtökben lévő számítógépeket kézzel kell újraindítania.

  7. Az Összefoglalás lapon válassza a Telepítés lehetőséget a telepítés megkezdéséhez. Ha megjelenik az EULA, fogadja el a telepítés indításához. A telepítési oldal Feladat lapján láthatja, hogy a telepítés sikeres volt-e. A varázsló befejezése előtt válassza a Bezárás lehetőséget, és figyelje a telepítés állapotát a Felügyelet feladatterület Ügynökök lapján. Ha a telepítés sikertelen, a riasztásokat a Figyelés feladatterületen tekintheti át a Riasztások lapon.

Megjegyzés

Miután telepített egy védelmi ügynököt egy Windows SharePoint Services farm részét képező számítógépre, a farm minden számítógépe nem jelenik meg védett számítógépként a Felügyelet feladatterület Ügynökök lapján, csak a kiválasztott számítógépen. Ha azonban a Windows SharePoint Services-farm adatokat tárol a kiválasztott számítógépen, a DPM a farmban lévő összes számítógépen védeni fogja az adatokat, ha az összes számítógépen telepítve van a védelmi ügynök.

Az ügynök manuális telepítése

  1. Ha egy tűzfal mögötti számítógépre telepíti az ügynököt, gondoskodnia kell arról, hogy az ügynök ki legyen küldve a tűzfalon keresztül.

    A Windows tűzfal megfelelő konfigurálásához például futtassa a számítógépen a netsh advfirewall firewall add rule name="Távoli DPM-ügynök leküldésének engedélyezése" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-cím> parancsot (ahol az a DPM-kiszolgáló címe).

    A tűzfal portkivételeinek konfigurálásáról a Tűzfalkivétel konfigurálása az ügynök számára című témakörben olvashat.

  2. A védeni kívánt számítógépen nyisson meg egy emelt szintű parancssori ablakot, majd futtassa a következő parancsokat:

    Meghajtóbetűjel hozzárendeléséhez írja be a következőt : net use Z: \<DPMServerName>\c$ ahol a Z a hozzárendelni kívánt helyi meghajtóbetűjel, a <DPMServerName> pedig a számítógép védelmét biztosító DPM-kiszolgáló neve.

    A könyvár módosításához tegye a következőt:

    • 64 bites számítógép esetén írja be a következőt: cd /d <hozzárendelt meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildszám.0>\amd64, ahol <a hozzárendelt meghajtóbetűjel> az előző lépésben hozzárendelt meghajtóbetűjel, a buildszám> pedig< a DPM legújabb buildszáma. Például: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • 32 bites számítógép esetén írja be a következőt: cd /d <hozzárendelt meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildszám>l;. 0\i386 , ahol <a hozzárendelt meghajtóbetűjel> az előző lépésben leképezett meghajtó, a <buildszám> pedig a DPM legújabb buildszáma.

  3. A védelmi ügynök telepítéséhez nyisson meg egy emelt szintű parancssori ablakot, majd futtassa az alábbi parancsok egyikét:

    • 64 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x64.exe <DPMServerName> , ahol <a DPMServerName> a DPM-kiszolgáló teljes tartományneve (FQDN). Például: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • 32 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x86.exe <DPMServerName> , ahol <a DPMServerName> a DPM-kiszolgáló teljes tartományneve (FQDN).

    Megjegyzés

    • Csendes telepítés végrehajtásához használja a /q lehetőséget a DpmAgentInstaller_x64.exe parancs után. Például: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Ha manuálisan szeretné elfogadni az EULA-t egy csendes telepítésben, használja aDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA parancsot.
    • Ha megad egy DPM-kiszolgálónevet a parancssorban, az telepíti a védelmi ügynököt, és automatikusan konfigurálja azokat a biztonsági fiókokat, engedélyeket és tűzfal kivételeket, amely ahhoz szükséges, hogy az ügynök kommunikáljon a megadott DPM-kiszolgálóval. Ha nem adott meg kiszolgálónevet, nyisson meg egy rendszergazda jogú parancssort a célzott számítógépen, és tegye a következőt:
    1. A könyvtár típusának módosítása: cd /d <rendszermeghajtó>:\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Típus: SetDpmServer.exe -dpmServerName <DPMServerName>. Ez konfigurálja a biztonsági fiókokat, engedélyeket és tűzfal kivételeket, hogy az ügynök kommunikáljon a kiszolgálóval.

  4. Ha az ügynök telepítése előtt hozzáadta a számítógépet a DPM-kiszolgálóhoz, a kiszolgáló megkezdi a biztonsági másolatok létrehozását a védett számítógéphez. Ha az ügynököt azt megelőzően telepítette, hogy a számítógépet hozzáadta a DPM-kiszolgálóhoz, a számítógépet csatolnia kell, mielőtt a DPM-kiszolgáló elkezdi a biztonsági mentések létrehozását.

A védelmi ügynök telepítése írásvédett tartományvezérlőre

Használja az alábbi lépéseket:

  1. Kapcsolja ki a tűzfalat az rodc-on, vagy futtassa a következő parancsokat az rodc-on az ügynök telepítése előtt:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Az elsődleges tartományvezérlőn hozza létre és töltse fel a következő biztonsági csoportokat (ahol a védett kiszolgáló neve annak az RODC-nek a neve, amelyre telepíteni kívánja a védelmi ügynököt):

    • Hozzon létre egy DPMRADCOMTRUSTEDMACHINES$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.

    • Hozzon létre egy DPMRADMTRUSTEDMACHINES$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.

    • Hozzon létre egy DPMRATRUSTEDDPMRAS$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló gépfiókját.

    • Adja hozzá a DPM-kiszolgálói számítógépfiókot a Builtin\Distributed Com Users biztonsági csoport tagjaként.

  3. Győződjön meg róla, hogy a korábban létrehozott biztonsági csoportok replikálása megtörtént az RODC-n. Ezután telepítse manuálisan a védelmi ügynököt az írásvédett tartományvezérlőre.

  4. Az alábbi lépéseket az írásvédett tartományvezérlő kiszolgálóján elvégezve indítási és aktiválási engedélyeket adhat a DPMRA szolgáltatásnak:

    1. Nyissa meg a DPM Management Shellt, majd futtassa a parancsotdcomcnfg.exe.

      Megnyílik a Komponensszolgáltatások ablak.

    2. A Komponensszolgáltatások ablakban bontsa ki a Számítógépek, a Saját számítógép, a DCOM Config csomópontot, kattintson a jobb gombbal aDPM RA szolgáltatásra , majd válassza a Tulajdonságok lehetőséget.

    3. Válassza az Általános lehetőséget, majd állítsa a hitelesítési szintet Alapértelmezettértékre.

    4. Válassza a Hely lehetőséget, majd győződjön meg arról, hogy csak az alkalmazás futtatása ezen a számítógépen van kiválasztva.

    5. Válassza a Biztonság lehetőséget, válassza a Testreszabás lehetőséget az Indítási és aktiválási engedélyek területen, válassza a Testreszabás lehetőséget, majd válassza a Szerkesztés lehetőséget az Indítási engedély párbeszédpanel megnyitásához.

    6. Az Indítási engedély párbeszédpanelen rendeljen hozzá engedélyeket a DPM-kiszolgáló gépfiókjának helyi indítási, távoli indítási, helyi aktiválási és távoli aktiválási beállításaihoz.

    7. A párbeszédpanel bezárásához kattintson az OK gombra .

    8. Lépjen a Program Files\Microsoft System Center\DPM\DPM\DPM\setup lapra a DPM-kiszolgálón, másolja a következő fájlokat az RODC-kiszolgáló egyik mappájába.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Az írásvédett tartományvezérlő rendszergazda jogú parancssorából futtassa a setagentcfg.exe a DPMRA domain\DPMserver parancsot az előző lépésben megadott helyről.

  6. Az RODC-kiszolgálón keresse meg a C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappát , és futtassa a setdpmserver parancsot:

    Setdpmserver -dpmservername DPM_KISZOLGÁLÓ_NEVE

  7. Csatolja a védelmi ügynököt a DPM-kiszolgálóhoz az alábbi szakaszban leírtak szerint.

Az ügynök csatolása

Miután manuálisan telepítette a DPM-ügynököt, csatolnia kell az ügynököt a DPM-kiszolgálóhoz.

  1. A DPM felügyeleti konzol navigációs sávján válassza a Felügyeleti>ügynökök lehetőséget. A Műveletek panelen válassza a Telepítés lehetőséget.

  2. Az Ügynöktelepítési módszer kiválasztása lapon válassza az Ügynökök csatolása>Megbízható tartományban lévő számítógép>Tovább elemet. Elindul a Védelmi ügynökök telepítővarázslója.

  3. A Számítógépek kiválasztása lapon a DPM megjeleníti az elérhető számítógépek listáját a DPM-kiszolgálóval azonos tartományban. Válasszon ki egy vagy több számítógépet (legfeljebb 50) a Számítógépnév listából, majd válassza a Tovább hozzáadása> lehetőséget>.

    • Ha először használja a varázslót, a DPM lekérdezi az Active Directoryt a lehetséges számítógépek listájának lekéréséhez. Az első telepítést követően a DPM az adatbázisában jeleníti meg a számítógépek listáját, amelyet naponta frissít az automatikus felderítési folyamat.

    • Ha több számítógépet szeretne hozzáadni egy szövegfájllal, válassza a Fájl hozzáadása gombot, majd a Fájl hozzáadása párbeszédpanelen írja be a szövegfájl helyét, vagy a Tallózás gombra kattintva keresse meg a helyét.

  4. Az Enter Credentials (Hitelesítő adatok megadása) lapon írja be egy olyan tartományi fiók felhasználónevét és jelszavát, amely az összes kijelölt számítógépen a helyi Rendszergazdák csoport tagja. A Tartomány mezőbe fogadja el vagy írja be annak a felhasználói fióknak a tartománynevét, amellyel a védelmi ügynököt a célszámítógépre telepíti. Ez a fiók tartozhat ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, vagy egy megbízható tartományhoz. Ha megbízható tartományon keresztül telepít védelmi ügynököt egy számítógépre, az aktuális tartományának felhasználói hitelesítő adatait adja meg. Bármelyik megbízható tartomány tagja lehet, és a helyi Rendszergazdák csoport tagjának kell lennie minden védeni kívánt számítógépen.

  5. Az Összefoglalás lapon válassza a Csatolás lehetőséget.