Menyebarkan agen perlindungan DPM

Penting

Versi Data Protection Manager (DPM) ini telah mencapai akhir dukungan, kami sarankan Anda untuk meningkatkan ke DPM 2019.

Agen perlindungan System Center Data Protection Manager (DPM) adalah perangkat lunak yang Anda instal di setiap komputer yang berisi data yang ingin Anda cadangkan dengan DPM. Ini terdiri dari dua komponen - agen perlindungan itu sendiri dan koordinator agen. Inilah yang dilakukannya:

  • Mengidentifikasi data yang dapat dilindungi dan dipulihkan DPM.

  • Memungkinkan server DPM untuk menelusuri berbagi, volume, dan folder di komputer yang dilindungi.

  • Membuat jurnal perubahan untuk setiap volume yang dilindungi dan menyimpan jurnal dalam file tersembunyi pada volume tersebut. ini merekam setiap perubahan pada data yang dilindungi dalam jurnal perubahan, dan mentransfer jurnal dari komputer yang dilindungi ke server DPM sehingga DPM dapat menyinkronkan data utama dengan replika.

Anda akan menyiapkan agen sebagai berikut:

  • Jika komputer yang berisi data yang ingin Anda cadangkan berada di belakang firewall, Anda harus menyiapkan pengecualian firewall.

  • Jika komputer tidak berada di belakang firewall, atau Anda telah mengonfigurasi pengecualian firewall untuk mengizinkan akses, Anda dapat Menginstal agen dari konsol DPM.

  • Atau jika Anda tidak memiliki akses melalui firewall, komputer yang ingin Anda lindungi berada dalam grup kerja atau domain yang tidak tepercaya, atau Anda hanya perlu menggunakan metode penginstalan yang berbeda, Anda dapat Menginstal agen secara manual lalu Melampirkan agen.

Menyiapkan pengecualian firewall

Agar agen perlindungan dapat berkomunikasi dengan server DPM melalui firewall, pengecualian firewall diperlukan.

Konfigurasikan pengecualian masuk untuk sqlservr.exe untuk instans DPM SQL Server, untuk memungkinkan TCP pada port 80.Server laporan mendengarkan permintaan HTTP pada port 80. Tabel berikut mencantumkan protokol dan port yang diperlukan untuk komunikasi antara server DPM dan server dan klien yang dilindungi.

Protokol Port Detail
DCOM 135/TCP
Dinamis
Protokol kontrol DPM menggunakan DCOM. DPM mengeluarkan perintah ke agen perlindungan dengan memanggil panggilan DCOM pada agen. Agen perlindungan merespons dengan memanggil panggilan DCOM di server DPM.

Port TCP 135 adalah titik resolusi titik akhir DCE yang digunakan oleh DCOM.

Secara default, DCOM menetapkan port secara dinamis dari rentang port TCP 49152 hingga 65535. Namun, Anda dapat mengonfigurasi rentang ini dengan menggunakan Layanan Komponen.

Perhatikan bahwa untuk komunikasi DPM-Agent Anda harus membuka port atas 49152-65535. Untuk membuka port, lakukan langkah-langkah berikut:

1. Di Manajer IIS 7.0, di panel Koneksi , klik simpul tingkat server di pohon.
2. Klik dua kali ikon Dukungan Firewall FTP dalam daftar fitur.
3. Masukkan rentang nilai untuk Rentang Port Saluran Data.
4. Setelah Anda memasukkan rentang port untuk layanan FTP Anda, di panel Tindakan , klik Terapkan untuk menyimpan pengaturan konfigurasi Anda.
TCP 5718/TCP
5719/TCP
Saluran data DPM didasarkan pada TCP. DPM dan komputer yang dilindungi memulai koneksi untuk mengaktifkan operasi DPM seperti sinkronisasi dan pemulihan.

DPM berkomunikasi dengan koordinator agen pada port 5718 dan dengan agen perlindungan pada port 5719.
DNS 53/UDP Digunakan antara DPM dan pengendali domain, dan antara komputer yang dilindungi dan pengontrol domain, untuk resolusi nama host.
Kerberos 88/UDP 88/TCP Digunakan antara DPM dan pengendali domain, dan antara komputer yang dilindungi dan pengontrol domain, untuk autentikasi titik akhir koneksi.
LDAP 389/TCP
389/UDP
Digunakan antara DPM dan pengendali domain untuk kueri.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
Digunakan antara DPM dan komputer yang dilindungi, antara DPM dan pengendali domain, dan antara komputer yang dilindungi dan pengontrol domain, untuk operasi lain-lain. Digunakan untuk SMB yang dihosting langsung pada TCP/IP untuk fungsi DPM.

Menginstal agen dari konsol DPM

  1. Di Konsol Administrator DPM, klik ManagementAgents>. Klik Instal pada pita alat untuk membuka Wizard Penginstalan Agen Perlindungan.

  2. Pada halaman Pilih Metode Penyebaran Agen, klik InstalagenBaru>.

  3. Pada halaman Pilih Komputer , DPM menampilkan daftar komputer yang tersedia yang berada di domain yang sama dengan server DPM. Tambahkan komputer yang diperlukan.

    • Pertama kali Anda menggunakan wizard DPM meminta Direktori Aktif untuk mendapatkan daftar komputer yang tersedia. Setelah penginstalan pertama, DPM menyimpan daftar komputer dalam databasenya, yang diperbarui sekali setiap hari oleh proses penemuan otomatis.

    • Untuk menemukan komputer di domain lain yang memiliki hubungan kepercayaan dua arah dengan domain tempat server DPM berada, Anda harus mengetikkan nama domain komputer yang sepenuhnya memenuhi syarat yang ingin Anda lindungi (misalnya, <Computer1.Domain1.contoso.com>, di mana Computer1 adalah nama komputer yang ingin Anda lindungi, dan Domain1.contoso.com adalah domain tempat komputer target berada.

    • Halaman tombol Tingkat Lanjut diaktifkan hanya ketika ada lebih dari satu versi agen perlindungan yang tersedia untuk penginstalan di komputer. Anda dapat menggunakan opsi ini untuk menginstal versi agen perlindungan sebelumnya yang diinstal sebelum Anda memutakhirkan server DPM ke versi yang lebih baru.

  4. Pada halaman Masukkan Kredensial , ketik nama pengguna dan kata sandi untuk akun domain yang merupakan anggota grup Administrator lokal di semua komputer yang dipilih.

    • Dalam kotak Domain , terima atau ketik nama domain akun pengguna yang Anda gunakan untuk menginstal agen perlindungan di komputer target. Akun ini mungkin milik domain tempat server DPM berada di atau ke domain yang memiliki hubungan kepercayaan dua arah dengan domain tempat server DPM berada.

    • Jika Anda menginstal agen perlindungan di komputer di seluruh domain tepercaya, masukkan kredensial pengguna domain Anda saat ini. Anda bisa menjadi anggota domain apa pun yang memiliki hubungan kepercayaan dua arah dengan domain yang server DPM dan Anda harus menjadi anggota grup Administrator lokal di semua komputer yang dipilih tempat Anda ingin menginstal agen.

    • Jika Anda memilih simpul dalam kluster, DPM mendeteksi semua simpul tambahan dalam kluster dan menampilkan halaman Pilih Node Kluster .

  5. Pada halaman Pilih Node Kluster , pilih opsi yang Anda inginkan untuk digunakan DPM untuk menginstal agen pada simpul tambahan di kluster, lalu klik Berikutnya.

  6. Pada halaman Pilih Metode Hidupkan Ulang , pilih metode yang akan digunakan untuk memulai ulang komputer yang dipilih setelah agen perlindungan diinstal. Komputer harus dimulai ulang sebelum Anda bisa mulai melindungi data. Mulai ulang diperlukan untuk memuat filter volume yang digunakan DPM untuk melacak dan mentransfer perubahan tingkat blok antara server DPM dan komputer yang dilindungi.

    • Jika Anda memilih untuk menghidupkan ulang komputer nanti, status penginstalan agen perlindungan tidak disegarkan secara otomatis pada tab Agen di area tugas Manajemen setelah komputer dimulai ulang, dan Anda harus mengklik Refresh Informasi.

    • Perhatikan bahwa Anda tidak perlu menghidupkan ulang komputer jika Anda menginstal agen perlindungan di server DPM lain.

    • Jika salah satu komputer yang Anda pilih adalah simpul dalam kluster, halaman Pilih Metode Hidupkan Ulang tambahan muncul yang dapat Anda gunakan untuk memilih metode untuk memulai ulang komputer berkluster. Anda harus menginstal agen perlindungan pada semua simpul dalam kluster agar berhasil melindungi data terkluster. Komputer harus dimulai ulang sebelum Anda bisa mulai melindungi data. Karena waktu yang diperlukan untuk memulai layanan, mungkin perlu beberapa menit setelah mulai ulang sebelum DPM dapat menghubungi agen pada kluster.

    • DPM tidak akan secara otomatis memulai ulang komputer milik kluster Microsoft Cluster Server (MSCS). Anda harus memulai ulang komputer secara manual dalam kluster MSCS.

  7. Pada halaman Ringkasan , klik Instal untuk memulai penginstalan. Jika EULA muncul, terima agar penginstalan dimulai. Pada tab Tugas dari halaman Penginstalan, Anda dapat melihat apakah penginstalan berhasil. Anda bisa mengklik Tutup sebelum panduan selesai dan memantau kemajuan penginstalan di tab Agen di area tugas Manajemen . Jika penginstalan tidak berhasil, Anda dapat melihat pemberitahuan di area tugas Pemantauan pada tab Pemberitahuan .

    Catatan: Setelah Anda menginstal agen perlindungan di komputer yang merupakan bagian dari farm Layanan Windows SharePoint, masing-masing komputer di farm tidak akan muncul sebagai komputer yang dilindungi pada tabAgents di area tugas Manajemen, hanya komputer yang Anda pilih. Namun, jika farm Layanan Windows SharePoint memiliki data di komputer yang dipilih, DPM melindungi data di semua komputer di farm, asalkan semuanya memiliki agen perlindungan yang diinstal.

Memasang agen secara manual

  1. Jika Anda menginstal agen di komputer di belakang firewall, Anda perlu memastikan bahwa agen dapat didorong keluar melalui firewall.

    Misalnya, Anda dapat menjalankan perintah berikut di komputer untuk mengonfigurasi Windows Firewall: firewall netsh advfirewall menambahkan nama aturan="Izinkan DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, di mana IPAddress adalah alamat server DPM.

    Untuk mengonfigurasi pengecualian port pada firewall, lihat Mengonfigurasi pengecualian firewall untuk agen.

  2. Di komputer yang ingin Anda lindungi, buka jendela Prompt Perintah yang ditingkatkan, lalu jalankan perintah berikut:

    Untuk menetapkan huruf kandar, ketik: net gunakan Z: \<DPMServerName>\c$ di mana Z adalah huruf drive lokal yang ingin Anda tetapkan dan <DPMServerName> adalah nama server DPM yang akan melindungi komputer.

    Untuk mengubah direktori, lakukan hal berikut:

    • Untuk tipe komputer 64-bit cd /d <huruf kandar> yang ditetapkan:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.< build number.0>\amd64 di mana <huruf> drive yang ditetapkan adalah huruf drive yang Anda tetapkan di langkah sebelumnya dan <nomor> build adalah nomor build DPM terbaru. Misalnya: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Untuk jenis komputer 32-bit: cd /d <menetapkan huruf> kandar:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.< build numbergtl&;. 0\i386 di mana <huruf> drive yang ditetapkan adalah drive yang Anda petakan di langkah sebelumnya dan <nomor> build adalah nomor build DPM terbaru.

  3. Untuk menginstal agen perlindungan, buka jendela Prompt Perintah yang ditingkatkan, lalu jalankan salah satu perintah berikut:

    • Untuk jenis komputer 64-bit: DpmAgentInstaller_x64.exe <DPMServerName> di mana <DPMServerName> adalah nama domain yang sepenuhnya memenuhi syarat (FQDN) dari server DPM. Misalnya: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Untuk jenis komputer 32-bit: DpmAgentInstaller_x86.exe <DPMServerName> di mana <DPMServerName> adalah nama domain server DPM yang sepenuhnya memenuhi syarat.

    Catatan:

    • Untuk melakukan penginstalan senyap, Anda dapat menggunakan opsi /q setelah perintah DpmAgentInstaller_x64.exe . Misalnya: DpmAgentInstaller_x64.exe /q <DPMServerName>

    • Untuk menerima EULA secara manual dalam penginstalan senyap, gunakan DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA

    • Jika Anda menentukan nama server DPM di baris perintah, ia menginstal agen perlindungan, dan secara otomatis mengonfigurasi akun keamanan, izin, dan pengecualian firewall yang diperlukan agen untuk berkomunikasi dengan server DPM yang ditentukan. Jika Anda tidak menentukan nama server, buka Prompt Perintah yang ditingkatkan di komputer yang ditargetkan dan lakukan hal berikut:

      1. Untuk mengubah jenis direktori: cd /d <system drive>:\Program Files\Microsoft Data Protection Manager\DPM\bin

      2. Jenis: SetDpmServer.exe -dpmServerName <DPMServerName>. Ini mengonfigurasi akun keamanan, izin, dan pengecualian firewall bagi agen untuk berkomunikasi dengan server.

  4. Jika Anda menambahkan komputer ke server DPM sebelum Anda menginstal agen, server mulai membuat cadangan untuk komputer yang dilindungi. Jika Anda menginstal agen sebelum menambahkan komputer ke server DPM, Anda harus melampirkan komputer sebelum server DPM mulai membuat cadangan.

Menginstal Agen Perlindungan pada RODC

Gunakan langkah-langkah berikut:

  1. Nonaktifkan firewall pada RODC atau jalankan perintah berikut pada RODC sebelum Anda menginstal agen:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Pada pengontrol domain utama, buat lalu isi grup keamanan berikut, di mana nama server yang dilindungi adalah nama RODC tempat Anda berencana menginstal agen perlindungan:

    • Buat grup keamanan bernama DPMRADCOMTRUSTEDMACHINES$PSNAME, lalu tambahkan akun komputer server DPM sebagai anggota.

    • Buat grup keamanan bernama DPMRADMTRUSTEDMACHINES$PSNAME, lalu tambahkan akun komputer server DPM sebagai anggota.

    • Buat grup keamanan bernama DPMRATRUSTEDDPMRAS$PSNAME , lalu tambahkan akun komputer server DPM sebagai anggota.

    • Tambahkan akun komputer server DPM sebagai anggota grup keamanan Builtin\Distributed Com Users .

  3. Pastikan bahwa grup keamanan yang Anda buat sebelumnya telah direplikasi pada RODC. Kemudian, instal agen perlindungan secara manual pada RODC.

  4. Di server RODC, lakukan langkah-langkah berikut untuk memberikan izin peluncuran dan aktivasi untuk layanan DPMRA:

    1. Buka DPM Management Shell, lalu jalankan perintah dcomcnfg.exe.

      Jendela Layanan Komponen terbuka.

    2. Di jendela Layanan Komponen, perluas Komputer, perluas Komputer Sayaekspansi Konfigurasi DCOM, klik kanan layananDPM RA, lalu klik Properti.

    3. Klik Umum, lalu atur Tingkat Autentikasi ke Default.

    4. Klik Lokasi, lalu pastikan bahwa hanya Jalankan aplikasi pada komputer ini yang dipilih.

    5. Klik Keamanan, pilih Kustomisasi di bawah Luncurkan dan Izin Aktivasi, pilih Kustomisasi, lalu klik Edit untuk membuka kotak dialog Luncurkan Izin .

    6. Dalam kotak dialog Luncurkan Izin , tetapkan izin untuk Peluncuran Lokal, Peluncuran Jarak Jauh, Aktivasi Lokal, dan Aktivasi Jarak Jauh untuk akun komputer server DPM.

    7. Klik OK untuk menutup kotak dialog.

    8. Navigasi ke Program Files\Microsoft System Center\DPM\DPM\setup di server DPM, salin file berikut ke folder di server RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Pada RODC, dari prompt perintah yang ditingkatkan, jalankan perintah setagentcfg.exe domain DPMRA\DPMserver dari lokasi yang Anda tentukan di langkah sebelumnya.

  6. Di server RODC, telusuri folder C:\Program Files\Microsoft Data Protection Manager\DPM\bin dan jalankan perintah setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Lampirkan agen perlindungan ke server DPM, seperti yang dirinci di bagian berikut.

Lampirkan agen

Setelah menginstal agen DPM secara manual, Anda harus melampirkan agen ke server DPM.

  1. Di Konsol Administrator DPM, pada bilah navigasi, klik ManagementAgents>. Di panel Tindakan , klik Instal.

  2. Pada halaman Pilih Metode Penyebaran Agen, pilih Lampirkan agenKomputer>pada domain>tepercayaBerikutnya. Wizard Penginstalan Agen Perlindungan terbuka.

  3. Pada halaman Pilih Komputer, DPM menampilkan daftar komputer yang tersedia di domain yang sama dengan server DPM. Pilih satu atau beberapa komputer (maksimum 50), dari daftar >Nama komputerTambahkanBaru>.

    • Jika ini pertama kalinya Anda menggunakan wizard, DPM meminta Direktori Aktif untuk mendapatkan daftar komputer potensial. Setelah penginstalan pertama, DPM menampilkan daftar komputer dalam databasenya, yang diperbarui sekali setiap hari oleh proses penemuan otomatis.

    • Untuk menambahkan beberapa komputer dengan menggunakan file teks, klik tombol Tambahkan Dari File , dan dalam kotak dialog Tambahkan Dari File , ketik lokasi file teks atau klik Telusuri untuk menavigasi ke lokasinya.

  4. Pada halaman Masukkan Kredensial, ketik nama pengguna dan kata sandi untuk akun domain yang merupakan anggota grup Administrator lokal di semua komputer yang dipilih. Dalam kotak Domain , terima atau ketik nama domain akun pengguna yang Anda gunakan untuk menginstal agen perlindungan di komputer target. Akun ini mungkin milik domain tempat server DPM berada di atau ke domain tepercaya. Jika Anda menginstal agen perlindungan di komputer di seluruh domain tepercaya, masukkan kredensial pengguna domain Anda saat ini. Anda bisa menjadi anggota domain tepercaya mana pun, dan Anda harus menjadi anggota grup Administrator lokal di semua komputer terpilih yang ingin Anda lindungi.

  5. Pada halaman Ringkasan, klik Lampirkan.