Distribuire gli agenti protezione DPM

  • Articolo

Importante

Questa versione di Data Protection Manager (DPM) ha raggiunto la fine del supporto. È consigliabile eseguire l'aggiornamento a DPM 2022.

L'agente protezione dati di System Center Data Protection Manager (DPM) è il software installato in ogni computer che contiene i dati che si desidera eseguire il backup con DPM. È costituito da due componenti: l'agente di protezione stesso e un coordinatore agente. Descrizione

  • Identifica i dati che DPM può proteggere e ripristinare.

  • Consente al server DPM di esplorare condivisioni, volumi e cartelle nel computer protetto.

  • Crea un journal delle modifiche separato per ogni volume protetto e archivia il journal in un file nascosto in tale volume. Registra eventuali modifiche ai dati protetti nel journal di modifica e trasferisce il journal dal computer protetto al server DPM in modo che DPM possa sincronizzare i dati primari con la replica.

Configurare l'agente come segue:

Impostazione di eccezioni del firewall

Per consentire a un agente protezione di comunicare con il server DPM attraverso un firewall, sono necessarie eccezioni del firewall.

Configurare un'eccezione in ingresso per sqlservr.exe per l'istanza DPM del SQL Server per consentire TCP sulla porta 80. Il server di report è in attesa delle richieste HTTP sulla porta 80. Nella tabella seguente sono elencati i protocolli e le porte necessari per la comunicazione tra il server DPM e i server e i client protetti.

Protocollo Porta Dettagli
DCOM 135/TCP
Dynamic		 Il protocollo di controllo DPM usa DCOM. DPM genera i comandi per l'agente protezione eseguendo chiamate DCOM sull'agente. L'agente protezione risponde eseguendo chiamate DCOM sul server DPM.

La porta TCP 135 è il punto di risoluzione endpoint DCE utilizzato da DCOM.

Per impostazione predefinita, DCOM assegna le porte in modo dinamico dall'intervallo di porte TCP 49152 a 65535. È tuttavia possibile configurare questo intervallo usando Servizi componenti.

Per la comunicazione dell'agente DPM, è necessario aprire le porte superiori 49152-65535. Per aprire le porte, eseguire la procedura seguente:

1. In GESTIONE IIS 7.0, nel riquadro Connections selezionare il nodo a livello di server nell'albero.
2. Fare doppio clic sull'icona Supporto firewall FTP nell'elenco delle funzionalità.
3. Immettere un intervallo di valori per l'intervallo di porte del canale dati.
4. Dopo aver immesso l'intervallo di porte per il servizio FTP, nel riquadro Azioni selezionare Applica per salvare le impostazioni di configurazione.
TCP 5718/TCP
5719/TCP		 Il canale dati di DPM è basato sul protocollo TCP. Sia DPM che il computer protetto avviano le connessioni per abilitare le operazioni DPM, ad esempio la sincronizzazione e il ripristino.

DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719.
DNS 53/UDP Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per la risoluzione dei nomi host.
Kerberos 88/UDP 88/TCP Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per l'autenticazione dell'endpoint di connessione.
LDAP 389/TCP
389/UDP		 Usato tra DPM e il controller di dominio per le query.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Usato tra DPM e il computer protetto, tra DPM e controller di dominio e tra il computer protetto e il controller di dominio per operazioni diverse. Usato per SMB ospitato direttamente su TCP/IP per le funzioni di DPM.

Installare l'agente dalla console di DPM

  1. Nella console di amministrazione DPM selezionare Agenti di gestione>. Selezionare Installa sulla barra multifunzione dello strumento per aprire l'Installazione guidata agente protezione.

  2. Nella pagina Seleziona metodo di distribuzione agente selezionare Installa agenti>Avanti.

  3. Nella pagina Seleziona computer, DPM visualizza un elenco dei computer disponibili nello stesso dominio del server DPM. Aggiungi il computer necessario.

    • La prima volta che si usa la procedura guidata, DPM esegue query su Active Directory per ottenere un elenco di computer disponibili. Dopo la prima installazione, DPM archivia l'elenco di computer nel database, che viene aggiornato una volta ogni giorno dal processo di individuazione automatica.

    • Per trovare un computer in un altro dominio con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM, è necessario digitare il nome di dominio completo (FQDN) del computer da proteggere. Ad esempio, <Computer1.Domain1.contoso.com>, dove Computer1 è il nome del computer che si vuole proteggere e Domain1.contoso.com è il dominio a cui appartiene il computer di destinazione.

    • La pagina pulsante Avanzate è abilitata solo quando sono disponibili più versioni di un agente di protezione per l'installazione nei computer. È possibile usare questa opzione per installare una versione precedente dell'agente protezione che era stato installato prima di aggiornare il server DPM a una versione più recente.

  4. Nella pagina Immettere credenziali digitare il nome utente e la password per un account di dominio membro del gruppo Administrators locale in tutti i computer selezionati.

    • Nella casella Dominio accettare o digitare il nome di dominio dell'account utente usato per installare l'agente protezione nel computer di destinazione. Questo account può appartenere al dominio in cui si trova il server DPM o a un dominio che ha una relazione di trust bidirezionale con il dominio in cui si trova il server DPM.

    • Se si installa un agente protezione in un computer di un dominio attendibile, immettere le attuali credenziali utente del dominio. È possibile essere un membro di qualsiasi dominio con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM e che sia membro del gruppo Administrators locale in tutti i computer selezionati in cui si vuole installare un agente.

    • Se si seleziona un nodo in un cluster, DPM rileva tutti i nodi aggiuntivi nel cluster e viene visualizzata la pagina Selezione nodi cluster.

  5. Nella pagina Seleziona nodi cluster selezionare un'opzione che si vuole usare da DPM per l'installazione di agenti in nodi aggiuntivi nel cluster e quindi selezionare Avanti.

  6. Nella pagina Scelta metodo di riavvio , selezionare il metodo da utilizzare per riavviare i computer selezionati dopo l'installazione dell'agente protezione. Prima di poter iniziare le operazioni di protezione dati, il computer deve essere riavviato. Il riavvio è necessario per caricare il filtro del volume che DPM usa per rilevare e trasferire le modifiche a livello di blocco tra il server DPM e i computer protetti.

    • Se si seleziona di riavviare i computer in un secondo momento, lo stato di installazione dell'agente di protezione non viene aggiornato automaticamente nella scheda Agenti nell'area attività Gestione dopo il riavvio del computer e sarà necessario selezionare Aggiorna informazioni.

    • Non è necessario riavviare il computer se si installa un agente di protezione in un altro server DPM.

    • Se uno dei computer selezionati sono nodi in un cluster, viene visualizzata una pagina aggiuntiva Scegli metodo di riavvio, che è possibile usare per selezionare il metodo per riavviare i computer cluster. È necessario installare un agente protezione in tutti i nodi di un cluster per proteggere correttamente i dati cluster. Prima di poter iniziare le operazioni di protezione dati, i computer devono essere riavviati. Quando è necessario avviare i servizi, potrebbe richiedere alcuni minuti dopo un riavvio prima che DPM possa contattare l'agente nel cluster.

    • DPM non riavvia automaticamente un computer che appartiene a un cluster MSCS (Microsoft Cluster Server). Il computer di un cluster MSCS deve essere riavviato manualmente.

  7. Nella pagina Riepilogo selezionare Installa per avviare l'installazione. Se viene visualizzato l'EULA, accettarlo per l'avvio dell'installazione. Nella scheda Attività della pagina di installazione è possibile verificare se l'installazione ha esito positivo. È possibile selezionare Chiudi prima del completamento della procedura guidata e monitorare lo stato di avanzamento dell'installazione nella scheda Agenti nell'area attività Gestione . Se l'installazione non riesce, è possibile visualizzare gli avvisi nell'area attività Monitoraggio nella scheda Avvisi .

Nota

Dopo aver installato un agente di protezione in un computer che fa parte di una farm Windows SharePoint Services, ognuno dei computer della farm non verrà visualizzato come computer protetti nella scheda Agenti nell'area attività Gestione, solo il computer selezionato. Tuttavia, se nel computer selezionato sono presenti dati della farm di Windows SharePoint Services, DPM proteggerà i dati di tutti i computer della farm, purché tutti abbiano installato un agente protezione.

Installare l'agente manualmente

  1. Se si installa l'agente in un computer protetto da un firewall, è necessario assicurarsi che l'agente possa essere sottoposto a push attraverso il firewall.

    Ad esempio, è possibile eseguire il comando seguente nel computer per configurare Windows Firewall: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IndirizzoIP> , dove IndirizzoIP è l'indirizzo del server DPM.

    Per configurare l'eccezione delle porte nel firewall, vedere Configurare le eccezioni del firewall per l'agente.

  2. Nel computer da proteggere aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire i comandi seguenti:

    Per assegnare una lettera di unità, digitare : net use Z: \<DPMServerName>\c$ dove Z è la lettera di unità locale da assegnare e <DPMServerName> è il nome del server DPM che proteggerà il computer.

    Per modificare la directory, esegui le operazioni seguenti:

    • Per un computer a 64 bit, digitare: cd /d lettera di< unità assegnata:\Programmi\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.><build number.0>\amd64 dove <la lettera> di unità assegnata è la lettera di unità assegnata nel passaggio precedente e <il numero> di build è il numero di build DPM più recente. Ad esempio: cd /d X:\Programmi\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Per un computer a 32 bit, digitare cd /d lettera> di< unità assegnata:\Programmi\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numero di build>l;. 0\i386 dove <lettera> di unità assegnata è l'unità mappata nel passaggio precedente e <il numero> di build è il numero di build più recente di DPM.

  3. Per installare l'agente protezione, aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire uno dei comandi seguenti:

    • Per un computer a 64 bit, digitare :DpmAgentInstaller_x64.exe <DPMServerName dove DPMServerName>>è il nome di dominio completo (FQDN) del server DPM.< Ad esempio: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Per un computer a 32 bit, digitare :DpmAgentInstaller_x86.exe <DPMServerName dove DPMServerName>>è il nome di dominio completo (FQDN) del server DPM.<

    Nota

    • Per eseguire un'installazione invisibile all'utente, è possibile inserire l'opzione /q dopo il comando DpmAgentInstaller_x64.exe. Ad esempio: DpmAgentInstaller_x64.exe /q< DPMServerName>
    • Per accettare manualmente il contratto di licenza in un'installazione invisibile all'utente, usare DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Se si specifica un nome del server DPM nella riga di comando, viene installato l'agente protezione e vengono configurati automaticamente gli account di sicurezza, le autorizzazioni e le eccezioni del firewall necessari per consentire all'agente di comunicare con il server DPM specificato. Se non è stato specificato un nome di server, aprire un prompt dei comandi con privilegi elevati nel computer di destinazione ed eseguire le operazioni seguenti:
    1. Per modificare il tipo di directory: cd /d <unità sistema> :\Programmi\Microsoft Data Protection Manager\DPM\bin
    2. Tipo: SetDpmServer.exe -dpmServerName <DPMServerName> . In questo modo vengono configurati gli account di sicurezza, le autorizzazioni e le eccezioni del firewall per consentire all'agente di comunicare con il server.

  4. Se il computer è stato aggiunto al server DPM prima di installare l'agente, il server inizia a creare backup per il computer protetto. Se l'agente è stato installato prima di aggiungere il computer al server DPM, è necessario associare il computer prima che il server DPM inizi a creare i backup.

Installare l'agente protezione in un controller di dominio di sola lettura

Usare i passaggi seguenti:

  1. Disattivare il firewall nel controller di dominio di sola lettura o eseguire i comandi seguenti nel controller di dominio di sola lettura prima di installare l'agente:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Nel controller di dominio primario creare e popolare i gruppi di sicurezza seguenti (dove il nome del server protetto è il nome del controller di dominio di sola lettura in cui si prevede di installare l'agente protezione):

    • Creare un gruppo di sicurezza denominato DPMRADCOMTRUSTEDMACHINES$PSNAME e aggiungere come membro l'account del computer server DPM.

    • Creare un gruppo di sicurezza denominato DPMRADMTRUSTEDMACHINES$PSNAME e aggiungere come membro l'account del computer server DPM.

    • Creare un gruppo di sicurezza denominato DPMRATRUSTEDDPMRAS$PSNAME e quindi aggiungere l'account del computer del server DPM come membro.

    • Aggiungere l'account del computer del server DPM come membro del gruppo di sicurezza Builtin\Distributed Com Users .

  3. Assicurarsi che i gruppi di sicurezza creati in precedenza siano stati replicati nel RODC. Quindi, installare manualmente l'agente protezione nel controller di dominio di sola lettura.

  4. Nel controller di dominio di sola lettura server eseguire questa procedura per concedere le autorizzazioni di avvio e di attivazione per il servizio DPMRA:

    1. Aprire DPM Management Shell ed eseguire il comando dcomcnfg.exe.

      Si apre la finestra Servizi componenti.

    2. Nella finestra Servizi componenti espandere Computer, Computer, Configurazione DCOM, fare clic con il pulsante destro del mouse sul serviziora DPM e quindi scegliere Proprietà.

    3. Selezionare Generale e quindi impostare Il livello di autenticazione su Predefinito.

    4. Selezionare Percorso e quindi assicurarsi che sia selezionata solo l'opzione Esegui applicazione in questo computer .

    5. Selezionare Sicurezza, selezionare Personalizza in Autorizzazioni di avvio e attivazione, selezionare Personalizza e quindi selezionare Modifica per aprire la finestra di dialogo Avvia autorizzazione .

    6. Nella finestra di dialogo Autorizzazione di avvio assegnare le autorizzazioni per Avvio locale, Avvio remoto, Attivazione locale e Attivazione remota per l'account del computer server DPM.

    7. Selezionare OK per chiudere la finestra di dialogo.

    8. Passare a Programmi\Microsoft System Center\DPM\DPM\setup nel server DPM, copiare i file seguenti in una cartella nel server del controller di dominio di sola lettura.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Nel controller di dominio di sola lettura, da un prompt dei comandi con privilegi elevati, eseguire il comando setagentcfg.exe un dominio DPMRA\DPMserver dal percorso specificato nel passaggio precedente.

  6. Nel server controller di dominio di sola lettura passare alla cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin ed eseguire il comando setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Collegare l'agente protezione al server DPM come descritto nella sezione seguente.

Associare l'agente

Dopo aver installato manualmente l'agente DPM, è necessario collegare l'agente al server DPM.

  1. Nella barra di spostamento della Console amministrazione DPM selezionare Agenti di gestione>. Nel riquadro Azioni selezionare Installa.

  2. Nella pagina Selezione metodo di distribuzione agenti seleziona Associa agenti>Computer in dominio trusted>Avanti. Verrà visualizzata la finestra Installazione guidata agenti protezione.

  3. Nella pagina Seleziona computer DPM visualizza un elenco di computer disponibili nello stesso dominio del server DPM. Selezionare uno o più computer (massimo 50) nell'elenco >Nome computerAggiungi>successivo.

    • Se questa è la prima volta che è stata usata la procedura guidata, DPM esegue una query su Active Directory per ottenere un elenco di potenziali computer. Dopo la prima installazione, DPM visualizzerà l'elenco dei computer del proprio database, che verrà aggiornato una volta al giorno dal processo di rilevamento automatico.

    • Per aggiungere più computer usando un file di testo, selezionare il pulsante Aggiungi da file e nella finestra di dialogo Aggiungi da file digitare il percorso del file di testo o selezionare Sfoglia per passare alla relativa posizione.

  4. Nella pagina Immettere credenziali digitare il nome utente e la password per un account di dominio membro del gruppo Administrators locale in tutti i computer selezionati. Nella casella Dominio accettare o digitare il nome di dominio dell'account utente in uso per installare l'agente protezione nel computer di destinazione. Questo account potrebbe appartenere al dominio in cui è contenuto il server DPM in un dominio attendibile. Se si installa un agente protezione in un computer di un dominio attendibile, immettere le attuali credenziali utente del dominio. L'utente può essere membro di qualsiasi dominio trusted e deve essere membro del gruppo locale Administrators di tutti i computer selezionati e da proteggere.

  5. Nella pagina Riepilogo selezionare Collega.