DPM 保護エージェントの展開

重要

このバージョンの Data Protection Manager (DPM) はサポート終了に達しました。 DPM 2022 にアップグレードすることをお勧めします。

System Center Data Protection Manager (DPM) 保護エージェントは、DPM でバックアップするデータを含む各コンピューターにインストールするソフトウェアです。 これは、保護エージェント自体とエージェント コーディネーターの 2 つのコンポーネントで構成されます。 これは、次を実行します。

• DPM で保護および回復できるデータを識別します。

• DPM サーバーが保護されるコンピューター上の共有、ボリューム、およびフォルダーを参照できるようにする。

• 保護されるボリュームごとに変更ジャーナルを作成して、そのボリューム上の隠しファイルにジャーナルを格納する。 これは、保護されたデータに対する変更を変更ジャーナルに記録し、DPM がプライマリ データをレプリカと同期できるように、保護されたコンピューターから DPM サーバーにジャーナルを転送します。

エージェントは次のように設定します。

• バックアップするデータを含むコンピューターがファイアウォールの内側にある場合は、 ファイアウォールの例外を設定する必要があります。

• コンピューターがファイアウォールの内側にない場合、またはアクセスを許可するようにファイアウォール例外を構成している場合は、 DPM コンソールからエージェントをインストールできます。

• ファイアウォール経由でアクセスできない場合、保護するコンピューターがワークグループまたは信頼されていないドメインにある場合、または別のインストール方法を使用する必要がある場合は、 エージェントを手動でインストール してから、 エージェントをアタッチできます。

ファイアウォール例外の設定

ファイアウォールを経由して DPM サーバーと通信する保護エージェントには、ファイアウォール例外が必要です。

ポート 80 で TCP を許可するように、SQL Serverの DPM インスタンスの sqlservr.exe の受信例外を構成します。 レポート サーバーは、ポート 80 で HTTP 要求をリッスンします。 次の表に、DPM サーバーおよび保護対象サーバーとクライアント間の通信に必要なプロトコルとポートを一覧表示します。

プロトコル	ポート	詳細
DCOM	135/TCP 動的	DPM 制御プロトコルでは、DCOM が使用されます。 DPM は、エージェントで DCOM の呼び出しを起動して、保護エージェントにコマンドを発行します。 保護エージェントは、DPM サーバーで DCOM の呼び出しを起動して応答します。 TCP ポート 135 は、DCOM が使用するエンドポイント解決ポイントです。 既定では、DCOM により、49152 から 65535 までの TCP ポートの範囲から動的にポートが割り当てられます。 ただし、この範囲は、コンポーネント サービスを使用して構成することができます。 DPM エージェント通信の場合は、上位ポート 49152 から 65535 を開く必要があります。 ポートを開くには、次の手順を実行します。 1. IIS 7.0 Manager の [Connections] ウィンドウで、ツリー内のサーバー レベルのノードを選択します。 2. 機能の一覧で [FTP ファイアウォール サポート] アイコンをダブルクリックします。 3. [データ チャネルのポート範囲] に値の範囲を入力します。 4. FTP サービスのポート範囲を入力したら、[ 操作 ] ウィンドウで [ 適用 ] を選択して構成設定を保存します。
TCP	5718/TCP 5719/TCP	DPM データ チャネルは TCP をベースにしています。 DPM と保護されたコンピューターの両方が接続を開始して、同期や回復などの DPM 操作を有効にします。 DPM は、ポート 5718 でエージェント コーディネーターと通信し、ポート 5719 で保護エージェントと通信します。
DNS	53/UDP	DPM とドメイン コントローラーの間、およびホスト名解決のために保護されたコンピューターとドメイン コントローラーの間で使用されます。
Kerberos	88/UDP 88/TCP	DPM とドメイン コントローラーの間、および接続エンドポイントの認証のために保護されたコンピューターとドメイン コントローラーの間で使用されます。
LDAP	389/TCP 389/UDP	クエリのために、DPM とドメイン コントローラーの間で使用されます。
NetBIOS	137/UDP 138/UDP 139/TCP 445/TCP	DPM と保護されたコンピューターの間、DPM とドメイン コントローラーの間、およびその他の操作のために保護されたコンピューターとドメイン コントローラーの間で使用されます。 DPM 機能のために TCP/IP に直接ホストされた SMB で使用されます。

DPM コンソールからのエージェントのインストール

1. DPM 管理者コンソールで、[管理>エージェント] を選択します。 ツール リボンの [ インストール ] を選択して、保護エージェントインストール ウィザードを開きます。

2. [エージェントの展開方法の選択] ページで、[エージェント>のインストール] [次へ] を選択します。

3. [コンピューターの選択] ページに、DPM サーバーと同じドメインにある使用可能なコンピューターの一覧が表示されます。 必要なコンピューターを追加します。

   • ウィザードを初めて使用すると、DPM は Active Directory に対してクエリを実行して、使用可能なコンピューターの一覧を取得します。 最初のインストール後、DPM はコンピューターの一覧をデータベースに格納します。これは、自動検出プロセスによって毎日 1 回更新されます。

   • DPM サーバーが配置されているドメインと双方向の信頼関係を持つ別のドメイン内のコンピューターを見つけるには、保護するコンピューターの完全修飾ドメイン名 (FQDN) を入力する必要があります。 たとえば、<Computer1.Domain1.contoso.com>。Computer1 は保護するコンピューターの名前で、Domain1.contoso.com はターゲット コンピューターが属するドメインです。

   • [ 詳細設定] ボタン ページは、コンピューターにインストールできる保護エージェントのバージョンが複数ある場合にのみ有効になります。 このオプションを使用すると、DPM サーバーを新しいバージョンにアップグレードする前にインストールされていた古いバージョンの保護エージェントをインストールすることができます。

4. [ 資格情報の入力 ] ページで、選択したすべてのコンピューターのローカル Administrators グループのメンバーであるドメイン アカウントのユーザー名とパスワードを入力します。

   • [ ドメイン ] ボックスに、保護エージェントをターゲット コンピューターにインストールするために使用しているユーザー アカウントのドメイン名を受け入れるか入力します。 このアカウントは、DPM サーバーが配置されているドメインに属するものであっても、DPM サーバーが配置されているドメインと双方向の信頼関係があるドメインに属するものであってもかまいません。

   • 信頼されているドメインを経由してコンピューターに保護エージェントをインストールする場合は、現行のドメイン ユーザー資格情報を入力します。 DPM サーバーが配置されているドメインと双方向の信頼関係を持つ任意のドメインのメンバーにすることができます。また、エージェントをインストールするすべての選択したコンピューターのローカル Administrators グループのメンバーである必要があります。

   • クラスターのノードを選択する場合、DPM がクラスター内のすべての追加ノードを検出し、 [クラスター ノードの選択] ページに表示します。

5. [ クラスター ノードの選択 ] ページで、クラスター内の追加ノードにエージェントをインストールするために DPM で使用するオプションを選択し、[ 次へ] を選択します。

6. [再起動方法の選択] ページで、保護エージェントをインストールした後にコンピューターの再起動に使用する方法を選択します。 データの保護を開始するには、コンピューターを再起動する必要があります。 再起動は、DPM でブロック レベルの変更を追跡し、DPM サーバーと保護対象のコンピューターの間で転送するために使用されるボリューム フィルターを読み込むために必要です。

   • 後でコンピューターを再起動するように選択した場合、コンピューターの再起動後、[管理] タスク領域の [エージェント] タブで保護エージェントのインストール状態が自動的に更新されないため、[情報の更新] を選択する必要があります。

   • 別の DPM サーバーに保護エージェントをインストールする場合は、コンピューターを再起動する必要はありません。

   • 選択したコンピューターのいずれかがクラスター内のノードである場合は、追加の [再起動方法の選択] ページが表示されます。これを使用して、クラスター化されたコンピューターを再起動する方法を選択できます。 クラスター化されたデータを正常に保護するには、クラスター内のすべてのノードに保護エージェントをインストールする必要があります。 データの保護を開始するには、コンピューターを再起動する必要があります。 サービスの開始に時間がかかるため、DPM がクラスター上のエージェントに接続できるようになるまで、再起動後数分かかる場合があります。

   • DPM は、Microsoft クラスター サーバー (MSCS) クラスターに属するコンピューターを自動的に再起動しません。 MSCS クラスター内のコンピューターは手動で再起動する必要があります。

7. [ 概要 ] ページで、[ インストール ] を選択してインストールを開始します。 EULA が表示された場合は、インストールを開始するために同意します。 インストール ページの [ タスク ] タブで、インストールが成功したかどうかを確認できます。 ウィザードが完了する前に [閉じる] を選択し、[管理] タスク領域の [エージェント] タブでインストールの進行状況を監視できます。 インストールが失敗した場合は、 [監視] タスク領域の [アラート] タブで、アラートを確認することができます。

注意

Windows SharePoint Services ファームの一部であるコンピューターに保護エージェントをインストールすると、ファーム内の各コンピューターは、[管理] タスク領域の [エージェント] タブに保護されたコンピューターとして表示されなくなり、選択したコンピューターのみが表示されます。 ただし、選択したコンピューターに Windows SharePoint Services ファームのデータがある場合、ファーム内のすべてのコンピューターに保護エージェントがインストールされていれば、それらのコンピューター上にある Windows SharePoint Services ファームのデータが DPM によって保護されます。

エージェントを手動でインストールする

1. ファイアウォールの内側のコンピューターにエージェントをインストールする場合は、エージェントがファイアウォールを介してプッシュできることを確認する必要があります。

   たとえば、コンピューターで netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress> (ここで、IPAddress は DPM サーバーのアドレスです) コマンドを実行して、Windows ファイアウォールを構成できます。

   ファイアウォールでのポート例外の構成については、「 エージェントに対するファイアウォール例外の構成」を参照してください。

2. 保護するコンピューターで、管理者特権のコマンド プロンプト ウィンドウを開き、次のコマンドを実行します。

   ドライブ文字を割り当てるには、「net use Z: \<DPMServerName>\c$」と入力します。ここで Z は割り当てるローカル ドライブ文字であり、<DPMServerName> はコンピューターの保護に使用する DPM サーバーの名前です。

   ディレクトリを変更するには、次のようにします。

   • 64 ビット コンピューターの場合は、「 cd /d <に割り当てられたドライブ文字>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0」と入力します。<ビルド番号>.0\amd64 。 <割り当てられたドライブ文字> は前の手順で割り当てたドライブ文字で、 <ビルド番号> は最新の DPM ビルド番号です。 例: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • 32 ビット コンピューターの場合は、「 cd /d <に割り当てられたドライブ文字>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0」と入力します。<gtl;&ビルド番号。0\i386 。 <割り当てられたドライブ文字> は前の手順でマップしたドライブで、 <ビルド番号> は最新の DPM ビルド番号です。

3. 保護エージェントをインストールするには、管理者特権のコマンド プロンプト ウィンドウを開き、次のいずれかのコマンドを実行します。

   • 64 ビット コンピューターの場合は、「 DpmAgentInstaller_x64.exe< DPMServerName>」と入力します。<DPMServerName> は DPM サーバーの完全修飾ドメイン名 (FQDN) です。 例: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • 32 ビット コンピューターの場合は、「 DpmAgentInstaller_x86.exe< DPMServerName>」と入力します。<DPMServerName> は DPM サーバーの完全修飾ドメイン名 (FQDN) です。

   注意

   • サイレント インストールを実行するには、DpmAgentInstaller_x64.exe コマンドの後 /q オプションを使用できます。 例: /q <DPMServerName>DpmAgentInstaller_x64.exe
   • サイレント インストールで EULA を手動で受け入れるには、/q <DPMServerName> /IAcceptEULADpmAgentInstaller_x64.exe 使用します
   • コマンド ラインで DPM サーバー名を指定すると、保護エージェントがインストールされ、エージェントが指定した DPM サーバーと通信するために必要なセキュリティ アカウント、アクセス許可、ファイアウォール例外が自動的に構成されます。 サーバー名を指定していない場合は、対象のコンピューター上で管理者特権でのコマンド プロンプトを開き、次のようにします。

   1. ディレクトリを変更する場合は、「cd /d <システム ドライブ> :\Program Files\Microsoft Data Protection Manager\DPM\bin」と入力します。
   2. 種類:SetDpmServer.exe -dpmServerName <DPMServerName> 。 これにより、エージェントがサーバーと通信するためのセキュリティ アカウント、アクセス許可、ファイアウォールの例外が構成されます。

4. エージェントをインストールする前にコンピューターを DPM サーバーに追加すると、DPM サーバーが保護対象コンピューターのバックアップ作成を開始します。 コンピューターを DPM サーバーに追加する前にエージェントをインストールした場合、DPM サーバーがバックアップの作成を開始する前に、コンピューターを接続する必要があります。

RODC での保護エージェントのインストール

次の手順を使用します:

1. RODC でファイアウォールをオフにするか、エージェントをインストールする前に RODC で次のコマンドを実行します。

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. プライマリ ドメイン コントローラーで、次のセキュリティ グループを作成して設定します (ここで、保護されたサーバー名は、保護エージェントをインストールする予定の RODC の名前です)。

   • DPMRADCOMTRUSTEDMACHINES$PSNAME という名前のセキュリティ グループを作成し、DPM サーバー マシン アカウントをメンバーとして追加します。

   • DPMRADMTRUSTEDMACHINES$PSNAME という名前のセキュリティ グループを作成し、DPM サーバー マシン アカウントをメンバーとして追加します。

   • DPMRATRUSTEDDPMRAS$PSNAME という名前のセキュリティ グループを作成し、DPM サーバー コンピューター アカウントをメンバーとして追加します。

   • DPM サーバー マシン アカウントを Builtin\Distributed Com Users セキュリティ グループのメンバーとして追加します。

3. 事前に作成したセキュリティ グループが RODC でレプリケートされていることを確認します。 次に、保護エージェントを RODC に手動でインストールします。

4. RODC サーバーで、次の手順を実行して、DPMRA サービスの起動とアクティブ化のアクセス許可を付与します。

   1. DPM 管理シェルを開き、コマンド dcomcnfg.exe を実行します。

      [コンポーネント サービス] ウィンドウが開きます。

   2. [ コンポーネント サービス ] ウィンドウで、[ コンピューター]、[ マイ コンピューター]、[DCOM 構成] の順に展開し、DPM RA サービスを右クリックして、[ プロパティ] を選択します。

   3. [ 全般] を選択し、[ 認証レベル ] を [既定] に設定します。

   4. [ 場所] を選択し、[ このコンピューターでアプリケーションを実行 する] のみが選択されていることを確認します。

   5. [セキュリティ] を選択し、[起動とアクティブ化のアクセス許可] で [カスタマイズ] を選択し、[カスタマイズ] を選択し、[編集] を選択して [起動アクセス許可] ダイアログ ボックスを開きます。

   6. [起動アクセス許可] ダイアログ ボックスで、DPM サーバー マシン アカウントの [ローカルからの起動] 、 [リモートからの起動] 、 [ローカルからのアクティブ化] 、 [リモートからのアクティブ化] のアクセス許可を割り当てます。

   7. [OK] を選択してダイアログ ボックスを閉じます。

   8. DPM サーバーで Program Files\Microsoft System Center\DPM\DPM\setup に移動し、RODC サーバーのフォルダーに次のファイルをコピーします。

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. RODC で、管理者特権を使用してコマンド プロンプトを開き、直前のステップで指定した場所からコマンド setagentcfg.exe a DPMRA domain\DPMserver を実行します。

6. RODC サーバーで、C:\Program Files\Microsoft Data Protection Manager\DPM\bin フォルダーに移動し、次の setdpmserver コマンドを実行します。

   Setdpmserver -dpmservername DPMSERVER

7. 次のセクションで詳しく説明するように、DPM サーバーに保護エージェントをアタッチします。

エージェントの接続

DPM エージェントを手動でインストールしたら、DPM サーバーにエージェントをアタッチする必要があります。

1. DPM 管理者コンソールのナビゲーション バーで、[管理>エージェント] を選択します。 [ 操作 ] ウィンドウで、[ インストール] を選択します。

2. [ エージェントの展開方法の選択 ] ページで [ エージェントの接続>信頼されているドメインのコンピューター>次へ] の順にクリックします。 保護エージェントのインストール ウィザードが開きます。

3. [ コンピューターの選択 ] ページに、DPM サーバーと同じドメイン内の使用可能なコンピューターの一覧が表示されます。 [コンピューター名] ボックスの一覧から 1 つ以上のコンピューター (最大 50 台) を選択し、[次へ追加] を選択>します>。

   • ウィザードを初めて使用する場合、DPM は Active Directory に対してクエリを実行して、潜在的なコンピューターの一覧を取得します。 初回インストールの後、そのデータベースにあるコンピューターの一覧が表示されます。この一覧は、自動検出プロセスによって 1 日 1 回更新されます。

   • テキスト ファイルを使用して複数のコンピューターを追加するには、[ ファイルから追加 ] ボタンを選択し、[ ファイルの追加 ] ダイアログ ボックスでテキスト ファイルの場所を入力するか、[ 参照 ] を選択してその場所に移動します。

4. [ 資格情報の入力 ] ページで、選択したすべてのコンピューターのローカル Administrators グループのメンバーであるドメイン アカウントのユーザー名とパスワードを入力します。 [ ドメイン ] ボックスに、保護エージェントをターゲット コンピューターにインストールするために使用しているユーザー アカウントのドメイン名を受け入れるか入力します。 このアカウントは、DPM サーバーが存在しているドメインか、信頼されているドメインに属している可能性があります。 信頼されているドメインを経由してコンピューターに保護エージェントをインストールする場合は、現行のドメイン ユーザー資格情報を入力します。 信頼されているドメインいずれかのメンバーの資格情報が使用できますが、保護対象の選択されたすべてのコンピューターでローカル Administrators グループのメンバーである必要があります。

5. [ 概要 ] ページで、[ アタッチ] を選択します。