De DPM-beveilgingsagent implementeren

  • Artikel

Belangrijk

Deze versie van Data Protection Manager (DPM) heeft het einde van de ondersteuning bereikt. U wordt aangeraden een upgrade uit te voeren naar DPM 2022.

De DPM-beveiligingsagent (System Center Data Protection Manager) is de software die u op elke computer installeert en die gegevens bevat waar u een back-up van wilt maken met DPM. Het bestaat uit twee onderdelen: de beveiligingsagent zelf en een agentcoördinator. Wat de software doet:

  • Identificeert de gegevens die DPM kan beveiligen en herstellen.

  • Stelt de DPM-server in staat om te bladeren in de shares, volumes en mappen op de beveiligde computer.

  • Maakt voor elk beveiligd volume een afzonderlijk wijzigingslogboek en slaat het logboek op in een verborgen bestand op het desbetreffende volume. Alle wijzigingen in de beveiligde gegevens in het wijzigingslogboek worden vastgelegd en het logboek wordt overgedragen van de beveiligde computer naar de DPM-server, zodat DPM de primaire gegevens kan synchroniseren met de replica.

U stelt de agent als volgt in:

Firewall-uitzonderingen instellen

Om een beveiligingsagent met de DPM-server via een firewall te laten communiceren, zijn er firewall-uitzonderingen vereist.

Configureer een binnenkomende uitzondering voor sqlservr.exe voor het DPM-exemplaar van de SQL Server om TCP toe te staan op poort 80. De rapportserver luistert naar HTTP-aanvragen op poort 80. In de volgende tabel ziet u een overzicht van de protocollen en poorten die nodig zijn voor communicatie tussen de DPM-server en beveiligde servers en clients.

Protocol Poort Details
DCOM 135/TCP
Dynamisch		 De DPM-controleprotocol gebruikt DCOM. DMP geeft opdrachten aan de beveiligingsagent door DCOM-oproepen voor de agent aan te roepen. De beveiligingsagent antwoordt door DCOM-oproepen op de DPM-server aan te roepen.

TCP-poort 135 is het DCE-eindpuntresolutiepunt dat wordt gebruikt door DCOM.

Standaard wijst DCOM poorten dynamisch toe vanuit het TCP-poortbereik van 49152 tot en met 65535. U kunt dit bereik echter configureren met Component Services.

Voor communicatie met de DPM-agent moet u de bovenste poorten 49152-65535 openen. Voer de volgende stappen uit om de poorten te openen:

1. Selecteer in IIS 7.0-beheer in het deelvenster Connections het knooppunt op serverniveau in de structuur.
2. Dubbelklik op het pictogram FTP Firewall-ondersteuning in de lijst met functies.
3. Voer een bereik van waarden in voor het poortbereik van het gegevenskanaal.
4. Nadat u het poortbereik voor uw FTP-service hebt ingevoerd, selecteert u toepassen in het deelvenster Acties om uw configuratie-instellingen op te slaan.
TCP 5718/TCP
5719/TCP		 Het DPM-gegevenskanaal is gebaseerd op TCP. Zowel DPM als de beveiligde computer initiëren verbindingen om DPM-bewerkingen, zoals synchronisatie en herstel, in te schakelen.

DPM communiceert met de agentcoördinator op poort 5718 en met de beveiligingsagent op poort 5719.
DNS 53/UDP Wordt gebruikt tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller voor hostnaamomzetting.
Kerberos 88/UDP 88/TCP Wordt gebruikt tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller voor verificatie van het verbindingseindpunt.
LDAP 389/TCP
389/UDP		 Gebruikt tussen DPM en de domeincontroller voor query's.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Wordt gebruikt tussen DPM en de beveiligde computer, tussen DPM en de domeincontroller en tussen de beveiligde computer en de domeincontroller voor diverse bewerkingen. Gebruikt voor SMB rechtstreeks gehost op TCP/IP voor DPM-functies.

De agent installeren via de DPM-console

  1. Selecteerbeheeragents> in de DPM Administrator-console. Selecteer Installeren op het lint van het hulpprogramma om de wizard Beveiligingsagent installeren te openen.

  2. Selecteer op de pagina Agentimplementatiemethode selecteren de optie Agents>installeren Volgende.

  3. Op de pagina Computers selecteren toont DPM een lijst van beschikbare computers in hetzelfde domein als de DPM-server. Voeg de vereiste computer toe.

    • De eerste keer dat u de wizard gebruikt, voert DPM een query uit op Active Directory om een lijst met beschikbare computers op te halen. Na de eerste installatie slaat DPM de lijst met computers op in de database, die eenmaal per dag wordt bijgewerkt door het proces voor automatische detectie.

    • Als u een computer wilt vinden in een ander domein dat een tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt, moet u de FQDN (Fully Qualified Domain Name) typen van de computer die u wilt beveiligen. Bijvoorbeeld <Computer1.Domain1.contoso.com>, waarbij Computer1 de naam is van de computer die u wilt beveiligen en Domain1.contoso.com het domein is waartoe de doelcomputer behoort.

    • De knoppagina Geavanceerd is alleen ingeschakeld als er meer dan één versie van een beveiligingsagent beschikbaar is voor installatie op de computers. U kunt deze optie gebruiken om een eerdere versie van de beveiligingsagent te installeren die was geïnstalleerd voor dat u DPM-server naar een nieuwere versie hebt bijgewerkt.

  4. Typ op de pagina Referenties invoeren de gebruikersnaam en het wachtwoord voor een domeinaccount dat lid is van de lokale groep Administrators op alle geselecteerde computers.

    • Accepteer of typ in het vak Domein de domeinnaam van het gebruikersaccount dat u gebruikt om de beveiligingsagent op de doelcomputer te installeren. Dit account kan behoren tot het domein waarin de DPM-server zich bevindt of tot een domein dat een tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt.

    • Als u een beveiligingsagent installeert op een computer binnen een vertrouwd domein, voert u uw huidige domeingebruikersreferenties in. U kunt lid zijn van elk domein dat een tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt en u moet lid zijn van de lokale groep Administrators op alle geselecteerde computers waarop u een agent wilt installeren.

    • Als u een knooppunt in een cluster selecteert, detecteert DPM alle aanvullende knooppunten in het cluster en wordt de pagina Clusterknooppunten selecteren weergegeven.

  5. Selecteer op de pagina Clusterknooppunten selecteren een optie die DPM moet gebruiken voor het installeren van agents op extra knooppunten in het cluster en selecteer vervolgens Volgende.

  6. Kies op de pagina Methode voor opnieuw opstarten selecteren de methode om te gebruiken om de geselecteerde computers opnieuw op te starten nadat de beveiligingsagent is geïnstalleerd. De computer moet opnieuw worden opgestart voordat u gegevens kunnen beginnen beveiligen. Opnieuw opstarten is noodzakelijk om het volumefilter te laden dat DPM gebruikt om wijzigingen op blokniveau te volgen en over te dragen tussen DPM-server en de beveiligde computers.

    • Als u ervoor kiest om de computers later opnieuw op te starten, wordt de installatiestatus van de beveiligingsagent niet automatisch vernieuwd op het tabblad Agents in het taakgebied Beheer nadat de computer opnieuw is opgestart en moet u Gegevens vernieuwen selecteren.

    • U hoeft de computer niet opnieuw op te starten als u een beveiligingsagent op een andere DPM-server installeert.

    • Als een van de computers die u hebt geselecteerd knooppunten in een cluster zijn, wordt een extra pagina Methode opnieuw opstarten weergegeven, die u kunt gebruiken om de methode te selecteren om de geclusterde computers opnieuw op te starten. U moet een beveiligingsagent installeren op alle knooppunten in een cluster om de geclusterde gegevens te beveiligen. De computers moeten opnieuw worden opgestart voordat u gegevens kunt beginnen beveiligen. Omdat er tijd nodig is om services te starten, kan het na het opnieuw opstarten enkele minuten duren voordat DPM contact kan opnemen met de agent in het cluster.

    • DPM start een computer die deel uitmaakt van een MSCS-cluster (Microsoft Cluster Server) niet automatisch opnieuw op. U moet computers handmatig opnieuw opstarten in een MSCS-cluster.

  7. Selecteer installeren op de pagina Samenvatting om de installatie te starten. Als de gebruiksrechtovereenkomst wordt weergegeven, accepteert u deze om de installatie te starten. Op het tabblad Taak van de installatiepagina kunt u zien of de installatie is geslaagd. U kunt Sluiten selecteren voordat de wizard is voltooid en de voortgang van de installatie controleren op het tabblad Agents in het taakgebied Beheer . Als de installatie niet lukt, kunt u de waarschuwingen bekijken op het tabblad Waarschuwingen in het taakgebied Bewaking.

Notitie

Nadat u een beveiligingsagent hebt geïnstalleerd op een computer die deel uitmaakt van een Windows SharePoint Services-farm, worden alle computers in de farm niet weergegeven als beveiligde computers op het tabblad Agents in het taakgebied Beheer, alleen de computer die u hebt geselecteerd. Als de Windows SharePoint Services-farm echter gegevens heeft op de geselecteerde computer, beveiligt DPM de gegevens op al de computers in de farm, op voorwaarde dat op alle computers de beveiligingsagent is geïnstalleerd.

De agent handmatig installeren

  1. Als u de agent installeert op een computer achter een firewall, moet u ervoor zorgen dat de agent via de firewall kan worden gepusht.

    U kunt bijvoorbeeld de volgende opdracht op de computer uitvoeren om Windows Firewall te configureren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, waarbij IPAddress staat voor het adres van de DPM-server.

    Zie Firewall-uitzonderingen voor de agent configureren voor meer informatie over het configureren van een poortuitzondering voor de firewall .

  2. Open een opdrachtpromptvenster met verhoogde bevoegdheid op de computer die u wilt beveiligen en voer de volgende opdrachten uit:

    Als u een stationsletter wilt toewijzen, typt u: net use Z: \<DPMServerName>\c$ waarbij Z de lokale stationsletter is die u wilt toewijzen en <DPMServerName> de naam is van de DPM-server die de computer beveiligt.

    Als u de map wilt wijzigen, doet u het volgende:

    • Voor een 64-bits computer typt u: cd /d <assigned stationsletter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildnummer.0>\amd64 waarbij <toegewezen stationsletter> de stationsletter is die u in de vorige stap hebt toegewezen en <buildnummer> het meest recente DPM-buildnummer is. Bijvoorbeeld: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Voor een 32-bits computer typt u: cd /d <assigned stationsletter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<buildnummer>l;. 0\i386 , waarbij <toegewezen stationsletter> het station is dat u in de vorige stap hebt toegewezen en <buildnummer> het meest recente DPM-buildnummer is.

  3. Als u de beveiligingsagent wilt installeren, opent u een opdrachtpromptvenster met verhoogde bevoegdheid en voert u een van de volgende opdrachten uit:

    • Voor een 64-bits computer typt u: DpmAgentInstaller_x64.exe <DPMServerName> waarbij <DPMServerName> de FQDN (Fully Qualified Domain Name) van de DPM-server is. Bijvoorbeeld DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Voor een 32-bits computer typt u: DpmAgentInstaller_x86.exe <DPMServerName> waarbij <DPMServerName> de FQDN (Fully Qualified Domain Name) van de DPM-server is.

    Notitie

    • Als u een installatie op de achtergrond wilt uitvoeren, kunt u de /q optie gebruiken na de DpmAgentInstaller_x64.exe opdracht. Bijvoorbeeld: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Als u de gebruiksrechtovereenkomst handmatig wilt accepteren in een installatie op de achtergrond, gebruikt uDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Als u een DPM-servernaam opgeeft in de opdrachtregel, wordt de beveiligingsagent geïnstalleerd en worden automatisch de beveiligingsaccounts, machtigingen en firewall-uitzonderingen geconfigureerd die nodig zijn om de agent te laten communiceren met de opgegeven DPM-server. Als u geen servernaam hebt opgegeven, opent u een opdrachtprompt met verhoogde bevoegdheid op de doelcomputer en doet u het volgende:
    1. Als u het maptype wilt wijzigen: cd /d <system drive>:\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. Type: SetDpmServer.exe -dpmServerName <DPMServerName>. Hiermee configureert u de beveiligingsaccounts, machtigingen en firewall-uitzonderingen voor de agent om met de server te communiceren.

  4. Als u de computer hebt toegevoegd aan de DPM-server voordat u de agent installeerde, begint de server met het maken van back-ups voor de beveiligde computer. Als u de agent hebt geïnstalleerd voordat u de computer hebt toegevoegd aan de DPM-server, moet u de computer koppelen voordat de DPM-server begint met het maken van back-ups.

De beveiligingsagent op een RODC installeren

Volg deze stappen:

  1. Schakel de firewall op de RODC uit of voer de volgende opdrachten uit op de RODC voordat u de agent installeert:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Maak en vul op de primaire domeincontroller de volgende beveiligingsgroepen in (waarbij de naam van de beveiligde server de naam is van de RODC waarop u de beveiligingsagent wilt installeren):

    • Maak een beveiligingsgroep met de naam DPMRADCOMTRUSTEDMACHINES$PSNAME en voeg vervolgens het account van de DPM-servermachine toe als lid.

    • Maak een beveiligingsgroep met de naam DPMRADMTRUSTEDMACHINES$PSNAME en voeg vervolgens het account van de DPM-servermachine toe als lid.

    • Maak een beveiligingsgroep met de naam DPMRATRUSTEDDPMRAS$PSNAME en voeg vervolgens het account van de DPM-servermachine toe als lid.

    • Voeg het account van de DPM-servermachine toe als lid van de beveiligingsgroep Builtin\Distributed Com Users .

  3. Zorg ervoor dat de beveiligingsgroepen die u eerder hebt gemaakt, gerepliceerd zijn op de RODC. Installeer vervolgens handmatig de beveiligingsagent op de RODC.

  4. Voer op de RODC-server de volgende stappen uit om machtigingen voor starten en activeren voor de DPMRA-service toe te kennen:

    1. Open DPM Management Shell en voer de opdracht uitdcomcnfg.exe.

      Het venster Component Services wordt geopend.

    2. Vouw in het venster Component Servicescomputers uit, vouw Mijn computer uit, vouw DCOM Config uit, klik met de rechtermuisknop op deDPM RA-service en selecteer vervolgens Eigenschappen.

    3. Selecteer Algemeen en stel verificatieniveau in op Standaard.

    4. Selecteer Locatie en zorg ervoor dat alleen Toepassing uitvoeren op deze computer is geselecteerd.

    5. Selecteer Beveiliging, selecteer Aanpassen onder Start- en activeringsmachtigingen, selecteer Aanpassen en selecteer vervolgens Bewerken om het dialoogvenster Machtiging starten te openen.

    6. Wijs in het dialoogvenster Machtiging starten machtigingen toe voor Lokaal starten, Extern starten, Lokale activering en Externe activering voor het account van de DPM-servercomputer.

    7. Selecteer OK om het dialoogvenster te sluiten.

    8. Navigeer naar Program Files\Microsoft System Center\DPM\DPM\setup op de DPM-server en kopieer de volgende bestanden naar een map op de RODC-server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Voer op de RODC, in een opdrachtprompt met verhoogde bevoegdheden, de opdracht setagentcfg.exe a DPMRA domain\DPMserver uit vanaf de locatie die u in de vorige stap hebt opgegeven.

  6. Blader op de RODC-server naar de map C:\Program Files\Microsoft Data Protection Manager\DPM\bin en voer de opdracht setdpmserver uit:

    Setdpmserver -dpmservername DPMSERVER

  7. Koppel de beveiligingsagent aan de DPM-server, zoals beschreven in de volgende sectie.

De agent koppelen

Nadat u de DPM-agent handmatig hebt geïnstalleerd, moet u de agent koppelen aan de DPM-server.

  1. Selecteerbeheeragents> in de DPM Administrator-console op de navigatiebalk. Selecteer Installeren in het deelvenster Acties.

  2. Op de pagina Implementatiemethode voor agent selecteren selecteert u Agents koppelen>Computer op een vertrouwd domein>Volgende. De Wizard Beveiligingsagent installeren wordt geopend.

  3. Op de pagina Computers selecteren geeft DPM een lijst weer met beschikbare computers in hetzelfde domein als de DPM-server. Selecteer een of meer computers (maximaal 50) in de lijst >ComputernaamVolgende toevoegen>.

    • Als dit de eerste keer is dat u de wizard gebruikt, voert DPM een query uit naar Active Directory om een lijst met mogelijke computers op te halen. Na de eerste installatie toont DPM de lijst met computers in de database ervan, die eenmaal per dag wordt bijgewerkt door het automatisch detectieproces.

    • Als u meerdere computers wilt toevoegen met behulp van een tekstbestand, selecteert u de knop Toevoegen uit bestand en typt u in het dialoogvenster Toevoegen uit bestand de locatie van het tekstbestand of selecteert u Bladeren om naar de locatie te navigeren.

  4. Typ op de pagina Referenties invoeren de gebruikersnaam en het wachtwoord voor een domeinaccount dat lid is van de lokale groep Administrators op alle geselecteerde computers. Accepteer of typ in het vak Domein de domeinnaam van het gebruikersaccount dat u gebruikt om de beveiligingsagent op de doelcomputer te installeren. Deze account kan behoren tot het domein waar de DPM-server zich bevindt of tot een vertrouwd domein. Als u een beveiligingsagent installeert op een computer binnen een vertrouwd domein, voert u uw huidige domeingebruikersreferenties in. U kunt een lid zijn van eender welk vertrouwd domein, en u moet een lid zijn van de lokale beheerdersgroep op alle geselecteerde computers die u wilt beveiligen.

  5. Selecteer bijvoegen op de pagina Samenvatting.