Wdrażanie agenta ochrony programu DPM

Ważne

Ta wersja programu Data Protection Manager (DPM) osiągnęła koniec wsparcia technicznego. Zalecamy uaktualnienie do programu DPM 2022.

Agent ochrony programu System Center Data Protection Manager (DPM) to oprogramowanie instalowane na każdym komputerze zawierającym dane, które mają zostać utworzone za pomocą programu DPM. Składa się z dwóch składników: samego agenta ochrony i koordynatora agenta. Oto, jakie pełni funkcje:

• Identyfikuje dane, które program DPM może chronić i odzyskiwać.

• Zezwala serwerowi programu DPM na przeglądanie udziałów, woluminów i folderów na komputerze chronionym.

• Tworzy oddzielny dziennik zmian dla każdego chronionego woluminu i przechowuje ten dziennik na woluminie w ukrytym pliku. Rejestruje wszelkie zmiany w chronionych danych w dzienniku zmian i przesyła dziennik z komputera chronionego do serwera programu DPM, aby program DPM mógł zsynchronizować dane podstawowe z repliką.

Skonfiguruj agenta w następujący sposób:

• Jeśli komputer zawierający dane, które chcesz utworzyć kopię zapasową, znajduje się za zaporą, należy skonfigurować wyjątki zapory.

• Jeśli komputer nie znajduje się za zaporą lub skonfigurowano wyjątki zapory w celu zezwolenia na dostęp, możesz zainstalować agenta z konsoli programu DPM.

• Jeśli nie masz dostępu za pośrednictwem zapory, komputer, który chcesz chronić, znajduje się w grupie roboczej lub niezaufanej domenie lub musisz użyć innej metody instalacji, możesz zainstalować agenta ręcznie , a następnie dołączyć agenta.

Konfigurowanie wyjątków zapory

Aby agent ochrony mógł komunikować się z serwerem programu DPM przez zaporę, wymagane jest wprowadzenie wyjątków zapory.

Skonfiguruj wyjątek przychodzący dla sqlservr.exe dla wystąpienia programu DPM SQL Server, aby zezwolić na protokół TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80. W poniższej tabeli przedstawiono protokoły i porty wymagane do komunikacji między serwerem DPM i chronionymi serwerami i klientami.

Protokół	Port	Szczegóły
DCOM	135/TCP Dynamiczny	Protokół kontroli programu DPM używa protokołu DCOM. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM. Port TCP o numerze 135 to punkt rozwiązywania punktu końcowego zabezpieczeń DCE używany przez protokół DCOM. Domyślnie funkcja DCOM dynamicznie przypisuje porty z zakresu portów TCP od 49152 do 65535. Ten zakres można jednak skonfigurować przy użyciu usług składowych. W przypadku komunikacji agenta programu DPM należy otworzyć górne porty 49152-65535. Aby otworzyć porty, należy wykonać następujące czynności: 1. W Menedżerze usług IIS 7.0 w okienku Connections wybierz węzeł na poziomie serwera w drzewie. 2. Kliknij dwukrotnie ikonę Obsługa zapory FTP na liście funkcji. 3. Wprowadź zakres wartości dla zakresu portów kanału danych. 4. Po wprowadzeniu zakresu portów dla usługi FTP w okienku Akcje wybierz pozycję Zastosuj , aby zapisać ustawienia konfiguracji.
TCP	5718/TCP 5719/TCP	Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i komputer chroniony inicjują połączenia w celu włączenia operacji programu DPM, takich jak synchronizacja i odzyskiwanie. Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719.
DNS	53/UDP	Używany między programem DPM a kontrolerem domeny i między komputerem chronionym a kontrolerem domeny do rozpoznawania nazw hostów.
Kerberos	88/UDP 88/TCP	Używany między programem DPM a kontrolerem domeny i między komputerem chronionym a kontrolerem domeny do uwierzytelniania punktu końcowego połączenia.
LDAP	389/TCP 389/UDP	Używany do przesyłania zapytań podczas komunikacji między programem DPM a kontrolerem domeny.
NetBIOS	137/UDP 138/UDP 139/TCP 445/TCP	Używany między programem DPM a komputerem chronionym między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny w celu wykonywania różnych operacji. Używany do ruchu SMB obsługiwanego bezpośrednio przez protokół TCP/IP na potrzeby funkcji programu DPM.

Instalacja agenta z konsoli programu DPM

1. W konsoli administratora programu DPM wybierz pozycjęAgencizarządzania>. Wybierz pozycję Zainstaluj na wstążce narzędzi, aby otworzyć Kreatora instalacji agenta ochrony.

2. Na stronie Wybierz metodę wdrażania agenta wybierz pozycję Zainstaluj agentów>Dalej.

3. Na stronie Wybierz komputery program DPM wyświetli listę komputerów dostępnych w tej samej domenie co serwer programu DPM. Dodaj wymagany komputer.

   • Przy pierwszym użyciu kreatora program DPM wysyła zapytanie do usługi Active Directory, aby uzyskać listę dostępnych komputerów. Po pierwszej instalacji program DPM przechowuje listę komputerów w bazie danych, która jest aktualizowana raz dziennie przez proces automatycznego odnajdywania.

   • Aby znaleźć komputer w innej domenie, która ma dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, należy wpisać w pełni kwalifikowaną nazwę domeny (FQDN) komputera, który chcesz chronić. Na przykład <Computer1.Domain1.contoso.com>, gdzie Computer1 jest nazwą komputera, który chcesz chronić, a Domain1.contoso.com to domena, do której należy komputer docelowy.

   • Strona przycisku Zaawansowane jest włączona tylko wtedy, gdy na komputerach jest dostępna więcej niż jedna wersja agenta ochrony. Jeśli przycisk jest aktywny, można go użyć, aby zainstalować poprzednią wersję agenta ochrony, która została zainstalowana przed uaktualnieniem serwera programu DPM do nowszej wersji.

4. Na stronie Wprowadzanie poświadczeń wpisz nazwę użytkownika i hasło dla konta domeny, które jest członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach.

   • W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika, którego używasz do zainstalowania agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer programu DPM, lub do domeny, która ma ustanowioną dwukierunkową relację zaufania z domeną zawierającą serwer programu DPM.

   • Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej domeny, która ma dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, i musisz być członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach, na których chcesz zainstalować agenta.

   • Jeśli wybierzesz węzeł w klastrze, program DPM wykryje wszystkie dodatkowe węzły tego klastra i wyświetli stronę Wybierz węzły klastra.

5. Na stronie Wybieranie węzłów klastra wybierz opcję, której program DPM ma użyć do instalowania agentów w dodatkowych węzłach w klastrze, a następnie wybierz przycisk Dalej.

6. Na stronie Wybierz metodę ponownego uruchomienia wybierz metodę ponownego uruchomienia, która ma być używana przez wybrane komputery po zainstalowaniu agenta ochrony. Komputer rozpocznie ochronę danych dopiero po ponownym uruchomieniu. Ponowne uruchomienie jest niezbędne, aby załadować filtr woluminu używany przez program DPM do śledzenia i transferowania zmian na poziomie bloku między serwerem programu DPM a komputerami chronionymi.

   • Jeśli wybierzesz opcję ponownego uruchomienia komputerów później, stan instalacji agenta ochrony nie zostanie automatycznie odświeżony na karcie Agenci w obszarze zadań Zarządzanie po ponownym uruchomieniu komputera i musisz wybrać pozycję Odśwież informacje.

   • Nie musisz ponownie uruchamiać komputera, jeśli instalujesz agenta ochrony na innym serwerze programu DPM.

   • Jeśli którykolwiek z wybranych komputerów to węzły w klastrze, zostanie wyświetlona dodatkowa strona Wybierz metodę ponownego uruchomienia , której można użyć do wybrania metody ponownego uruchomienia klastrowanych komputerów. Aby pomyślnie chronić dane klastrowane, należy zainstalować agenta ochrony na wszystkich węzłach w klastrze. Komputery rozpoczną ochronę danych dopiero po ponownym uruchomieniu. Ponieważ czas jest wymagany do uruchomienia usług, może upłynąć kilka minut po ponownym uruchomieniu, zanim program DPM będzie mógł skontaktować się z agentem w klastrze.

   • Program DPM nie uruchomi automatycznie komputera należącego do klastra programu Microsoft Cluster Server (MSCS). Komputery w klastrze MSCS muszą zostać uruchomione ponownie ręcznie.

7. Na stronie Podsumowanie wybierz pozycję Zainstaluj , aby rozpocząć instalację. Jeśli zostanie wyświetlona umowa EULA, zaakceptuj ją, aby instalacja była uruchamiana. Na karcie Zadanie na stronie instalacji można sprawdzić, czy instalacja zakończyła się pomyślnie. Możesz wybrać pozycję Zamknij przed zakończeniem działania kreatora i monitorować postęp instalacji na karcie Agenci w obszarze zadań Zarządzanie . Jeśli instalacja się nie powiedzie, alerty możesz sprawdzić na karcie Alerty w obszarze zadań Monitorowanie .

Uwaga

Po zainstalowaniu agenta ochrony na komputerze należącym do farmy Windows SharePoint Services każda z komputerów w farmie nie będzie wyświetlana jako komputery chronione na karcie Agenci w obszarze zadań Zarządzanie tylko wybranym komputerem. Jeśli jednak farma programu Windows SharePoint Services zawiera dane na wybranych komputerach, program DPM będzie chronić te dane na wszystkich komputerach w farmie, pod warunkiem że na wszystkich z nich jest zainstalowany agent ochrony.

Ręczna instalacja agenta

1. W przypadku zainstalowania agenta na komputerze za zaporą należy upewnić się, że agent może zostać wypchnięty przez zaporę.

   Na przykład możesz uruchomić następujące polecenie na komputerze, aby skonfigurować Zaporę systemu Windows: netsh advfirewall firewall add rule name="Zezwalaj na wypchnięcie zdalnego agenta programu DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<adres_IP>, gdzie adres_IP jest adresem serwera DPM.

   Aby skonfigurować wyjątek dla portu na zaporze, patrz Konfigurowanie wyjątków zapory dla agenta.

2. Na komputerze, który chcesz chronić, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

   Aby przypisać literę dysku, wpisz: net use Z: \<DPMServerName\c$ gdzie Z jest literą dysku lokalnego, którą chcesz przypisać, a DPMServerName>>jest nazwą serwera DPM, który będzie chronić< komputer.

   Aby zmienić katalog, wykonaj następujące czynności:

   • W przypadku komputera 64-bitowego wpisz: cd /d <przypisanej litery> dysku:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numer> kompilacji.0\amd64, gdzie <przypisana litera> dysku to litera dysku przypisana w poprzednim kroku, a <numer kompilacji to najnowszy numer> kompilacji programu DPM. Na przykład: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • W przypadku komputera 32-bitowego wpisz: cd /d <przypisane litery> dysku:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numer kompilacji>l;. 0\i386, gdzie <przypisana litera> dysku to dysk mapowany w poprzednim kroku, a <numer kompilacji to najnowszy numer> kompilacji programu DPM.

3. Aby zainstalować agenta ochrony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom jedno z następujących poleceń:

   • W przypadku komputera 64-bitowego wpisz: DpmAgentInstaller_x64.exe <DPMServerName, gdzie DPMServerName>>jest w pełni kwalifikowaną nazwą domeny (FQDN) serwera DPM.< Na przykład: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • W przypadku komputera 32-bitowego wpisz: DpmAgentInstaller_x86.exe <DPMServerName, gdzie DPMServerName>>jest w pełni kwalifikowaną nazwą domeny (FQDN) serwera DPM.<

   Uwaga

   • Aby przeprowadzić instalację dyskretną, możesz użyć /q opcji po DpmAgentInstaller_x64.exe polecenia. Na przykład: DpmAgentInstaller_x64.exe /q <DPMServerName>
   • Aby ręcznie zaakceptować umowy EULA w instalacji dyskretnej, użyj poleceniaDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
   • Jeśli określisz nazwę serwera programu DPM w wierszu polecenia, instaluje agenta ochrony i automatycznie konfiguruje konta zabezpieczeń, uprawnienia i wyjątki zapory niezbędne dla agenta do komunikowania się z określonym serwerem DPM. Jeśli nie określono nazwy serwera, otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze docelowym i wykonaj następujące czynności:

   1. Aby zmienić typ katalogu: cd /d <dysk> systemowy:\Program Files\Microsoft Data Protection Manager\DPM\bin
   2. Typ: SetDpmServer.exe -dpmServerName DPMServerName<>. Spowoduje to skonfigurowanie kont zabezpieczeń, uprawnień i wyjątków zapory dla agenta w celu komunikowania się z serwerem.

4. Jeśli komputer został dodany do serwera programu DPM przed zainstalowaniem agenta, serwer zacznie tworzyć kopie zapasowe dla chronionego komputera. Jeśli agent został zainstalowany przed dodaniem komputera do serwera programu DPM, komputer należy dołączyć, zanim serwer programu DPM rozpocznie tworzenie kopii zapasowych.

Instalacja agenta ochrony programu DPM na kontrolerze RODC

Wykonaj następujące kroki:

1. Przed zainstalowaniem agenta wyłącz zaporę na kontrolerze RODC lub uruchom następujące polecenia na kontrolerze RODC:

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. Na podstawowym kontrolerze domeny utwórz i wypełnij następujące grupy zabezpieczeń (gdzie nazwa chronionego serwera jest nazwą kontrolera RODC, na którym planujesz zainstalować agenta ochrony):

   • Utwórz grupę zabezpieczeń o nazwie DPMRADCOMTRUSTEDMACHINES$PSNAME, a następnie dodaj konto maszyny serwera DPM jako element członkowski.

   • Utwórz grupę zabezpieczeń o nazwie DPMRADMTRUSTEDMACHINES$PSNAME, a następnie dodaj konto maszyny serwera DPM jako element członkowski.

   • Utwórz grupę zabezpieczeń o nazwie DPMRATRUSTEDDPMRAS$PSNAME, a następnie dodaj konto komputera serwera DPM jako element członkowski.

   • Dodaj konto maszyny serwera programu DPM jako element członkowski grupy zabezpieczeń Builtin\Distributed Com Users .

3. Sprawdź, czy utworzone wcześniej grupy zabezpieczeń zostały zreplikowane na kontrolerze RODC. Następnie ręcznie zainstaluj agenta ochrony na kontrolerze RODC.

4. Wykonaj następujące kroki na serwerze kontrolera RODC, aby udzielić usłudze DPMRA uprawnień uruchamiania i aktywacji:

   1. Otwórz powłokę zarządzania programu DPM, a następnie uruchom polecenie dcomcnfg.exe.

      Zostanie wyświetlone okno Usługi składowe .

   2. W oknie Usługi składników rozwiń węzeł Komputery, rozwiń węzeł Mój komputer, rozwiń węzeł Konfiguracja DCOM, kliknij prawym przyciskiem myszy usługęDPM RA , a następnie wybierz pozycję Właściwości.

   3. Wybierz pozycję Ogólne, a następnie ustaw wartość Poziom uwierzytelniania na Wartość domyślna.

   4. Wybierz pozycję Lokalizacja, a następnie upewnij się, że wybrano opcję Uruchom tylko aplikację na tym komputerze .

   5. Wybierz pozycję Zabezpieczenia, wybierz pozycję Dostosuj w obszarze Uprawnienia do uruchamiania i aktywacji, wybierz pozycję Dostosuj, a następnie wybierz pozycję Edytuj , aby otworzyć okno dialogowe Uruchamianie uprawnień .

   6. W oknie dialogowym Uruchamianie uprawnień przypisz uprawnienia do uruchamiania lokalnego, uruchamiania zdalnego, aktywacji lokalnej i aktywacji zdalnej dla konta komputera serwera programu DPM.

   7. Wybierz przycisk OK, aby zamknąć okno dialogowe.

   8. Przejdź do folderu Program Files\Microsoft System Center\DPM\DPM\setup na serwerze DPM , skopiuj następujące pliki do folderu na serwerze RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. Na kontrolerze RODC w wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie setagentcfg.exe a domena_usługi_DPMRA\serwer_programu_DPM w lokalizacji określonej w poprzednim kroku.

6. Na serwerze RODC przejdź do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin i uruchom polecenie setdpmserver:

   Setdpmserver -dpmservername NAZWA_SERWERA_DPM

7. Dołącz agenta ochrony do serwera programu DPM zgodnie z opisem w poniższej sekcji.

Dołączanie agenta

Po ręcznym zainstalowaniu agenta programu DPM należy dołączyć agenta do serwera programu DPM.

1. W konsoli administratora programu DPM na pasku nawigacyjnym wybierz pozycjęAgencizarządzania>. W okienku Akcje wybierz pozycję Zainstaluj.

2. Na stronie Wybierz metodę wdrożenia agenta wybierz pozycję Dołącz agentów>Komputer w zaufanej domenie>Dalej. Zostanie otwarty Kreator instalacji agenta ochrony.

3. Na stronie Wybieranie komputerów program DPM wyświetla listę dostępnych komputerów w tej samej domenie co serwer programu DPM. Wybierz co najmniej jeden komputer (maksymalnie 50) z listy >Nazwa komputeraDodaj>dalej.

   • Jeśli po raz pierwszy użyto kreatora, program DPM wysyła zapytanie do usługi Active Directory, aby uzyskać listę potencjalnych komputerów. Po pierwszej instalacji program DPM wyświetla listę komputerów ze swojej bazy danych, która jest aktualizowana raz dziennie przez proces autowykrywania.

   • Aby dodać wiele komputerów przy użyciu pliku tekstowego, wybierz przycisk Dodaj z pliku, a następnie w oknie dialogowym Dodaj z pliku wpisz lokalizację pliku tekstowego lub wybierz przycisk Przeglądaj , aby przejść do jego lokalizacji.

4. Na stronie Wprowadzanie poświadczeń wpisz nazwę użytkownika i hasło dla konta domeny, które jest członkiem lokalnej grupy Administratorzy na wszystkich wybranych komputerach. W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika, którego używasz do zainstalowania agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer DPM, lub do domeny zaufanej. Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej zaufanej domeny oraz musisz być członkiem lokalnej grupy administratorów na wszystkich komputerach docelowych, które chcesz chronić.

5. Na stronie Podsumowanie wybierz pozycję Dołącz.