Развертывание агента защиты DPM

Важно!

Поддержка этой версии Data Protection Manager (DPM) завершена. Рекомендуется выполнить обновление до DPM 2022.

Агент защиты System Center Data Protection Manager (DPM) — это программное обеспечение, устанавливающееся на каждом компьютере, которое содержит данные, которые требуется создать с помощью DPM. Он состоит из двух компонентов: самого агента защиты и координатора агента. Функции агента

• Определяет данные, которые DPM может защитить и восстановить.

• Позволяет серверу DPM просматривать общие папки, тома и папки на защищаемом компьютере.

• Создает отдельный журнал изменений для каждого защищаемого тома и хранит его в скрытом файле на этом томе. Он записывает все изменения в защищенные данные в журнал изменений и передает журнал с защищенного компьютера на сервер DPM, чтобы DPM синхронизировать основные данные с реплика.

Установка агента происходит следующим образом.

• Если компьютер, содержащий данные для резервного копирования, находится за брандмауэром, необходимо настроить исключения брандмауэра.

• Если компьютер не за брандмауэром или вы настроили исключения брандмауэра для разрешения доступа, можно установить агент из консоли DPM.

• Если у вас нет доступа через брандмауэр, компьютер, который требуется защитить, находится в рабочей группе или недоверенном домене или необходимо использовать другой метод установки, можно установить агент вручную , а затем подключить агент.

Настройка исключений брандмауэра

Чтобы агент защиты мог взаимодействовать с сервером DPM через брандмауэр, требуется настройка исключений брандмауэра.

Настройте входящее исключение для sqlservr.exe для экземпляра DPM SQL Server разрешить TCP через порт 80. Сервер отчетов прослушивает HTTP-запросы через порт 80. В следующей таблице перечислены протоколы и порты, необходимые для взаимодействия между сервером DPM и защищаемыми серверами и клиентами.

Протокол	Port	Сведения
DCOM	135/TCP Динамический	Протокол управления DPM использует DCOM. DPM дает команды агенту защиты, создавая для него вызовы DCOM. Агент защиты отвечает, создавая вызовы DCOM на сервере DPM. TCP-порт 135 — это точка разрешения конечных точек DCE, используемая DCOM. По умолчанию DCOM динамически назначает порты из диапазона TCP-портов от 49152 до 65535. Тем не менее, можно настроить этот диапазон с помощью служб компонентов. Для обмена данными с агентом DPM необходимо открыть верхние порты 49152–65535. Чтобы открыть порты, выполните следующие действия. 1. В диспетчере IIS 7.0 в области Connections выберите узел уровня сервера в дереве. 2. Дважды щелкните значок Поддержка брандмауэра FTP в списке компонентов. 3. Укажите диапазон значений для пункта Диапазон портов канала данных. 4. После ввода диапазона портов для службы FTP в области Действия выберите Применить , чтобы сохранить параметры конфигурации.
TCP	5718/TCP 5719/TCP	Канал данных DPM основан на протоколе TCP. И DPM, и защищенный компьютер инициируют подключения для включения операций DPM, таких как синхронизация и восстановление. DPM взаимодействует с координатором агента через порт 5718 и с агентом защиты через порт 5719.
DNS	53/UDP	Используется между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена для разрешения имен узла.
Kerberos	88/UDP 88/TCP	Используется между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена для проверки подлинности конечной точки подключения.
LDAP	389/TCP 389/UDP	Используются для передачи запросов между DPM и контроллером домена.
NetBIOS	137/UDP 138/UDP 139/TCP 445/TCP	Используется между DPM и защищенным компьютером, между DPM и контроллером домена, а также между защищенным компьютером и контроллером домена для прочих операций. Используются для SMB, размещаемого непосредственно на TCP/IP, для выполнения функций DPM.

Установка агента защиты из консоли DPM

1. В консоли администрирования DPM выберитеАгентыуправления>. Выберите Установить на ленте инструментов, чтобы открыть мастер установки агента защиты.

2. На странице Выбор метода развертывания агента выберите Установить агенты>далее.

3. На странице Выбор компьютеров в DPM отображается список доступных компьютеров, находящихся в том же домене, что и сервер DPM. Добавьте требуемый компьютер.

   • При первом использовании мастера DPM запрашивает Active Directory, чтобы получить список доступных компьютеров. После первой установки DPM сохраняет список компьютеров в своей базе данных, которая обновляется каждый день в процессе автоматического обнаружения.

   • Чтобы найти компьютер в другом домене с двусторонним отношением доверия с доменом, в который находится сервер DPM, необходимо ввести полное доменное имя (FQDN) компьютера, который требуется защитить. Например, <Computer1.Domain1.contoso.com>, где Computer1 — это имя компьютера, который требуется защитить, а Domain1.contoso.com — домен, к которому принадлежит целевой компьютер.

   • Страница кнопки Дополнительно включена, только если на компьютерах доступно несколько версий агента защиты. Эту функцию можно использовать для установки предыдущей версии агента защиты, которая была установлена до обновления сервера DPM до более новой версии.

4. На странице Ввод учетных данных введите имя пользователя и пароль для учетной записи домена, которая является членом локальной группы администраторов на всех выбранных компьютерах.

   • В поле Домен примите или введите доменное имя учетной записи пользователя, которая используется для установки агента защиты на целевом компьютере. Эта учетная запись может принадлежать домену, в котором находится сервер DPM, или домену, имеющему двустороннее отношение доверия с доменом, в котором находится сервер DPM.

   • Если вы устанавливаете агент защиты на компьютер в доверенном домене, введите свои учетные данные пользователя текущего домена. Вы можете быть членом любого домена с двусторонним отношением доверия с доменом, в котором находится сервер DPM, и должны быть членом локальной группы администраторов на всех выбранных компьютерах, на которых требуется установить агент.

   • Если выбрать узел кластера, DPM обнаружит все дополнительные узлы кластера и отобразит страницу Выберите узлы кластера.

5. На странице Выбор узлов кластера выберите параметр, который DPM будет использовать для установки агентов на дополнительных узлах кластера, а затем нажмите кнопку Далее.

6. На странице Выбор метода перезапуска выберите метод перезагрузки выбранных компьютеров после установки агента защиты. Прежде чем можно будет обеспечить защиту данных, компьютер должен быть перезагружен. Перезагрузка необходима для загрузки фильтра томов, который используется в DPM для отслеживания и передачи изменений на уровне блоков между сервером DPM и защищенными компьютерами.

   • Если вы выберете перезапустить компьютеры позже, состояние установки агента защиты не обновляется автоматически на вкладке Агенты в области задач Управление после перезагрузки компьютера, и вам потребуется выбрать Обновить сведения.

   • Вам не нужно перезагружать компьютер, если вы устанавливаете агент защиты на другом сервере DPM.

   • Если какой-либо из выбранных компьютеров является узлами в кластере, появится дополнительная страница Выбор метода перезапуска , с помощью которой можно выбрать метод перезапуска кластеризованных компьютеров. Чтобы успешно защитить кластеризованные данные, необходимо установить агент защиты на всех узлах в кластере. Прежде чем можно будет обеспечить защиту данных, компьютеры должны быть перезагружены. Так как для запуска служб требуется время, после перезапуска может потребоваться несколько минут, прежде чем DPM сможет связаться с агентом в кластере.

   • DPM не будет автоматически перезагружать компьютер, принадлежащий кластеру Microsoft Cluster Server (MSCS). Компьютеры в составе кластера MSCS необходимо перезагрузить вручную.

7. На странице Сводка выберите Установить , чтобы начать установку. Если отображается лицензионное соглашение, примите его для запуска установки. На вкладке Задача на странице установки можно увидеть, успешно ли выполнена установка. Вы можете нажать кнопку Закрыть до завершения работы мастера и отслеживать ход установки на вкладке Агенты в области задач Управление . Если установка не выполнена, предупреждения можно просмотреть на вкладке Предупреждения в области задач Наблюдение .

Примечание

После установки агента защиты на компьютере, который является частью фермы Windows SharePoint Services, все компьютеры в ферме не будут отображаться как защищенные компьютеры на вкладке Агенты в области задач Управление, а только выбранный компьютер. Однако если ферма Windows SharePoint Services содержит данные на выбранном компьютере, данные на всех компьютерах фермы будут защищены с помощью DPM, если на всех из них будет установлен агент защиты.

Установка агента вручную

1. При установке агента на компьютере за брандмауэром необходимо убедиться, что агент может быть отправлен через брандмауэр.

   Например, для настройки брандмауэра Windows выполните на компьютере следующую команду: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-адрес> , где "IP-адрес" — это адрес сервера DPM.

   Сведения о настройке исключений портов в брандмауэре см. в разделе Настройка исключений брандмауэра для агента.

2. На компьютере, который требуется защитить, откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

   Для назначения буквы диска введите: net use Z: <DPMServerName>\c$, где Z — это буква локального диска, которую вы хотите назначить, а <DPMServerName> — имя сервера DPM, который будет защищать компьютер.

   Для смены текущего каталога сделайте следующее:

   • Для 64-разрядного компьютера введите cd /d <назначенная буква> диска:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<номер> сборки.0\amd64, где <назначенная буква> диска — это буква диска, назначенная на предыдущем шаге, а <номер> сборки — номер последней сборки DPM. Пример: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • Для 32-разрядного компьютера введите cd /d <назначенная буква> диска:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<номер сборки>l;. 0\i386, где <назначенная буква> диска — это диск, сопоставленный на предыдущем шаге, а <номер> сборки — номер последней сборки DPM.

3. Чтобы установить агент защиты, откройте окно командной строки с повышенными привилегиями и выполните одну из следующих команд:

   • Для 64-разрядного компьютера введите :DpmAgentInstaller_x64.exe <DPMServerName> , где <DPMServerName> — полное доменное имя сервера DPM. Например: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • Для 32-разрядного компьютера введите DpmAgentInstaller_x86.exe <DPMServerName> , где <DPMServerName> — полное доменное имя сервера DPM.

   Примечание

   • Чтобы выполнить автоматическую установку, после команды DpmAgentInstaller_x64.exe можно указать параметр /q. Например: DpmAgentInstaller_x64.exe /q <DPMServerName>
   • Чтобы принять лицензионное соглашение вручную при автоматической установке, используйтеDpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA.
   • Если в командной строке указать имя сервера DPM, он устанавливает агент защиты и автоматически настраивает учетные записи безопасности, разрешения и исключения брандмауэра, необходимые агенту для взаимодействия с указанным сервером DPM. Если вы не указали имя сервера, откройте командную строку с повышенными привилегиями на целевом компьютере и сделайте следующее.

   1. Для смены текущего каталога введите: cd /d <системный диск> :\Program Files\Microsoft Data Protection Manager\DPM\bin.
   2. Введите: SetDpmServer.exe -dpmServerName <DPMServerName> . Это позволяет настроить учетные записи безопасности, разрешения и исключения брандмауэра для взаимодействия агента с сервером.

4. Если вы добавили компьютер на сервер DPM перед установкой агента, сервер начнет создание резервных копий защищаемого компьютера. Если агент был установлен прежде, чем компьютер был добавлен на сервер DPM, необходимо подключить компьютер, чтобы сервер DPM начал создавать резервные копии.

Установка агента защиты на контроллер домена только для чтения

Выполните следующие действия.

1. Перед установкой агента отключите брандмауэр на RODC или выполните следующие команды в RODC:

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. На основном контроллере домена создайте и заполните следующие группы безопасности (где имя защищенного сервера — это имя RODC, на котором планируется установить агент защиты):

   • Создайте группу безопасности с именем DPMRADCOMTRUSTEDMACHINES$PSNAME, а затем добавьте учетную запись компьютера сервера DPM в качестве члена.

   • Создайте группу безопасности с именем DPMRADMTRUSTEDMACHINES$PSNAME, а затем добавьте учетную запись компьютера сервера DPM в качестве члена.

   • Создайте группу безопасности С именем DPMRATRUSTEDDPMRAS$PSNAME, а затем добавьте учетную запись компьютера сервера DPM в качестве участника.

   • Добавьте учетную запись компьютера сервера DMP в качестве члена группы безопасности Builtin\Distributed Com Users.

3. Убедитесь, что ранее созданные группы безопасности реплицированы на контроллере домена только для чтения. Затем вручную установите агент защиты на контроллер домена только для чтения.

4. На сервере контроллера домена только для чтения выполните следующие действия, чтобы предоставить службе DPMRA разрешения на запуск и активацию.

   1. Откройте командную консоль DPM и выполните команду dcomcnfg.exe.

      Откроется окно Службы компонентов.

   2. В окне Службы компонентов разверните узлы Компьютеры, Мой компьютер, Конфигурация DCOM, щелкните правой кнопкой мыши службуDPM RA и выберите Свойства.

   3. Выберите Общие, а затем задайте для параметра Уровень проверки подлинности значениеПо умолчанию.

   4. Выберите Расположение, а затем убедитесь, что на этом компьютере выбрано только запустить приложение.

   5. Выберите Безопасность, выберите Настроить в разделе Разрешения на запуск и активацию, выберите Настроить, а затем щелкните Изменить , чтобы открыть диалоговое окно Разрешение на запуск .

   6. В диалоговом окне Разрешение на запуск назначьте разрешения для параметров Локальный запуск, Удаленный запуск, Локальная активацияи Удаленная активация в учетной записи компьютера сервера DPM.

   7. Чтобы закрыть диалоговое окно, нажмите кнопку ОК.

   8. Откройте папку Program Files\Microsoft System Center\DPM\DPM\setup на сервере DPM и скопируйте следующие файлы в папку на сервере контроллера домена только для чтения.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. На контроллере домена только для чтения из командной строки с повышенными привилегиями выполните команду setagentcfg.exe a DPMRA domain\DPMserver в каталоге, который был указан на предыдущем этапе.

6. На сервере контроллера домена только для чтения перейдите в папку C:\Program Files\Microsoft Data Protection Manager\DPM\bin и выполните команду setdpmserver:

   Setdpmserver -dpmservername DPMSERVER.

7. Подключите агент защиты к серверу DPM, как описано в следующем разделе.

Присоединение агента

После установки агента DPM вручную необходимо подключить агент к серверу DPM.

1. В консоли администрирования DPM на панели навигации выберите Агенты управления>. В области Действия выберите Установить.

2. На странице Выбор метода развертывания агента выберите вариант Присоединить агенты>Компьютер в доверенном домене>Далее. Откроется мастер установки агента защиты.

3. На странице Выбор компьютеров DPM отображает список доступных компьютеров в том же домене, что и сервер DPM. Выберите один или несколько компьютеров (максимум 50) в списке >Имя компьютераДобавить>далее.

   • Если вы впервые используете мастер, DPM запрашивает Active Directory, чтобы получить список потенциальных компьютеров. После первой установки DPM отображает список компьютеров из базы данных, которая обновляется один раз в день в процессе автоматического обнаружения.

   • Чтобы добавить несколько компьютеров с помощью текстового файла, нажмите кнопку Добавить из файла и в диалоговом окне Добавление из файла введите расположение текстового файла или нажмите кнопку Обзор , чтобы перейти к его расположению.

4. На странице Ввод учетных данных введите имя пользователя и пароль для учетной записи домена, которая является членом локальной группы администраторов на всех выбранных компьютерах. В поле Домен примите или введите доменное имя учетной записи пользователя, которая используется для установки агента защиты на целевом компьютере. Эта учетная запись может принадлежать домену, в котором находится сервер DPM, или доверенному домену. Если вы устанавливаете агент защиты на компьютер в доверенном домене, введите свои учетные данные пользователя текущего домена. Вы можете быть членом любого доверенного домена, но при этом должны быть членом локальной группы администраторов на всех выбранных компьютерах, которые необходимо защитить.

5. На странице Сводка выберите Присоединить.