部署 DPM 保护代理

  • 项目

重要

此版本的 Data Protection Manager (DPM) 已终止支持。 建议 升级到 DPM 2022

System Center Data Protection Manager (DPM) 保护代理是在每台计算机上安装的软件,其中包含要使用 DPM 备份的数据。 它由两个组件组成:保护代理本身和代理协调器。 下面是其作用:

  • 标识 DPM 可以保护和恢复的数据。

  • 允许 DPM 服务器浏览受保护计算机上的共享、卷和文件夹。

  • 为每个受保护卷创建单独的变更日志,并将日志保存在该卷上的一个隐藏文件中。 它会在更改日志中记录对受保护数据所做的任何更改,并将日志从受保护的计算机传输到 DPM 服务器,以便 DPM 可以将主数据与副本 (replica) 同步。

需按如下所示安装代理:

  • 如果包含要备份的数据的计算机位于防火墙后面,则需要 设置防火墙例外

  • 如果计算机不在防火墙后面,或者你已将防火墙例外配置为允许访问,则可以 从 DPM 控制台安装代理

  • 如果没有通过防火墙的访问权限,则要保护的计算机位于工作组或不受信任的域中,或者需要使用其他安装方法,可以 手动安装代理 ,然后 附加代理

设置防火墙例外

为了使保护代理能够通过防火墙与 DPM 服务器进行通信,需要设置防火墙例外。

为 SQL Server的 DPM 实例配置 sqlservr.exe 的传入异常,以允许端口 80 上的 TCP。 报表服务器在端口 80 上侦听 HTTP 请求。 下表列出了 DPM 服务器与受保护服务器和客户端之间进行通信所必需的协议和端口。

协议 Port 详细信息
DCOM 135/TCP
动态		 DPM 控制协议使用 DCOM。 DPM 通过在保护代理上引发 DCOM 调用向保护代理发出命令。 保护代理通过在 DPM 服务器上引发 DCOM 调用来响应。

TCP 端口 135 是 DCOM 使用的 DCE 终结点解析点。

默认情况下,DCOM 自动分配 TCP 端口范围 在 49152 到 65535 之间的端口。 但是,你可以使用组件服务来配置此范围。

对于 DPM 代理通信,必须打开上限端口 49152-65535。 要查看端口,请执行下列步骤:

1. 在 IIS 7.0 管理器的“Connections”窗格中,选择树中的服务器级节点。
2. 在功能列表中双击“FTP 防火墙支持”图标。
3. 为“数据通道端口范围”输入值范围。
4. 输入 FTP 服务的端口范围后,在 “操作 ”窗格中,选择“ 应用 ”以保存配置设置。
TCP 5718/TCP
5719/TCP		 DPM 数据通道基于 TCP。 DPM 和受保护的计算机都启动连接以启用 DPM 操作,例如同步和恢复。

DPM 在端口 5718 上与代理协调器通信,在端口 5719 上与保护代理通信。
DNS 53/UDP 在 DPM 与域控制器之间以及受保护计算机与域控制器之间用于主机名解析。
Kerberos 88/UDP 88/TCP 在 DPM 和域控制器之间以及受保护计算机与域控制器之间用于对连接终结点进行身份验证。
LDAP 389/TCP
389/UDP		 在 DPM 与域控制器之间使用,用于执行查询。
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 在 DPM 与受保护的计算机之间、DPM 与域控制器之间以及受保护计算机与域控制器之间用于其他操作。 用于直接在 TCP/IP 上托管的 SMB,以执行 DPM 功能。

从 DPM 控制台安装代理

  1. 在 DPM 管理员控制台中,选择“ 管理>代理”。 选择工具功能区上的“ 安装 ”,打开“保护代理安装向导”。

  2. “选择代理部署方法 ”页上,选择“ 安装代理”>“下一步”。

  3. 在“选择计算机” 页上,DPM 将显示 DPM 服务器所在域中的可用计算机的列表。 添加所需的计算机。

    • 首次使用向导时,DPM 会查询 Active Directory 以获取可用计算机的列表。 首次安装后,DPM 将计算机列表存储在其数据库中,自动发现过程每天更新一次。

    • 若要在另一个域中查找与 DPM 服务器所在的域具有双向信任关系的计算机,必须键入要保护的计算机 (FQDN) 完全限定的域名。 例如,<Computer1.Domain1.contoso.com>,其中 Computer1 是要保护的计算机的名称,Domain1.contoso.com 是目标计算机所属的域。

    • 仅当计算机上有多个版本的保护代理可供安装时,才会启用 “高级 ”按钮页。 可以使用此选项来安装保护代理的较低版本,安装后再将 DPM 服务器升级到最新版本。

  4. “输入凭据” 页上,键入作为所有选定计算机上本地管理员组成员的域帐户的用户名和密码。

    • 在“ ”框中,接受或键入用于在目标计算机上安装保护代理的用户帐户的域名。 此帐户可能属于 DPM 服务器所在的域,或属于与 DPM 服务器所在的域有双向信任关系的域。

    • 如果在跨受信任的域的计算机上安装保护代理,请输入当前域用户凭据。 你可以是与 DPM 服务器所在的域具有双向信任关系的任何域的成员,并且必须是要安装代理的所有选定计算机上的本地管理员组的成员。

    • 如果在群集中选择某一节点,则 DPM 将检测该群集中的所有其他节点并显示“选择群集节点” 页。

  5. “选择群集节点” 页上,选择希望 DPM 用于在群集中的其他节点上安装代理的选项,然后选择“ 下一步”。

  6. 在“选择重新启动方法” 页上,选择要用于在保护代理安装之后重启所选计算机的方法。 必须重启计算机,然后才能开始保护数据。 必须重启才能加载 DPM 用于在 DPM 服务器和受保护计算机之间跟踪和传输块级更改的卷筛选器。

    • 如果选择稍后重新启动计算机,则计算机重启后,“管理”任务区域中的“代理”选项卡上不会自动刷新保护代理安装状态,你需要选择“刷新信息”。

    • 如果要在另一台 DPM 服务器上安装保护代理,则无需重新启动计算机。

    • 如果所选的任何计算机是群集中的节点,则会显示一个附加的 “选择重启方法 ”页,可用于选择重启群集计算机的方法。 需要在群集中的所有节点上安装保护代理才能成功保护群集数据。 必须重启计算机,然后才能开始保护数据。 由于启动服务需要时间,重启后可能需要几分钟,DPM 才能联系群集上的代理。

    • DPM 不会自动重启属于 Microsoft 群集服务器 (MSCS) 群集的计算机。 你必须手动重启 MSCS 群集中的计算机。

  7. “摘要 ”页上,选择“ 安装 ”以开始安装。 如果出现 EULA,请接受它,以便开始安装。 在安装页的“ 任务 ”选项卡上,可以看到安装是否成功。 可以在向导完成之前选择“关闭”,并在“管理”任务区域的“代理”选项卡中监视安装进度。 如果安装不成功,你可以在“监视” 任务区域中的“警报” 选项卡上查看警报。

注意

在属于Windows SharePoint Services场的计算机上安装保护代理后,场中的每台计算机都不会在“管理”任务区域的“代理”选项卡上显示为受保护的计算机,而只会显示所选的计算机。 但是,如果 Windows SharePoint Services 场在所选计算机上有数据,那么,只要所有计算机都安装了保护代理,DPM 就会保护场中的所有计算机上的数据。

手动安装代理

  1. 如果在防火墙后面的计算机上安装代理,则需要确保代理可以通过防火墙推送出去。

    例如,可以在计算机上运行如下命令以配置 Windows 防火墙:netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress> ,其中,IPAddress 是 DPM 服务器的地址。

    若要在防火墙上配置端口例外,请参阅 为代理配置防火墙例外

  2. 在要保护的计算机上,打开提升的命令提示符窗口,然后运行以下命令:

    若要分配驱动器号,请键入:net use Z: \<DPMServerName>\c$,其中,Z 是要分配的本地驱动器号,<DPMServerName> 是将保护计算机的 DPM 服务器的名称。

    若要更改目录,请执行以下操作:

    • 对于 64 位计算机,请键入: cd /d <分配的驱动器号>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<build number.0>\amd64 ,其中 <分配的驱动器号> 是在上一步中分配的驱动器号, <内部版本号> 是最新的 DPM 内部版本号。 例如: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • 对于 32 位计算机,请键入: cd /d <分配的驱动器号>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<内部版本号>l;。0\i386 ,其中 <分配的驱动器号> 是在上一步中映射的驱动器号, <内部版本号> 是最新的 DPM 内部版本号。

  3. 若要安装保护代理,请打开提升的命令提示符窗口,然后运行以下命令之一:

    • 对于 64 位计算机,请键入: DpmAgentInstaller_x64.exe <DPMServerName,> 其中 <DPMServerName> 是 DPM 服务器的 FQDN) (完全限定的域名。 例如: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • 对于 32 位计算机,请键入: DpmAgentInstaller_x86.exe <DPMServerName,> 其中 <DPMServerName> 是 DPM 服务器的 FQDN) (完全限定的域名。

    注意

    • 要执行无提示安装,你可以在 DpmAgentInstaller_x64.exe 命令后使用 /q 选项。 例如: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • 若要在无提示安装中手动接受 EULA,请使用 DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • 如果在命令行中指定 DPM 服务器名称,它将安装保护代理,并自动配置代理与指定 DPM 服务器通信所需的安全帐户、权限和防火墙例外。 如果未指定服务器名称,请在目标计算机上打开提升的命令提示符,并执行以下操作:
    1. 若要更改目录类型:cd /d <system drive> :\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. 类型:SetDpmServer.exe -dpmServerName <DPMServerName> 。 这会配置安全帐户、权限和防火墙例外,以便代理与服务器通信。

  4. 如果在安装代理之前将计算机添加到 DPM 服务器,则该服务器将开始为受保护计算机创建备份。 如果在将计算机添加到 DPM 服务器之前安装了代理,则必须在 DPM 服务器开始创建备份之前附加计算机。

在 RODC 上安装保护代理

执行以下步骤:

  1. 在安装代理之前,请关闭 RODC 上的防火墙或在 RODC 上运行以下命令:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. 在主域控制器上,创建并填充以下安全组 (,其中受保护的服务器名称是计划安装保护代理的 RODC 的名称) :

    • 创建一个名为 DPMRADCOMTRUSTEDMACHINES$PSNAME 的安全组,然后添加 DPM 服务器计算机帐户作为成员。

    • 创建一个名为 DPMRADMTRUSTEDMACHINES$PSNAME 的安全组,然后添加 DPM 服务器计算机帐户作为成员。

    • 创建名为 DPMRATRUSTEDDPMRAS$PSNAME 的安全组,然后将 DPM 服务器计算机帐户添加为成员。

    • 将 DPM 服务器计算机帐户添加为 Builtin\Distributed Com Users 安全组的成员。

  3. 确保之前创建的安全组已在 RODC 上复制。 然后,在 RODC 上手动安装保护代理。

  4. 在 RODC 服务器上,执行以下步骤以授予 DPMRA 服务的启动和激活权限:

    1. 打开 DPM 命令行管理程序,然后运行命令 dcomcnfg.exe。

      “组件服务”窗口将打开。

    2. “组件服务”窗口中,依次展开“计算机”、“我的计算机”和“DCOM 配置”,右键单击DPM RA 服务,然后选择“属性”。

    3. 选择“ 常规”,然后将 “身份验证级别 ”设置为 “默认”。

    4. 选择“ 位置”,然后确保仅选择“ 在此计算机上运行应用程序 ”。

    5. 选择“安全性”,在“启动和激活权限”下选择“自定义”,选择“自定义”,然后选择“编辑”以打开“启动权限”对话框。

    6. 在“启动权限”对话框中,为 DPM 服务器计算机帐户的“本地启动”、“远程启动”、“本地激活”和“远程激活”分配权限。

    7. 选择“确定”关闭对话框 。

    8. 导航到 DPM 服务器上的 Program Files\Microsoft System Center\DPM\DPM\setup,将以下文件复制到 RODC 服务器上的文件夹中。

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. 在 RODC 上,在提升的命令提示符处,从上一步中指定的位置运行 setagentcfg.exe a DPMRA domain\DPMserver 命令。

  6. 在 RODC 服务器上,浏览到 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹,并运行 setdpmserver 命令:

    Setdpmserver -dpmservername DPMSERVER

  7. 将保护代理附加到 DPM 服务器,如以下部分所述。

附加代理

手动安装 DPM 代理后,需要将代理附加到 DPM 服务器。

  1. 在 DPM 管理员控制台的导航栏上,选择“ 管理>代理”。 在 “操作 ”窗格中,选择“ 安装”。

  2. 在“选择代理部署方法”页上,选择“附加代理”>“受信任域中的计算机”>“下一步”。 保护代理安装向导将打开。

  3. “选择计算机” 页上,DPM 显示与 DPM 服务器位于同一域中的可用计算机列表。 从“计算机名称”列表中选择>“添加>下一步”,选择一个或多个 (最多 50) 的计算机。

    • 如果这是你第一次使用向导,DPM 会查询 Active Directory 以获取潜在计算机的列表。 第一次安装之后,DPM 将显示其数据库中的计算机列表,该数据库每天通过自动发现过程更新一次。

    • 若要使用文本文件添加多台计算机,请选择“ 从文件中添加 ”按钮,然后在“ 从文件添加 ”对话框中,键入文本文件的位置或选择“ 浏览 ”导航到其位置。

  4. “输入凭据” 页上,键入作为所有选定计算机上本地管理员组成员的域帐户的用户名和密码。 在“ ”框中,接受或键入用于在目标计算机上安装保护代理的用户帐户的域名。 此帐户可能属于 DPM 服务器所在的域或属于受信任的域。 如果在跨受信任的域的计算机上安装保护代理,请输入当前域用户凭据。 你可以是任何受信任域的成员,并且必须是要保护的所有选定计算机上的本地“管理员”组的成员。

  5. “摘要 ”页上,选择“ 附加”。