部署 DPM 保護代理程式

  • 發行項

重要

此版本的 Data Protection Manager (DPM) 已終止支援。 建議您 升級至 DPM 2022

System Center Data Protection Manager (DPM) 保護代理程式是您在每部計算機上安裝的軟體,其中包含您想要使用 DPM 備份的數據。 它包含兩個元件:保護代理程式本身和代理程式協調器。 執行的工作:

  • 識別 DPM 可以保護及復原的數據。

  • 允許 DPM 伺服器瀏覽受保護電腦上的共用、磁碟區與資料夾。

  • 為每個受保護的磁碟區建立個別的變更日誌,並將日誌儲存於該磁碟區的隱藏檔中。 它會記錄變更日誌中受保護數據的任何變更,並將日誌從受保護的計算機傳輸到 DPM 伺服器,讓 DPM 可以同步處理主要數據與複本。

您要設定代理程式,如下所示:

設定防火牆例外

如需保護代理程式透過防火牆來與 DPM 伺服器進行通訊,則需要防火牆例外。

為 SQL Server 的 DPM 實例設定 sqlservr.exe 傳入例外狀況,以允許埠 80 上的 TCP。 報表伺服器會在連接埠 80 上接聽 HTTP 要求。 下表列出 DPM 伺服器和受保護伺服器與用戶端之間進行通訊所需的通訊協定和連接埠。

通訊協定 Port 詳細資料
DCOM 135/TCP
動態		 DPM 控制通訊協定使用 DCOM。 DPM 藉由叫用代理程式上的 DCOM 呼叫,來發出命令給保護代理程式。 保護代理程式藉由叫用 DPM 伺服器上的 DCOM 呼叫來回應。

TCP 連接埠 135 是 DCOM 所使用的 DCE 端點解析點。

根據預設,DCOM 會從 TCP 連接埠範圍動態指派埠 49152 到 65535。 不過,您可以使用元件服務來設定此範圍。

針對 DPM 代理程式通訊,您必須開啟上限埠 49152-65535。 若要開啟連接埠,請執行下列步驟:

1.在 IIS 7.0 管理員的 [Connections] 窗格中,選取樹狀結構中的伺服器層級節點。
2.按兩下功能清單中的 FTP 防火牆支援 圖示。
3.輸入 數據通道埠範圍的值範圍
4.輸入 FTP 服務的埠範圍之後,在 [ 動作 ] 窗格中,選取 [ 套用 ] 以儲存您的組態設定。
TCP 5718/TCP
5719/TCP		 DPM 資料通道是以 TCP 為根據。 DPM 和受保護的計算機都會起始連線,以啟用 DPM 作業,例如同步處理和復原。

DPM 會與連接埠 5718 上的代理程式協調員通訊,以及與連接埠 5719 上的保護代理程式通訊。
DNS 53/UDP 在 DPM 與域控制器之間,以及受保護電腦與域控制器之間用於主機名解析。
Kerberos 88/UDP 88/TCP 在 DPM 與域控制器之間,以及受保護電腦與域控制器之間用於驗證連線端點。
LDAP 389/TCP
389/UDP		 在 DPM 和網域控制站之間用來進行查詢。
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 在 DPM 與受保護的電腦之間、DPM 與域控制器之間,以及受保護計算機與域控制器之間用於其他作業。 用於直接裝載於 TCP/IP 上的 SMB 來執行 DPM 功能。

從 DPM 主控台安裝代理程式

  1. 在 [DPM 系統管理員控制台] 中,選取 [管理>代理程式]。 選取工具功能區上的 [安裝 ],以開啟 [保護代理程序安裝精靈]。

  2. 在 [選取代理程式部署方法] 頁面上,選取 [下一步安裝代理程式>]。

  3. 在 [選擇電腦] 頁面上,DPM 會顯示與 DPM 伺服器相同網域中的可用電腦清單。 加入所需的電腦。

    • 第一次使用精靈時,DPM 會查詢 Active Directory 以取得可用的計算機清單。 第一次安裝之後,DPM 會將計算機清單儲存在其資料庫中,該清單會由自動探索程式每天更新一次。

    • 若要在另一個網域中尋找與 DPM 伺服器所在網域有雙向信任關係的計算機,您必須輸入您要保護之計算機的完整功能變數名稱 (FQDN) 。 例如,<Computer1.Domain1.contoso.com,其中 Computer1> 是您要保護的電腦名稱,Domain1.contoso.com 是目標電腦所屬的網域。

    • 只有在電腦上有一個以上的保護代理程式版本可供安裝時,才會啟用 [ 進階 ] 按鈕頁面。 您可以使用此選項來安裝您在將 DPM 伺服器升級到最新版之前已安裝的舊版保護代理程式。

  4. 在 [ 輸入認證] 頁面上,輸入網域帳戶的使用者名稱和密碼,該帳戶是所有所選計算機上本機 Administrators 群組的成員。

    • 在 [ 網域 ] 方塊中,接受或輸入您用來在目標計算機上安裝保護代理程式的用戶帳戶功能變數名稱。 此帳戶可能屬於 DPM 伺服器所在的網域,或者屬於與 DPM 伺服器所在網域具有雙向信任關係的網域。

    • 如果您打算在跨受信任網域的電腦上安裝保護代理程式,請輸入您目前的網域使用者認證。 您可以是任何網域的成員,該網域與 DPM 伺服器所在的網域具有雙向信任關係,而且您必須是您要安裝代理程式之所有所選計算機上本機 Administrators 群組的成員。

    • 如果您選取叢集中的節點,DPM 會偵測叢集中的所有其他節點,並顯示 [選擇叢集節點] 頁面。

  5. 在 [ 選取叢集節點] 頁面上,選取您想要 DPM 用來在叢集中其他節點上安裝代理程式的選項,然後選取 [ 下一步]。

  6. 在 [選擇重新啟動的方式] 頁面上,選取安裝保護代理程式之後要用來重新啟動選定電腦的方法。 必須先重新啟動電腦,然後才能開始保護資料。 需要重新啟動才能載入磁碟區篩選器,DPM 會使用此篩選器來追蹤和傳輸 DPM 伺服器和受保護電腦之間的區塊層級變更。

    • 如果您稍後選取重新啟動計算機,保護代理程式安裝狀態不會在計算機重新啟動之後的 [代理程式] 索引標籤上自動重新整理,而且您必須選取 [重新整理資訊]。

    • 如果您要在另一部 DPM 伺服器上安裝保護代理程式,則不需要重新啟動電腦。

    • 如果您選取的任何電腦都是叢集中的節點,則會出現額外的 [ 選擇重新啟動方法 ] 頁面,可用來選取方法來重新啟動叢集電腦。 您必須在叢集中的所有節點上安裝保護代理程式,才能成功保護叢集數據。 必須先重新啟動電腦,然後才能開始保護資料。 啟動服務所需的時間可能需要幾分鐘的時間,DPM 才能連絡叢集上的代理程式。

    • DPM 不會自動重新啟動屬於 Microsoft 叢集伺服器的電腦, (MSCS) 叢集。 您必須手動重新啟動 MSCS 叢集中的電腦。

  7. 在 [ 摘要] 頁面上,選取 [ 安裝 ] 以開始安裝。 如果出現EULA,請接受它以啟動安裝。 在安裝頁面的 [ 工作] 索引標籤上,您可以看到安裝是否成功。 您可以在精靈完成之前選取 [關閉],並在 [管理] 工作區域的 [代理程式] 索引卷標中監視安裝進度。 如果安裝失敗,您可以檢視 [警示] 索引標籤上 [監視] 工作區域中的警示。

注意

在屬於 Windows SharePoint Services 伺服器數位的電腦上安裝保護代理程式之後,伺服器陣列中的每個電腦都不會在 [管理] 工作區域中的 [代理程式] 索引卷標上顯示為受保護的計算機,只會顯示您選取的計算機。 但是,如果 Windows SharePoint Services 伺服器陣列在選取的電腦上有資料,DPM 即會保護伺服器陣列之所有電腦上的資料 (假設它們全都安裝保護代理程式)。

手動安裝代理程式

  1. 如果您在防火牆後方的計算機上安裝代理程式,您必須確定代理程式可以透過防火牆推送。

    例如,您可以在要設定 Windows 防火牆的電腦上執行下列命令:netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress> ,其中 IPAddress 是指 DPM 伺服器的位址。

    若要在防火牆上設定連接埠例外狀況,請參閱 設定代理程式的防火牆例外狀況

  2. 在您想要保護的計算機上,開啟提升許可權的 [命令提示字元] 視窗,然後執行下列命令:

    若要指派驅動器號,請輸入:net use Z: \<DPMServerName>\c$ ,其中 Z 是您要指派的本機驅動器號,DPMServerName<> 是將保護計算機的 DPM 伺服器名稱。

    若要變更目錄,請執行下列命令:

    • 若為64位計算機,請輸入:cd /d <指派的驅動器號>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<組建編號>.0\amd64,其中<指派的驅動器號是您在上一個步驟中指派的驅動器號>而<組建編號是最新的 DPM 組建編號>。 例如: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • 針對 32 位計算機,請輸入: cd /d <指派的驅動器號>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0。<組建編號>l;。0\i386 ,其中 <指派的驅動器號> 是您在上一個步驟中對應的磁碟驅動器,而 <組建編號是最新的 DPM 組建編號>

  3. 若要安裝保護代理程式,請開啟提升許可權的命令提示字元視窗,然後執行下列其中一個命令:

    • 針對 64 位電腦,請輸入: DpmAgentInstaller_x64.exe <DPMServerName,其中 DPMServerName>>是 DPM 伺服器 FQDN) 的完整 (功能變數名稱。< 例如: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • 針對 32 位電腦,請輸入: DpmAgentInstaller_x86.exe <DPMServerName,其中 DPMServerName>>是 DPM 伺服器 FQDN) 的完整 (功能變數名稱。<

    注意

    • 若要執行無訊息安裝,您可以在 DpmAgentInstaller_x64.exe 命令後面使用 /q 選項。 例如: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • 若要在無訊息安裝中手動接受 EULA,請使用 DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • 如果您在命令行中指定 DPM 伺服器名稱,它會安裝保護代理程式,並自動設定代理程式與指定 DPM 伺服器通訊所需的安全性帳戶、許可權和防火牆例外狀況。 如果您沒有指定伺服器名稱,請在目標電腦上開啟提升權限的命令提示字元,並執行下列動作:
    1. 若要切換目錄,請鍵入:cd /d <系統磁碟機> :\Program Files\Microsoft Data Protection Manager\DPM\bin
    2. 類型:SetDpmServer.exe -dpmServerName <DPMServerName> 。 這會設定代理程式與伺服器通訊的安全性帳戶、許可權和防火牆例外狀況。

  4. 如果您在安裝代理程式之前將電腦新增至 DPM 伺服器,伺服器就會開始建立受保護電腦的備份。 如果在將電腦新增到 DPM 伺服器之前先安裝了代理程式,就必須先連接該電腦,DPM 伺服器才會開始建立備份。

在 RODC 上安裝保護代理程式

使用這些步驟:

  1. 在安裝代理程式之前,請先關閉 RODC 上的防火牆,或在 RODC 上執行下列命令:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. 在主要域控制器上,建立並填入下列安全組 (,其中受保護的伺服器名稱是您打算安裝保護代理程式) 的 RODC 名稱:

    • 建立名為 DPMRADCOMTRUSTEDMACHINES$PSNAME 的安全性群組,然後新增 DPM 伺服器電腦帳戶作為成員。

    • 建立名為 DPMRADMTRUSTEDMACHINES$PSNAME 的安全性群組,然後新增 DPM 伺服器電腦帳戶作為成員。

    • 建立名為 DPMRATRUSTEDDPMRAS$PSNAME 的安全組,然後將 DPM 伺服器電腦帳戶新增為成員。

    • 將 DPM 伺服器電腦帳戶新增為 Builtin\Distributed Com Users 安全組的成員。

  3. 確定您稍早建立的安全性群組已在 RODC 上進行複寫。 然後在 RODC 上手動安裝保護代理程式。

  4. 在 RODC 伺服器上執行下列步驟,以授與 DPMRA 服務的啟動和啟用權限:

    1. 開啟 DPM 管理介面,然後執行命令 dcomcnfg.exe

      隨即會開啟 [元件服務] 視窗。

    2. 在 [ 元件服務 ] 視窗中,依序展開 [ 計算機]、[ 我的計算機]、[DCOM 設定]、以滑鼠右鍵按兩下DPM RA 服務,然後選取 [ 屬性]。

    3. 選取 [一般],然後將 [ 驗證層級 ] 設定為 [預設]。

    4. 選取 [位置],然後確定只選取 [在此計算機上執行應用程式 ]。

    5. 選取 [安全性],選取 [啟動和啟用許可權] 底下的 [自定義],選取 [自定義],然後選取 [編輯] 以開啟 [啟動許可權] 對話框。

    6. 在 [啟動權限] 對話方塊中,指派 [本機啟動]、[遠端啟動]、[本機啟用] 與 [遠端啟用] 的權限給 DPM 伺服器電腦帳戶。

    7. 選取 [確定] 關閉對話方塊。

    8. 流覽至 DPM 伺服器上的 Program Files\Microsoft System Center\DPM\DPM\setup ,將下列檔案複製到 RODC 伺服器上的資料夾。

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. 在 RODC 上,從提升許可權的命令提示字元中,從您在上一個步驟中指定的位置執行 命令setagentcfg.exe DPMRA 網域\DPMserver

  6. 在 RODC 伺服器上,流覽至 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 資料夾 ,然後執行 setdpmserver 命令:

    Setdpmserver -dpmservername DPMSERVER

  7. 如下一節所述,將保護代理程式附加至 DPM 伺服器。

連接代理程式

手動安裝 DPM 代理程序之後,您必須將代理程式附加至 DPM 伺服器。

  1. 在 DPM 系統管理員主控台的導覽列中,選取 [管理>代理程式]。 在 [ 動作] 窗格中,選取 [ 安裝]。

  2. [選擇代理程式部署方法] 頁面上,選取 [連接代理程式]>[受信任之網域中的電腦]>[下一步]。 隨即會開啟 [保護代理程式安裝精靈]。

  3. 在 [ 選取計算機] 頁面上,DPM 會顯示與 DPM 伺服器相同網域中可用計算機的清單。 從 [計算機名稱] 列表中>選取一或多部 (最多 50 部計算機) [新增>下一步]。

    • 如果這是您第一次使用精靈,DPM 會查詢 Active Directory 以取得潛在計算機的清單。 首次安裝之後,DPM 會顯示其資料庫中的電腦清單,這會由自動探索程序每天更新一次。

    • 若要使用文字檔新增多部計算機,請選取 [ 從檔案新增 ] 按鈕,然後在 [新增 檔案 ] 對話框中輸入文本檔的位置,或選取 [ 流覽 ] 流覽至其位置。

  4. 在 [ 輸入認證] 頁面上,輸入網域帳戶的使用者名稱和密碼,該帳戶是所有所選計算機上本機 Administrators 群組的成員。 在 [ 網域 ] 方塊中,接受或輸入您用來在目標計算機上安裝保護代理程式的用戶帳戶功能變數名稱。 此帳戶可能屬於 DPM 伺服器所在的網域或屬於受信任的網域。 如果您打算在跨受信任網域的電腦上安裝保護代理程式,請輸入您目前的網域使用者認證。 您可以是任一個受信任網域的成員,而且必須是所有要保護之選定電腦上本機系統管理員群組的成員。

  5. 在 [ 摘要] 頁面上,選取 [ 附加]。