Sdílet prostřednictvím


Nasazení agenta ochrany DPM

Agent ochrany system Center Data Protection Manager (DPM) je software, který nainstalujete na každý počítač, který obsahuje data, která chcete zálohovat pomocí aplikace DPM. Skládá se ze dvou komponent: samotného agenta ochrany a koordinátora agenta. Tady je, co dělá:

  • Identifikuje data, která dpm může chránit a obnovit.

  • Umožňuje serveru DPM procházet sdílené složky, svazky a složky na chráněném počítači.

  • Vytvoří deník změn pro každý chráněný svazek a uloží deník do skrytého souboru na daném svazku. Zaznamenává všechny změny chráněných dat v deníku změn a přenese deník z chráněného počítače na server DPM, aby dpm mohl synchronizovat primární data s replikou.

Agenta nastavíte takto:

  • Pokud je počítač obsahující data, která chcete zálohovat, za bránou firewall, budete muset nastavit výjimky brány firewall.

  • Pokud počítač není za bránou firewall nebo jste nakonfigurovali výjimky brány firewall pro povolení přístupu, můžete agenta nainstalovat z konzoly DPM.

  • Pokud nemáte přístup přes bránu firewall, počítač, který chcete chránit, je v pracovní skupině nebo nedůvěryhodné doméně nebo potřebujete použít jinou metodu instalace, můžete agenta nainstalovat ručně a pak připojit agenta.

Nastavení výjimek brány firewall

Aby agent ochrany komunikuje se serverem DPM přes bránu firewall, vyžadují se výjimky brány firewall.

Nakonfigurujte příchozí výjimku pro sqlservr.exe pro instanci DPM SQL Serveru tak, aby umožňovala tcp na portu 80. Server sestav naslouchá požadavkům HTTP na portu 80. Následující tabulka uvádí protokoly a porty potřebné pro komunikaci mezi serverem DPM a chráněnými servery a klienty.

Protokol Port Detaily
DCOM 135/TCP
dynamicky,
Řídicí protokol DPM používá DCOM. APLIKACE DPM vydává příkazy agentovi ochrany vyvoláním volání modelu DCOM pro agenta. Agent ochrany reaguje vyvoláním volání modelu DCOM na serveru DPM.

Port TCP 135 je bod rozlišení koncového bodu DCE, který používá DCOM.

Ve výchozím nastavení DCOM přiřazuje porty dynamicky z rozsahu portů TCP 49152 až 65535. Tento rozsah však můžete nakonfigurovat pomocí služeb komponent.

Pro komunikaci agenta DPM musíte otevřít horní porty 49152-65535. Pokud chcete porty otevřít, proveďte následující kroky:

1. Ve Správci služby IIS 7.0 vyberte v podokně Připojení uzel na úrovni serveru ve stromu.
2. Poklikejte na ikonu podpory brány firewall FTP v seznamu funkcí.
3. Zadejte rozsah hodnot pro rozsah portů datového kanálu.
4. Po zadání rozsahu portů pro službu FTP v podokně Akce vyberte Použít a uložte nastavení konfigurace.
TCP 5718/TCP
5719/TCP
Datový kanál DPM je založený na protokolu TCP. Dpm i chráněný počítač inicializuje připojení k povolení operací DPM, jako je synchronizace a obnovení.

DPM komunikuje s koordinátorem agenta na portu 5718 a s agentem ochrany na portu 5719.
DNS 53/UDP Používá se mezi APLIKACÍ DPM a řadičem domény a mezi chráněným počítačem a řadičem domény pro překlad názvů hostitelů.
Kerberos 88/UDP 88/TCP Používá se mezi APLIKACÍ DPM a řadičem domény a mezi chráněným počítačem a řadičem domény pro ověřování koncového bodu připojení.
LDAP 389/TCP
389/UDP
Používá se mezi APLIKACÍ DPM a řadičem domény pro dotazy.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP
Používá se mezi aplikací DPM a chráněným počítačem, mezi aplikací DPM a řadičem domény a mezi chráněným počítačem a řadičem domény pro různé operace. Používá se pro protokol SMB přímo hostovaný na protokolu TCP/IP pro funkce DPM.

Instalace agenta z konzoly DPM

  1. V konzole správce aplikace DPM vyberte agenty pro správu>. Výběrem možnosti Nainstalovat na pásu karet nástroje otevřete Průvodce instalací agenta ochrany.

  2. Na stránce Vybrat metodu nasazení agenta vyberte Další instalace agentů>.

  3. Na stránce Vybrat počítače aplikace DPM zobrazí seznam dostupných počítačů, které jsou ve stejné doméně jako server DPM. Přidejte požadovaný počítač.

    • Při prvním použití průvodce aplikace DPM dotazuje službu Active Directory, aby získal seznam dostupných počítačů. Po první instalaci aplikace DPM ukládá seznam počítačů v databázi, který se aktualizuje jednou denně procesem automatického zjišťování.

    • Pokud chcete najít počítač v jiné doméně, která má obousměrný vztah důvěryhodnosti s doménou, ve které je umístěn server DPM, musíte zadat plně kvalifikovaný název domény (FQDN) počítače, který chcete chránit. Například <Computer1.Domain1.contoso.com>, kde Computer1 je název počítače, který chcete chránit a Domain1.contoso.com je doména, do které cílový počítač patří.

    • Stránka s tlačítkem Upřesnit je povolená jenom v případě, že je na počítačích k dispozici více než jedna verze agenta ochrany. Tuto možnost můžete použít k instalaci předchozí verze agenta ochrany, která byla nainstalována před upgradem serveru DPM na novější verzi.

  4. Na stránce Zadat přihlašovací údaje zadejte uživatelské jméno a heslo pro účet domény, který je členem místní skupiny Administrators na všech vybraných počítačích.

    • Do pole Doména přijměte nebo zadejte název domény uživatelského účtu, který používáte k instalaci agenta ochrany do cílového počítače. Tento účet může patřit do domény, ve které se nachází server DPM, nebo do domény, která má obousměrný vztah důvěryhodnosti s doménou, ve které se nachází server DPM.

    • Pokud instalujete agenta ochrany do počítače napříč důvěryhodnou doménou, zadejte svoje aktuální přihlašovací údaje uživatele domény. Můžete být členem jakékoli domény, která má obousměrný vztah důvěryhodnosti s doménou, ve které je umístěn server DPM, a musíte být členem místní skupiny Administrators na všech vybraných počítačích, na kterých chcete nainstalovat agenta.

    • Pokud vyberete uzel v clusteru, aplikace DPM zjistí všechny další uzly v clusteru a zobrazí stránku Vybrat uzly clusteru .

  5. Na stránce Vybrat uzly clusteru vyberte možnost, kterou má APLIKACE DPM použít k instalaci agentů na další uzly v clusteru, a pak vyberte Další.

  6. Na stránce Zvolit metodu restartování vyberte metodu, která se má použít k restartování vybraných počítačů po instalaci agenta ochrany. Před zahájením ochrany dat je nutné počítač restartovat. Restartování je nezbytné k načtení filtru svazku, který DPM používá ke sledování a přenosu změn na úrovni bloku mezi serverem DPM a chráněnými počítači.

    • Pokud se rozhodnete restartovat počítače později, stav instalace agenta ochrany se po restartování počítače automaticky neaktualizuje na kartě Agenti v oblasti úloh Správa a budete muset vybrat Aktualizovat informace.

    • Pokud instalujete agenta ochrany na jiný server DPM, nemusíte počítač restartovat.

    • Pokud některé z vybraných počítačů jsou uzly v clusteru, zobrazí se další stránka Zvolit metodu restartování, kterou můžete použít k výběru metody restartování clusterovaných počítačů. Abyste mohli clusterovaná data úspěšně chránit, musíte na všechny uzly v clusteru nainstalovat agenta ochrany. Než začnete chránit data, je nutné počítače restartovat. Vzhledem k tomu, že je čas potřebný ke spuštění služeb, může trvat několik minut po restartování, než dpm může kontaktovat agenta v clusteru.

    • APLIKACE DPM automaticky nerestartuje počítač, který patří do clusteru MSCS (Microsoft Cluster Server). V clusteru MSCS je nutné ručně restartovat počítače.

  7. Na stránce Souhrn vyberte Nainstalovat a spusťte instalaci. Pokud se zobrazí euLA, přijměte ji, aby se instalace spustila. Na kartě Úloha na stránce instalace můžete zjistit, jestli instalace proběhla úspěšně. Před dokončením průvodce můžete vybrat možnost Zavřít a sledovat průběh instalace na kartě Agenti v oblasti úlohy Správa . Pokud instalace není úspěšná, můžete výstrahy zobrazit v oblasti úlohy Monitorování na kartě Výstrahy .

Poznámka:

Po instalaci agenta ochrany na počítač, který je součástí farmy windows služba SharePoint Services, se všechny počítače ve farmě nezobrazí jako chráněné počítače na kartě Agenti v oblasti úlohy Správa, pouze počítač, který jste vybrali. Pokud však farma služba SharePoint Services systému Windows obsahuje data ve vybraném počítači, aplikace DPM chrání data na všech počítačích ve farmě za předpokladu, že je na nich nainstalovaný agent ochrany.

Ruční instalace agenta

  1. Pokud agenta nainstalujete na počítač za bránou firewall, musíte zajistit, aby se agent mohl odeslat přes bránu firewall.

    Na počítači můžete například spustit následující příkaz pro konfiguraci brány Windows Firewall: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, kde IPAddress je adresa serveru DPM.

    Pokud chcete nakonfigurovat výjimku portů v bráně firewall, přečtěte si téma Konfigurace výjimek brány firewall pro agenta.

  2. Na počítači, který chcete chránit, otevřete okno příkazového řádku se zvýšenými oprávněními a spusťte následující příkazy:

    Pokud chcete přiřadit písmeno jednotky, zadejte: net use Z: \<DPMServerName>\c$ where Z je písmeno místní jednotky, které chcete přiřadit, a <DPMServerName> je název serveru DPM, který bude chránit počítač.

    Pokud chcete změnit adresář, postupujte takto:

    • Pro 64bitový počítač zadejte: cd /d <přiřazené písmeno> jednotky:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<build number.0\amd64 where <assigned drive letter is the drive letter> that you assigned in the previous step and <build number> is the latest DPM build number.> Příklad: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Pro 32bitový počítač zadejte: cd /d <přiřazené písmeno> jednotky:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<číslo sestavení>. 0\i386 , kde <přiřazené písmeno> jednotky je jednotka, kterou jste namapovali v předchozím kroku, a <číslo buildu je nejnovější číslo> buildu DPM.

  3. Pokud chcete nainstalovat agenta ochrany, otevřete okno příkazového řádku se zvýšenými oprávněními a spusťte jeden z následujících příkazů:

    • Pro 64bitový počítač zadejte: DpmAgentInstaller_x64.exe <DPMServerName>, kde< DPMServerName> je plně kvalifikovaný název domény (FQDN) serveru DPM. Příklad: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Pro 32bitový počítač zadejte: DpmAgentInstaller_x86.exe <DPMServerName>, kde< DPMServerName> je plně kvalifikovaný název domény (FQDN) serveru DPM.

    Poznámka:

    • Pokud chcete provést bezobslužnou instalaci, můžete po příkazu DpmAgentInstaller_x64.exe použít možnost /q. Příklad: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Pokud chcete smlouvu EULA přijmout ručně v bezobslužné instalaci, použijte DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA.
    • Pokud zadáte název serveru DPM na příkazovém řádku, nainstaluje agenta ochrany a automaticky nakonfiguruje účty zabezpečení, oprávnění a výjimky brány firewall nezbytné pro komunikaci agenta se zadaným serverem DPM. Pokud jste nezadali název serveru, otevřete v cílovém počítači příkazový řádek se zvýšenými oprávněními a postupujte takto:
      1. Změna typu adresáře: cd /d <system drive>:\Program Files\Microsoft Data Protection Manager\DPM\bin
      2. Typ: SetDpmServer.exe -dpmServerName DPMServerName<>. Tím se nakonfigurují výjimky zabezpečení, oprávnění a brány firewall pro komunikaci agenta se serverem.
  4. Pokud jste počítač před instalací agenta přidali na server DPM, začne server vytvářet zálohy pro chráněný počítač. Pokud jste agenta nainstalovali před přidáním počítače na server DPM, musíte počítač připojit před tím, než server DPM začne vytvářet zálohy.

Instalace agenta ochrany na řadič domény jen pro čtení

Proveďte následující kroky:

  1. Před instalací agenta vypněte bránu firewall na řadiči domény jen pro čtení nebo na řadiči domény jen pro čtení spusťte následující příkazy:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Na primárním řadiči domény vytvořte a naplňte následující skupiny zabezpečení (kde název chráněného serveru je název řadiče domény jen pro čtení, na který chcete nainstalovat agenta ochrany):

    • Vytvořte skupinu zabezpečení s názvem DPMRADCOMTRUSTEDMACHINES$PSNAME a pak přidejte účet počítače serveru DPM jako člena.

    • Vytvořte skupinu zabezpečení s názvem DPMRADMTRUSTEDMACHINES$PSNAME a pak přidejte účet počítače serveru DPM jako člena.

    • Vytvořte skupinu zabezpečení s názvem DPMRATRUSTEDDPMRAS$PSNAME a pak přidejte účet počítače serveru DPM jako člena.

    • Přidejte účet počítače serveru DPM jako člena skupiny zabezpečení Builtin\Distributed Com Users .

  3. Ujistěte se, že se skupiny zabezpečení, které jste vytvořili dříve, replikovaly na řadiči domény jen pro čtení. Potom na řadič domény jen pro čtení ručně nainstalujte agenta ochrany.

  4. Na serveru řadiče domény jen pro čtení pomocí následujících kroků udělte oprávnění ke spuštění a aktivaci pro službu DPMRA:

    1. Otevřete prostředí DPM Management Shell a spusťte příkaz dcomcnfg.exe.

      Otevře se okno Služby komponent .

    2. V okně Služby komponent rozbalte položku Počítače, rozbalte položku Můj počítač, rozbalte položku Konfigurace modelu DCOM, klepněte pravým tlačítkem myši naslužbu DPM RA a pak vyberte Vlastnosti.

    3. Vyberte Obecné a pak nastavte úroveň ověřování na výchozí.

    4. Vyberte Umístění a ujistěte se, že je vybraná pouze aplikace Spustit v tomto počítači .

    5. Vyberte Zabezpečení, vyberte Přizpůsobit v části Oprávnění ke spuštění a aktivaci, vyberte Přizpůsobit a potom vyberte Upravit a otevřete dialogové okno Spustit oprávnění .

    6. V dialogovém okně Spustit oprávnění přiřaďte oprávnění k místnímu spuštění, vzdálenému spuštění, místní aktivaci a vzdálené aktivaci pro účet počítače serveru DPM.

    7. Zvolte OK a zavřete dialogové okno.

    8. Přejděte na Program Files\Microsoft System Center\DPM\DPM\setup na serveru DPM a zkopírujte následující soubory do složky na serveru řadiče domény jen pro čtení.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Na řadiči domény jen pro čtení z příkazového řádku se zvýšenými oprávněními spusťte příkaz setagentcfg.exe domény DPMRA\DPMserver z umístění, které jste zadali v předchozím kroku.

  6. Na serveru řadiče domény jen pro čtení přejděte do složky C:\Program Files\Microsoft Data Protection Manager\DPM\bin a spusťte příkaz setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Připojte agenta ochrany k serveru DPM, jak je podrobně popsáno v následující části.

Připojení agenta

Po ruční instalaci agenta DPM budete muset agenta připojit k serveru DPM.

  1. V konzole pro správu APLIKACE DPM vyberte na navigačním panelu agenty pro správu>. V podokně Akce vyberte Nainstalovat.

  2. Na stránce Vybrat metodu nasazení agenta vyberte Připojit agenty>Počítač v důvěryhodné doméně>Další. Otevře se Průvodce instalací agenta ochrany.

  3. Na stránce Vybrat počítače aplikace DPM zobrazí seznam dostupných počítačů ve stejné doméně jako server DPM. V seznamu >Název počítače přidat další> vyberte jeden nebo více počítačů (maximálně 50).

    • Pokud jste průvodce použili poprvé, aplikace DPM se dotazuje služby Active Directory, aby získal seznam potenciálních počítačů. Po první instalaci aplikace DPM zobrazí seznam počítačů v databázi, které se aktualizují jednou denně procesem automatického zjišťování.

    • Pokud chcete přidat více počítačů pomocí textového souboru, vyberte tlačítko Přidat ze souboru a v dialogovém okně Přidat ze souboru zadejte umístění textového souboru nebo vyberte Procházet a přejděte do jeho umístění.

  4. Na stránce Zadat přihlašovací údaje zadejte uživatelské jméno a heslo pro účet domény, který je členem místní skupiny Administrators na všech vybraných počítačích. Do pole Doména přijměte nebo zadejte název domény uživatelského účtu, který používáte k instalaci agenta ochrany do cílového počítače. Tento účet může patřit do domény, ve které se nachází server DPM nebo do důvěryhodné domény. Pokud instalujete agenta ochrany do počítače napříč důvěryhodnou doménou, zadejte svoje aktuální přihlašovací údaje uživatele domény. Můžete být členem jakékoli důvěryhodné domény a musíte být členem místní skupiny Administrators ve všech vybraných počítačích, které chcete chránit.

  5. Na stránce Souhrn vyberte Připojit.