Udostępnij za pośrednictwem

  • Artykuł

Instalacja agenta ochrony programu DPM

 

Data opublikowania: marzec 2016

Dotyczy: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Kreator instalacji agenta ochrony umożliwia zainstalowanie agenta ochrony na komputerach i serwerach, które maja być chronione. Za pomocą Kreatora instalacji agenta ochrony można zainstalować agentów znajdujących się poza zaporą oraz ręcznie zainstalować agentów ochrony na komputerach znajdujących się za zaporą lub w grupie roboczej albo domenie bez relacji zaufania dwukierunkowego z domeną, do której należy serwer programu System Center 2012 – Data Protection Manager (DPM). Po ręcznym zainstalowaniu agenta ochrony należy dołączyć go w konsoli administratora programu DPM, aby włączyć ochronę. Aby zainstalować agentów ochrony na komputerach, które znajdują się za zaporą, patrz Instalacja agenta na komputerze za zaporą [DPM2012_Web]. Aby zainstalować agentów ochrony na komputerach w grupie roboczej lub w domenie bez relacji zaufania dwukierunkowego z domeną, w której znajduje się serwer programu DPM, patrz Instalowanie agenta na komputerze w grupie roboczej lub niezaufanej domenie [DPM2012_Web].

  • Instalacja agenta ochrony z konsoli programu DPM — użyj tej procedury do instalacji agenta na komputerze poza zaporą lub na komputerze, na którym zapora może być modyfikowana przez tę procedurę, aby umożliwić komunikację między agentem i serwerem DPM.

  • Ręczna instalacja agenta ochrony — użyj tej procedury, jeśli komputer znajduje się za zaporą, która blokuje ruch między agentem i serwerem DPM, lub gdy występują problemy związane z siecią albo uprawnieniami.

  • Instalacja agenta ochrony na komputerach w grupie roboczej w niezaufanej domenie — w tym scenariuszu musisz skonfigurować certyfikat na potrzeby uwierzytelniania, a następnie zainstalować agenta. Więcej informacji znajduje się w temacie Ochrona komputerów w grupach roboczych i domenach niezaufanych.

  • Instalacja agenta ochrony programu DPM na kontrolerze RODC — aby zainstalować agenta na kontrolerze domeny tylko do odczytu (RODC). Jeśli na kontrolerze RODC jest włączona zapora, przed zainstalowaniem agenta ochrony należy pamiętać, aby ją wyłączyć lub uruchomić następujące polecenia:

  • Instalowanie agentów ochrony przy użyciu obrazu serwera — agenta ochrony można zainstalować bez określenia serwera programu, korzystając z obrazu programu DPM przy użyciu programu DPMAgentInstaller.exe. Po zastosowaniu obrazu do komputera i przejściu komputera do trybu online można uruchomić program SetDpmServer.exe, aby dokończyć konfigurację i utworzyć wyjątki zapory.

  • Instalowanie agenta ochrony za pomocą programu System Center Configuration Manager — możesz użyć programu System Center Configuration Manager do zainstalowania agenta ochrony programu DPM na docelowych systemach, jeśli znasz procesy tworzenia i wdrażania aplikacji w programie System Center Configuration Manager. Aby uzyskać więcej informacji na temat tworzenia aplikacji w programie Configuration Manager, zobacz Tworzenie aplikacji w programie Configuration Manager.

Instalacja agenta ochrony z konsoli programu DPM

  1. W konsoli administratora programu DPM kliknij pozycję Zarządzanie > Agenci. Kliknij pozycję Zainstaluj na wstążce narzędzia, aby otworzyć Kreatora instalacji agenta ochrony.

  2. Na stronie Wybierz metodę wdrożenia agenta kliknij pozycję Zainstaluj agentów, a następnie kliknij przycisk Dalej.

  3. Na stronie Wybierz komputery program DPM wyświetli listę komputerów dostępnych w tej samej domenie, co serwer programu DPM. Dodaj wymagany komputer.

    • Przy pierwszym użyciu kreator programu DPM odpytuję usługę Active Directory o listę dostępnych komputerów. Po pierwszej instalacji program DPM przechowuje listę komputerów ze swojej bazy danych, która jest aktualizowana raz dziennie przez proces autowykrywania.

    • Aby znaleźć w innej domenie komputer mający dwukierunkową relację zaufania z domeną, w której znajduje się serwer programu DPM, musisz wpisać w pełni kwalifikowaną nazwę domeny komputera, który ma być chroniony (na przykład <Komputer1>.Domena1.contoso.com, gdzie Komputer1 to nazwa komputera, który ma być chroniony, a Domena1.contoso.com to domena, do której należy komputer docelowy).

    • Przycisk Zaawansowane jest aktywny tylko wtedy, gdy do instalacji na komputerach jest dostępna więcej niż jedna wersja agenta ochrony. Jeśli przycisk jest aktywny, można go użyć, aby zainstalować poprzednią wersję agenta ochrony, która została zainstalowana przed uaktualnieniem serwera programu DPM do nowszej wersji.

  4. Na stronie Wprowadzanie poświadczeń wpisz nazwę użytkownika i hasło konta domeny, które jest członkiem lokalnej grupy administratorów na wszystkich wybranych komputerach.

    • W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika, dla którego chcesz zainstalować agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer programu DPM, lub do domeny, która ma ustanowioną dwukierunkową relację zaufania z domeną zawierającą serwer programu DPM.

    • Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej domeny, która ma ustanowioną dwukierunkową relację zaufania z domeną zawierającą serwer programu DPM, oraz musisz być członkiem lokalnej grupy administratorów na wszystkich komputerach docelowych, na których chcesz zainstalować agenta ochrony.

    • Jeśli wybierzesz węzeł w klastrze, program DPM wykryje wszystkie dodatkowe węzły tego klastra i wyświetli stronę Wybierz węzły klastra.

  5. Na stronie Wybierz węzły klastra wybierz opcję, której program DPM ma używać podczas instalowania agentów na dodatkowych węzłach w klastrze, a następnie kliknij przycisk Dalej.

  6. Na stronie Wybierz metodę ponownego uruchomienia wybierz metodę ponownego uruchomienia, która ma być używana przez wybrane komputery po zainstalowaniu agenta ochrony. Komputer rozpocznie ochronę danych dopiero po ponownym uruchomieniu. Ponowne uruchomienie jest niezbędne, aby załadować filtr woluminu używany przez program DPM do śledzenia i transferowania zmian na poziomie bloku między serwerem programu DPM a komputerami chronionymi.

    • Jeśli wybrano opcję późniejszego ponownego uruchomienia komputera, stan instalacji agenta ochrony nie jest automatycznie odświeżany na karcie Agenci w obszarze zadań Zarządzanie po ponownym uruchomieniu komputera. Konieczne jest kliknięcie przycisku Odśwież informacje.

    • Należy pamiętać, że nie jest wymagane ponowne uruchomienie komputera, jeśli agent ochrony jest instalowany na innym serwerze DPM.

    • Jeśli jakikolwiek z wybranych komputerów to węzeł w klastrze, zostanie wyświetlona dodatkowa strona Wybierz metodę ponownego uruchomienia, na której można wybrać metodę ponownego uruchomienia klastrowanych komputerów. Aby pomyślnie chronić klastrowane dane, agent ochrony musi być zainstalowany na wszystkich węzłach klastra. Komputery rozpoczną ochronę danych dopiero po ponownym uruchomieniu. Ponieważ uruchamianie usług chwilę trwa, program DPM może nawiązać kontakt z agentem w klastrze dopiero po kilku minutach od ponownego uruchomienia.

    • Program DPM nie uruchamia automatycznie ponownie komputera, który należy do klastra serwera klastrów firmy Microsoft (MSCS). Komputery w klastrze MSCS muszą zostać uruchomione ponownie ręcznie.

  7. Na stronie Podsumowanie kliknij przycisk Zainstaluj, aby rozpocząć instalację. Jeśli zostanie wyświetlona Umowa licencyjna użytkownika końcowego, zaakceptuj ją, aby rozpocząć instalację. Na karcie Zadanie strony instalacji możesz sprawdzić, czy instalacja powiodła się. Opcję Zamknij można kliknąć przez zakończeniem pracy kreatora i następnie monitorować postępy instalacji na karcie Agenci w obszarze zadań Zarządzanie. Jeśli instalacja się nie powiedzie, alerty możesz sprawdzić na karcie Alerty w obszarze zadań Monitorowanie.

    Uwaga: Po zainstalowaniu agenta ochrony na komputerach będących częścią farmy programu Windows SharePoint Services jako komputery chronione na karcie Agenci w obszarze zadań Zarządzanie będą widoczne tylko wybrane komputery, a nie wszystkie komputery z farmy. Jeśli jednak farma programu Windows SharePoint Services zawiera dane na wybranych komputerach, program DPM będzie chronić te dane na wszystkich komputerach w farmie, pod warunkiem że na wszystkich z nich jest zainstalowany agent ochrony.

Ręczna instalacja agenta ochrony

  1. Jeśli zainstalujesz agenta na komputerze za zaporą, musisz sprawdzić, czy agenta można wypchnąć przez zaporę.

    Na przykład możesz uruchomić następujące polecenie na komputerze, aby skonfigurować Zaporę systemu Windows: netsh advfirewall firewall add rule name="Zezwalaj na wypchnięcie zdalnego agenta programu DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<adres IP>, gdzie adres IP jest adresem serwera programu DPM.

    Aby skonfigurować wyjątek dla portu na zaporze, patrz Konfigurowanie wyjątków zapory dla agenta.

  2. Na komputerze, który ma być chroniony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

    Aby przypisać literę dla dysku, wpisz:
    net use Z: \\<nazwa serwera programu DPM>\c$
    , gdzie Z to litera dysku lokalnego, która ma zostać przypisana, a <nazwa serwera programu DPM> to nazwa serwera programu DPM, którego chcesz użyć do ochrony komputera.

    Aby zmienić katalog, wykonaj następujące czynności:

    • W przypadku komputera 64-bitowego wpisz **cd /d <przypisana litera dysku>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<numer kompilacji>.0\amd64**, gdzie <przypisana litera dysku> to litera dysku przypisana w poprzednim kroku, a <numer kompilacji> to numer najnowszej kompilacji programu DPM. Na przykład: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • W przypadku komputera 32-bitowego wpisz: **cd /d <przypisana litera dysku>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<numer kompilacji>.0\i386**
      , gdzie <przypisana litera dysku> to dysk zamapowany w poprzednim kroku, a <numer kompilacji> to numer najnowszej kompilacji programu DPM.

  3. Aby zainstalować agenta ochrony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

    • W przypadku komputera 64-bitowego: DpmAgentInstaller_x64.exe <nazwa serwera programu DPM>
      , gdzie <nazwa serwera programu DPM> to w pełni kwalifikowana nazwa domeny (FQDN) serwera programu DPM. Na przykład: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • W przypadku komputera 32-bitowego: DpmAgentInstaller_x86.exe <nazwa serwera programu DPM>
      , gdzie <nazwa serwera programu DPM> to w pełni kwalifikowana nazwa domeny serwera programu DPM.

    Uwaga:

    • Aby przeprowadzić instalację cichą, można użyć opcji /q po poleceniu DpmAgentInstaller_x64.exe. Na przykład: DpmAgentInstaller_x64.exe /q <nazwa serwera programu DPM>

    • Aby zaakceptować umowę licencyjną ręcznie podczas instalacji cichej, użyj polecenia DpmAgentInstaller_x64.exe /q <nazwa serwera programu DPM> /IAcceptEULA

    • W przypadku określenia w wierszu polecenia nazwy serwera programu DPM nastąpi instalacja agenta ochrony oraz automatyczne skonfigurowanie kont zabezpieczeń, uprawnień oraz wyjątków zapory umożliwiających komunikację agenta ze wskazanym serwerem programu DPM. Jeśli nie określono nazwy serwera, otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze docelowym i wykonaj następujące czynności:

      1. Aby zmienić typ katalogu, wpisz: cd /d <dysk systemowy>:\Program Files\Microsoft Data Protection Manager\DPM\bin

      2. Wpisz: SetDpmServer.exe –dpmServerName <nazwa serwera programu DPM>. Powoduje to skonfigurowanie zabezpieczeń kont, uprawnień i wyjątków zapory dla agenta w celu umożliwienia komunikacji z serwerem.

  4. Jeśli komputer docelowy został dodany do serwera programu DPM przed zainstalowaniem agenta, serwer programu DPM rozpocznie tworzenie kopii zapasowych danych komputera chronionego. Jeśli agent został zainstalowany przed dodaniem komputera do serwera programu DPM, komputer należy dołączyć zanim serwer programu DPM rozpocznie tworzenie kopii zapasowych. Zapoznaj się z tematem Dołączanie agenta ochrony DPM.

Instalacja agenta ochrony programu DPM na kontrolerze RODC

  1. Przed zainstalowaniem agenta wyłącz zaporę na kontrolerze RODC albo uruchom następujące polecenia na kontrolerze:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Utwórz, a następnie wypełnij następujące grupy zabezpieczeń na podstawowym kontrolerze domeny, określając dla nazwy serwera chronionego nazwę kontrolera RODC, na którym ma być zainstalowany agent ochrony:

    • Utwórz grupę zabezpieczeń o nazwie DPMRADCOMTRUSTEDMACHINES$PSNAME, a następnie dodaj jako członka konto komputera serwera programu DPM.

    • Utwórz grupę zabezpieczeń o nazwie DPMRADMTRUSTEDMACHINES$PSNAME, a następnie dodaj jako członka konto komputera serwera programu DPM.

    • Utwórz grupę zabezpieczeń o nazwie DPMRATRUSTEDDPMRAS$PSNAME, a następnie dodaj jako członka konto maszyny serwera programu DPM.

    • Dodaj konto komputera serwera programu DPM jako członka grupy zabezpieczeń Builtin\Użytkownicy DCOM.

  3. Sprawdź, czy utworzone wcześniej grupy zabezpieczeń zostały zreplikowane na kontrolerze RODC. Następnie ręcznie zainstaluj agenta ochrony na kontrolerze RODC.

  4. Wykonaj następujące kroki na serwerze kontrolera RODC, aby udzielić usłudze DPMRA uprawnień uruchamiania i aktywacji:

    1. Otwórz powłokę zarządzania programu DPM i uruchom polecenie dcomcnfg.exe.

      Zostanie wyświetlone okno Usługi składowe.

    2. W oknie Usługi składowe rozwiń węzeł Komputery, rozwiń węzeł Mój komputer, rozwiń węzeł Konfiguracja DCOM, kliknij prawym przyciskiem myszy usługę DPM RA, a następnie kliknij pozycję Właściwości.

    3. Kliknij pozycję Ogólne, a następnie dla opcji Poziom uwierzytelniania określ wartość Domyślny.

    4. Kliknij pozycję Lokalizacja, a następnie sprawdź, czy jedyną wybraną opcją jest opcja Uruchom aplikację na tym komputerze.

    5. Kliknij pozycję Zabezpieczenia, wybierz pozycję Dostosuj w obszarze Uprawnienia uruchamiania i aktywacji, kliknij polecenie Dostosuj, a następnie kliknij przycisk Edytuj, aby otworzyć okno dialogowe Uprawnienie uruchamiania.

    6. W oknie dialogowym Uprawnienie uruchamiania przypisz uprawnienia Uruchamianie lokalne, Uruchamianie zdalne, Aktywacja lokalna i Aktywacja zdalna do konta maszyny serwera programu DPM.

    7. Kliknij przycisk OK, aby zamknąć okno dialogowe.

    8. Przejdź do folderu %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup na serwerze programu DPM i skopiuj następujące pliki do folderu na serwerze kontrolera RODC.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Na kontrolerze RODC w wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie setagentcfg.exe a domena_usługi_DPMRA\serwer_programu_DPM w lokalizacji określonej w poprzednim kroku.

  6. Na serwerze kontrolera RODC przejdź do folderu C:\Program Files\Microsoft Data Protection Manager\DPM\bin i uruchom polecenie setdpmserver:

    Setdpmserver -dpmservername NAZWA_SERWERA_DPM

  7. Dołącz agenta ochrony do serwera programu DPM. Zapoznaj się z tematem Dołączanie agenta ochrony DPM.

Instalowanie agentów ochrony przy użyciu obrazu serwera

  1. Na komputerze, na którym chcesz zainstalować agenta ochrony, w wierszu polecenia wpisz DpmAgentInstaller.exe.

  2. Zastosuj obraz serwera do fizycznego komputera, a następnie przełącz komputer w tryb online.

  3. Dołącz komputer do domeny, a następnie zaloguj się na konto użytkownika domeny, które jest członkiem lokalnej grupy administratorów.

  4. W wierszu polecenia przejdź do lokalizacji cd <litera dysku systemowego>:Program Files\Microsoft Data Protection Manager\bin, a następnie uruchom program SetDpmServer.exe <nazwa serwera programu DPM>.

    Określ w pełni kwalifikowaną nazwę domeny (FQDN) serwera programu DPM. W przypadku domeny komputera chronionego lub unikatowych nazw komputerów w różnych domenach wystarczy wprowadzić tylko nazwę komputera.

    System_CAPS_ICON_important.jpg Ważne

    Program SetDpmServer.exe musisz uruchomić z lokalizacji <litera dysku>:\Program Files\Microsoft Data Protection Manager\bin. Jeśli program zostanie uruchomiony z innej lokalizacji, operacja zakończy się niepowodzeniem.

  5. Dołącz agenta. Zapoznaj się z tematem Dołączanie agenta ochrony DPM.

Instalowanie agenta ochrony za pomocą programu System Center Configuration Manager

  1. Aby utworzyć aplikację dla agenta ochrony programu DPM, musisz podać administratorowi programu Configuration Manager następujące dane:

    • ścieżkę do udziału z plikami DpmAgentInstaller.exe i DpmAgentInstaller_AMD64.exe;

    • listę serwerów, na których chcesz zainstalować agentów ochrony;

    • nazwę serwera programu DPM.

  2. Aplikację SCCM agenta należy wywołać za pomocą jednego z następujących wierszy polecenia:

    • Komputery x86: DPMAgentinstaller.exe /q <nazwa FQDN serwera programu DPM> /IAcceptEula

    • Komputery x64: DPMAgentInstaller_x64.exe /q <nazwa FQDN serwera programu DPM> /IAcceptEula

  3. Aby zainstalować agenta ochrony na platformie x64 za pomocą programu SCCM:

    1. Utwórz aplikację uruchamiającą polecenie DPMAgentInstaller_x64.exe /q <nazwa FQDN serwera programu DPM> /IAcceptEula

    2. Utwórz kolekcje komputerów zawierające docelowe systemy, które używają tego samego typu agenta, dla każdego serwera programu DPM. Jako cel aplikacji należy określić systemy, które będą zamapowane na określony komputer programu DPM.