Distribuera DPM-skyddsagenten
DPM-skyddsagenten (System Center Data Protection Manager) är den programvara som du installerar på varje dator som innehåller data som du vill säkerhetskopiera med DPM. Den består av två komponenter: själva skyddsagenten och en agentkoordinator. Så här gör den:
Identifierar de data som DPM kan skydda och återställa.
Gör att DPM-servern kan bläddra bland resurser, volymer och mappar på den skyddade datorn.
Skapar en ändringsjournal för varje skyddad volym och lagrar journalen i en dold fil på volymen. Den registrerar eventuella ändringar av skyddade data i ändringsjournalen och överför journalen från den skyddade datorn till DPM-servern så att DPM kan synkronisera primära data med repliken.
Du konfigurerar agenten på följande sätt:
Om datorn med de data du vill säkerhetskopiera finns bakom en brandvägg, måste du konfigurera brandväggsundantag.
Om datorn inte finns bakom en brandvägg eller om du har konfigurerat brandväggsundantag för att tillåta åtkomst kan du installera agenten från DPM-konsolen.
Om du inte har åtkomst via brandväggen finns den dator som du vill skydda i en arbetsgrupp eller domän som inte är betrodd, eller om du behöver använda en annan installationsmetod kan du Installera agenten manuellt och sedan Koppla agenten.
Konfigurera brandväggsundantag
För att en skyddsagent ska kunna kommunicera med DPM-servern via en brandvägg krävs brandvägsundantag.
Konfigurera ett inkommande undantag för sqlservr.exe för DPM-instansen av SQL Server för att tillåta TCP på port 80. Rapportservern lyssnar efter HTTP-begäranden på port 80. I följande tabell visas de protokoll och portar som krävs för kommunikation mellan DPM-servern och skyddade servrar och klienter.
Protokoll | Hamn | Detaljer |
---|---|---|
DCOM | 135/TCP Dynamisk |
DPM-kontrollprotokollet använder DCOM. DPM utfärdar kommandon till skyddsagenten genom att anropa DCOM-anrop på agenten. Skyddsagenten svarar genom att anropa DCOM-anrop på DPM-servern. TCP-port 135 är dce-slutpunktsupplösningspunkten som används av DCOM. Som standard tilldelar DCOM portar dynamiskt från TCP-portintervallet 49152 till 65535. Du kan dock konfigurera det här intervallet med hjälp av Component Services. För DPM-agentkommunikation måste du öppna de övre portarna 49152-65535. Utför följande steg för att öppna portarna: 1. I IIS 7.0 Manager i fönstret Anslutningar väljer du noden på servernivå i trädet. 2. Dubbelklicka på ikonen FTP-brandväggsstöd i listan över funktioner. 3. Ange ett värdeintervall för Data Channel-portintervallet. 4. När du har angett portintervallet för FTP-tjänsten går du till fönstret Åtgärder och väljer Använd för att spara konfigurationsinställningarna. |
TCP | 5718/TCP 5719/TCP |
DPM-datakanalen baseras på TCP. Både DPM och den skyddade datorn initierar anslutningar för att aktivera DPM-åtgärder, till exempel synkronisering och återställning. DPM kommunicerar med agentkoordinatorn på port 5718 och med skyddsagenten på port 5719. |
DNS | 53/UDP | Används mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten för värdnamnsmatchning. |
Kerberos | 88/UDP 88/TCP | Används mellan DPM och domänkontrollanten och mellan den skyddade datorn och domänkontrollanten för autentisering av anslutningsslutpunkten. |
LDAP | 389/TCP 389/UDP |
Används mellan DPM och domänkontrollanten för frågor. |
Netbios | 137/UDP 138/UDP 139/TCP 445/TCP |
Används mellan DPM och den skyddade datorn, mellan DPM och domänkontrollanten, och mellan den skyddade datorn och domänkontrollanten för diverse åtgärder. Används för SMB som används direkt på TCP/IP för DPM-funktioner. |
Installera agenten från DPM-konsolen
I DPM-administratörskonsolen väljer du Management>Agents. Välj Installera i verktygsfliksområdet för att öppna installationsguiden för skyddsagenten.
På sidan Välj agentdistributionsmetod väljer du Installera agenter>Nästa.
På sidan Välj datorer visar DPM en lista över tillgängliga datorer som finns i samma domän som DPM-servern. Lägg till den dator som krävs.
Första gången du använder guiden frågar DPM Active Directory för att hämta en lista över tillgängliga datorer. Efter den första installationen lagrar DPM listan över datorer i databasen, som uppdateras en gång varje dag av processen för automatisk identifiering.
Om du vill hitta en dator i en annan domän som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i måste du ange det fullständigt kvalificerade domännamnet (FQDN) för den dator som du vill skydda. Till exempel <Computer1>.Domain1.contoso.com, där Computer1 är namnet på den dator som du vill skydda och Domain1.contoso.com är den domän som måldatorn tillhör.
Knappsidan Avancerat är endast aktiverad när det finns mer än en version av en skyddsagent tillgänglig för installation på datorerna. Du kan använda det här alternativet för att installera en tidigare version av skyddsagenten som installerades innan du uppgraderade DPM-servern till en nyare version.
På sidan Ange autentiseringsuppgifter skriver du användarnamnet och lösenordet för ett domänkonto som är medlem i den lokala gruppen Administratörer på alla valda datorer.
I rutan Domän accepterar eller skriver du domännamnet för det användarkonto som du använder för att installera skyddsagenten på måldatorn. Det här kontot kan tillhöra domänen som DPM-servern finns i eller till en domän som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i.
Om du installerar en skyddsagent på en dator i en betrodd domän anger du dina aktuella autentiseringsuppgifter för domänanvändare. Du kan vara medlem i alla domäner som har en dubbelriktad förtroenderelation med domänen som DPM-servern finns i, och du måste vara medlem i den lokala gruppen Administratörer på alla valda datorer där du vill installera en agent.
Om du väljer en nod i ett kluster identifierar DPM alla ytterligare noder i klustret och visar sidan Välj klusternoder.
På sidan Välj klusternoder väljer du ett alternativ som du vill att DPM ska använda för att installera agenter på ytterligare noder i klustret och väljer sedan Nästa.
På sidan Välj omstartsmetod väljer du den metod som ska användas för att starta om de valda datorerna när skyddsagenten har installerats. Datorn måste startas om innan du kan börja skydda data. En omstart krävs för att läsa in det volymfilter som DPM använder för att spåra och överföra ändringar på blocknivå mellan DPM-servern och de skyddade datorerna.
Om du väljer att starta om datorerna senare uppdateras inte installationsstatusen för skyddsagenten automatiskt på fliken Agenter i aktivitetsområdet Hantering när datorn har startats om, och du måste välja Uppdatera information.
Du behöver inte starta om datorn om du installerar en skyddsagent på en annan DPM-server.
Om någon av de datorer som du har valt är noder i ett kluster visas ytterligare en Välj omstartsmetod sida som du kan använda för att välja metoden för att starta om de klustrade datorerna. Du måste installera en skyddsagent på samtliga noder i ett kluster för att lyckas skydda den klustrade datan. Datorerna måste startas om innan du kan börja skydda data. Eftersom tiden krävs för att starta tjänster kan det ta några minuter efter en omstart innan DPM kan kontakta agenten i klustret.
DPM startar inte automatiskt om en dator som tillhör ett MSCS-kluster (Microsoft Cluster Server). Du måste starta om datorer i ett MSCS-kluster manuellt.
På sidan Sammanfattning väljer du Installera för att påbörja installationen. Om serviceavtalet visas godkänner du det för att installationen ska starta. På fliken aktivitet på installationssidan kan du se om installationen har slutförts. Du kan välja Stäng innan guiden är klar och övervaka installationsframsteget på fliken Agenter i aktivitetsområdet Management. Om installationen misslyckas kan du visa aviseringarna i aktivitetsområdet Övervakning på fliken Aviseringar.
Not
När du har installerat en skyddsagent på en dator som ingår i en Windows SharePoint Services-servergrupp visas inte var och en av datorerna i servergruppen som skyddade datorer på fliken Agenter i aktivitetsområdet Management, bara den dator som du har valt. Men om Windows SharePoint Services-servergruppen har data på den valda datorn skyddar DPM data på alla datorer i servergruppen, förutsatt att alla har skyddsagenten installerad.
Installera agenten manuellt
Om du installerar agenten på en dator bakom en brandvägg måste du se till att agenten kan skickas ut via brandväggen.
Du kan till exempel köra följande kommando på datorn för att konfigurera Windows-brandväggen: netsh advfirewall firewall lägg till regel namn="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, där IPAddress är adressen till DPM-servern.
Information om hur du konfigurerar portundantag i brandväggen finns i Konfigurera brandväggsundantag för agenten.
På den dator som du vill skydda öppnar du ett fönster för upphöjd kommandotolk och kör sedan följande kommandon:
Om du vill tilldela en enhetsbeteckning skriver du: net use Z: \<DPMServerName>\c$ där Z är den lokala enhetsbeteckning som du vill tilldela och <DPMServerName> är namnet på den DPM-server som skyddar datorn.
Gör följande för att ändra katalogen:
För en 64-bitars dator skriver du: cd /d <tilldelad enhetsbeteckning>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<versionsnummer>.0\amd64 där <tilldelad enhetsbeteckning> är enhetsbeteckningen som du tilldelade i föregående steg och <versionsnummer> är det senaste DPM-versionsnumret. Exempel: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
För en 32-bitars dator skriver du: cd /d <tilldelad enhetsbeteckning>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<versionsnummer>l;.0\i386 där <tilldelade enhetsbeteckningen> är den enhet som du mappade i föregående steg och <versionsnummer> är det senaste DPM-versionsnumret.
Om du vill installera skyddsagenten öppnar du ett upphöjt kommandotolkfönster och kör sedan något av följande kommandon:
För en 64-bitars dator skriver du: DpmAgentInstaller_x64.exe <DPMServerName> där <DPMServerName> är DPM-serverns fullständigt kvalificerade domännamn (FQDN). Till exempel: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
För en 32-bitars dator skriver du: DpmAgentInstaller_x86.exe <DPMServerName> där <DPMServerName> är DPM-serverns fullständigt kvalificerade domännamn (FQDN).
Not
- Om du vill utföra en tyst installation kan du använda alternativet /q efter kommandot DpmAgentInstaller_x64.exe. Exempel: DpmAgentInstaller_x64.exe /q <DPMServerName>
- Om du vill godkänna EULA manuellt i en tyst installation använder du DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
- Om du anger ett DPM-servernamn på kommandoraden installerar den skyddsagenten och konfigurerar automatiskt de säkerhetskonton, behörigheter och brandväggsfel som krävs för att agenten ska kunna kommunicera med den angivna DPM-servern. Om du inte angav något servernamn öppnar du en upphöjd kommandotolk på måldatorn och gör följande:
- Så här ändrar du katalogtypen: cd /d <systemenhet>:\Program Files\Microsoft Data Protection Manager\DPM\bin
- Typ: SetDpmServer.exe -dpmServerName <DPMServerName>. Detta konfigurerar säkerhetskonton, behörigheter och brandväggs undantag för agenten att kommunicera med servern.
Om du har lagt till datorn på DPM-servern innan du installerade agenten börjar servern skapa säkerhetskopior för den skyddade datorn. Om du installerade agenten innan du lade till datorn på DPM-servern måste du ansluta datorn innan DPM-servern börjar skapa säkerhetskopior.
Installera skyddsagenten på en RODC
Följ dessa steg:
Stäng antingen av brandväggen på RODC eller kör följande kommandon på RODC innan du installerar agenten:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
På den primära domänkontrollanten skapar och fyller du i följande säkerhetsgrupper (där det skyddade servernamnet är namnet på den RODC som du planerar att installera skyddsagenten på):
Skapa en säkerhetsgrupp med namnet DPMRADCOMTRUSTEDMACHINES$PSNAMEoch lägg sedan till DPM-serverdatorkontot som medlem.
Skapa en säkerhetsgrupp med namnet DPMRADMTRUSTEDMACHINES$PSNAMEoch lägg sedan till DPM-serverdatorkontot som medlem.
Skapa en säkerhetsgrupp med namnet DPMRATRUSTEDDPMRAS$PSNAMEoch lägg sedan till DPM-serverdatorkontot som medlem.
Lägg till DPM-serverdatorkontot som medlem i säkerhetsgruppen Builtin\Distributed Com Users.
Se till att säkerhetsgrupperna som du skapade tidigare har replikerats på RODC. Installera sedan skyddsagenten manuellt på RODC.
På RODC-servern utför du följande steg för att bevilja start- och aktiveringsbehörigheter för DPMRA-tjänsten:
Öppna DPM Management Shell och kör sedan kommandot dcomcnfg.exe.
Öppnas Component Services-fönstret.
I fönstret Component Services expanderar du Computers, expanderar My Computer, expanderar DCOM Config, högerklickar på tjänstenDPM RA och väljer sedan Egenskaper.
Välj Allmäntoch ange sedan autentiseringsnivå till Standard.
Välj Platsoch kontrollera sedan att endast Kör program på den här datorn är markerat.
Välj Säkerhet, välj Anpassa under Start- och aktiveringsbehörigheter, välj Anpassaoch välj sedan Redigera för att öppna dialogrutan Startbehörighet.
I dialogrutan Starta behörighet tilldelar du behörigheter för lokal start, Fjärrstart, lokal aktiveringoch fjärraktivering för DPM-serverdatorkontot.
Välj OK för att stänga dialogrutan.
Gå till Program Files\Microsoft System Center\DPM\DPM\setup på DPM-servern och kopiera följande filer till en mapp på RODC-servern.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
På RODC kör du kommandot setagentcfg.exe en DPMRA-domän\DPMserver från den plats som du angav i föregående steg från en upphöjd kommandotolk.
På RODC-servern bläddrar du till mappen C:\Program Files\Microsoft Data Protection Manager\DPM\bin och kör kommandot setdpmserver:
Setdpmserver -dpmservername DPMSERVER
Koppla skyddsagenten till DPM-servern enligt beskrivningen i följande avsnitt.
Koppla agenten
När du har installerat DPM-agenten manuellt måste du koppla agenten till DPM-servern.
I DPM-administratörskonsolen går du till navigeringsfältet och väljer Management>Agents. I fönstret Åtgärder väljer du Installera.
På sidan Välj agentdistributionsmetod väljer du Koppla agenter>Dator på en betrodd domän>Nästa. Installationsguiden för skyddsagenten öppnas.
På sidan Välj datorer visar DPM en lista över tillgängliga datorer i samma domän som DPM-servern. Välj en eller flera datorer (högst 50) i listan Datornamn>Lägg till>Nästa.
Om det är första gången du använder guiden frågar DPM Active Directory för att hämta en lista över potentiella datorer. Efter den första installationen visar DPM listan över datorer i databasen, som uppdateras en gång varje dag av processen för automatisk identifiering.
Om du vill lägga till flera datorer med hjälp av en textfil väljer du knappen Lägg till från fil. I dialogrutan Lägg till från fil anger du platsen för textfilen eller väljer Bläddra för att navigera till dess plats.
På sidan Ange autentiseringsuppgifter skriver du användarnamnet och lösenordet för ett domänkonto som är medlem i den lokala gruppen Administratörer på alla valda datorer. I rutan Domän accepterar eller skriver du domännamnet för det användarkonto som du använder för att installera skyddsagenten på måldatorn. Det här kontot kan tillhöra domänen som DPM-servern finns i eller till en betrodd domän. Om du installerar en skyddsagent på en dator i en betrodd domän anger du dina aktuella autentiseringsuppgifter för domänanvändare. Du kan vara medlem i valfri betrodd domän och du måste vara medlem i den lokala gruppen Administratörer på alla valda datorer som du vill skydda.
På sidan Sammanfattning väljer du Bifoga.