Sdílet prostřednictvím

Instalace agenta ochrany DPM

  • Článek

 

Rozsah platnosti: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Pomocí Průvodce instalací agenta ochrany můžete nainstalovat agenty ochrany, kteří jsou umístění mimo bránu firewall, na počítače a servery, které chcete chránit, a ručně můžete nainstalovat agenty ochrany do počítačů, které jsou umístěné za bránou firewall anebo v pracovní skupině nebo doméně, která nemá oboustranný vztah důvěryhodnosti s doménou, ve které se nachází server System Center 2012 – Správce ochrany dat (DPM). Po ruční instalaci agenta ochrany bude potřeba v rámci aktivace ochrany připojit agenta v konzole pro správu nástroje DPM. Pokyny k instalaci agentů ochrany na počítačích, které jsou umístěné za bránou firewall, najdete v tématu Instalace agenta na počítači za bránou firewall [DPM2012_Web]. Pokud chcete nainstalovat agenty ochrany na počítačích umístěných v pracovní skupině nebo doméně, která nemá oboustranný vztah důvěryhodnosti s doménou, ve které je server nástroje DPM, přečtěte si část Instalace agenta na počítač v pracovní skupině nebo nedůvěryhodné doméně [DPM2012_Web].

  • Instalace agenta ochrany z konzole DPM– Tento postup instalace agenta použijte při instalaci do počítače mimo bránu firewall nebo do počítače, na kterém je možné upravit brány firewall pomocí postupu umožňujícím komunikaci mezi agentem a serverem DPM.

  • Ruční instalace agenta ochrany– Tento postup použijte, pokud se počítač nachází za bránou firewall, která blokuje komunikaci mezi agentem a serverem DPM, nebo pokud dojde k problémům se síti nebo oprávněním.

  • Instalace agenta ochrany do počítačů v pracovní skupině v nedůvěryhodné doméně– v tomto scénáři budete muset nakonfigurovat certifikát pro účely ověřování a potom nainstalovat agenta. Další informace naleznete v části Ochrana počítačů v pracovních skupinách a nedůvěryhodných doménách.

  • Nainstalujte agenta ochrany do RODC.– Agenta můžete nainstalovat na řadiči domény jen pro čtení (jen pro čtení). Pamatujte, že pokud je brána firewall na RODC povolena, musíte bránu firewall buď vypnout, nebo před instalací agenta spustit následující příkazy:

  • Instalace agentů ochrany pomocí bitové kopie serveru– Bitovou kopii serveru můžete použít k instalaci agenta ochrany, aniž by bylo potřeba určovat server nástroje DPM pomocí souboru DPMAgentInstaller.exe. Poté, co je bitová kopie použita na počítač a počítač je převeden do stavu online, spuštěním souboru SetDpmServer.exe dokončete konfiguraci a vytvořte výjimky brány firewall.

  • Instalace agenta ochrany pomocí System Center Configuration Manageru – Pokud máte zkušenosti s vytvářením aplikací a nasazením v System Center Configuration Manageru, můžete použít System Center Configuration Manager k instalaci agenta ochrany DPM v cílových systémech. Další informace o vytváření aplikací v Configuration Manageru najdete v tématu Vytvoření aplikací v nástroji Configuration Manager.

Instalace agenta ochrany z konzole DPM

  1. V konzole pro správu DPM klikněte na tlačítko Správa > Agenti. Klikněte na tlačítko Instalovat na pásu karet nástroje a otevřete Průvodce instalací agenta ochrany.

  2. Na stránce Vybrat způsob nasazení agenta klikněte na položku Instalovat agenty > Další.

  3. Na stránce Vybrat počítače nástroj DPM zobrazuje seznam dostupných počítačů, kteří jsou ve stejné doméně jako server nástroje DPM. Přidejte požadovaný počítač.

    • Při prvním přihlášení pomocí průvodce aplikace DPM odesílá dotazy na službu Active Directory pro načtení seznamu dostupných počítačů. Po první instalaci nástroj DPM ukládá seznam počítačů ve své databázi, která se aktualizuje jednou denně pomocí procesu automatického zjišťování.

    • Pokud chcete najít počítač v jiné doméně, která má oboustranný vztah důvěryhodnosti s doménou, ve které je umístěný server nástroje DPM, je potřeba zadat plně kvalifikovaný název počítače, který chcete chránit (třeba <Počítač1>.Domain1.contoso.com, kde Počítač1 je název počítače, který chcete chránit, a Computer1.contosa.com je doména, do které patří cílový počítač).

    • Tlačítko Upřesnit na stránce je povoleno pouze tehdy, když je pro instalaci na počítače k dispozici více než jedna verze agenta ochrany. Tuto možnost můžete použít k instalaci předchozí verze agenta ochrany, která byla nainstalována před upgradem serveru nástroje DPM na novější verzi.

  4. Na stránce Zadat pověření zadejte uživatelské jméno a heslo pro účet domény, který je členem místní skupiny Správci na všech vybraných počítačích.

    • V poli Doména přijměte nebo zadejte název domény uživatelského účtu, který používáte k instalaci agenta ochrany na cílový počítač. Tento účet může patřit do domény, v níž je umístěn server nástroje DPM, nebo do domény, která má oboustranný vztah důvěryhodnosti s doménou, v níž je server nástroje DPM.

    • Pokud instalujete agenta ochrany na počítač v rámci důvěryhodné domény, zadejte své aktuální přihlašovací údaje pro doménu. Můžete být členem jakékoli domény, která má oboustranný vztah důvěryhodnosti s doménou, v níž je server nástroje DPM, a vy musíte být členem místní skupiny Správci na všech vybraných počítačích, na kterých chcete instalovat agenta.

    • Pokud vyberete uzel v clusteru, nástroj DPM detekuje všechny další uzly v clusteru a zobrazí stránku Vybrat uzly clusteru.

  5. Na stránce Vybrat uzly clusteru vyberte možnost, která chcete, aby nástroj DPM použil k instalaci agentů na další uzly v klastru a potom klikněte na tlačítko Další.

  6. Na stránce Zvolte způsob restartu vyberte způsob, kterým chcete restartovat vybrané počítače po dokončení instalace agenta ochrany. Než počítač začne chránit data, je třeba jej restartovat. Restart je nezbytný pro načtení filtru svazku, který nástroj DPM využívá ke sledování a přenosu změn na úrovni blokování mezi serverem nástroje DPM a chráněnými počítači.

    • Pokud zvolíte pozdější restartování počítačů, nedojde k automatickému obnovení stavu instalace agenta ochrany na kartě Agenti v oblasti úloh Správa po restartování počítače a budete muset kliknout na Aktualizovat informace.

    • Všimněte si, že není třeba restartovat počítač, pokud instalujete agenta ochrany na jiném serveru DPM.

    • Pokud jsou kterékoli počítače, které jste nainstalovali, uzly v clusteru, zobrazí se další stránka Zvolte způsob restartu, kterou lze použít k výběru způsobu restartování clusterovaných počítačů. Data v clusteru budou úspěšně chráněná jenom tehdy, když bude agent ochrany nainstalovaný na všech uzlech v clusteru. Než počítače začnou chránit data, je třeba je restartovat. Kvůli času nezbytnému ke spuštění služeb může po restartu trvat několik minut, než bude moci nástroj DPM kontaktovat agenta v clusteru.

    • Nástroj DPM automaticky nerestartuje počítač, který patří do clusteru MSCS (Microsoft Cluster Server). V clusteru MSCS je třeba počítač restartovat ručně.

  7. Na stránce Souhrn zahajte instalaci kliknutím na možnost Instalovat. Pro spuštění instalace musíte po zobrazení potvrdit smlouvu EULA. Na kartě Úloha stránky instalace uvidíte, zda došlo k úspěšnému dokončení instalace. Před dokončením průvodce můžete kliknout na tlačítko Zavřít a sledovat průběh instalace na kartě Agenti v oblasti úloh Správa. Pokud dopadla instalace neúspěšně, můžete zobrazit výstrahy v oblasti úlohy Sledování na kartě Výstrahy.

    Poznámka: Po nainstalování agenta ochrany na počítač, který je součástí farmy služby Windows SharePoint Services, se jako chráněné počítače na kartě Agenti v oblasti úlohy Správa nezobrazí všechny počítače ve farmě, ale jenom vybraný počítač. Pokud však má farma služby Windows SharePoint Services data na vybraném počítači, nástroj DPM chrání data na všech počítačích ve farmě – za předpokladu, že je na všech nainstalován agent ochrany.

Ruční instalace agenta ochrany

  1. Pokud instalujete agenta na počítači za bránou firewall, musíte se ujistit, že tento agent projde přes bránu firewall.

    Třeba ke konfiguraci brány Windows Firewall můžete na počítači spustit následující příkaz: netsh advfirewall firewall add rule name="Povolit průchod vzdáleného agenta DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, kde položka IPAddress představuje adresu serveru DPM.

    Pokyny ke konfiguraci výjimky portů v bráně firewall najdete v článku Konfigurace výjimek brány firewall pro agenta.

  2. Na počítači, který chcete chránit, otevřete okno příkazového řádku s oprávněním vyšší úrovně a poté spusťte následující příkazy:

    Pokud chcete přiřadit písmeno jednotky, napište:
    net use Z: \\<NázevServeruDPM>\c$ 
    , kde Z je označení místního disku, který chcete připojit, a <NázevServeruDPM> je název serveru DPM, který bude chránit počítač.

    Chcete-li změnit adresář, postupujte takto:

    • U 64bitového počítače napište: cd /d <přidělené písmeno jednotky>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<číslo buildu>.0\amd64, kde <přidělené písmeno jednotky> je písmeno jednotky, které jste přidělili v předchozím kroku, a <číslo buildu> je číslo nejnovějšího buildu nástroje DPM. Příklad: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • U 32bitového počítače napište: cd /d <přidělené písmeno jednotky>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<číslo buildu>.0\i386 
      , kde <přidělené písmeno jednotky> je jednotka, kterou jste namapovali v předchozím kroku, a <číslo buildu> je číslo nejnovějšího buildu nástroje DPM.

  3. Chcete-li nainstalovat agenta ochrany, otevřete okno příkazového řádku s oprávněním vyšší úrovně a poté spusťte následující příkazy:

    • U 64bitového počítače: DpmAgentInstaller_x64.exe <NázevServeruDPM> 
      , kde <NázevServeruDPM> je plně kvalifikovaný název domény (FQDN) serveru nástroje DPM. Například: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • U 32bitového počítače: DpmAgentInstaller_x86.exe <NázevServeruDPM> 
      , kde <NázevServeruDPM> je plně kvalifikovaný název domény serveru nástroje DPM.

    Poznámka:

    • Chcete-li provést bezobslužnou instalaci, můžete použít volbu /q následující za příkazem DpmAgentInstaller_x64.exe. Například: DpmAgentInstaller_x64.exe /q <NázevServeruDPM>

    • Pro ruční přijetí smlouvy EULA v tiché instalaci použijte příkaz DpmAgentInstaller_x64.exe /q <NázevServeruDPM> /IAcceptEULA.

    • Pokud do příkazového řádku zadáte název serveru nástroje DPM, nainstaluje se agent ochrany a automaticky se nakonfigurují účty zabezpečení, oprávnění a výjimky brány firewall, jež jsou nezbytné, aby mohli agenti komunikovat se zadaným serverem nástroje DPM. Pokud jste nezadali název serveru, otevřete příkazový řádek se zvýšenými oprávněními v cílovém počítači a proveďte následující kroky:

      1. Změna typu adresáře: cd /d <systémová jednotka>:\Program Files\Microsoft Data Protection Manager\DPM\bin

      2. Typ: SetDpmServer.exe –dpmServerName <NázevServeruDPM>. Tento postup provede konfiguraci účtů zabezpečení, oprávnění a výjimek brány firewall agenta ke komunikaci se serverem.

  4. Pokud jste přidali počítač do serveru nástroje DPM před instalací agenta, server nástroje DPM začne vytvářet zálohy pro chráněný počítač. Pokud jste nainstalovali agenta před přidáním počítače k serveru nástroje DPM, musíte připojit počítač před tím, než server nástroje DPM začne vytvářet zálohy. Viz Připojení agenta ochrany DPM.

Nainstalujte agenta ochrany do RODC.

  1. Vypněte bránu firewall u řadiče domény jen pro čtení, nebo spusťte následující příkazy v řadiči domény jen pro čtení před instalací agenta:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow  protocol=TCP localport=135 profile=Any

  2. Na primárním řadiči domény vytvořte následující skupiny ochrany, kde název chráněného serveru je název RODC, na kterém plánujete nainstalovat agenta ochrany:

    • Vytvořte skupinu zabezpečení s názvem DPMRADCOMTRUSTEDMACHINES$PSNAME a poté přidejte účet počítače serveru aplikace DPM jako člena.

    • Vytvořte skupinu zabezpečení s názvem DPMRADMTRUSTEDMACHINES$PSNAME a poté přidejte účet počítače serveru aplikace DPM jako člena.

    • Vytvořte skupinu zabezpečení s názvem DPMRATRUSTEDDPMRAS$PSNAME a potom přidejte účet počítače serveru aplikace DPM jako člena.

    • Přidejte účet počítače serveru aplikace DPM jako člena skupiny zabezpečení Builtin\Distributed Com Users.

  3. Ujistěte se, že se skupiny zabezpečení, které jste vytvořili dříve, zreplikovali na RODC. Pak nainstalujte ručně agenta ochrany na řadiči domény jen pro čtení.

  4. Na serveru řadiče domény jen pro čtení udělte pomocí následujících kroků spouštěcí a aktivační oprávnění službě DPMRA:

    1. Otevřete prostředí Management Shell aplikace DPM a poté spusťte příkaz dcomcnfg.exe.

      Otevře se okno Služba komponent.

    2. V okně Služba komponent rozbalte Počítače, pak rozbalte Můj počítač, rozbalte Konfigurace DCOM, klikněte pravým tlačítkem na službu DPMRA a potom klikněte na Vlastnosti.

    3. Klikněte na volbu Obecné a poté nastavte položku Úroveň ověřování na hodnotu Výchozí.

    4. Klikněte na volbu Umístění a poté se ujistěte, že je vybrána pouze volba Spouštět aplikaci v tomto počítači.

    5. Klikněte na Zabezpečení, vyberte Přizpůsobit, v části Spouštěcí a aktivační oprávnění vyberte Přizpůsobit a potom kliknutím na Upravit otevřete dialogové okno Spouštěcí oprávnění.

    6. V dialogovém okně Spouštěcí oprávnění přidělte oprávnění pro volbu Místní spuštění, Vzdálené spuštění, Místní aktivace a Vzdálená aktivace pro účet počítače serveru aplikace DPM.

    7. Dialogové okno zavřete kliknutím na tlačítko OK.

    8. Přejděte na %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup na serveru DPM a zkopírujte následující soubory do složky na serveru řadiče domény jen pro čtení.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. V řadiči domény jen pro čtení spusťte pomocí příkazového řádku se zvýšenými oprávněními příkaz setagentcfg.exe a DPMRA domain\DPMserver z umístění, které jste zadali v předchozím kroku.

  6. Na serveru řadiče domény jen pro čtení přejděte do složky C:\Program Files\Microsoft Data Protection Manager\DPM\bin a spusťte příkaz setdpmserver:

    Setdpmserver -dpmservername DPMSERVER

  7. Připojte agenta ochrany k serveru aplikace DPM. Viz Připojení agenta ochrany DPM.

Instalace agentů ochrany pomocí bitové kopie serveru

  1. Na počítači, kde chcete instalovat agenta ochrany, napište do příkazového řádku DpmAgentInstaller.exe.

  2. Použijte bitovou kopii serveru na fyzický počítač a poté převeďte počítač do stavu online.

  3. Připojte počítač k doméně a poté se přihlaste pomocí účtu uživatele domény, který je členem místní skupiny Správci.

  4. Na příkazový řádek zadejte cd <písmeno systémové jednotky>:\Program Files\Microsoft Data Protection Manager\bin a potom spusťte příkaz SetDpmServer.exe <název serveru dpm>.

    Zadejte plně kvalifikovaný název domény (FQDN) pro server nástroje DPM. Pro doménu chráněného počítače nebo pro jedinečné názvy počítačů napříč doménami zadávejte pouze název počítače.

    System_CAPS_importantDůležité

    Je třeba spustit soubor SetDpmServer.exe z umístění <písmeno jednotky>:\Program Files\Microsoft Data Protection Manager\bin. Pokud program spustíte z jakéhokoli jiného umístění, operace se nezdaří.

  5. Připojte agenta. Viz Připojení agenta ochrany DPM.

Instalace agenta ochrany pomocí System Center Configuration Manageru

  1. Pokud chcete vytvořit aplikaci pro agenta ochrany DPM, musíte do správce Configuration Managera zadat následující informace:

    • Cesta ke sdílené složce se soubory DpmAgentInstaller.exe a DpmAgentInstaller_AMD64.exe .

    • Seznam serverů, na kterých chcete nainstalovat agenty ochrany

    • Název serveru DPM

  2. Aplikace SCCM pro agenta by měla vyvolat jeden z následujících příkazových řádků:

    • Pro počítače platformy x86 spusťte: DPMAgentinstaller.exe /q <název serveru DPM plně kvalifikovaného názvu domény> /IAcceptEula .

    • Pro počítače platformy x64 spusťte: DPMAgentInstaller_x64.exe /q <název serveru DPM plně kvalifikovaného názvu domény> /IAcceptEula .

  3. Instalace agenta ochrany x64 pomocí SCCM:

    1. Vytvořte aplikaci, která spustí: DPMAgentInstaller_x64.exe /q <název serveru DPM plně kvalifikovaného názvu domény> /IAcceptEula .

    2. Vytvořte kolekci počítačů cílových systémů, které pro každý server DPM používají stejný typ agenta. Jako cíl aplikace určete systémy, které se namapují na konkrétní počítač DPM.