• Artikel

Installieren des DPM-Schutz-Agents

 

Betrifft: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

Sie installieren den Schutz-Agent auf Computern und Servern, die Sie mithilfe des Installations-Assistenten für Schutz-Agents zum Installieren von Schutz-Agents schützen möchten, die sich außerhalb einer Firewall befinden. Sie können Schutz-Agents manuell auf Computern installieren, die sich hinter einer Firewall oder in einer Arbeitsgruppe oder einer Domäne befinden, die keine bidirektionale Vertrauensstellung mit der Domäne besitzen, in der sich der System Center 2012 – Data Protection Manager (DPM)-Server befindet. Nachdem Sie einen Schutz-Agent manuell installiert haben, müssen Sie den Agent in der DPM-Verwaltungskonsole anfügen, um den Schutz zu aktivieren. Informationen zum Installieren von Schutz-Agents auf Computern hinter einer Firewall finden Sie unter Installieren des Agents auf einem Computer hinter einer Firewall [DPM2012_Web]. Informationen zur Installation von Schutz-Agents auf Computern in einer Arbeitsgruppe oder Domäne ohne bidirektionale Vertrauensstellung zu der Domäne des DPM-Servers finden Sie unter Installieren des Agents auf Computern in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne [DPM2012_Web].

  • Installieren des Schutz-Agents über die DPM-Konsole: Verwenden Sie dieses Verfahren, um den Agent auf Computern außerhalb einer Firewall oder auf einem Computer zu installieren, auf dem die Firewall durch das Verfahren zum Zulassen der Kommunikation zwischen Agent und DPM-Server geändert werden kann.

  • Manuelles Installieren des Schutz-Agents: Verwenden Sie dieses Verfahren, wenn sich der Computer hinter einer Firewall befindet, die den Datenverkehr zwischen Agent und DPM-Server blockiert. Dieses Verfahren ist auch bei Problemen geeignet, die sich auf das Netzwerk oder auf Berechtigungen beziehen.

  • Installieren von Schutz-Agents auf Computern in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne: In diesem Szenario müssen Sie ein Zertifikat zu Authentifizierungszwecken konfigurieren und dann den Agent installieren. Weitere Informationen finden Sie unter Schützen von Computern in Arbeitsgruppen und nicht vertrauenswürdigen Domänen.

  • Installieren des Schutz-Agents auf einem RODC: Sie können den Agent auf einem schreibgeschützten Domänencontroller (RODC) installieren. Ist auf dem RODC eine Firewall aktiviert, müssen Sie diese entweder deaktivieren oder vor der Installation des Agents die folgenden Befehle ausführen:

  • Installieren des Schutz-Agents mithilfe eines Serverabbilds: Sie können ein Serverabbild zur Installation eines Schutz-Agents mit DPMAgentInstaller.exe ohne Angabe des DPM-Servers verwenden. Sobald das Abbild auf den Computer angewendet und dieser online geschaltet ist, führen Sie SetDpmServer.exe aus, um die Konfiguration durchzuführen und die Firewallausnahmen zu erstellen.

  • Installieren des Schutz-Agents über System Center Configuration Manager – Wenn Sie mit der Anwendungserstellung und -bereitstellung innerhalb von System Center Configuration Manager vertraut sind, können Sie System Center Configuration Manager für die Installation eines DPM-Schutz-Agents auf Zielsystemen nutzen. Weitere Informationen zum Erstellen von Anwendungen in Configuration Manager finden Sie unter Erstellen von Anwendungen in Configuration Manager.

Installieren des Schutz-Agents über die DPM-Konsole

  1. Klicken Sie in der DPM-Verwaltungskonsole auf Verwaltung > Agents. Klicken Sie im Menüband auf Installieren, um den Installations-Assistenten für Schutz-Agents zu öffnen.

  2. Klicken Sie auf der Seite Agentbereitstellungsmethode auswählen auf Agents installieren, und klicken Sie dann auf Weiter.

  3. Auf der Seite Computer auswählen wird von DPM eine Liste der verfügbaren Computer angezeigt, die sich in derselben Domäne wie der DPM-Server befinden. Fügen Sie den erforderlichen Computer hinzu.

    - Bei der erstmaligen Verwendung des Assistenten wird Active Directory von DPM abgefragt, um eine Liste der verfügbaren Computer zu erhalten. Nach der erstmaligen Installation wird von DPM die Liste der Computer in seiner Datenbank gespeichert, die einmal pro Tag durch die AutoErmittlung aktualisiert wird.

- Um einen Computer in einer anderen Domäne zu finden, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet, müssen Sie den vollqualifizierten Domänennamen des Computers eingeben, den Sie schützen möchten (z. B. "*\<Computer1\>***.Domäne1.contoso.com**", wobei *Computer1* der Name des Computers ist, den Sie schützen möchten, und *Domäne1.contoso.com* die Domäne, zu der der Zielcomputer gehört.

- Die Schaltfläche **Erweitert** ist nur dann aktiviert, wenn mehrere Versionen eines Schutz-Agents zur Installation auf den Computern verfügbar sind. Sie können diese Option dazu verwenden, um eine frühere Version des Schutz-Agents zu installieren, die vor dem Upgrade des DPM-Servers auf eine neuere Version installiert war.

  4. Geben Sie auf der Seite Anmeldeinformationen eingeben den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Administratorengruppe auf allen ausgewählten Computern ist.

    - Übernehmen Sie im Feld **Domäne** den Domänennamen, oder geben Sie den Domänennamen des Benutzerkontos ein, das Sie für die Installation des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto kann zur Domäne gehören, in der sich der DPM-Server befindet, oder zu einer Domäne, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet.

- Wenn Sie einen Schutz-Agent auf einem Computer über eine vertrauenswürdige Domäne hinweg installieren, geben Sie die Benutzeranmeldeinformationen Ihrer aktuellen Domäne an. Sie können ein Mitglied einer beliebigen Domäne sein, die eine bidirektionale Vertrauensstellung mit der Domäne unterhält, in der sich der DPM-Server befindet, und Sie müssen Mitglied der lokalen Administratorengruppe auf allen ausgewählten Computern sein, auf denen Sie einen Agent installieren möchten.

- Wenn Sie einen Knoten in einem Cluster auswählen, werden alle weiteren Knoten im Cluster von DPM erkannt, und es wird die Seite **Clusterknoten auswählen** angezeigt.

  5. Wählen Sie auf der Seite Clusterknoten auswählen eine Option aus, die von DPM zum Installieren von Agents auf zusätzlichen Knoten im Cluster verwendet werden soll, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Methode für Neustart auswählen die Methode aus, die nach der Installation des Schutz-Agents für den Neustart der ausgewählten Computer verwendet werden soll. Der Computer muss neu gestartet werden, bevor Sie mit dem Schützen von Daten beginnen können. Ein Neustart ist erforderlich, um den Volumefilter zu laden, der von DPM zum Nachverfolgen und Übertragen von Änderungen auf Blockebene zwischen dem DPM-Server und den geschützten Computern verwendet werden soll.

    - Wenn Sie den Computer später neu starten, wird der Installationsstatus des Schutz-Agents auf der Registerkarte **Agents** im Aufgabenbereich **Verwaltung** nach dem Neustart des Computers nicht automatisch aktualisiert, und Sie müssen auf **Informationen aktualisieren** klicken.

- Sie müssen den Computer nicht neu starten, wenn Sie einen Schutz-Agent auf einem anderen DPM-Server installieren.

- Wenn einer der ausgewählten Computer ein Knoten in einem Cluster ist, wird ein weiteres Mal die Seite **Methode für Neustart auswählen** angezeigt, auf der Sie die Methode für Neustart der gruppierten Computer auswählen können. Sie müssen einen Schutz-Agent auf allen Knoten eines Clusters installieren, damit die Clusterdaten erfolgreich geschützt werden. Die Computer müssen neu gestartet werden, bevor Sie mit dem Schützen von Daten beginnen können. Aufgrund der Zeit, die zum Starten der Dienste erforderlich ist, kann es nach dem Neustart einige Minuten dauern, bis DPM den Agent im Cluster kontaktieren kann.

- Von DPM wird kein automatischer Neustart eines Computers ausgeführt, der zu einem MSCS-Cluster (Microsoft Cluster Server) gehört. Sie müssen Computer in einem MSCS-Cluster manuell neu starten.

  7. Klicken Sie auf der Seite Zusammenfassung auf Installieren, um mit der Installation zu beginnen. Wenn die Lizenzbedingungen angezeigt werden, akzeptieren Sie sie, damit die Installation gestartet wird. Auf der Registerkarte Aufgabe der Installationsseite wird angezeigt, ob die Installation erfolgreich ausgeführt wurde. Sie können auf Schließen klicken, bevor der Assistent abgeschlossen ist, und den Installationsfortschritt auf der Registerkarte Agents des Aufgabenbereichs Verwaltung überwachen. Wenn die Installation nicht erfolgreich war, können Sie die Warnungen im Aufgabenbereich Überwachung auf der Registerkarte Warnungen überprüfen.

    Anmerkung: Nachdem Sie einen Schutz-Agent auf einem Computer installiert haben, der Teil einer Windows SharePoint Services-Farm ist, werden auf der Registerkarte Agents im Aufgabenbereich Verwaltung nicht alle Computer in der Farm als geschützte Computer angezeigt, sondern nur der ausgewählte Computer. Wenn die Windows SharePoint Services-Farm jedoch über Daten auf dem ausgewählten Computer verfügt, werden die Daten auf allen Computern in der Farm von DPM geschützt, vorausgesetzt, der Schutz-Agent ist auf allen Computern installiert.

Manuelles Installieren des Schutz-Agents

  1. Wenn Sie den Agent auf einem Computer hinter einer Firewall installieren, müssen Sie sicherstellen, dass der Agent durch die Firewall übertragen werden kann.

    Sie können z. B. den folgenden Befehl auf dem Computer ausführen, um Windows-Firewall zu konfigurieren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IP-Adresse>, wobei "IP-Adresse" die Adresse des DPM-Servers ist.

    Eine Anleitung zum Konfigurieren der Portausnahme für die Firewall finden Sie unter Konfigurieren von Firewallausnahmen für den Agent.

  2. Öffnen Sie auf dem zu schützenden Computer eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie anschließend die folgenden Befehle aus:

    Geben Sie Folgendes ein, um einen Laufwerksbuchstaben zuzuweisen:
    net use Z: \\<DPM-Servername>\c$
    , wobei Z der Buchstabe des lokalen Laufwerks ist, das Sie zuordnen möchten, und <DPM-Servername> der Name des DPM-Servers, der für den Schutz des Computers eingesetzt wird.

    Gehen Sie wie folgt vor, um das Verzeichnis zu ändern:

    - Für einen 64-Bit-Computer geben Sie Folgendes ein: **cd /d *\<Zugewiesener Laufwerksbuchstabe\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<Buildnummer\>*.0\\amd64**, wobei *\<Zugewiesener Laufwerksbuchstabe\>* der im vorherigen Schritt zugeordnete Laufwerkbuchstabe und *\<Buildnummer\>* die Nummer des neuesten DPM-Builds ist. Beispiel: **cd /d X:\\Programme\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.7696.0\\amd64**

- Für einen 32-Bit-Computer geben Sie Folgendes ein: **cd /d *\<Zugewiesener Laufwerksbuchstabe\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<build number\>*.0\\i386**   
  , wobei *\<Zugewiesener Laufwerksbuchstabe\>* der im vorherigen Schritt zugeordnete Laufwerkbuchstabe und *\<Buildnummer\>* die Nummer des neuesten DPM-Builds ist.

  3. Öffnen Sie zum Installieren des Schutz-Agents eine Eingabeaufforderung mit erhöhten Rechten, und führen Sie anschließend die folgenden Befehle aus:

    - Für einen 64-Bit-Computer geben Sie Folgendes ein: **DpmAgentInstaller\_x64.exe *\<DPMServerName\>***   
  , wobei *\<DPMServerName\>* der vollqualifizierte Domänenname des DPM-Servers ist. Beispiel: **DPMAgentInstaller\_x64.exe DPMserver1.contoso.com**

- Für einen 32-Bit-Computer: **DpmAgentInstaller\_x86.exe *\<DPMServerName\>***   
  ,wobei *\<DPMServerName\>* der vollqualifizierte Domänenname des DPM-Servers ist.

    Anmerkung:

    - Zur Durchführung einer unbeaufsichtigten Installation können Sie die Option **/q** an den Befehl **DpmAgentInstaller\_x64.exe** anhängen. Beispiel: **DpmAgentInstaller\_x64.exe /q *\<DPMServerName\>***

- Verwenden Sie **DpmAgentInstaller\_x64.exe /q \<DPMServerName\> /IAcceptEULA**, um die Lizenzbedingungen bei einer unbeaufsichtigten Installation manuell zu akzeptieren.

- Wenn Sie einen DPM-Servernamen angeben, werden der Schutz-Agent installiert und Sicherheitskonten, Berechtigungen und Firewallausnahmen für die Kommunikation des Agents mit dem angegebenen DPM-Server automatisch konfiguriert. Wenn Sie keinen Servernamen angegeben haben, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Zielcomputer, und gehen Sie wie folgt vor:

  1.  So ändern Sie den Verzeichnistyp: **cd /d *\<Systemlaufwerk\>*:\\Programme\\Microsoft Data Protection Manager\\DPM\\bin**

  2.  Type: **SetDpmServer.exe –dpmServerName *\<DPMServerName\>***. Dadurch werden Sicherheitskonten, Berechtigungen und Firewallausnahmen für den Agent für die Kommunikation mit dem Server konfiguriert.

  4. Wenn Sie den Computer dem DPM-Server vor Installation des Agents hinzugefügt haben, werden von dem DPM-Server nun Sicherungen für den geschützten Computer erstellt. Wenn Sie den Agent auf dem Zielcomputer vor dessen Hinzufügen auf dem DPM-Server installiert haben, müssen Sie den Computer verbinden, damit von dem DPM-Server Sicherungen für den geschützten Computer erstellt werden. Siehe Anfügen des DPM-Schutz-Agents.

Installieren des Schutz-Agents auf einem RODC

  1. Deaktivieren Sie die Firewall auf dem RODC, oder führen Sie die folgenden Befehle auf dem RODC aus, bevor Sie den Agent installieren:

    - netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

- netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

- netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\\Microsoft Data Protection Manager\\DPM\\bin\\DPMRA.exe" profile=Any action=allow

- netsh advfirewall firewall add rule name=DPMRA\_DCOM\_135 dir=in action=allow  protocol=TCP localport=135 profile=Any

  2. Erstellen und füllen Sie auf dem primären Domänencontroller folgende Sicherheitsgruppen (dabei ist der Name des geschützten Servers "PSNAME" der Name des RODCs, auf dem Sie den Schutz-Agent installieren möchten):

    - Erstellen Sie eine Sicherheitsgruppe unter dem Namen **DPMRADCOMTRUSTEDMACHINES$PSNAME**, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.

- Erstellen Sie eine Sicherheitsgruppe unter dem Namen **DPMRADMTRUSTEDMACHINES$PSNAME**, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.

- Erstellen Sie eine Sicherheitsgruppe unter dem Namen **DPMRATRUSTEDDPMRAS$PSNAME**, und fügen Sie dann den DPM-Servercomputer als Mitglied hinzu.

- Fügen Sie das Computerkonto des DPM-Servers der Sicherheitsgruppe **Builtin\\Distributed Com Users** als Mitglied hinzu.

  3. Vergewissern Sie sich, dass die zuvor erstellten Sicherheitsgruppen auf dem RODC repliziert wurden. Installieren Sie dann den Schutz-Agent manuell auf dem RODC.

  4. Führen Sie auf dem RODC-Server folgende Schritte aus, um Berechtigungen zum Starten und Aktivieren des DPMRA-Diensts zu erteilen:

    1. Öffnen Sie die DPM-Verwaltungsshell, und führen Sie den Befehl dcomcnfg.exe aus.

      Es wird das Fenster Komponentendienste geöffnet.

    2. Erweitern Sie im Fenster Komponentendienste zunächst Computer und dann erneut Computer. Erweitern Sie "DCOM-Konfiguration", klicken Sie mit der rechten Maustaste auf den Dienst DPM RA, und klicken Sie auf Eigenschaften.

    3. Klicken Sie auf Allgemein, und wählen Sie für Authentifizierungsebene die Option Standard aus.

    4. Klicken Sie auf Speicherort, und stellen Sie sicher, dass nur Anwendung auf diesem Computer ausführen ausgewählt ist.

    5. Klicken Sie auf Sicherheit, wählen Sie unter Start- und Aktivierungsberechtigungen die Option Anpassen, wählen Sie erneut Anpassen, und klicken Sie dann auf Bearbeiten, um das Dialogfeld Startberechtigung zu öffnen.

    6. Erteilen Sie dem Computerkonto des DPM-Servers im Dialogfeld Startberechtigung die Berechtigungen für Lokaler Start, Remotestart, Lokale Aktivierung und Remoteaktivierung.

    7. Klicken Sie auf OK, um das Dialogfeld zu schließen.

    8. Navigieren Sie auf dem DPM-Server zu %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup, und kopieren Sie die folgenden Dateien in einen Ordner auf dem RODC-Server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Führen Sie auf dem RODC an einer Eingabeaufforderung mit erhöhten Rechten den Befehl setagentcfg.exe a DPMRA domain\DPMserver von dem im vorherigen Schritt angegebenen Speicherort aus aus.

  6. Wechseln Sie auf dem RODC-Server zum Ordner "C:\Programme\Microsoft Data Protection Manager\DPM\bin", und führen Sie den Befehl "setdpmserver" aus:

    Setdpmserver -dpmservername DPMSERVER

  7. Fügen Sie dem DPM-Server den Schutz-Agent an. Siehe Anfügen des DPM-Schutz-Agents.

Installieren des Schutz-Agents mithilfe eines Serverabbilds

  1. Geben Sie auf dem Computer, auf dem Sie den Schutz-Agent installieren möchten, an einer Eingabeaufforderung DpmAgentInstaller.exe ein.

  2. Wenden Sie das Serverabbild auf einen physischen Computer an, und schalten Sie diesen online.

  3. Fügen Sie den Computer in eine Domäne ein, und melden Sie sich über ein Domänenbenutzerkonto, das Mitglied der lokalen Administratorgruppe ist, an.

  4. Wechseln Sie an einer Eingabeaufforderung zu cd <Systemlaufwerkbuchstabe>:\Programme\Microsoft Data Protection Manager\bin, und führen Sie SetDpmServer.exe <Name des DPM-Servers> aus.

    Geben Sie den vollqualifizierten Domänennamen des DPM-Servers ein. Geben Sie für die Domäne des geschützten Computers bzw. für alle Domänen übergreifend eindeutige Computernamen nur den Computernamen ein.

    System_CAPS_importantWichtig

    Sie müssen "SetDpmServer.exe" von <Laufwerkbuchstabe>:\Programme\Microsoft Data Protection Manager\bin aus ausführen. Wenn Sie das Programm von einem anderen Ort aus ausführen, schlägt der Vorgang fehl.

  5. Fügen Sie den Agent an. Siehe Anfügen des DPM-Schutz-Agents.

Installieren des Schutz-Agents über System Center Configuration Manager

  1. Um eine Anwendung für den DPM-Schutz-Agent zu erstellen, müssen Sie die folgenden Informationen für den Configuration Manager-Administrator bereitstellen:

    - Einen Freigabepfad zu den Dateien **DpmAgentInstaller.exe** und **DpmAgentInstaller\_AMD64.exe**.

- Eine Liste der Server, auf denen die Schutz-Agents installiert werden sollen.

- Den Namen des DPM-Servers.

  2. Die SCCM-Anwendung für den Agent sollte eine der folgenden Befehlszeilen aufrufen:

    - Führen Sie für x86-Computer **DPMAgentinstaller.exe /q*\<FQDN DPM-Servername\>*/IAcceptEula** aus.

- Führen Sie für x64-Computer **DPMAgentInstaller\_x64.exe /q*\<FQDN DPM-Servername\>*/IAcceptEula** aus.

  3. So installieren Sie einen X64-Schutz-Agent über SCCM:

    1. Erstellen Sie eine Anwendung, die DPMAgentinstaller_x64.exe /q<FQDN DPM-Servername>/IAcceptEula** ausführt.

    2. Erstellen Sie eine Computersammlung aus Zielsystemen, die denselben Agent-Typ für jeden DPM-Server verwenden. Erstellen Sie die Anwendung für Systeme, die dem angegebenen DPM-Computer zugeordnet werden.