A DPM védelmi ügynök telepítése

 

Érvényes: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

A számítógépek és kiszolgálók védelmét a védelmi ügynökkel biztosíthatja, amelyet a tűzfalon kívül a védelmi ügynökök telepítővarázslójával telepíthet. A tűzfal mögött található és a System Center 2012 – Data Protection Manager (DPM)-kiszolgáló tartományával kétirányú megbízhatósági kapcsolattal nem rendelkező munkacsoportok vagy tartományok számítógépeire manuálisan telepíthető a védelmi ügynök. A védelmi ügynök manuális telepítése után a DPM felügyeleti konzolján csatlakoztatnia kell az ügynököt a védelem engedélyezéséhez. A tűzfal mögött található számítógépekre Az ügynök telepítése tűzfal mögötti számítógépre [DPM2012_Web] című témakörben leírtak szerint telepíthet védelmi ügynököket. Ha munkacsoportbeli számítógépekre szeretne védelmi ügynököket telepíteni, vagy olyan tartomány számítógépeire, amelynek nincs kétirányú megbízhatósági kapcsolata a DPM-kiszolgáló tartományával, olvassa el Az ügynök telepítése munkacsoportban vagy nem megbízható tartományban lévő számítógépre [DPM2012_Web] című témakört.

A védelmi ügynök telepítése a DPM-konzolból

  1. A DPM felügyeleti konzolon kattintson a Felügyelet > Ügynökök elemre. Kattintson az eszközök menüszalagjának Telepítés elemére a Védelmi ügynökök telepítővarázslójának megnyitásához.

  2. Az Ügynöktelepítési módszer kiválasztása oldalon kattintson az Ügynökök telepítése > Tovább elemre.

  3. A Számítógépek kiválasztása lapon a DPM megjeleníti azokat az elérhető számítógépeket, amelyek ugyanabban a tartományban találhatók, mint a DPM-kiszolgáló. Adja hozzá a kívánt számítógépet.

    • A varázsló első használatakor a DPM lekérdezi az elérhető számítógépek listáját az Active Directoryból. Az első telepítést követően a DPM az adatbázisában tárolja a számítógépek listáját, amelyet naponta frissít az automatikus felderítési folyamat.

    • Ha olyan tartományban szeretne számítógépet keresni, amely kétirányú megbízhatósági kapcsolattal rendelkezik ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, a védeni kívánt számítógép teljes tartománynevét kell beírnia (például <Számítógép1>.Tartomány1.contoso.com, ahol a Számítógép1 elem a védeni kívánt számítógép neve, a Tartomány1.contoso.com összetevő pedig a célszámítógép tartománya).

    • A Speciális gomb lapja csak akkor érhető el, ha a számítógépeken a védelmi ügynöknek több telepíthető verziója is elérhető. Ezzel a beállítással telepítheti a védelmi ügynök korábbi verzióját, amely a DPM-kiszolgáló újabb verzióra történő frissítése előtt volt telepítve.

  4. A Hitelesítő adatok megadása lapon írja be egy olyan tartományi fiók felhasználónevét és jelszavát, amely tagja a helyi Rendszergazdák csoportnak minden kijelölt számítógépen.

    • Fogadja el a Tartomány mezőben lévő tartományt, vagy írja be annak a felhasználói fióknak a tartománynevét, amelyet a védelmi ügynök telepítéséhez használt a célszámítógépen. Ez a fiók tartozhat ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, vagy olyan tartományhoz, amely kétirányú megbízhatósági kapcsolattal rendelkezik a DPM-kiszolgálót tartalmazó tartományhoz.

    • Ha megbízható tartományon keresztül telepít védelmi ügynököt egy számítógépre, az aktuális tartományának felhasználói hitelesítő adatait adja meg. Ön tagja lehet bármely olyan tartománynak, amely kétirányú megbízhatósági kapcsolattal rendelkezik a DPM-kiszolgálót tartalmazó tartománnyal, és a helyi Rendszergazdák csoport tagjának kell lennie minden olyan számítógépen, amelyre ügynököt kíván telepíteni.

    • Ha kiválaszt egy fürtben lévő csomópontot, a DPM felismeri a fürtben lévő további csomópontokat, és megjeleníti a Fürtcsomópontok kiválasztása lapot.

  5. A Fürtcsomópontok kiválasztása oldalon válassza ki, hogy a DPM milyen beállítás szerint telepítse az ügynököket a fürt további csomópontjaira, majd kattintson a Tovább gombra.

  6. Az Újraindítási módszer kiválasztása lapon válassza ki az újraindítási módszert, amelyet a kiválasztott számítógépek újraindításához kell majd használni a védelmi ügynök telepítése után. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. Az újraindításra azért van szükség, hogy a rendszer betöltse azt a kötetszűrőt, amelye a DPM a blokkszintű változások követéséhez és átviteléhez használ a DPM-kiszolgáló és a védett számítógépek között.

    • Ha a későbbi újraindítást választja, akkor a számítógép újraindítása után a védelmi ügynök telepítési állapota nem frissül automatikusan a Felügyelet feladatterület Ügynökök lapján, ezért az Adatok frissítése elemre kell kattintania.

    • Ha a védelmi ügynököt másik DPM-kiszolgálóra telepíti, a számítógép újraindítása nem szükséges.

    • Ha a kiválasztott számítógépek bármelyike egy fürt csomópontja, megjelenik egy további Újraindítási módszer kiválasztása lap is, amelyen kiválaszthatja a fürtben lévő számítógépek újraindítási módszerét. A fürtözött adatok sikeres védelméhez a fürt összes csomópontjára telepítenie kell egy védelmi ügynököt. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. A szolgáltatások elindításához szükség van egy kis időre, ezért az újraindítás után néhány percet igénybe vehet, hogy a DPM csatlakozni tudjon a fürtben lévő ügynökhöz.

    • A DPM nem indítja újra automatikusan a Microsoft Fürtkiszolgáló szolgáltatás (MSCS) fürtjeihez tartozó számítógépeket. Az MSCS-fürtökben lévő számítógépeket kézzel kell újraindítania.

  7. Az Összefoglalás lapon kattintson a Telepítés elemre a telepítés elkezdéséhez. Ha megjelenik a végfelhasználói licencszerződés, fogadja el a telepítés megkezdéséhez. A Telepítés oldal Feladat lapján láthatja, hogy a telepítés sikeres-e. Ha a Bezárás gombra kattint, mielőtt a varázsló befejeződne, a telepítési folyamatot a Felügyelet feladatterület Ügynökök lapján követheti nyomon. Ha a telepítés sikertelen, a riasztásokat a Figyelés nézet Riasztások lapján tekintheti át.

    Megjegyezés: Ha a védelmi ügynököt olyan számítógépre telepítette, amely egy Windows SharePoint Services-farm része, a Felügyelet feladatterület Ügynökök lapján csak a kiválasztott számítógép fog megjelenni védett számítógépként, a farm többi számítógépe nem. Ha azonban a Windows SharePoint Services-farm adatokat tárol a kiválasztott számítógépen, a DPM a farmban lévő összes számítógépen védeni fogja az adatokat, ha az összes számítógépen telepítve van a védelmi ügynök.

A védelmi ügynök kézi telepítése

  1. Ha tűzfal mögötti számítógépre telepíti az ügynököt, bizonyosodjon meg arról, hogy az ügynök átjuthat a tűzfalon.

    A Windows tűzfal megfelelő konfigurálásához például futtassa a számítógépen a netsh advfirewall firewall add rule name="Távoli DPM-ügynök leküldésének engedélyezése" dir=in action=allow service=any enable=yes profile=any remoteip=<IP_cím> parancsot (az <IP-cím> összetevő a DPM-kiszolgáló címe).

    A tűzfal portkivételeinek konfigurálásáról a Tűzfalkivétel konfigurálása az ügynök számára című témakörben olvashat.

  2. A védeni kívánt számítógépen nyisson meg egy emelt jogosultságszintű parancssort, és futtassa a következő parancsokat:

    Ha meghajtóbetűjelet szeretne hozzárendelni, írja be a
    net use Z: \\<DPM_kiszolgáló_neve>\c$ 
    parancsot (a Z elem a hozzárendelni kívánt helyi meghajtóbetűjel, a <DPM_kiszolgáló_neve> összetevő pedig a számítógépet védő DPM-kiszolgáló neve).

    A könyvár módosításához tegye a következőt:

    • 64 bites számítógép esetén írja be a cd /d <hozzárendelt_meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<build_száma>.0\amd64 parancsot, ahol a <hozzárendelt_meghajtóbetűjel> elem az előző lépésben hozzárendelt meghajtóbetűjelet jelöli, a <build_száma> összetevő pedig a DPM-build számával egyenlő. Például: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • 32 bites számítógép esetén a cd /d <hozzárendelt_meghajtóbetűjel>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<build_száma>.0\i386 
      parancsot kell beírnia, ahol a <hozzárendelt_meghajtóbetűjel> elem az előző lépésben hozzárendelt meghajtóbetűjelet jelöli, a <build_száma> összetevő pedig a DPM-build számával egyenlő.

  3. A védelmi ügynök telepítéséhez nyisson meg egy rendszergazda jogú parancssort, majd futtassa a következő parancsokat:

    • 64 bites számítógép esetén: DpmAgentInstaller_x64.exe <DPM_kiszolgáló_neve> 
      , ahol a <DPM_kiszolgáló_neve> elem a DPM-kiszolgáló teljes tartományneve. Például: DPMAgentInstaller_x64.exe DPM-server1.contoso.com

    • 32 bites számítógép esetén írja be a következőt: DpmAgentInstaller_x86.exe <DPM_kiszolgáló_neve> 
      , ahol a <DPM_kiszolgáló_neve> elem a DPM-kiszolgáló teljes tartományneve.

    Megjegyezés:

    • Beavatkozás nélküli telepítés végrehajtásához használja a /q kapcsolót a DpmAgentInstaller_x64.exe parancs után. Például: DpmAgentInstaller_x64.exe /q <DPM_kiszolgáló_neve>

    • A végfelhasználói licencszerződés manuális elfogadásához a beavatkozás nélküli telepítés során használja a DpmAgentInstaller_x64.exe /q <DPM_kiszolgáló_neve> /IAcceptEULA parancsot.

    • Ha a parancssorban megadja egy DPM-kiszolgáló nevét, a kiszolgáló telepíti a védelmi ügynököt, és automatikusan konfigurálja a biztonsági fiókokat, az engedélyeket, valamint az ügynök és a megadott DPM-kiszolgáló közötti kommunikációhoz szükséges tűzfalkivételeket. Ha nem adott meg kiszolgálónevet, nyisson meg egy rendszergazda jogú parancssort a célzott számítógépen, és tegye a következőt:

      1. Másik könyvtárra váltáshoz írja be a cd /d <rendszermeghajtó>:\Program Files\Microsoft Data Protection Manager\DPM\bin parancsot.

      2. Írja be ezt a parancsot: SetDpmServer.exe –dpmServerName <DPM_kiszolgáló_neve>. Ez konfigurálja a biztonsági fiókokat, az engedélyeket, valamint az ügynök és a kiszolgáló közötti kommunikációhoz szükséges tűzfalkivételeket.

  4. Ha a számítógépet az ügynök telepítése előtt adta hozzá a DPM-kiszolgálóhoz, a DPM-kiszolgáló megkezdi a védett számítógép biztonsági mentését. Ha az ügynököt azt megelőzően telepítette, hogy a számítógépet hozzáadta a DPM-kiszolgálóhoz, a számítógépet csatolnia kell, mielőtt a DPM-kiszolgáló elkezdi a biztonsági mentések létrehozását. Lásd: A DPM védelmi ügynök csatolása.

A védelmi ügynök telepítése írásvédett tartományvezérlőre

  1. Az ügynök telepítése előtt kapcsolja ki a tűzfalat az írásvédett tartományvezérlőn, vagy futtassa azon a következő parancsokat:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow  protocol=TCP localport=135 profile=Any

  2. Az elsődleges tartományvezérlőn hozza létre és töltse fel tagokkal a következő biztonsági csoportokat. A védett kiszolgáló neve legyen annak az RODC-nek a neve, amelyre a védelmi ügynököt kívánja telepíteni:

    • Hozzon létre egy DPMRADCOMTRUSTEDMACHINES$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló számítógépfiókját.

    • Hozzon létre egy DPMRADMTRUSTEDMACHINES$PSNAME nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló számítógépfiókját.

    • Hozzon létre egy DPMRATRUSTEDDPMRAS$PSNAME nevű biztonsági csoportot, és vegye fel tagként a DPM-kiszolgáló számítógépfiókját.

    • Adja hozzá tagként a DPM-kiszolgáló számítógépfiókját a Beépített\Elosztott Com-felhasználók biztonsági csoporthoz.

  3. Győződjön meg róla, hogy a korábban létrehozott biztonsági csoportok replikálása megtörtént az RODC-n. Ezután telepítse manuálisan a védelmi ügynököt az írásvédett tartományvezérlőre.

  4. Az alábbi lépéseket az írásvédett tartományvezérlő kiszolgálóján elvégezve indítási és aktiválási engedélyeket adhat a DPMRA szolgáltatásnak:

    1. Nyissa meg a DPM felügyeleti rendszerhéjat, és futtassa a dcomcnfg.exe parancsot.

      Megnyílik a Komponensszolgáltatások ablak.

    2. A Komponensszolgáltatások ablakban bontsa ki a Számítógépek, a Sajátgép, majd a DCOM-konfiguráció csomópontot, kattintson a jobb gombbal a DPMRA szolgáltatásra, és válassza a Tulajdonságok parancsot.

    3. Kattintson az Általános lehetőségre, majd állítsa a Hitelesítési szint beállítást az Alapértelmezett értékre.

    4. Kattintson a Hely elemre, majd győződjön meg róla, hogy csak Az alkalmazás futtatása ezen a számítógépen lehetőség van megjelölve.

    5. Kattintson a Biztonság elemre, az Indítási és aktiválási engedélyek csoportban válassza a Testreszabás lehetőséget, kattintson a Testreszabás elemre, és az Indítási engedély párbeszédpanel megnyitásához kattintson a Szerkesztés gombra.

    6. Az Indítási engedély párbeszédpanelben rendelje hozzá a Helyi indítás, Távoli indítás, Helyi aktiválás és Távoli aktiválás engedélyeket a DPM-kiszolgáló számítógépfiókjához.

    7. A párbeszédpanel bezárásához kattintson az OK gombra.

    8. Nyissa meg a DPM-kiszolgáló %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup mappáját, és másolja az alábbi fájlokat az írásvédett tartományvezérlő kiszolgálójának valamelyik mappájába.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Az írásvédett tartományvezérlő rendszergazda jogú parancssorából futtassa a setagentcfg.exe a DPMRA domain\DPMserver parancsot az előző lépésben megadott helyről.

  6. Nyissa meg a C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappát az írásvédett tartományvezérlő kiszolgálóján, és futtassa a setdpmserver parancsot:

    Setdpmserver -dpmservername DPM_KISZOLGÁLÓ_NEVE

  7. Csatolja a védelmi ügynököt a DPM-kiszolgálóhoz. Lásd: A DPM védelmi ügynök csatolása.

A védelmi ügynök telepítése kiszolgálói lemezkép használatával

  1. A védelmi ügynök telepítéséhez választott számítógépen a parancssorba írja be a DpmAgentInstaller.exe parancsot.

  2. Alkalmazza a kiszolgálói lemezképet a fizikai számítógépre, majd állítsa online állapotúra a számítógépet.

  3. Csatlakoztassa tartományhoz a számítógépet, és jelentkezzen be olyan tartományi felhasználói fiókkal, amely a helyi Rendszergazdák csoport tagja.

  4. Írja be a parancssorba a cd <rendszermeghajtó_betűjele>:\Program Files\Microsoft Data Protection Manager\bin parancsot, és futtassa a SetDpmServer.exe <DPM_kiszolgáló_neve> parancsot.

    Adja meg a DPM-kiszolgáló teljes tartománynevét (FQDN). A védett számítógép tartománya vagy a tartományokban egyedi számítógépnevek esetében csak a számítógépnevet adja meg.

    System_CAPS_importantFontos

    A SetDpmServer.exe parancsot a <meghajtóbetűjel>:\Program Files\Microsoft Data Protection Manager\bin mappából kell futtatnia. Ha más helyről futtatja a programot, a művelet sikertelen lesz.

  5. Csatlakoztassa az ügynököt. Lásd: A DPM védelmi ügynök csatolása.

A védelmi ügynök telepítése a System Center Configuration Managerrel

  1. Ha létre szeretne hozni egy alkalmazást a DPM védelmi ügynökhöz, az alábbi adatokat kell megadnia a Configuration Manager rendszergazdájának:

    • a DpmAgentInstaller.exe és a DpmAgentInstaller_AMD64.exe nevű fájl megosztási útvonala,

    • azon kiszolgálók listája, amelyekre telepíteni szeretné a védelmi ügynököket,

    • a DPM-kiszolgáló neve.

  2. Az ügynök SCCM-alkalmazásának a következő parancssorok egyikét kell meghívnia:

    • x86-os számítógépek esetén: DPMAgentInstaller.exe /q <DPM_kiszolgáló_teljes_tartományneve> /IAcceptEula

    • x64-es számítógépek esetén: DPMAgentInstaller_x64.exe /q <DPM_kiszolgáló_teljes_tartományneve> /IAcceptEula

  3. x64-es védelmi ügynök telepítése az SCCM használatával:

    1. Hozzon létre egy olyan alkalmazást, amely a DPMAgentinstaller_x64.exe /q <DPM_kiszolgáló_teljes_tartományneve> /IAcceptEula parancsot futtatja.

    2. Hozzon létre egy célszámítógépekből álló számítógép-gyűjteményt, amely ugyanazt az ügynöktípust használja az összes DPM-kiszolgálóhoz. Állítsa be az alkalmazást úgy, hogy a megadott DPM-számítógéphez rendelendő számítógépekre mutasson.

Megjelenítés: