• Cikk

A DPM védelmi ügynök telepítése

 

Érvényes: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

A számítógépek és kiszolgálók védelmét a védelmi ügynökkel biztosíthatja, amelyet a tűzfalon kívül a védelmi ügynökök telepítővarázslójával telepíthet. A tűzfal mögött található és a System Center 2012 – Data Protection Manager (DPM)-kiszolgáló tartományával kétirányú megbízhatósági kapcsolattal nem rendelkező munkacsoportok vagy tartományok számítógépeire manuálisan telepíthető a védelmi ügynök. A védelmi ügynök manuális telepítése után a DPM felügyeleti konzolján csatlakoztatnia kell az ügynököt a védelem engedélyezéséhez. A tűzfal mögött található számítógépekre Az ügynök telepítése tűzfal mögötti számítógépre [DPM2012_Web] című témakörben leírtak szerint telepíthet védelmi ügynököket. Ha munkacsoportbeli számítógépekre szeretne védelmi ügynököket telepíteni, vagy olyan tartomány számítógépeire, amelynek nincs kétirányú megbízhatósági kapcsolata a DPM-kiszolgáló tartományával, olvassa el Az ügynök telepítése munkacsoportban vagy nem megbízható tartományban lévő számítógépre [DPM2012_Web] című témakört.

  • A védelmi ügynök telepítése a DPM-konzolból – ezzel az eljárással telepítheti az ügynököt a tűzfalon kívüli és olyan számítógépekre, amelyeken az eljárás módosíthatja a tűzfalat, így lehetővé téve az ügynök és a DPM-kiszolgáló közti kommunikációt.

  • A védelmi ügynök kézi telepítése – ezt az eljárást akkor használja, ha a számítógép az ügynök és a DPM-kiszolgáló közti kommunikációt blokkoló tűzfal mögött van, illetve ha a hálózattal vagy engedélyekkel kapcsolatos problémába ütközik.

  • A védelmi ügynök telepítése munkacsoporthoz vagy nem megbízható tartományhoz tartozó számítógépekre – ebben a forgatókönyvben be kell állítania egy hitelesítési tanúsítványt, és ezután telepítheti az ügynököt. További információ: Munkacsoportokban vagy nem megbízható tartományokban található számítógépek védelme.

  • A védelmi ügynök telepítése írásvédett tartományvezérlőre – Az ügynököt írásvédett tartományvezérlőre (RODC) is telepítheti. Vegye figyelembe, hogy ha a tűzfal engedélyezve van az írásvédett tartományvezérlőn, az ügynök telepítése előtt a tűzfalat ki kell kapcsolnia, vagy futtatnia kell a következő parancsokat.

  • A védelmi ügynök telepítése kiszolgálói lemezkép használatával – a védelmi ügynököt telepítheti kiszolgálói lemezkép használatával a DPM-kiszolgáló megadása nélkül, a DPMAgentInstaller.exe segítségével. Miután alkalmazta a lemezképet a számítógépre, és a számítógép online állapotúra váltott, a SetDpmServer.exe futtatásával befejezheti a konfigurációt, és létrehozhatja a tűzfalkivételeket.

  • A védelmi ügynök telepítése a System Center Configuration Managerrel – ha tisztában van azzal, hogy miként hozhat létre és telepíthet alkalmazásokat a System Center Configuration Managerben, akkor ez utóbbi használatával is telepíthet DPM védelmi ügynököket a célszámítógépekre. Az Alkalmazások létrehozása a Configuration Managerben című témakör részletesen ír az alkalmazások Configuration Managerbeli létrehozásáról.

A védelmi ügynök telepítése a DPM-konzolból

  1. A DPM felügyeleti konzolon kattintson a Felügyelet > Ügynökök elemre. Kattintson az eszközök menüszalagjának Telepítés elemére a Védelmi ügynökök telepítővarázslójának megnyitásához.

  2. Az Ügynöktelepítési módszer kiválasztása oldalon kattintson az Ügynökök telepítése > Tovább elemre.

  3. A Számítógépek kiválasztása lapon a DPM megjeleníti azokat az elérhető számítógépeket, amelyek ugyanabban a tartományban találhatók, mint a DPM-kiszolgáló. Adja hozzá a kívánt számítógépet.

    - A varázsló első használatakor a DPM lekérdezi az elérhető számítógépek listáját az Active Directoryból. Az első telepítést követően a DPM az adatbázisában tárolja a számítógépek listáját, amelyet naponta frissít az automatikus felderítési folyamat.

- Ha olyan tartományban szeretne számítógépet keresni, amely kétirányú megbízhatósági kapcsolattal rendelkezik ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, a védeni kívánt számítógép teljes tartománynevét kell beírnia (például *\<Számítógép1\>***.Tartomány1.contoso.com**, ahol a *Számítógép1* elem a védeni kívánt számítógép neve, a *Tartomány1.contoso.com* összetevő pedig a célszámítógép tartománya).

- A **Speciális** gomb lapja csak akkor érhető el, ha a számítógépeken a védelmi ügynöknek több telepíthető verziója is elérhető. Ezzel a beállítással telepítheti a védelmi ügynök korábbi verzióját, amely a DPM-kiszolgáló újabb verzióra történő frissítése előtt volt telepítve.

  4. A Hitelesítő adatok megadása lapon írja be egy olyan tartományi fiók felhasználónevét és jelszavát, amely tagja a helyi Rendszergazdák csoportnak minden kijelölt számítógépen.

    - Fogadja el a **Tartomány** mezőben lévő tartományt, vagy írja be annak a felhasználói fióknak a tartománynevét, amelyet a védelmi ügynök telepítéséhez használt a célszámítógépen. Ez a fiók tartozhat ahhoz a tartományhoz, amelyben a DPM-kiszolgáló található, vagy olyan tartományhoz, amely kétirányú megbízhatósági kapcsolattal rendelkezik a DPM-kiszolgálót tartalmazó tartományhoz.

- Ha megbízható tartományon keresztül telepít védelmi ügynököt egy számítógépre, az aktuális tartományának felhasználói hitelesítő adatait adja meg. Ön tagja lehet bármely olyan tartománynak, amely kétirányú megbízhatósági kapcsolattal rendelkezik a DPM-kiszolgálót tartalmazó tartománnyal, és a helyi Rendszergazdák csoport tagjának kell lennie minden olyan számítógépen, amelyre ügynököt kíván telepíteni.

- Ha kiválaszt egy fürtben lévő csomópontot, a DPM felismeri a fürtben lévő további csomópontokat, és megjeleníti a **Fürtcsomópontok kiválasztása** lapot.

  5. A Fürtcsomópontok kiválasztása oldalon válassza ki, hogy a DPM milyen beállítás szerint telepítse az ügynököket a fürt további csomópontjaira, majd kattintson a Tovább gombra.

  6. Az Újraindítási módszer kiválasztása lapon válassza ki az újraindítási módszert, amelyet a kiválasztott számítógépek újraindításához kell majd használni a védelmi ügynök telepítése után. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. Az újraindításra azért van szükség, hogy a rendszer betöltse azt a kötetszűrőt, amelye a DPM a blokkszintű változások követéséhez és átviteléhez használ a DPM-kiszolgáló és a védett számítógépek között.

    - Ha a későbbi újraindítást választja, akkor a számítógép újraindítása után a védelmi ügynök telepítési állapota nem frissül automatikusan a **Felügyelet** feladatterület **Ügynökök** lapján, ezért az **Adatok frissítése** elemre kell kattintania.

- Ha a védelmi ügynököt másik DPM-kiszolgálóra telepíti, a számítógép újraindítása nem szükséges.

- Ha a kiválasztott számítógépek bármelyike egy fürt csomópontja, megjelenik egy további **Újraindítási módszer kiválasztása** lap is, amelyen kiválaszthatja a fürtben lévő számítógépek újraindítási módszerét. A fürtözött adatok sikeres védelméhez a fürt összes csomópontjára telepítenie kell egy védelmi ügynököt. A számítógépeket újra kell indítani ahhoz, hogy érvénybe lépjen az adatok védelme. A szolgáltatások elindításához szükség van egy kis időre, ezért az újraindítás után néhány percet igénybe vehet, hogy a DPM csatlakozni tudjon a fürtben lévő ügynökhöz.

- A DPM nem indítja újra automatikusan a Microsoft Fürtkiszolgáló szolgáltatás (MSCS) fürtjeihez tartozó számítógépeket. Az MSCS-fürtökben lévő számítógépeket kézzel kell újraindítania.

  7. Az Összefoglalás lapon kattintson a Telepítés elemre a telepítés elkezdéséhez. Ha megjelenik a végfelhasználói licencszerződés, fogadja el a telepítés megkezdéséhez. A Telepítés oldal Feladat lapján láthatja, hogy a telepítés sikeres-e. Ha a Bezárás gombra kattint, mielőtt a varázsló befejeződne, a telepítési folyamatot a Felügyelet feladatterület Ügynökök lapján követheti nyomon. Ha a telepítés sikertelen, a riasztásokat a Figyelés nézet Riasztások lapján tekintheti át.

    Megjegyezés: Ha a védelmi ügynököt olyan számítógépre telepítette, amely egy Windows SharePoint Services-farm része, a Felügyelet feladatterület Ügynökök lapján csak a kiválasztott számítógép fog megjelenni védett számítógépként, a farm többi számítógépe nem. Ha azonban a Windows SharePoint Services-farm adatokat tárol a kiválasztott számítógépen, a DPM a farmban lévő összes számítógépen védeni fogja az adatokat, ha az összes számítógépen telepítve van a védelmi ügynök.

A védelmi ügynök kézi telepítése

  1. Ha tűzfal mögötti számítógépre telepíti az ügynököt, bizonyosodjon meg arról, hogy az ügynök átjuthat a tűzfalon.

    A Windows tűzfal megfelelő konfigurálásához például futtassa a számítógépen a netsh advfirewall firewall add rule name="Távoli DPM-ügynök leküldésének engedélyezése" dir=in action=allow service=any enable=yes profile=any remoteip=<IP_cím> parancsot (az <IP-cím> összetevő a DPM-kiszolgáló címe).

    A tűzfal portkivételeinek konfigurálásáról a Tűzfalkivétel konfigurálása az ügynök számára című témakörben olvashat.

  2. A védeni kívánt számítógépen nyisson meg egy emelt jogosultságszintű parancssort, és futtassa a következő parancsokat:

    Ha meghajtóbetűjelet szeretne hozzárendelni, írja be a
    net use Z: \\<DPM_kiszolgáló_neve>\c$ 
    parancsot (a Z elem a hozzárendelni kívánt helyi meghajtóbetűjel, a <DPM_kiszolgáló_neve> összetevő pedig a számítógépet védő DPM-kiszolgáló neve).

    A könyvár módosításához tegye a következőt:

    - 64 bites számítógép esetén írja be a **cd /d *\<hozzárendelt\_meghajtóbetűjel\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<build\_száma\>*.0\\amd64** parancsot, ahol a *\<hozzárendelt\_meghajtóbetűjel\>* elem az előző lépésben hozzárendelt meghajtóbetűjelet jelöli, a *\<build\_száma\>* összetevő pedig a DPM-build számával egyenlő. Például: **cd /d X:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.7696.0\\amd64**

- 32 bites számítógép esetén a **cd /d *\<hozzárendelt\_meghajtóbetűjel\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<build\_száma\>*.0\\i386**   
  parancsot kell beírnia, ahol a *\<hozzárendelt\_meghajtóbetűjel\>* elem az előző lépésben hozzárendelt meghajtóbetűjelet jelöli, a *\<build\_száma\>* összetevő pedig a DPM-build számával egyenlő.

  3. A védelmi ügynök telepítéséhez nyisson meg egy rendszergazda jogú parancssort, majd futtassa a következő parancsokat:

    - 64 bites számítógép esetén: **DpmAgentInstaller\_x64.exe *\<DPM\_kiszolgáló\_neve\>***   
  , ahol a *\<DPM\_kiszolgáló\_neve\>* elem a DPM-kiszolgáló teljes tartományneve. Például: **DPMAgentInstaller\_x64.exe DPM-server1.contoso.com**

- 32 bites számítógép esetén írja be a következőt: **DpmAgentInstaller\_x86.exe *\<DPM\_kiszolgáló\_neve\>***   
  , ahol a *\<DPM\_kiszolgáló\_neve\>* elem a DPM-kiszolgáló teljes tartományneve.

    Megjegyezés:

    - Beavatkozás nélküli telepítés végrehajtásához használja a **/q** kapcsolót a **DpmAgentInstaller\_x64.exe** parancs után. Például: **DpmAgentInstaller\_x64.exe /q *\<DPM\_kiszolgáló\_neve\>***

- A végfelhasználói licencszerződés manuális elfogadásához a beavatkozás nélküli telepítés során használja a **DpmAgentInstaller\_x64.exe /q \<DPM\_kiszolgáló\_neve\> /IAcceptEULA** parancsot.

- Ha a parancssorban megadja egy DPM-kiszolgáló nevét, a kiszolgáló telepíti a védelmi ügynököt, és automatikusan konfigurálja a biztonsági fiókokat, az engedélyeket, valamint az ügynök és a megadott DPM-kiszolgáló közötti kommunikációhoz szükséges tűzfalkivételeket. Ha nem adott meg kiszolgálónevet, nyisson meg egy rendszergazda jogú parancssort a célzott számítógépen, és tegye a következőt:

  1.  Másik könyvtárra váltáshoz írja be a **cd /d *\<rendszermeghajtó\>*:\\Program Files\\Microsoft Data Protection Manager\\DPM\\bin** parancsot.

  2.  Írja be ezt a parancsot: **SetDpmServer.exe –dpmServerName *\<DPM\_kiszolgáló\_neve\>***. Ez konfigurálja a biztonsági fiókokat, az engedélyeket, valamint az ügynök és a kiszolgáló közötti kommunikációhoz szükséges tűzfalkivételeket.

  4. Ha a számítógépet az ügynök telepítése előtt adta hozzá a DPM-kiszolgálóhoz, a DPM-kiszolgáló megkezdi a védett számítógép biztonsági mentését. Ha az ügynököt azt megelőzően telepítette, hogy a számítógépet hozzáadta a DPM-kiszolgálóhoz, a számítógépet csatolnia kell, mielőtt a DPM-kiszolgáló elkezdi a biztonsági mentések létrehozását. Lásd: A DPM védelmi ügynök csatolása.

A védelmi ügynök telepítése írásvédett tartományvezérlőre

  1. Az ügynök telepítése előtt kapcsolja ki a tűzfalat az írásvédett tartományvezérlőn, vagy futtassa azon a következő parancsokat:

    - netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

- netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

- netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\\Microsoft Data Protection Manager\\DPM\\bin\\DPMRA.exe" profile=Any action=allow

- netsh advfirewall firewall add rule name=DPMRA\_DCOM\_135 dir=in action=allow  protocol=TCP localport=135 profile=Any

  2. Az elsődleges tartományvezérlőn hozza létre és töltse fel tagokkal a következő biztonsági csoportokat. A védett kiszolgáló neve legyen annak az RODC-nek a neve, amelyre a védelmi ügynököt kívánja telepíteni:

    - Hozzon létre egy **DPMRADCOMTRUSTEDMACHINES$PSNAME** nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló számítógépfiókját.

- Hozzon létre egy **DPMRADMTRUSTEDMACHINES$PSNAME** nevű biztonsági csoportot, majd adja hozzá tagként a DPM-kiszolgáló számítógépfiókját.

- Hozzon létre egy **DPMRATRUSTEDDPMRAS$PSNAME** nevű biztonsági csoportot, és vegye fel tagként a DPM-kiszolgáló számítógépfiókját.

- Adja hozzá tagként a DPM-kiszolgáló számítógépfiókját a **Beépített\\Elosztott Com-felhasználók** biztonsági csoporthoz.

  3. Győződjön meg róla, hogy a korábban létrehozott biztonsági csoportok replikálása megtörtént az RODC-n. Ezután telepítse manuálisan a védelmi ügynököt az írásvédett tartományvezérlőre.

  4. Az alábbi lépéseket az írásvédett tartományvezérlő kiszolgálóján elvégezve indítási és aktiválási engedélyeket adhat a DPMRA szolgáltatásnak:

    1. Nyissa meg a DPM felügyeleti rendszerhéjat, és futtassa a dcomcnfg.exe parancsot.

      Megnyílik a Komponensszolgáltatások ablak.

    2. A Komponensszolgáltatások ablakban bontsa ki a Számítógépek, a Sajátgép, majd a DCOM-konfiguráció csomópontot, kattintson a jobb gombbal a DPMRA szolgáltatásra, és válassza a Tulajdonságok parancsot.

    3. Kattintson az Általános lehetőségre, majd állítsa a Hitelesítési szint beállítást az Alapértelmezett értékre.

    4. Kattintson a Hely elemre, majd győződjön meg róla, hogy csak Az alkalmazás futtatása ezen a számítógépen lehetőség van megjelölve.

    5. Kattintson a Biztonság elemre, az Indítási és aktiválási engedélyek csoportban válassza a Testreszabás lehetőséget, kattintson a Testreszabás elemre, és az Indítási engedély párbeszédpanel megnyitásához kattintson a Szerkesztés gombra.

    6. Az Indítási engedély párbeszédpanelben rendelje hozzá a Helyi indítás, Távoli indítás, Helyi aktiválás és Távoli aktiválás engedélyeket a DPM-kiszolgáló számítógépfiókjához.

    7. A párbeszédpanel bezárásához kattintson az OK gombra.

    8. Nyissa meg a DPM-kiszolgáló %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup mappáját, és másolja az alábbi fájlokat az írásvédett tartományvezérlő kiszolgálójának valamelyik mappájába.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Az írásvédett tartományvezérlő rendszergazda jogú parancssorából futtassa a setagentcfg.exe a DPMRA domain\DPMserver parancsot az előző lépésben megadott helyről.

  6. Nyissa meg a C:\Program Files\Microsoft Data Protection Manager\DPM\bin mappát az írásvédett tartományvezérlő kiszolgálóján, és futtassa a setdpmserver parancsot:

    Setdpmserver -dpmservername DPM_KISZOLGÁLÓ_NEVE

  7. Csatolja a védelmi ügynököt a DPM-kiszolgálóhoz. Lásd: A DPM védelmi ügynök csatolása.

A védelmi ügynök telepítése kiszolgálói lemezkép használatával

  1. A védelmi ügynök telepítéséhez választott számítógépen a parancssorba írja be a DpmAgentInstaller.exe parancsot.

  2. Alkalmazza a kiszolgálói lemezképet a fizikai számítógépre, majd állítsa online állapotúra a számítógépet.

  3. Csatlakoztassa tartományhoz a számítógépet, és jelentkezzen be olyan tartományi felhasználói fiókkal, amely a helyi Rendszergazdák csoport tagja.

  4. Írja be a parancssorba a cd <rendszermeghajtó_betűjele>:\Program Files\Microsoft Data Protection Manager\bin parancsot, és futtassa a SetDpmServer.exe <DPM_kiszolgáló_neve> parancsot.

    Adja meg a DPM-kiszolgáló teljes tartománynevét (FQDN). A védett számítógép tartománya vagy a tartományokban egyedi számítógépnevek esetében csak a számítógépnevet adja meg.

    System_CAPS_importantFontos

    A SetDpmServer.exe parancsot a <meghajtóbetűjel>:\Program Files\Microsoft Data Protection Manager\bin mappából kell futtatnia. Ha más helyről futtatja a programot, a művelet sikertelen lesz.

  5. Csatlakoztassa az ügynököt. Lásd: A DPM védelmi ügynök csatolása.

A védelmi ügynök telepítése a System Center Configuration Managerrel

  1. Ha létre szeretne hozni egy alkalmazást a DPM védelmi ügynökhöz, az alábbi adatokat kell megadnia a Configuration Manager rendszergazdájának:

    - a **DpmAgentInstaller.exe** és a **DpmAgentInstaller\_AMD64.exe** nevű fájl megosztási útvonala,

- azon kiszolgálók listája, amelyekre telepíteni szeretné a védelmi ügynököket,

- a DPM-kiszolgáló neve.

  2. Az ügynök SCCM-alkalmazásának a következő parancssorok egyikét kell meghívnia:

    - x86-os számítógépek esetén: **DPMAgentInstaller.exe /q *\<DPM\_kiszolgáló\_teljes\_tartományneve\>* /IAcceptEula**

- x64-es számítógépek esetén: **DPMAgentInstaller\_x64.exe /q *\<DPM\_kiszolgáló\_teljes\_tartományneve\>* /IAcceptEula**

  3. x64-es védelmi ügynök telepítése az SCCM használatával:

    1. Hozzon létre egy olyan alkalmazást, amely a DPMAgentinstaller_x64.exe /q <DPM_kiszolgáló_teljes_tartományneve> /IAcceptEula parancsot futtatja.

    2. Hozzon létre egy célszámítógépekből álló számítógép-gyűjteményt, amely ugyanazt az ügynöktípust használja az összes DPM-kiszolgálóhoz. Állítsa be az alkalmazást úgy, hogy a megadott DPM-számítógéphez rendelendő számítógépekre mutasson.