De DPM-beveiligingsagent installeren

Gepubliceerd: maart 2016

Is van toepassing op: System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager

U installeert de beveiligingsagent op computers en servers die u wilt beveiligen met de wizard Beveiligingsagent installeren om beveiligingsagents te installeren die zich buiten een firewall bevinden. Voor computers die zich achter een firewall bevinden of die zich in een werkgroep of een domein bevinden dat geen tweerichtingsvertrouwensrelatie heeft met het domein van de System Center 2012 – Data Protection Manager (DPM)-server kunt u de beveiligingsagents handmatig installeren. Nadat u een beveiligingsagent handmatig hebt geïnstalleerd, moet u vervolgens de agent koppelen in de DPM Administrator-console om de beveiliging in te schakelen. Zie De agent op een computer achter een firewall installeren [DPM2012_Web] voor informatie over het installeren van beveiligingsagents op computers die zich achter een firewall bevinden. Zie De agent op een computer installeren die zich in een werkgroep of niet-vertrouwd domein bevindt [DPM2012_Web], als u beveiligingsagents wilt installeren op computers die zich in een werkgroep of een domein bevinden dat geen tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt.

• De beveiligingsagent installeren via de DPM-console—Gebruik deze procedure voor het installeren van de agent op een computer buiten een firewall of op een computer waarop de firewall kan worden gewijzigd door de procedure voor het toestaan van communicatie tussen de agent en de DPM-server.

• De beveiligingsagent handmatig installeren—Gebruik deze procedure als de computer zich achter een firewall bevindt die verkeer tussen de agent en de DPM-server blokkeert of als u problemen met het netwerk of machtigingen ondervindt.

• De beveiligingsagent op computers in een werkgroep of een niet-vertrouwd domein installeren: in dit geval moet u een certificaat voor verificatie configureren en vervolgens de agent installeren. Zie Computers in werkgroepen en niet-vertrouwde domeinen beveiligen voor meer informatie.

• De beveiligingsagent op een RODC installeren— U kunt de agent installeren op een alleen-lezen domeincontroller (RODC). Als een firewall is ingeschakeld op de RODC, moet u de firewall uitschakelen of de volgende opdrachten uitvoeren voordat u de agent installeert.

• De beveiligingsagent installeren met een serverinstallatiekopie— U kunt een serverinstallatiekopie gebruiken om een beveiligingsagent te installeren zonder de DPM-server op te geven met DPMAgentInstaller.exe. Nadat de installatiekopie op de computer is toegepast en de computer online is geplaatst, voert u SetDpmServer.exe uit om de configuratie te voltooien en de firewalluitzonderingen te maken.

• De beveiligingsagent met System Center Configuration Manager installeren — Als u bekend bent met het maken en implementeren van toepassingen in System Center Configuration Manager, kunt u System Center Configuration Manager gebruiken voor het installeren van een DPM-beveiligingsagent op doelsystemen. Zie Toepassingen maken in Configuration Manager voor meer informatie over het maken van toepassingen in Configuration Manager.

1. In DPM Administrator-console klikt u op Beheer > Agents. Klik op Installeren in het lint met hulpmiddelen om de wizard Beveiligingsagent installeren te openen.

2. Klik op de pagina Implementatiemethode voor agent selecteren op Agents installeren > Volgende.

3. Op de pagina Computers selecteren toont DPM een lijst van beschikbare computers die zich in hetzelfde domein als de DPM-server bevinden. Voeg de vereiste computer toe.

   • De eerste keer dat u de wizard gebruikt, vraagt DPM Active Directory om een lijst met beschikbare computers. Na de eerste installatie slaat DPM de lijst van computers in de database ervan op, die eenmaal per dag wordt bijgewerkt door het automatisch detectieproces.

   • Als u een computer wilt vinden in een ander domein dat een tweerichtingsvertrouwensrelatie heeft met het domein van de DPM-server, moet u de Fully Qualified Domain Name invoeren van de computer die u wilt beveiligen (bijvoorbeeld, <Computer1>.Domain1.contoso.com, waarbij Computer1 de naam is van de computer die u wilt beveiligen en Domain1.contosa.com het domein is waartoe de doelcomputer behoort.

   • De knop Geavanceerd op de pagina is enkel ingeschakeld wanneer er meer dan één versie is van een beveiligingsagent die beschikbaar is voor installatie op de computers. U kunt deze optie gebruiken om een eerdere versie van de beveiligingsagent te installeren die was geïnstalleerd voor dat u DPM-server naar een recentere versie hebt bijgewerkt.

4. Voer op de pagina Referenties invoeren de gebruikersnaam en het wachtwoord in voor een domeinaccount die een lid is van de lokale beheerdersgroep op alle geselecteerde computers.

   • Aanvaard of voer in het vak Domein de domeinnaam van de gebruikersaccount in die u gebruikt om de beveiligingsagent op de doelcomputer te installeren. Deze account kan behoren tot het domein waarin de DPM-server zich bevindt of tot een domein dat een tweerichtingsvertrouwensrelatie heeft met het domein waarin de DPM-server zich bevindt.

   • Als u een beveiligingsagent installeert op een computer binnen een vertrouwd domein, geef dan uw huidige domeingebruikersreferenties in. U kunt een lid van eender welk domein zijn dat een tweerichtingsvertrouwensrelatie heeft met het domein van de DPM-server en u moet lid zijn van de lokale beheerdersgroep op alle geselecteerde computers waarop u een agent wilt installeren.

   • Als u een knooppunt in een cluster selecteert, detecteert DPM alle aanvullende knooppunten in de cluster en toont het de pagina Clusterknooppunten selecteren.

5. Op de pagina Clusterknooppunten selecteren selecteert u een optie waarvan u wilt dat DPM die gebruikt voor het installeren van agents op extra knooppunten in het cluster en klikt u vervolgens op Volgende.

6. Kies op de pagina Methode voor opnieuw opstarten selecteren de methode om te gebruiken om de geselecteerde computers opnieuw op te starten nadat de beveiligingsagent is geïnstalleerd. De computer moet opnieuw worden opgestart voordat u gegevens kunnen beginnen beveiligen. Een heropstart is noodzakelijk om de volumefilter te laden die DPM gebruikt om wijzigingen op blokniveau op te volgen en over te dragen tussen DPM-server en de beveiligde computers.

   • Als u instelt dat de computers later opnieuw moeten worden opgestart, wordt de installatiestatus van de beveiligingsagent na het opstarten van de computer niet automatisch vernieuwd op het tabblad Agents in het taakgebied Beheer en moet u eerst op Gegevens vernieuwen klikken.

   • U hoeft de computer niet opnieuw op te starten als u een beveiligingsagent op een andere DPM-server installeert.

   • Als een van de computers die u hebt geselecteerd, knooppunten in een cluster zijn, wordt een extra pagina Methode voor opnieuw opstarten selecteren getoond die u kunt gebruiken om de methode te selecteren om de geclusterde computers opnieuw op te starten. U moet een beveiligingsagent installeren op alle knooppunten in een cluster om de geclusterde gegevens te beveiligen. De computers moeten opnieuw worden opgestart voordat u gegevens kunt beginnen beveiligen. Omwille van de tijd die nodig is om services te starten, kan het enkele minuten duren na een heropstart voordat DPM contact kan maken met de agent op de cluster.

   • DPM zal een computer niet automatisch opnieuw opstarten die behoort tot een Microsoft Cluster Server (MSCS)-cluster. U moet computers handmatig opnieuw opstarten in een MSCS-cluster.

7. Klik op de pagina Overzicht op Installeren om de installatie te beginnen. Als de gebruiksrechtovereenkomst wordt weergegeven, accepteert u deze zodat de installatie wordt gestart. Op het tabblad Taak van de pagina Installatie ziet u of de installatie is voltooid. U kunt op Sluiten klikken voordat de wizard is voltooid en de installatievoortgang in het tabblad Agents in het taakgebied Beheer controleren. Als de installatie mislukt is, kunt u de waarschuwingen bekijken op het tabblad Waarschuwingen in het taakgebied Bewaking.

   Opmerking: Nadat u een beveiligingsagent op een computer hebt geïnstalleerd die deel uitmaakt van een Windows SharePoint Services-farm, wordt niet elke computer in de farm weergegeven als beveiligde computer op het tabblad Agents in het taakgebied Beheer, maar alleen de computer die u hebt geselecteerd. Als de Windows SharePoint Services-farm echter gegevens heeft op de geselecteerde computer, beveiligt DPM de gegevens op al de computers in de farm, op voorwaarde dat op allemaal de beveiligingsagent is geïnstalleerd.

1. Als u de agent op een computer achter een firewall installeert, moet u ervoor te zorgen dat de agent kan worden geactiveerd via de firewall.

   U kunt bijvoorbeeld de volgende opdracht op de computer uitvoeren om Windows Firewall te configureren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, waarbij IPAddress staat voor het adres van de DPM-server.

   Zie Firewall-uitzonderingen voor de agent configureren voor meer informatie over het configureren van een poortuitzondering voor de firewall .

2. Open op de computer die u wilt beveiligen een opdrachtpromptvenster, en voer vervolgens de volgende opdrachten uit:

   Als u een stationsletter wilt toewijzen, typt u:
   net use Z: \\<DPMServerName>\c$
   , waarbij Z de letter is voor het lokale station die u wilt toewijzen en <DPMServerName> de naam is van de DPM-server die voor de beveiliging van de computer zorgt.

   Als u de map wilt wijzigen, doet u het volgende:

   • Voor een 64-bits computer typt u **cd /d <toegewezen stationsletter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<buildnummer>.0\amd64** waarbij <toegewezen stationsletter> de stationsletter is die u in de vorige stap hebt toegewezen en <buildnummer> de laatste buildnummer voor DPM is. Bijvoorbeeld: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

   • Voor een 32-bits computer typt u: **cd /d <toegewezen stationsletter>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.<buildnummer>.0\i386**
     waarbij <toegewezen stationsletter> het station is dat u in de vorige stap hebt toegewezen en <buildnummer> de laatste buildnummer voor DPM is.

3. Open een opdrachtprompt met verhoogde bevoegdheid om de beveiligingsagent te installeren en voer vervolgens een van de volgende opdrachten uit:

   • Voor een 64-bits computer typt u: DpmAgentInstaller_x64.exe <DPMServerName>
     waarbij <DPMServerName> de Fully Qualified Domain Name (FQDN) is van de DPM-server. Bijvoorbeeld: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

   • Voor een 32-bits computer typt u: DpmAgentInstaller_x86.exe <DPMServerName>
     waarbij <DPMServerName> de Fully Qualified Domain Name (FQDN) is van de DPM-server.

   Opmerking:

   • Om een installatie op de achtergrond uit te voeren, kunt u de optie /q na de opdracht DpmAgentInstaller_x64.exe gebruiken, bijvoorbeeld: DpmAgentInstaller_x64.exe /q <DPMServerName>

   • U kunt de gebruiksrechtovereenkomst handmatig in een installatie op de achtergrond accepteren met DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA

   • Als u een DPM-servernaam in de opdrachtregel opgeeft, installeert het de beveiligingsagent, en configureert het automatisch de beveiligingaccounts, machtigingen en firewalluitzonderingen die noodzakelijk zijn opdat de agent zou kunnen communiceren met de opgegeven DPM-server. Als u geen servernaam hebt opgegeven, opent u een opdrachtprompt met verhoogde bevoegdheid op de doelcomputer en doet u het volgende:

     1. U wijzigt als volgt het maptype: cd /d <systeemstation>:\Program Files\Microsoft Data Protection Manager\DPM\bin

     2. Type: SetDpmServer.exe –dpmServerName <DPMServerName>. Hiermee configureert u beveiligingsaccounts, machtigingen en firewalluitzonderingen zodat de agent met de server kan communiceren.

4. Als u de computer hebt toegevoegd aan de DPM-server voordat u de agent hebt geïnstalleerd, begint de DPM-server back-ups te maken voor de beveiligde computer. Als u de agent hebt geïnstalleerd voordat u de computer hebt toegevoegd aan de DPM-server, moet u de computer koppelen voordat de DPM-server back-ups begint te maken. Raadpleeg De DPM-beveiligingsagent koppelen.

1. Schakel de firewall op de RODC uit of voer de volgende opdrachten uit op de RODC voordat u de agent installeert:

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

   • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

   • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

   • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

2. Op de primaire domeincontroller maakt u de volgende beveiligingsgroepen en vul u ze vervolgens in, waarbij de beveiligde servernaam de naam van de RODC is, waarop u de beveiligingsagent gaat installeren.

   • Maak een beveiligingsgroep met de naam DPMRADCOMTRUSTEDMACHINES$PSNAME, en voeg de DPM-servermachineaccount vervolgens toe als een lid.

   • Maak een beveiligingsgroep met de naam DPMRADMTRUSTEDMACHINES$PSNAME, en voeg de DPM-servermachineaccount vervolgens toe als een lid.

   • Maak een beveiligingsgroep met de naam DPMRATRUSTEDDPMRAS$PSNAME en voeg vervolgens het DPM-serveraccount toe als een lid van de groep.

   • Voeg de DPM-servermachineaccount toe als een lid van de Builtin\Distributed Com Users-beveiligingsgroep.

3. Zorg ervoor dat de beveiligingsgroepen die u eerder hebt gemaakt, gerepliceerd zijn op de RODC. Installeer vervolgens handmatig de beveiligingsagent op de RODC.

4. Voer op de RODC-server de volgende stappen uit om machtigingen voor starten en activeren voor de DPMRA-service toe te kennen:

   1. Open DPM-beheershell, en voer de opdracht dcomcnfg.exe vervolgens uit.

      Het venster Component Services wordt geopend.

   2. Vouw in het venster Component Services de optie Computers uit, vouw Mijn computer en vervolgens DCOM Config uit, klik met de rechtermuisknop op de service DPM RA en klik vervolgens op Eigenschappen.

   3. Klik op Algemeen, en stel vervolgens het Verificatieniveau op Standaard in.

   4. Klik op Locatie, en zorg er dan voor dat alleen De toepassing op deze computer uitvoeren is geselecteerd.

   5. Klik op Beveiliging, selecteer Aanpassen onder Machtigingen voor starten en activeren, selecteer Aanpassen en klik vervolgens op Bewerken om het dialoogvenster Machtiging voor starten te openen.

   6. Wijs in het dialoogvenster Machtiging voor starten machtigingen toe voor Lokaal starten, Extern starten, Lokaal activeren en Extern activeren voor de DPM-servermachineaccount.

   7. Klik op OK om het dialoogvenster te sluiten.

   8. Ga naar %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup op de DPM-server en kopieer de volgende bestanden naar een map op de RODC-server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

5. Voer op de RODC, in een opdrachtprompt met verhoogde bevoegdheden, de opdracht setagentcfg.exe a DPMRA domain\DPMserver uit vanaf de locatie die u in de vorige stap hebt opgegeven.

6. Blader op de RODC-server naar de map C:\Program Files\Microsoft Data Protection Manager\DPM\bin en voer de setdpmserver-opdracht uit:

   Setdpmserver -dpmservername DPMSERVER

7. Koppel de beveiligingsagent met de DPM-server. Raadpleeg De DPM-beveiligingsagent koppelen.

1. Op de computer waarop u de beveiligingsagent wilt installeren, typt u aan een opdrachtprompt DpmAgentInstaller.exe.

2. Pas de serverinstallatiekopie op een fysieke computer toe, en breng de computer vervolgens online.

3. Koppel de computer met een domein, en meldt u vervolgens aan met een domeingebruikersaccount die lid is van de lokale beheerdersgroep.

4. Ga in een opdrachtprompt naar cd <letter systeemstation>:\Program Files\Microsoft Data Protection Manager\bin en voer SetDpmServer.exe <naam DPM-server> uit.

   Geef de volledig gekwalificeerde domeinnaam (FQDN) voor de DPM-server. Geef voor het domein van de beveiligde computer of voor unieke computernamen binnen domeinen enkel de computernaam.

   Belangrijk
   U moet SetDpmServer.exe uitvoeren vanuit <stationsletter>:\Program Files\Microsoft Data Protection Manager\bin. Als u het programma van een andere locatie uitvoert, zal de bewerking mislukken.

5. Koppel de agent. Raadpleeg De DPM-beveiligingsagent koppelen.

1. Als u een toepassing voor de DPM-beveiligingsagent wilt maken, moet u de volgende gegevens opgeven aan de Configuration Manager-beheerder:

   • Het sharepad naar de DpmAgentInstaller.exe- en DpmAgentInstaller_AMD64.exe-bestanden.

   • Een lijst met servers waarop u de beveiligingsagents wilt installeren.

   • De naam van de DPM-server.

2. De SCCM-toepassing voor de agent moet een van de volgende opdrachtregels aanroepen:

   • Voor x86-computers voert u DPMAgentinstaller.exe /q <FQDN van DPM-servernaam> /IAcceptEula uit.

   • Voor x64-computers voert u DPMAgentInstaller_x64.exe /q <FQDN van DPM-servernaam> /IAcceptEula uit.

3. U kunt als volgt een X64-beveiligingsagent installeren met SCCM:

   1. Maak een toepassing die DPMAgentinstaller_x64.exe /q <FQDN van DPM-servernaam> /IAcceptEula uitvoert.

   2. Maak een computerverzameling van doelsystemen die voor elke DPM-server gebruikmaken van hetzelfde agenttype. Maak systemen die aan de opgegeven DPM-computer worden toegewezen tot doel van de toepassing.