Table of contents
TOC
Zwiń spis treści
Rozwiń spis treści

Wdrażanie agenta ochrony programu DPM

Mark Galioto|Ostatnia aktualizacja: 02.11.2016
|
1 Współautor

Dotyczy: System Center 2016 — Data Protection Manager

Agent ochrony programu DPM to oprogramowanie, które można zainstalować na wszystkich komputerach zawierających dane, dla których mają być wykonane kipie zapasowe za pomocą programu DPM. Agent ochrony składa się z dwóch elementów — samego agenta ochrony oraz koordynatora agenta. Oto, jakie pełni funkcje:

  • Identyfikuje dane, które program DPM może chronić i odzyskiwać.

  • Zezwala serwerowi programu DPM na przeglądanie udziałów, woluminów i folderów na komputerze chronionym.

  • Tworzy oddzielny dziennik zmian dla każdego chronionego woluminu i przechowuje ten dziennik na woluminie w ukrytym pliku. Rejestruje w dzienniku zmian wszystkie zmiany chronionych danych i transferuje dziennik z komputera chronionego do serwera programu DPM, aby umożliwić programowi DPM synchronizację danych podstawowych z repliką.

Skonfiguruj agenta w następujący sposób:

Konfigurowanie wyjątków zapory

Aby agent ochrony mógł komunikować się z serwerem programu DPM przez zaporę, wymagane jest wprowadzenie wyjątków zapory.

Skonfiguruj wyjątek ruchu przychodzącego dla programu sqservr.exe dla wystąpienia DPM programu SQL Server, aby umożliwić ruch TCP na porcie 80. Serwer raportów nasłuchuje żądań HTTP na porcie 80. W poniższej tabeli przedstawiono protokoły i porty wymagane do komunikacji między serwerem DPM i chronionymi serwerami i klientami.

ProtokółPortSzczegóły
DCOM135/TCP
(dynamiczny)
Protokół kontroli programu DPM używa protokołu DCOM. Program DPM wydaje polecenia agentowi ochrony za pomocą wywołania DCOM dla agenta. Agent ochrony odpowiada wywołaniem DCOM dla serwera programu DPM.

Port TCP o numerze 135 to punkt rozwiązywania punktu końcowego zabezpieczeń DCE używany przez protokół DCOM.

Domyślnie protokół DCOM przypisuje porty dynamicznie z zakresu portów TCP od 1024 do 65 535. Ten zakres można jednak skonfigurować przy użyciu usług składowych.

Należy pamiętać, że aby umożliwić komunikację między programem DPM i agentem, należy otworzyć górny zakres portów 1024-65535. Aby otworzyć porty, należy wykonać następujące czynności:

1. W okienku Połączenia Menedżera usług IIS 7.0 kliknij w drzewie węzeł na poziomie serwera.
2. Na liście funkcji dwukrotnie kliknij ikonę Obsługa zapory FTP.
3. Wprowadź zakres wartości dla opcji Zakres portów kanału danych.
4. Po wprowadzeniu zakresu portów dla usługi FTP w okienku Akcje kliknij przycisk Zastosuj, aby zapisać ustawienia konfiguracji.
TCP5718/TCP
5719/TCP
Kanał danych programu DPM korzysta z protokołu TCP. Zarówno program DPM, jak i chronione komputery inicjują połączenia, aby zezwolić programowi DPM na wykonywanie takich operacji, jak synchronizacja i odzyskiwanie.

Program DPM komunikuje się z koordynatorem agenta przez port 5718 oraz z agentem ochrony przez port 5719.
systemem DNS,53/UDPUżywany do rozpoznawania nazwy hosta podczas komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny.
Kerberos88/UDP 88/TCPUżywany do uwierzytelniania punktu końcowego połączenia podczas komunikacji między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny.
LDAP389/TCP
389/UDP
Używany do przesyłania zapytań podczas komunikacji między programem DPM a kontrolerem domeny.
NetBIOS137/UDP
138/UDP
139/TCP
445/TCP
Używany do wykonywania różnych operacji podczas komunikacji między programem DPM a komputerem chronionym, między programem DPM a kontrolerem domeny oraz między komputerem chronionym a kontrolerem domeny. Używany do ruchu SMB obsługiwanego bezpośrednio przez protokół TCP/IP na potrzeby funkcji programu DPM.

Instalacja agenta z konsoli programu DPM

  1. W konsoli administratora programu DPM kliknij pozycje Zarządzanie > Agenci. Kliknij pozycję Zainstaluj na wstążce narzędzia, aby otworzyć Kreatora instalacji agenta ochrony.

  2. Na stronie Wybierz metodę wdrożenia agenta kliknij pozycje Zainstaluj agentów > Dalej.

  3. Na stronie Wybierz komputery program DPM wyświetli listę komputerów dostępnych w tej samej domenie co serwer programu DPM. Dodaj wymagany komputer.

    • Przy pierwszym użyciu kreator programu DPM odpytuję usługę Active Directory o listę dostępnych komputerów. Po pierwszej instalacji program DPM przechowuje listę komputerów ze swojej bazy danych, która jest aktualizowana raz dziennie przez proces autowykrywania.

    • Aby znaleźć w innej domenie komputer mający dwukierunkową relację zaufania z domeną, w której znajduje się serwer DPM, należy wpisać w pełni kwalifikowaną nazwę domeny komputera, który ma być chroniony (na przykład <Komputer1>.Domena1.contoso.com*, gdzie *Komputer1 to nazwa komputera, który ma być chroniony, a Domena1.contoso.com to domena, do której należy komputer docelowy).

    • Przycisk Zaawansowane jest aktywny tylko wtedy, gdy do instalacji na komputerach jest dostępna więcej niż jedna wersja agenta ochrony. Jeśli przycisk jest aktywny, można go użyć, aby zainstalować poprzednią wersję agenta ochrony, która została zainstalowana przed uaktualnieniem serwera programu DPM do nowszej wersji.

  4. Na stronie Wprowadzanie poświadczeń wpisz nazwę użytkownika i hasło konta domeny, które jest członkiem lokalnej grupy administratorów na wszystkich wybranych komputerach.

    • W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika, dla którego chcesz zainstalować agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer programu DPM, lub do domeny, która ma ustanowioną dwukierunkową relację zaufania z domeną zawierającą serwer programu DPM.

    • Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej domeny, która ma ustanowioną dwukierunkową relację zaufania z domeną zawierającą serwer programu DPM oraz musisz być członkiem lokalnej grupy administratorów na wszystkich komputerach docelowych, na których chcesz zainstalować agenta ochrony.

    • Jeśli wybierzesz węzeł w klastrze, program DPM wykryje wszystkie dodatkowe węzły tego klastra i wyświetli stronę Wybierz węzły klastra.

  5. Na stronie Wybierz węzły klastra wybierz opcję, której program DPM ma używać podczas instalowania agentów na dodatkowych węzłach w klastrze, a następnie kliknij przycisk Dalej.

  6. Na stronie Wybierz metodę ponownego uruchomienia wybierz metodę ponownego uruchomienia, która ma być używana przez wybrane komputery po zainstalowaniu agenta ochrony. Komputer rozpocznie ochronę danych dopiero po ponownym uruchomieniu. Ponowne uruchomienie jest niezbędne, aby załadować filtr woluminu używany przez program DPM do śledzenia i transferowania zmian na poziomie bloku między serwerem programu DPM a komputerami chronionymi.

    • Jeśli wybrano opcję późniejszego ponownego uruchomienia komputera, stan instalacji agenta ochrony nie jest automatycznie odświeżany na karcie Agenci w obszarze zadań Zarządzanie po ponownym uruchomieniu komputera. Konieczne jest kliknięcie przycisku Odśwież informacje.

    • Należy pamiętać, że nie jest wymagane ponowne uruchomienie komputera, jeśli agent ochrony jest instalowany na innym serwerze DPM.

    • Jeśli jakikolwiek z wybranych komputerów jest węzłem w klastrze, zostanie wyświetlona dodatkowa strona Wybierz metodę ponownego uruchomienia, na której można wybrać metodę ponownego uruchomienia klastrowanych komputerów. Aby pomyślnie chronić klastrowane dane, agent ochrony musi być zainstalowany we wszystkich węzłach klastra. Komputery rozpoczną ochronę danych dopiero po ponownym uruchomieniu. Ponieważ uruchamianie usług chwilę trwa, program DPM może nawiązać kontakt z agentem w klastrze dopiero po kilku minutach od ponownego uruchomienia.

    • Program DPM nie uruchamia automatycznie ponownie komputera, który należy do klastra serwera klastrów firmy Microsoft (MSCS). Komputery w klastrze MSCS muszą zostać uruchomione ponownie ręcznie.

  7. Na stronie Podsumowanie kliknij przycisk Zainstaluj, aby rozpocząć instalację. Jeśli zostanie wyświetlona Umowa licencyjna użytkownika końcowego, zaakceptuj ją, aby rozpocząć instalację. Na karcie Zadanie strony instalacji możesz sprawdzić, czy instalacja powiodła się. Opcję Zamknij można kliknąć przed zakończeniem pracy kreatora, a następnie monitorować postępy instalacji na karcie Agenci w obszarze zadań Zarządzanie. Jeśli instalacja się nie powiedzie, alerty możesz sprawdzić na karcie Alerty w obszarze zadań Monitorowanie.

    Uwaga: Po zainstalowaniu agenta ochrony na komputerach będących częścią farmy programu Windows SharePoint Services jako komputery chronione na karcie Agenci w obszarze zadań Zarządzanie będą widoczne tylko wybrane komputery, a nie wszystkie komputery z farmy. Jeśli jednak farma programu Windows SharePoint Services zawiera dane na wybranych komputerach, program DPM będzie chronić te dane na wszystkich komputerach w farmie, pod warunkiem że na wszystkich z nich jest zainstalowany agent ochrony.

Ręczna instalacja agenta

  1. Jeśli zainstalujesz agenta na komputerze za zaporą, musisz sprawdzić, czy agenta można wypchnąć przez zaporę.

    Na przykład możesz uruchomić następujące polecenie na komputerze, aby skonfigurować Zaporę systemu Windows: netsh advfirewall firewall add rule name="Zezwalaj na wypchnięcie zdalnego agenta programu DPM" dir=in action=allow service=any enable=yes profile=any remoteip=<adres_IP>, gdzie adres_IP jest adresem serwera DPM.

    Aby skonfigurować wyjątek dla portu na zaporze, zobacz temat Konfigurowanie wyjątków zapory dla agenta.

  2. Na komputerze, który ma być chroniony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

    Aby przypisać literę dla dysku, wpisz: net use Z: \<nazwa_serwera_DPM>\c$ , gdzie Z to litera dysku lokalnego, która ma zostać przypisana, a <nazwa_serwera_DPM> to nazwa serwera DPM, którego chcesz użyć do ochrony komputera.

    Aby zmienić katalog, wykonaj następujące czynności:

    • W przypadku komputera 64-bitowego wpisz: cd /d <przypisana_litera_dysku>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numer_kompilacji>.0\amd64, gdzie <przypisana_litera_dysku> to litera dysku przypisana w poprzednim kroku, a <numer_kompilacji> to numer najnowszej kompilacji programu DPM. Na przykład: cd /d X:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • W przypadku komputera 32-bitowego wpisz: cd /d <przypisana_litera_dysku>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numer_kompilacji&gtl;.0\i386 , gdzie <przypisana_litera_dysku> to litera dysku zamapowana w poprzednim kroku, a <numer_kompilacji> to numer najnowszej kompilacji programu DPM.

  3. Aby zainstalować agenta ochrony, otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień, a następnie uruchom następujące polecenia:

    • W przypadku komputera 64-bitowego wpisz: DpmAgentInstaller_x64.exe *<nazwa_serwera_DPM>, gdzie *<nazwa_serwera_DPM> to w pełni kwalifikowana nazwa domeny (FQDN) serwera DPM. Na przykład: DPMAgentInstaller_x64.exe SerwerDPM1.contoso.com

    • W przypadku komputera 32-bitowego wpisz: DpmAgentInstaller_x86.exe *, gdzie *<nazwa_serwera_DPM> to w pełni kwalifikowana nazwa domeny serwera DPM.

    Uwaga:

    • Aby przeprowadzić instalację dyskretną, można użyć opcji /q po poleceniu DpmAgentInstaller_x64.exe. Na przykład: DpmAgentInstaller_x64.exe /q *<nazwa_serwera_DPM>*

    • Aby zaakceptować umowę licencyjną ręcznie podczas instalacji dyskretnej, użyj polecenia DpmAgentInstaller_x64.exe /q <nazwa_serwera_DPM> /IAcceptEULA

    • W przypadku określenia w wierszu polecenia nazwy serwera programu DPM nastąpi instalacja agenta ochrony oraz automatyczne skonfigurowanie kont zabezpieczeń, uprawnień oraz wyjątków zapory umożliwiających komunikację agenta ze wskazanym serwerem programu DPM. Jeśli nie określono nazwy serwera, otwórz wiersz polecenia z podwyższonym poziomem uprawnień na komputerze docelowym i wykonaj następujące czynności:

      1. Aby zmienić typ katalogu, wpisz: cd /d <dysk_systemowy>:\Program Files\Microsoft Data Protection Manager\DPM\bin

      2. Wpisz: SetDpmServer.exe -dpmServerName *<nazwa_serwera_DPM>*. Powoduje to skonfigurowanie zabezpieczeń kont, uprawnień i wyjątków zapory dla agenta w celu umożliwienia komunikacji z serwerem.

  4. Jeśli komputer docelowy został dodany do serwera programu DPM przed zainstalowaniem agenta, serwer programu DPM rozpocznie tworzenie kopii zapasowych danych komputera chronionego. Jeśli agent został zainstalowany przed dodaniem komputera do serwera programu DPM, komputer należy dołączyć, zanim serwer programu DPM rozpocznie tworzenie kopii zapasowych.

Dołączanie agenta

W niektórych przypadkach po ręcznym zainstalowaniu agentów programu DPM konieczne jest dołączenie agenta do serwera DPM.

  1. W konsoli administratora programu DPM na pasku nawigacyjnym kliknij pozycje Zarządzanie > Agenci. W okienku Akcje kliknij pozycję Zainstaluj.

  2. Na stronie Wybierz metodę wdrożenia agenta wybierz pozycję Dołącz agentów > Komputer w zaufanej domenie > Dalej. Zostanie otwarty Kreator instalacji agenta ochrony.

  3. Na stronie Wybierz komputery program DPM wyświetli listę komputerów dostępnych w tej samej domenie, w której znajduje się serwer DPM. Wybierz co najmniej jeden komputer (maksymalnie 50) z listy Nazwa komputera, a następnie wybierz pozycję Dodaj > Dalej.

    • Jeśli kreator jest używany po raz pierwszy, program DPM wysyła do usługi Active Directory zapytanie w celu pobrania listy potencjalnych komputerów. Po pierwszej instalacji program DPM wyświetla listę komputerów ze swojej bazy danych, która jest aktualizowana raz dziennie przez proces autowykrywania.

    • Aby dodać wiele komputerów za pomocą pliku tekstowego, kliknij przycisk Dodaj z pliku, a następnie w oknie dialogowym Dodaj z pliku wpisz lokalizację pliku tekstowego lub kliknij przycisk Przeglądaj, aby przejść do jego lokalizacji.

  4. Na stronie Wprowadź poświadczenia wpisz nazwę użytkownika i hasło konta domeny, które należy do lokalnej grupy Administratorzy na wszystkich wybranych komputerach. W polu Domena zaakceptuj lub wpisz nazwę domeny konta użytkownika, dla którego chcesz zainstalować agenta ochrony na komputerze docelowym. To konto może należeć do domeny, w której znajduje się serwer DPM, lub do domeny zaufanej. Jeśli instalujesz agenta ochrony na komputerze w domenie zaufanej, wprowadź bieżące poświadczenia użytkownika domeny. Możesz być członkiem dowolnej zaufanej domeny oraz musisz być członkiem lokalnej grupy administratorów na wszystkich komputerach docelowych, które chcesz chronić.

  5. Na stronie Podsumowanie kliknij pozycję Dołącz.

© 2017 Microsoft