安装 DPM 保护代理

在 DPM 管理员控制台中，单击“管理”>“代理”。 在工具功能区上单击“安装”，打开“保护代理安装向导”。

在“选择代理部署方法”页上，单击“安装代理”>“下一步”。

在“选择计算机”页上，DPM 将显示 DPM 服务器所在域中的可用计算机的列表。 添加所需的计算机。

- 第一次使用向导时，DPM 将查询 Active Directory 以获取可用计算机列表。 第一次安装之后，DPM 将计算机列表存储在其数据库中，该数据库每天通过自动发现过程更新一次。

- 要查找与 DPM 服务器所在的域有双向信任关系的另一个域中的计算机，你必须键入要保护的计算机的完全限定的域名（例如，*\<Computer1\>***.Domain1.contoso.com**，其中 *Computer1* 是要保护的计算机的名称，*Domain1.contosa.com* 是目标计算机所属的域。

- 仅当存在多个可在计算机上安装的保护代理版本时，“高级”按钮页面才会处于启用状态。 您可以使用此选项来安装保护代理的较低版本，安装后再将 DPM 服务器升级到最新版本。

在“输入凭据”页中，键入域帐户的用户名和密码，该帐户是所有选定计算机上本地“管理员”组的成员。

- 在“域”框中，接受或键入将用于在目标计算机上安装保护代理的用户帐户的域名。 此帐户可能属于 DPM 服务器所在的域，或属于与 DPM 服务器所在的域有双向信任关系的域。

- 如果在跨受信任的域的计算机上安装保护代理，请输入当前域用户凭据。 你可以是与 DPM 服务器所在的域具有双向信任关系的任何域的成员，并且必须是要在其上安装代理的所有选定计算机上的本地“管理员”组的成员。

- 如果在群集中选择某一节点，则 DPM 将检测该群集中的所有其他节点并显示“选择群集节点”页。

在“选择群集节点”页上，选择希望 DPM 用来在该群集中的其他节点上安装代理的选项，然后单击“下一步”。

在“选择重新启动方法”页上，选择要用于在保护代理安装之后重启所选计算机的方法。 必须重启计算机，然后才能开始保护数据。 必须重启才能加载 DPM 用于在 DPM 服务器和受保护计算机之间跟踪和传输块级更改的卷筛选器。

- 如果选择稍后重启计算机，在计算机重启之后，保护代理安装状态将不会在“管理”任务区域中的“代理”选项卡上自动刷新，你需要单击“刷新信息”。

- 请注意，如果在其他 DPM 服务器上安装保护代理，则无需重启计算机。

- 如果所选的任何计算机是群集中的节点，则会另外显示一个“选择重新启动方法”页，你可以使用该页来选择重启群集计算机的方法。 您需要在群集中的所有节点上安装保护代理才能成功保护群集数据。 必须重启计算机，然后才能开始保护数据。 由于启动服务需要时间，因此在重启后可能需要数分钟之后 DPM 才能与群集上的代理联系。

- DPM 将不会自动重启属于 Microsoft 群集服务器 (MSCS) 群集的计算机。 你必须手动重启 MSCS 群集中的计算机。

在“摘要”页上，单击“安装”以开始安装。 如果显示 EULA，请接受它并开始安装。 在安装页面的“任务”选项卡上，您可以查看安装是否成功。 可以在向导完成之前单击“关闭”，并在“管理”任务区域中的“代理”选项卡中监视安装进度。 如果安装不成功，你可以在“监视”任务区域中的“警报”选项卡上查看警报。

注意：在属于 Windows SharePoint Services 场一部分的计算机上安装保护代理后，场中的各台计算机不会在“管理”任务区域的“代理”选项卡上显示为受保护的计算机，只有选定的计算机才会。 但是，如果 Windows SharePoint Services 场在所选计算机上有数据，那么，只要所有计算机都安装了保护代理，DPM 就会保护场中的所有计算机上的数据。

如果在防火墙后面的计算机上安装代理，需要确保可以通过防火墙推送该代理。

例如，可以在计算机上运行如下命令以配置 Windows 防火墙：netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>，其中，IPAddress 是 DPM 服务器的地址。

若要在防火墙上配置端口例外，请参阅为代理配置防火墙例外。

在要保护的计算机上，打开提升的命令提示符窗口，然后运行以下命令：

若要分配驱动器号，请键入：
net use Z: \\<DPMServerName>\c$
，其中，Z 是要分配的本地驱动器号，<DPMServerName> 是将保护计算机的 DPM 服务器的名称。

若要更改目录，请执行以下操作：

- 对于 64 位计算机，**cd /d *\<分配的驱动器号\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<内部版本号\>*.0\\amd64**其中 *\<分配的驱动器号\>* 是上一步中分配的驱动器号，*\<内部版本号\>* 是最新的 DPM 内部版本号。 例如：**cd /d X:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.7696.0\\amd64**

- 对于 32 位计算机，**cd /d *\<分配的驱动器号\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<内部版本号\>*.0\\i386**   
  其中 *\<分配的驱动器号\>* 是上一步中映射的驱动器，*\<内部版本号\>* 是最新的 DPM 内部版本号。

若要安装保护代理，请打开提升的命令提示符窗口，然后运行以下命令之一：

- 对于 64 位计算机，键入：**DpmAgentInstaller\_x64.exe *\<DPMServerName\>***   
  其中 *\<DPMServerName\>* 是 DPM 服务器的完全限定的域名 (FQDN)。**DPMAgentInstaller\_x64.exe DPMserver1.contoso.com**

- 对于 32 位计算机，键入：**DpmAgentInstaller\_x86.exe *\<DPMServerName\>***   
  其中 *\<DPMServerName\>* 是 DPM 服务器的完全限定的域名 (FQDN)。

注意：

- 若要执行无提示安装，可以在 **DpmAgentInstaller\_x64.exe** 命令后使用 **/q** 选项。例如：**DpmAgentInstaller\_x64.exe /q *\<DPMServerName\>***

- 若要在无提示安装时手动接受 EULA，请使用 **DpmAgentInstaller\_x64.exe /q \<DPMServerName\> /IAcceptEULA**

- 如果在命令行中指定 DPM 服务器名称，它将安装保护代理，并自动配置代理与指定 DPM 服务器通信所必需的安全帐户、权限和防火墙例外。 如果未指定服务器名称，请在目标计算机上打开提升的命令提示符，并执行以下操作：

  1.  若要更改目录类型：**cd /d *\<系统驱动器\>*:\\Program Files\\Microsoft Data Protection Manager\\DPM\\bin**

  2.  类型：**SetDpmServer.exe –dpmServerName *\<DPMServerName\>***。 这将为代理配置安全帐户、权限和防火墙例外，以便与服务器通信。

如果在安装代理之前将计算机添加到 DPM 服务器，则 DPM 服务器将开始为受保护计算机创建备份。 如果在将计算机添加到 DPM 服务器之前安装了代理，则必须在 DPM 服务器开始创建备份之前附加计算机。 请参阅附加 DPM 保护代理。

安装代理前，请在 RODC 上关闭防火墙或在 RODC 上运行以下命令：

- netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

- netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

- netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\\Microsoft Data Protection Manager\\DPM\\bin\\DPMRA.exe" profile=Any action=allow

- netsh advfirewall firewall add rule name=DPMRA\_DCOM\_135 dir=in action=allow  protocol=TCP localport=135 profile=Any

在主域控制器上，创建然后填充以下安全组，其中受保护服务器名称是你计划在其上安装保护代理的 RODC 的名称：

- 创建一个名为 **DPMRADCOMTRUSTEDMACHINES$PSNAME** 的安全组，然后添加 DPM 服务器计算机帐户作为成员。

- 创建一个名为 **DPMRADMTRUSTEDMACHINES$PSNAME** 的安全组，然后添加 DPM 服务器计算机帐户作为成员。

- 创建一个名为 **DPMRATRUSTEDDPMRAS$PSNAME** 的安全组，然后将 DPM 服务器计算机帐户添加为成员。

- 将 DPM 服务器计算机帐户添加为 **Builtin\\Distributed Com Users** 安全组的成员。

确保之前创建的安全组已在 RODC 上复制。 然后，在 RODC 上手动安装保护代理。

在 RODC 服务器上，执行以下步骤以授予 DPMRA 服务的启动和激活权限：

1. 打开 DPM 命令行管理程序，然后运行命令 dcomcnfg.exe。

   “组件服务”窗口将打开。

2. 在“组件服务”窗口中，依次展开“计算机”、“我的电脑”和“DCOM 配置”，右键单击“DPM RA”服务，然后单击“属性”。

3. 单击“常规”，然后将“身份验证级别”设置为“默认”。

4. 单击“位置”，然后确保仅选择了“在此计算机上运行应用程序”。

5. 单击“安全性”，在“启动和激活权限”下选择“自定义”，选择“自定义”，然后单击“编辑”以打开“启动权限”对话框。

6. 在“启动权限”对话框中，为 DPM 服务器计算机帐户的“本地启动”、“远程启动”、“本地激活”和“远程激活”分配权限。

7. 单击“确定”关闭对话框。

8. 导航到 DPM 服务器上的 %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup，将以下文件复制到 RODC 服务器上的文件夹中。

   • setagentcfg.exe

   • traceprovider.dll

   • LKRhDPM.dll

在 RODC 上，在提升的命令提示符处，从上一步中指定的位置运行 setagentcfg.exe a DPMRA domain\DPMserver 命令。

在 RODC 服务器上，浏览到 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹，并运行 setdpmserver 命令：

Setdpmserver -dpmservername DPMSERVER

将保护代理附加到 DPM 服务器。 请参阅附加 DPM 保护代理。

在要安装保护代理的计算机上的命令提示符处，键入 DpmAgentInstaller.exe。

将服务器映像应用于物理计算机，然后使该计算机联机。

将计算机加入域，然后使用作为本地“管理员”组成员的域用户帐户登录。

在命令提示符处，转至 cd <系统驱动器号>:\Program Files\Microsoft Data Protection Manager\bin，并运行 SetDpmServer.exe <DPM 服务器名称>。

为 DPM 服务器指定完全限定的域名 (FQDN)。 对于受保护计算机的域或在域之间唯一的计算机名，请仅指定计算机名。

重要事项
你必须从 <驱动器号>:\Program Files\Microsoft Data Protection Manager\bin 中运行 SetDpmServer.exe。 如果从任何其他位置运行该程序，操作将失败。

附加代理。 请参阅附加 DPM 保护代理。

若要为 DPM 保护代理创建应用程序，必须向 Configuration Manager 管理员提供以下内容：

- **DpmAgentInstaller.exe** 和 **DpmAgentInstaller\_AMD64.exe** 文件的共享路径。

- 要在其上安装保护代理的服务器列表。

- DPM 服务器的名称。

代理的 SCCM 应用程序应调用以下其中一个命令行：

- 对于 x86 计算机，请运行 **DPMAgentinstaller.exe /q *\<FQDN DPM server name\>* /IAcceptEula**。

- 对于 x64 计算机，请运行 **DPMAgentInstaller\_x64.exe /q *\<FQDN DPM Server name\>* /IAcceptEula**。

使用 SCCM 安装 X64 保护代理的步骤：

1. 创建运行 DPMAgentinstaller_x64.exe /q <FQDN DPM server name> /IAcceptEula 的应用程序。

2. 创建对每个 DPM 服务器使用相同代理类型的目标系统的计算机集合。 使应用程序面向将映射到指定 DPM 计算机的系统。