安装 DPM 保护代理
适用对象:System Center 2012 SP1 - Data Protection Manager, System Center 2012 - Data Protection Manager, System Center 2012 R2 Data Protection Manager
可以使用保护代理安装向导在要保护的计算机和服务器上安装保护代理,以安装位于防火墙之外的保护代理,也可以在位于防火墙后的计算机上或在位于工作组或与 System Center 2012 – Data Protection Manager (DPM) 服务器所在的域没有双向信任关系的域中的计算机上手动安装保护代理。 手动安装保护代理之后,随后需要在 DPM 管理员控制台中连接代理以启用保护。 若要在安装了防火墙的计算机上安装保护代理,请参阅在安装了防火墙的计算机上安装代理 [DPM2012_Web]。 若要在计算机上安装保护代理,而该计算机位于工作组或不具有与 DPM 服务器所在域的双向信任关系的域中,请参阅在工作组或不受信任的域中的计算机上安装代理 [DPM2012_Web]。
从 DPM 控制台安装保护代理 - 使用此过程在防火墙之外的计算机上或过程可以修改防火墙以允许代理与 DPM 服务器之间进行通信的计算机上安装代理。
手动安装保护代理 - 如果计算机位于阻止代理与 DPM 服务器进行通信的防火墙后面或如果您遇到网络或权限相关问题,请使用此过程。
在不受信任域上的工作组中的计算机上安装保护代理 - 在这种情况下,您需要配置证书进行身份验证,然后安装代理。 有关详细信息,请参阅保护工作组和不受信任的域中的计算机。
在 RODC 上安装保护代理 - 您可以将代理安装在只读域控制器 (RODC) 上。 请注意,如果在 RODC 上启用了防火墙,在安装代理之前您必须关闭防火墙或运行以下命令:
使用服务器映像安装保护代理- 你可以使用服务器映像通过 DPMAgentInstaller.exe 来安装保护代理,而无需指定 DPM 服务器。 将映像应用于计算机并使计算机联机后,你运行 SetDpmServer.exe 来完成配置并创建防火墙例外。
使用 System Center Configuration Manager 安装保护代理—如果熟悉在 System Center Configuration Manager 中创建和部署应用程序的流程,可以使用 System Center Configuration Manager 在目标系统上安装 DPM 保护代理。 有关如何在 Configuration Manager 中创建应用程序的详细信息,请参阅如何在 Configuration Manager 中创建应用程序。
从 DPM 控制台安装保护代理
-
在 DPM 管理员控制台中,单击“管理”>“代理”。 在工具功能区上单击“安装”,打开“保护代理安装向导”。
-
在“选择代理部署方法”页上,单击“安装代理”>“下一步”。
-
在“选择计算机”页上,DPM 将显示 DPM 服务器所在域中的可用计算机的列表。 添加所需的计算机。
- 第一次使用向导时,DPM 将查询 Active Directory 以获取可用计算机列表。 第一次安装之后,DPM 将计算机列表存储在其数据库中,该数据库每天通过自动发现过程更新一次。 - 要查找与 DPM 服务器所在的域有双向信任关系的另一个域中的计算机,你必须键入要保护的计算机的完全限定的域名(例如,*\<Computer1\>***.Domain1.contoso.com**,其中 *Computer1* 是要保护的计算机的名称,*Domain1.contosa.com* 是目标计算机所属的域。 - 仅当存在多个可在计算机上安装的保护代理版本时,“高级”按钮页面才会处于启用状态。 您可以使用此选项来安装保护代理的较低版本,安装后再将 DPM 服务器升级到最新版本。
-
在“输入凭据”页中,键入域帐户的用户名和密码,该帐户是所有选定计算机上本地“管理员”组的成员。
- 在“域”框中,接受或键入将用于在目标计算机上安装保护代理的用户帐户的域名。 此帐户可能属于 DPM 服务器所在的域,或属于与 DPM 服务器所在的域有双向信任关系的域。 - 如果在跨受信任的域的计算机上安装保护代理,请输入当前域用户凭据。 你可以是与 DPM 服务器所在的域具有双向信任关系的任何域的成员,并且必须是要在其上安装代理的所有选定计算机上的本地“管理员”组的成员。 - 如果在群集中选择某一节点,则 DPM 将检测该群集中的所有其他节点并显示“选择群集节点”页。
-
在“选择群集节点”页上,选择希望 DPM 用来在该群集中的其他节点上安装代理的选项,然后单击“下一步”。
-
在“选择重新启动方法”页上,选择要用于在保护代理安装之后重启所选计算机的方法。 必须重启计算机,然后才能开始保护数据。 必须重启才能加载 DPM 用于在 DPM 服务器和受保护计算机之间跟踪和传输块级更改的卷筛选器。
- 如果选择稍后重启计算机,在计算机重启之后,保护代理安装状态将不会在“管理”任务区域中的“代理”选项卡上自动刷新,你需要单击“刷新信息”。 - 请注意,如果在其他 DPM 服务器上安装保护代理,则无需重启计算机。 - 如果所选的任何计算机是群集中的节点,则会另外显示一个“选择重新启动方法”页,你可以使用该页来选择重启群集计算机的方法。 您需要在群集中的所有节点上安装保护代理才能成功保护群集数据。 必须重启计算机,然后才能开始保护数据。 由于启动服务需要时间,因此在重启后可能需要数分钟之后 DPM 才能与群集上的代理联系。 - DPM 将不会自动重启属于 Microsoft 群集服务器 (MSCS) 群集的计算机。 你必须手动重启 MSCS 群集中的计算机。
-
在“摘要”页上,单击“安装”以开始安装。 如果显示 EULA,请接受它并开始安装。 在安装页面的“任务”选项卡上,您可以查看安装是否成功。 可以在向导完成之前单击“关闭”,并在“管理”任务区域中的“代理”选项卡中监视安装进度。 如果安装不成功,你可以在“监视”任务区域中的“警报”选项卡上查看警报。
注意:在属于 Windows SharePoint Services 场一部分的计算机上安装保护代理后,场中的各台计算机不会在“管理”任务区域的“代理”选项卡上显示为受保护的计算机,只有选定的计算机才会。 但是,如果 Windows SharePoint Services 场在所选计算机上有数据,那么,只要所有计算机都安装了保护代理,DPM 就会保护场中的所有计算机上的数据。
手动安装保护代理
-
如果在防火墙后面的计算机上安装代理,需要确保可以通过防火墙推送该代理。
例如,可以在计算机上运行如下命令以配置 Windows 防火墙:netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>,其中,IPAddress 是 DPM 服务器的地址。
若要在防火墙上配置端口例外,请参阅为代理配置防火墙例外。
-
在要保护的计算机上,打开提升的命令提示符窗口,然后运行以下命令:
若要分配驱动器号,请键入:
net use Z: \\<DPMServerName>\c$
,其中,Z 是要分配的本地驱动器号,<DPMServerName> 是将保护计算机的 DPM 服务器的名称。若要更改目录,请执行以下操作:
- 对于 64 位计算机,**cd /d *\<分配的驱动器号\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<内部版本号\>*.0\\amd64**其中 *\<分配的驱动器号\>* 是上一步中分配的驱动器号,*\<内部版本号\>* 是最新的 DPM 内部版本号。 例如:**cd /d X:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.7696.0\\amd64** - 对于 32 位计算机,**cd /d *\<分配的驱动器号\>*:\\Program Files\\Microsoft DPM\\DPM\\ProtectionAgents\\RA\\3.0.*\<内部版本号\>*.0\\i386** 其中 *\<分配的驱动器号\>* 是上一步中映射的驱动器,*\<内部版本号\>* 是最新的 DPM 内部版本号。
-
若要安装保护代理,请打开提升的命令提示符窗口,然后运行以下命令之一:
- 对于 64 位计算机,键入:**DpmAgentInstaller\_x64.exe *\<DPMServerName\>*** 其中 *\<DPMServerName\>* 是 DPM 服务器的完全限定的域名 (FQDN)。**DPMAgentInstaller\_x64.exe DPMserver1.contoso.com** - 对于 32 位计算机,键入:**DpmAgentInstaller\_x86.exe *\<DPMServerName\>*** 其中 *\<DPMServerName\>* 是 DPM 服务器的完全限定的域名 (FQDN)。
注意:
- 若要执行无提示安装,可以在 **DpmAgentInstaller\_x64.exe** 命令后使用 **/q** 选项。例如:**DpmAgentInstaller\_x64.exe /q *\<DPMServerName\>*** - 若要在无提示安装时手动接受 EULA,请使用 **DpmAgentInstaller\_x64.exe /q \<DPMServerName\> /IAcceptEULA** - 如果在命令行中指定 DPM 服务器名称,它将安装保护代理,并自动配置代理与指定 DPM 服务器通信所必需的安全帐户、权限和防火墙例外。 如果未指定服务器名称,请在目标计算机上打开提升的命令提示符,并执行以下操作: 1. 若要更改目录类型:**cd /d *\<系统驱动器\>*:\\Program Files\\Microsoft Data Protection Manager\\DPM\\bin** 2. 类型:**SetDpmServer.exe –dpmServerName *\<DPMServerName\>***。 这将为代理配置安全帐户、权限和防火墙例外,以便与服务器通信。
-
如果在安装代理之前将计算机添加到 DPM 服务器,则 DPM 服务器将开始为受保护计算机创建备份。 如果在将计算机添加到 DPM 服务器之前安装了代理,则必须在 DPM 服务器开始创建备份之前附加计算机。 请参阅附加 DPM 保护代理。
在 RODC 上安装保护代理
-
安装代理前,请在 RODC 上关闭防火墙或在 RODC 上运行以下命令:
- netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes - netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes - netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\\Microsoft Data Protection Manager\\DPM\\bin\\DPMRA.exe" profile=Any action=allow - netsh advfirewall firewall add rule name=DPMRA\_DCOM\_135 dir=in action=allow protocol=TCP localport=135 profile=Any
-
在主域控制器上,创建然后填充以下安全组,其中受保护服务器名称是你计划在其上安装保护代理的 RODC 的名称:
- 创建一个名为 **DPMRADCOMTRUSTEDMACHINES$PSNAME** 的安全组,然后添加 DPM 服务器计算机帐户作为成员。 - 创建一个名为 **DPMRADMTRUSTEDMACHINES$PSNAME** 的安全组,然后添加 DPM 服务器计算机帐户作为成员。 - 创建一个名为 **DPMRATRUSTEDDPMRAS$PSNAME** 的安全组,然后将 DPM 服务器计算机帐户添加为成员。 - 将 DPM 服务器计算机帐户添加为 **Builtin\\Distributed Com Users** 安全组的成员。
-
确保之前创建的安全组已在 RODC 上复制。 然后,在 RODC 上手动安装保护代理。
-
在 RODC 服务器上,执行以下步骤以授予 DPMRA 服务的启动和激活权限:
打开 DPM 命令行管理程序,然后运行命令 dcomcnfg.exe。
“组件服务”窗口将打开。
在“组件服务”窗口中,依次展开“计算机”、“我的电脑”和“DCOM 配置”,右键单击“DPM RA”服务,然后单击“属性”。
单击“常规”,然后将“身份验证级别”设置为“默认”。
单击“位置”,然后确保仅选择了“在此计算机上运行应用程序”。
单击“安全性”,在“启动和激活权限”下选择“自定义”,选择“自定义”,然后单击“编辑”以打开“启动权限”对话框。
在“启动权限”对话框中,为 DPM 服务器计算机帐户的“本地启动”、“远程启动”、“本地激活”和“远程激活”分配权限。
单击“确定”关闭对话框。
导航到 DPM 服务器上的 %programfiles%\Microsoft System Center 2012 R2\DPM\DPM\setup,将以下文件复制到 RODC 服务器上的文件夹中。
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
-
在 RODC 上,在提升的命令提示符处,从上一步中指定的位置运行 setagentcfg.exe a DPMRA domain\DPMserver 命令。
-
在 RODC 服务器上,浏览到 C:\Program Files\Microsoft Data Protection Manager\DPM\bin 文件夹,并运行 setdpmserver 命令:
Setdpmserver -dpmservername DPMSERVER
-
将保护代理附加到 DPM 服务器。 请参阅附加 DPM 保护代理。
使用服务器映像安装保护代理
-
在要安装保护代理的计算机上的命令提示符处,键入 DpmAgentInstaller.exe。
-
将服务器映像应用于物理计算机,然后使该计算机联机。
-
将计算机加入域,然后使用作为本地“管理员”组成员的域用户帐户登录。
-
在命令提示符处,转至 cd <系统驱动器号>:\Program Files\Microsoft Data Protection Manager\bin,并运行 SetDpmServer.exe <DPM 服务器名称>。
为 DPM 服务器指定完全限定的域名 (FQDN)。 对于受保护计算机的域或在域之间唯一的计算机名,请仅指定计算机名。
重要事项 你必须从 <驱动器号>:\Program Files\Microsoft Data Protection Manager\bin 中运行 SetDpmServer.exe。 如果从任何其他位置运行该程序,操作将失败。
-
附加代理。 请参阅附加 DPM 保护代理。
使用 System Center Configuration Manager 安装保护代理
-
若要为 DPM 保护代理创建应用程序,必须向 Configuration Manager 管理员提供以下内容:
- **DpmAgentInstaller.exe** 和 **DpmAgentInstaller\_AMD64.exe** 文件的共享路径。 - 要在其上安装保护代理的服务器列表。 - DPM 服务器的名称。
-
代理的 SCCM 应用程序应调用以下其中一个命令行:
- 对于 x86 计算机,请运行 **DPMAgentinstaller.exe /q *\<FQDN DPM server name\>* /IAcceptEula**。 - 对于 x64 计算机,请运行 **DPMAgentInstaller\_x64.exe /q *\<FQDN DPM Server name\>* /IAcceptEula**。
-
使用 SCCM 安装 X64 保护代理的步骤:
创建运行 DPMAgentinstaller_x64.exe /q <FQDN DPM server name> /IAcceptEula 的应用程序。
创建对每个 DPM 服务器使用相同代理类型的目标系统的计算机集合。 使应用程序面向将映射到指定 DPM 计算机的系统。