Bereitstellen des DPM-Schutz-Agents

  • Artikel

Der Schutz-Agent (System Center Data Protection Manager, DPM) ist die Software, die Sie auf jedem Computer installieren, der Daten enthält, die Sie mit DPM sichern möchten. Es besteht aus zwei Komponenten: dem Schutzagent selbst und einem Agentenkoordinator. Dies funktioniert folgendermaßen:

  • Identifiziert die Daten, die DPM schützen und wiederherstellen kann.

  • Ermöglicht dem DPM-Server das Durchsuchen der Freigaben, Volumes und Ordner auf dem geschützten Computer.

  • Erstellt ein Änderungsjournal für jedes geschützte Volume und speichert das Journal in einer ausgeblendeten Datei auf diesem Volume. Es zeichnet alle Änderungen an den geschützten Daten im Änderungsjournal auf und überträgt das Journal vom geschützten Computer an den DPM-Server, damit DPM die primären Daten mit dem Replikat synchronisieren kann.

Sie richten den Agent wie folgt ein:

  • Wenn sich der Computer mit den Daten, die Sie sichern möchten, hinter einer Firewall befindet, müssen Sie Firewallausnahmen einrichten.

  • Wenn sich der Computer nicht hinter einer Firewall befindet oder Sie Firewall-Ausnahmen für den Zugriff konfiguriert haben, können Sie den Agent über die DPM-Konsole installieren.

  • Wenn Sie keinen Zugriff über die Firewall haben, befindet sich der Computer, den Sie schützen möchten, in einer Arbeitsgruppe oder einer nicht vertrauenswürdigen Domäne, oder Sie müssen eine andere Installationsmethode verwenden, können Sie den Agent manuell installieren und dann den Agent anfügen.

Festlegen von Firewallausnahmen

Damit ein Schutz-Agent über eine Firewall mit dem DPM-Server kommunizieren kann, sind Firewall-Ausnahmen erforderlich.

Konfigurieren Sie eine eingehende Ausnahme für sqlservr.exe für die DPM-Instanz des SQL Server, um TCP an Port 80 zuzulassen. Standardmäßig lauscht der Berichtsserver HTTP-Anforderungen an Port 80. In der folgenden Tabelle sind die Protokolle und Ports aufgeführt, die für die Kommunikation zwischen dem DPM-Server und geschützten Servern und Clients erforderlich sind.

Protocol Port Details
DCOM 135/TCP
Dynamisch		 Das DPM-Steuerelementprotokoll verwendet DCOM. DPM gibt Befehle an den Schutz-Agent aus, indem DCOM-Aufrufe an den Agent aufgerufen werden. Der Schutz-Agent reagiert durch Aufrufen von DCOM-Aufrufen auf dem DPM-Server.

TCP-Port 135 ist der VON DCOM verwendete DCE-Endpunktauflösungspunkt.

Standardmäßig weist DCOM Ports dynamisch aus dem TCP-Portbereich von 49152 bis 65535 zu. Sie können diesen Bereich jedoch mithilfe von Komponentendiensten konfigurieren.

Für die DPM-Agent-Kommunikation müssen Sie die oberen Ports 49152-65535 öffnen. Um die Richtlinie festzulegen, führen Sie die folgenden Schritte aus:

1. Klicken Sie in IIS 7.0 Manager im Bereich Verbindungen auf den Knoten auf Serverebene in der Struktur.
2. Doppelklicken Sie in der Funktionsliste auf das Symbol FTP-Firewallunterstützung.
3. Geben Sie einen Wertebereich für den Datenkanal-Portbereich ein.
4. Klicken Sie nach der Eingabe des Portbereichs für den FTP-Dienst im Bereich Aktionen auf Anwenden, um die Konfigurationseinstellungen zu speichern.
TCP 5718/TCP
5719/TCP		 Der DPM-Datenkanal basiert auf TCP. Sowohl DPM als auch der geschützte Computer initiieren Verbindungen, um DPM-Vorgänge wie Synchronisierung und Wiederherstellung zu ermöglichen.

DPM kommuniziert mit dem Agentenkoordinator am Port 5718 und mit dem Schutzagenten am Port 5719.
Domain Name System 53/UDP Wird zwischen DPM und dem Domänencontroller und zwischen dem geschützten Computer und dem Domänencontroller für die Auflösung von Hostnamen verwendet.
Kerberos 88/UDP 88/TCP Wird zwischen DPM und dem Domänencontroller und zwischen dem geschützten Computer und dem Domänencontroller für die Authentifizierung des Verbindungsendpunkts verwendet.
LDAP 389/TCP
389/UDP		 Wird zwischen DPM und dem Domänencontroller für Abfragen verwendet.
NetBIOS 137/UDP
138/UDP
139/TCP
445/TCP		 Wird zwischen DPM und dem geschützten Computer, zwischen DPM und dem Domänencontroller sowie zwischen dem geschützten Computer und dem Domänencontroller für verschiedene Vorgänge verwendet. Wird für direkt auf TCP/IP gehostete SMB für DPM-Funktionen verwendet.

Installieren des Agents über die DPM-Konsole

  1. Wählen Sie in der DPM-Verwaltungskonsole Management>Agents aus. Wählen Sie im Menüband des Tools die Option Installieren aus, um den Installations-Assistenten für den Schutz-Agent zu öffnen.

  2. Wählen Sie auf der Seite Agent-Bereitstellungsmethode auswählen die Option Agents installieren>Weiter aus.

  3. Auf der Seite Computer auswählen zeigt DPM eine Liste der verfügbaren Computer an, die sich in derselben Domäne wie der DPM-Server befinden. Fügen Sie den erforderlichen Computer hinzu.

    • Wenn Sie den Assistenten zum ersten Mal verwenden, fragt DPM Active Directory ab, um eine Liste der verfügbaren Computer abzurufen. Nach der ersten Installation speichert DPM die Liste der Computer in der Datenbank, die einmal täglich durch den Auto-Ermittlungsprozess aktualisiert wird.

    • Um einen Computer in einer anderen Domäne zu finden, der eine bidirektionale Vertrauensstellung mit der Domäne aufweist, in der sich der DPM-Server befindet, müssen Sie den vollqualifizierten Domänennamen (FQDN) des Computers eingeben, den Sie schützen möchten. Beispielsweise <Computer1>.Domain1.contoso.com, wobei Computer1 der Name des Computers ist, den Sie schützen möchten, und Domain1.contoso.com die Domäne ist, zu der der Zielcomputer gehört.

    • Die Schaltflächenseite Erweitert ist nur aktiviert, wenn mehr als eine Version eines Schutz-Agents für die Installation auf den Computern verfügbar ist. Sie können diese Option verwenden, um eine frühere Version des Schutz-Agents zu installieren, die vor dem Upgrade des DPM-Servers auf eine neuere Version installiert wurde.

  4. Geben Sie auf der Seite Anmeldeinformationen eingeben den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern ist.

    • Übernehmen oder geben Sie im Feld Domäne den Domänennamen des Benutzerkontos ein, das Sie zum Installieren des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto gehört möglicherweise zu der Domäne, in der sich der DPM-Server befindet, oder zu einer Domäne, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet.

    • Wenn Sie einen Schutz-Agent auf einem Computer in einer vertrauenswürdigen Domäne installieren, geben Sie Ihre aktuellen Anmeldeinformationen für Domänenbenutzer ein. Sie können Mitglied einer beliebigen Domäne sein, die über eine bidirektionale Vertrauensstellung mit der Domäne verfügt, in der sich der DPM-Server befindet, und Sie müssen Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, auf denen Sie einen Agent installieren möchten.

    • Wenn Sie einen Knoten in einem Cluster auswählen, erkennt DPM alle zusätzlichen Knoten im Cluster und zeigt die Seite Clusterknoten auswählen an.

  5. Wählen Sie auf der Seite Clusterknoten auswählen eine Option aus, die von DPM zum Installieren von Agents auf zusätzlichen Knoten im Cluster verwendet werden soll, und klicken Sie dann auf Weiter.

  6. Wählen Sie auf der Seite Methode für Neustart auswählen die Methode aus, mit der die ausgewählten Computer neu gestartet werden sollen, nachdem der Schutz-Agent installiert wurde. Der Computer muss neu gestartet werden, bevor Sie mit dem Schutz von Daten beginnen können. Ein Neustart ist erforderlich, um den Volumefilter zu laden, den DPM zum Nachverfolgen und Übertragen von Änderungen auf Blockebene zwischen dem DPM-Server und den geschützten Computern verwendet.

    • Wenn Sie die Computer später neu starten möchten, wird der Installationsstatus des Schutz-Agents nach dem Neustart des Computers nicht automatisch auf der Registerkarte Agents im Aufgabenbereich Verwaltung aktualisiert, und Sie müssen Informationen aktualisieren auswählen.

    • Sie müssen den Computer nicht neu starten, wenn Sie einen Schutz-Agent auf einem anderen DPM-Server installieren.

    • Wenn einer der von Ihnen ausgewählten Computer Knoten in einem Cluster ist, wird eine zusätzliche Seite Methode für Neustart auswählen angezeigt, die Sie verwenden können, um die Methode zum Neustarten der geclusterten Computer auszuwählen. Sie müssen einen Schutz-Agent auf allen Knoten in einem Cluster installieren, um die geclusterten Daten erfolgreich zu schützen. Die Computer müssen neu gestartet werden, bevor Sie mit dem Schutz von Daten beginnen können. Aufgrund der benötigten Zeit zum Starten der Dienste kann es nach dem Neustart einige Minuten dauern, bis DPM den Agent im Cluster kontaktieren kann.

    • DPM startet keinen Computer automatisch neu, der zu einem Microsoft Cluster Server (MSCS)-Cluster gehört. Sie müssen Computer in einem MSCS-Cluster manuell neu starten.

  7. Wählen Sie auf der Registerkarte Zusammenfassung die Option Installieren aus, um mit der Installation zu beginnen. Wenn die EULA angezeigt wird, akzeptieren Sie diese, damit die Installation gestartet wird. Auf der Registerkarte Aufgabe der Installationsseite können Sie sehen, ob die Installation erfolgreich ist. Sie können Schließen auswählen, bevor der Assistent abgeschlossen ist, und den Installationsfortschritt auf der Registerkarte Agents im Aufgabenbereich Verwaltung überwachen. Wenn die Installation nicht erfolgreich ist, können Sie die Warnungen im Aufgabenbereich Überwachung auf der Registerkarte Warnungen anzeigen.

Hinweis

Nachdem Sie einen Schutz-Agent auf einem Computer installiert haben, der Teil einer Windows SharePoint Services-Farm ist, werden alle Computer in der Farm nicht als geschützte Computer auf der Registerkarte Agents im Aufgabenbereich Verwaltung angezeigt, nur der Computer, den Sie ausgewählt haben. Wenn die Windows SharePoint Services-Farm jedoch Daten auf dem ausgewählten Computer enthält, schützt DPM die Daten auf allen Computern in der Farm, vorausgesetzt, dass der Schutz-Agent installiert ist.

Manuelles Installieren des Agents

  1. Wenn Sie den Agent auf einem Computer hinter einer Firewall installieren, müssen Sie sicherstellen, dass der Agent über die Firewall übertragen werden kann.

    Sie können beispielsweise den folgenden Befehl auf dem Computer ausführen, um die Windows-Firewall zu konfigurieren: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress>, wobei „IPAddress“ die Adresse des DPM-Servers ist.

    Informationen zum Konfigurieren der Ports-Ausnahme in der Firewall finden Sie unter Konfigurieren von Firewall-Ausnahmen für den Agent.

  2. Öffnen Sie auf dem Computer, den Sie schützen möchten, ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie dann die folgenden Befehle aus:

    Geben Sie Folgendes ein, um einen Laufwerkbuchstaben zuzuweisen: net use Z: \<DPMServerName>\c$. Hierbei steht Z für den Buchstaben des lokalen Laufwerks, das Sie zuordnen möchten, und <DPMServerName> ist der Name des DPM-Servers, der für den Schutz des Computers eingesetzt wird.

    Gehen Sie wie folgt vor, um das Verzeichnis zu ändern:

    • Geben Sie für einen 64-bit-Computer Folgendes ein: cd /d <zugewiesener Laufwerkbuchstabe>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<Buildnummer>.0\amd64, wobei <zugewiesener Laufwerkbuchstabe> der Laufwerkbuchstabe ist, den Sie im vorherigen Schritt zugewiesen haben, und <Buildnummer> die neueste DPM-Buildnummer ist. Beispiel: cd /d X:\Programme\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64

    • Geben Sie für einen 32-bit-Computer Folgendes ein: cd /d <zugewiesener Laufwerkbuchstabe>:\Program Files\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<Buildnummer>l;.0\i386, wobei <zugewiesener Laufwerkbuchstabe> der Laufwerkbuchstabe ist, den Sie im vorherigen Schritt zugewiesen haben, und <Buildnummer> die neueste DPM-Buildnummer ist.

  3. Um den Schutz-Agent zu installieren, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und führen Sie einen der folgenden Befehle aus:

    • Geben Sie für einen 64-Bit-Computer Folgendes ein: DpmAgentInstaller_x64.exe <DPMServerName>, wobei <DPMServerName> der vollqualifizierte Domänenname des DPM-Servers ist. Beispiel: DPMAgentInstaller_x64.exe DPMserver1.contoso.com

    • Geben Sie für einen 32-Bit-Computer Folgendes ein: DpmAgentInstaller_x86.exe <DPMServerName>, wobei <DPMServerName> der vollqualifizierte Domänenname des DPM-Servers ist.

    Hinweis

    • Um eine automatische Installation durchzuführen, können Sie die Option /q nach dem Befehl DpmAgentInstaller_x64.exe verwenden. Beispiel: DpmAgentInstaller_x64.exe /q <DPMServerName>
    • Um die EULA manuell in einer automatischen Installation zu akzeptieren, verwenden Sie DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
    • Wenn Sie einen DPM-Servernamen in der Befehlszeile angeben, wird der Schutz-Agent installiert und die Sicherheitskonten, Berechtigungen und Firewall-Ausnahmen, die für die Kommunikation mit dem angegebenen DPM-Server erforderlich sind, werden automatisch konfiguriert. Wenn Sie keinen Servernamen angegeben haben, öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten auf dem Zielcomputer und gehen Sie wie folgt vor:
      1. Um das Verzeichnis zu ändern, geben Sie ein: cd /d <Systemlaufwerk>:\Program Files\Microsoft Data Protection Manager\DPM\bin
      2. Geben Sie ein: SetDpmServer.exe -dpmServerName <DPMServerName>. Dadurch werden die Sicherheitskonten, Berechtigungen und Firewall-Ausnahmen für den Agent für die Kommunikation mit dem Server konfiguriert.

  4. Wenn Sie den Computer dem DPM-Server vor Installation des Agents hinzugefügt haben, werden vom Server nun Sicherungen für den geschützten Computer erstellt. Wenn Sie den Agent installiert haben, bevor Sie den Computer dem DPM-Server hinzugefügt haben, müssen Sie den Computer anfügen, bevor der DPM-Server beginnt, Sicherungen zu erstellen.

Installieren des Schutz-Agents auf einem RODC

Führen Sie die folgenden Schritte aus:

  1. Deaktivieren Sie entweder die Firewall auf dem RODC oder führen Sie die folgenden Befehle auf dem RODC aus, bevor Sie den Agent installieren:

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes

    • netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes

    • netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow

    • netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any

  2. Erstellen und füllen Sie auf dem primären Domänencontroller die folgenden Sicherheitsgruppen (wobei der Name des geschützten Servers der Name des RODC ist, auf dem Sie den Schutz-Agent installieren möchten):

    • Erstellen Sie eine Sicherheitsgruppe namens DPMRADCOMTRUSTEDMACHINES$PSNAME und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Erstellen Sie eine Sicherheitsgruppe namens DPMRADMTRUSTEDMACHINES$PSNAME und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Erstellen Sie eine Sicherheitsgruppe namens DPMRATRUSTEDDPMRAS$PSNAME und fügen Sie dann das DPM-Servercomputerkonto als Mitglied hinzu.

    • Fügen Sie das Computerkonto des DPM-Servers der Sicherheitsgruppe Builtin\Distributed Com-Benutzer als Mitglied hinzu.

  3. Stellen Sie sicher, dass die Sicherheitsgruppen, die Sie zuvor erstellt haben, auf dem RODC repliziert wurden. Installieren Sie dann den Schutz-Agent manuell auf dem RODC.

  4. Führen Sie auf dem RODC-Server die folgenden Schritte aus, um Start- und Aktivierungsberechtigungen für den DPMRA-Dienst zu erteilen:

    1. Öffnen Sie die DPM-Verwaltungsshell, und führen Sie dann den Befehl dcomcnfg.exe aus.

      Das Fenster Komponentendienste wird geöffnet.

    2. Erweitern Sie im Fenster Komponentendienste Computer, erweitern Sie Arbeitsplatz, erweitern Sie „DCOM-Konfiguration“, klicken Sie mit der rechten Maustaste auf den DienstDPM RA und wählen Sie dann Eigenschaften aus.

    3. Wählen Sie Allgemein aus und legen Sie dann die Authentifizierungsstufe auf Standard fest.

    4. Wählen Sie Ort aus und stellen Sie dann sicher, dass nur Anwendung auf diesem Computer ausführen ausgewählt ist.

    5. Wählen Sie Sicherheit aus, wählen Sie Anpassen unter Start- und Aktivierungsberechtigungen aus, wählen Sie Anpassen und dann Bearbeiten aus, um das Dialogfeld Startberechtigung zu öffnen.

    6. Weisen Sie im Dialogfeld Startberechtigung Berechtigungen für lokales Starten, Remotestart, lokale Aktivierung und Remoteaktivierung für das DPM-Servercomputerkonto zu.

    7. Wählen Sie OK aus, um das Dialogfeld zu schließen.

    8. Navigieren Sie auf dem DPM-Server zu Programme\Microsoft System Center\DPM\DPM\setup, und kopieren Sie die folgenden Dateien in einen Ordner auf dem RODC-Server.

      • setagentcfg.exe

      • traceprovider.dll

      • LKRhDPM.dll

  5. Führen Sie auf dem RODC von einer Eingabeaufforderung mit erhöhten Rechten den Befehl setagentcfg.exe a DPMRA domain\DPMserver aus dem Speicherort aus, den Sie im vorherigen Schritt angegeben haben.

  6. Wechseln Sie auf dem RODC-Server zum Ordner C:\Programme\Microsoft Data Protection Manager\DPM\bin, und führen Sie den Befehl „setdpmserver“ aus:

    Setdpmserver -dpmservername DPMSERVER

  7. Fügen Sie den Schutz-Agent wie im folgenden Abschnitt beschrieben an den DPM-Server an.

Fügen Sie den Agent an

Nachdem Sie den DPM-Agent manuell installiert haben, müssen Sie den Agent an den DPM-Server anfügen.

  1. Klicken Sie auf der Navigationsleiste der DPM-Verwaltungskonsole auf Verwaltung>Agents. Wählen Sie im Bereich Aktionen Installieren aus.

  2. Wählen Sie auf der Seite Agent-Bereitstellungsmethode auswählen Folgendes aus: Agents anfügen>Computer in einer vertrauenswürdigen Domäne>Weiter. Der Installations-Assistent für den Schutz-Agent wird geöffnet.

  3. Auf der Seite Computer auswählen zeigt DPM eine Liste der verfügbaren Computer in derselben Domäne wie der DPM-Server an. Wählen Sie in der Liste Computername durch Klicken auf >Hinzufügen>Weiter einen oder mehrere Computer (maximal 50) aus.

    • Wenn Sie den Assistenten zum ersten Mal verwendet haben, fragt DPM Active Directory ab, um eine Liste potenzieller Computer abzurufen. Nach der ersten Installation zeigt DPM die Liste der Computer in der Datenbank an, die einmal täglich durch den Auto-Ermittlungsprozess aktualisiert wird.

    • Wenn Sie mehrere Computer mithilfe einer Textdatei hinzufügen möchten, wählen Sie die Schaltfläche Aus Datei hinzufügen aus und geben Sie im Dialogfeld Aus Datei hinzufügen den Speicherort der Textdatei ein, oder wählen Sie Durchsuchen aus, um zum Speicherort zu navigieren.

  4. Geben Sie auf der Seite Anmeldeinformationen eingeben den Benutzernamen und das Kennwort für ein Domänenkonto ein, das Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern ist. Übernehmen oder geben Sie im Feld Domäne den Domänennamen des Benutzerkontos ein, das Sie zum Installieren des Schutz-Agents auf dem Zielcomputer verwenden. Dieses Konto gehört möglicherweise zu der Domäne, in der sich der DPM-Server befindet, oder zu einer vertrauenswürdigen Domäne. Wenn Sie einen Schutz-Agent auf einem Computer in einer vertrauenswürdigen Domäne installieren, geben Sie Ihre aktuellen Anmeldeinformationen für Domänenbenutzer ein. Sie können Mitglied einer beliebigen vertrauenswürdigen Domäne sein, und Sie müssen Mitglied der lokalen Administratorgruppe auf allen ausgewählten Computern sein, die Sie schützen möchten.

  5. Klicken Sie auf der Seite Zusammenfassung auf Anfügen.