Distribuire l'agente protezione DPM
L'agente protezione DPM (System Center Data Protection Manager) è il software installato in ogni computer che contiene i dati di cui si vuole eseguire il backup con DPM. È costituito da due componenti: l'agente protezione stesso e un coordinatore agente. Vengono eseguite le operazioni seguenti:
Identifica i dati che DPM può proteggere e ripristinare.
Consente al server DPM di esplorare le condivisioni, i volumi e le cartelle nel computer protetto.
Crea un journal delle modifiche per ogni volume protetto e archivia il journal in un file nascosto in tale volume. Registra le modifiche apportate ai dati protetti nel journal delle modifiche e trasferisce il journal dal computer protetto al server DPM in modo che DPM possa sincronizzare i dati primari con la replica.
L'agente verrà configurato nel modo seguente:
Se il computer contenente i dati di cui si vuole eseguire il backup si trova dietro un firewall, è necessario configurare le eccezioni del firewall.
Se il computer non è protetto da un firewall o sono state configurate eccezioni del firewall per consentire l'accesso, è possibile installare l'agente dalla console DPM.
Se non si ha accesso tramite il firewall, il computer da proteggere si trova in un gruppo di lavoro o in un dominio non attendibile oppure è necessario usare un metodo di installazione diverso, è possibile installare l'agente manualmente e quindi Collegare l'agente.
Configurare le eccezioni del firewall
Per consentire a un agente protezione di comunicare con il server DPM tramite un firewall, sono necessarie eccezioni del firewall.
Configurare un'eccezione in ingresso per sqlservr.exe per l'istanza DPM di SQL Server per consentire TCP sulla porta 80. Il server di report è in attesa delle richieste HTTP sulla porta 80. Nella tabella seguente sono elencati i protocolli e le porte necessari per la comunicazione tra il server DPM e i server e i client protetti.
Protocollo | Porta | Dettagli |
---|---|---|
DCOM | 135/TCP Dinamico |
Il protocollo di controllo DPM usa DCOM. DPM genera i comandi per l'agente protezione eseguendo chiamate DCOM sull'agente. L'agente protezione risponde eseguendo chiamate DCOM sul server DPM. La porta TCP 135 è il punto di risoluzione endpoint DCE utilizzato da DCOM. Per impostazione predefinita, DCOM assegna le porte in modo dinamico dall'intervallo di porte TCP compreso tra 49152 e 65535. È tuttavia possibile configurare questo intervallo usando Servizi componenti. Per la comunicazione dell'agente DPM, è necessario aprire le porte superiori 49152-65535. Per aprire le porte, eseguire la procedura seguente: 1. In Gestione IIS 7.0, nel riquadro Connessioni selezionare il nodo a livello di server nell'albero. 2. Fare doppio clic sull'icona Supporto firewall FTP nell'elenco delle funzionalità. 3. Immettere un intervallo di valori per l'intervallo di porte del canale dati. 4. Dopo aver immesso l'intervallo di porte per il servizio FTP, nel riquadro Azioni selezionare Applica per salvare le impostazioni di configurazione. |
TCP | 5718/TCP 5719/TCP |
Il canale dati di DPM è basato sul protocollo TCP. Sia DPM che il computer protetto avviano le connessioni per abilitare le operazioni DPM, ad esempio sincronizzazione e ripristino. DPM comunica con il coordinatore agenti sulla porta 5718 e con l'agente protezione sulla porta 5719. |
DNS | 53/UDP | Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per la risoluzione dei nomi host. |
Kerberos | 88/UDP 88/TCP | Usato tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per l'autenticazione dell'endpoint di connessione. |
LDAP | 389/TCP 389/UDP |
Usato tra DPM e il controller di dominio per le query. |
NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
Usato tra DPM e il computer protetto, tra DPM e il controller di dominio e tra il computer protetto e il controller di dominio per operazioni varie. Usato per SMB ospitato direttamente su TCP/IP per le funzioni DPM. |
Installare l'agente dalla console DPM
In Console amministrazione DPM selezionare Agenti di gestione>. Selezionare Installa sulla barra multifunzione dello strumento per aprire l'Installazione guidata agente protezione.
Nella pagina Selezione metodo di distribuzione agente selezionare Installa agenti>Avanti.
Nella pagina Seleziona computer DPM viene visualizzato un elenco di computer disponibili che si trovano nello stesso dominio del server DPM. Aggiungi il computer necessario.
La prima volta che si usa la procedura guidata, DPM esegue una query su Active Directory per ottenere un elenco dei computer disponibili. Dopo la prima installazione, DPM archivia l'elenco dei computer nel relativo database, che viene aggiornato una volta ogni giorno dal processo di individuazione automatica.
Per trovare un computer in un altro dominio con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM, è necessario digitare il nome di dominio completo (FQDN) del computer da proteggere. Ad esempio, <Computer1.Domain1.contoso.com>, dove Computer1 è il nome del computer che si desidera proteggere e Domain1.contoso.com è il dominio a cui appartiene il computer di destinazione.
La pagina pulsante Avanzate è abilitata solo quando sono disponibili più versioni di un agente protezione per l'installazione nei computer. È possibile usare questa opzione per installare una versione precedente dell'agente protezione installato prima dell'aggiornamento del server DPM a una versione più recente.
Nella pagina Immetti credenziali digitare il nome utente e la password per un account di dominio membro del gruppo Administrators locale in tutti i computer selezionati.
Nella casella Dominio accettare o digitare il nome di dominio dell'account utente usato per installare l'agente protezione nel computer di destinazione. Questo account può appartenere al dominio in cui si trova il server DPM o a un dominio con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM.
Se si installa un agente protezione in un computer in un dominio attendibile, immettere le credenziali utente del dominio corrente. È possibile essere membri di qualsiasi dominio con una relazione di trust bidirezionale con il dominio in cui si trova il server DPM e che sia membro del gruppo Administrators locale in tutti i computer selezionati in cui si desidera installare un agente.
Se si seleziona un nodo in un cluster, DPM rileva tutti i nodi aggiuntivi nel cluster e visualizza la pagina Selezione nodi cluster.
Nella pagina Seleziona nodi del cluster selezionare un'opzione che DPM deve usare per l'installazione di agenti in nodi aggiuntivi nel cluster e quindi selezionare Avanti.
Nella pagina Scelta metodo di riavvio , selezionare il metodo da utilizzare per riavviare i computer selezionati dopo l'installazione dell'agente protezione. Prima di poter iniziare le operazioni di protezione dati, il computer deve essere riavviato. Un riavvio è necessario per caricare il filtro del volume usato da DPM per tenere traccia e trasferire le modifiche a livello di blocco tra il server DPM e i computer protetti.
Se si sceglie di riavviare i computer in un secondo momento, lo stato di installazione dell'agente protezione non viene aggiornato automaticamente nella scheda Agenti nell'area attività Gestione dopo il riavvio del computer e sarà necessario selezionare Aggiorna informazioni.
Non è necessario riavviare il computer se si installa un agente protezione in un altro server DPM.
Se uno dei computer selezionati sono nodi in un cluster, viene visualizzata una pagina aggiuntiva Scegli metodo di riavvio , che è possibile usare per selezionare il metodo per riavviare i computer in cluster. Per proteggere correttamente i dati del cluster, è necessario installare un agente protezione in tutti i nodi di un cluster. Prima di poter iniziare le operazioni di protezione dati, i computer devono essere riavviati. Poiché è necessario avviare i servizi, potrebbero essere necessari alcuni minuti dopo un riavvio prima che DPM possa contattare l'agente nel cluster.
DPM non riavvia automaticamente un computer appartenente a un cluster MICROSOFT Cluster Server (MSCS). Il computer di un cluster MSCS deve essere riavviato manualmente.
Nella pagina Riepilogo selezionare Installa per avviare l'installazione. Se viene visualizzato il contratto di licenza, accettarlo per l'avvio dell'installazione. Nella scheda Attività della pagina di installazione è possibile verificare se l'installazione ha esito positivo. È possibile selezionare Chiudi prima del completamento della procedura guidata e monitorare lo stato di avanzamento dell'installazione nella scheda Agenti nell'area attività Gestione . Se l'installazione non riesce, è possibile visualizzare gli avvisi nell'area attività Monitoraggio nella scheda Avvisi .
Nota
Dopo aver installato un agente protezione in un computer che fa parte di una farm di Windows SharePoint Services, ognuno dei computer nella farm non verrà visualizzato come computer protetti nella scheda Agenti nell'area attività Gestione , solo il computer selezionato. Tuttavia, se la farm di Windows SharePoint Services contiene dati nel computer selezionato, DPM protegge i dati in tutti i computer della farm, purché tutti abbiano installato l'agente protezione.
Installare manualmente l'agente
Se si installa l'agente in un computer protetto da un firewall, è necessario assicurarsi che l'agente possa essere sottoposto a push attraverso il firewall.
Ad esempio, è possibile eseguire il comando seguente nel computer per configurare Windows Firewall: netsh advfirewall firewall add rule name="Allow DPM Remote Agent Push" dir=in action=allow service=any enable=yes profile=any remoteip=<IPAddress, dove IPAddress> è l'indirizzo del server DPM.
Per configurare l'eccezione delle porte nel firewall, vedere Configurare le eccezioni del firewall per l'agente.
Nel computer da proteggere aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire i comandi seguenti:
Per assegnare una lettera di unità, digitare: net use Z: \<DPMServerName>\c$ dove Z è la lettera di unità locale da assegnare e <DPMServerName> è il nome del server DPM che proteggerà il computer.
Per modificare la directory, esegui le operazioni seguenti:
Per un computer a 64 bit, digitare: cd /d <lettera> di unità assegnata:\Programmi\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<build number.0\amd64 dove <lettera di unità assegnata è la lettera di unità> assegnata nel passaggio precedente e <il numero> di build è il numero di build DPM più recente.> Ad esempio: cd /d X:\Programmi\Microsoft DPM\DPM\ProtectionAgents\RA\3.0.7696.0\amd64
Per un computer a 32 bit, digitare cd /d <lettera> di unità assegnata:\Programmi\Microsoft DPM\DPM\ProtectionAgents\RA\5.0.<numero di build>l;. 0\i386 dove <lettera> di unità assegnata è l'unità mappata nel passaggio precedente e< il numero> di build è il numero di build DPM più recente.
Per installare l'agente protezione, aprire una finestra del prompt dei comandi con privilegi elevati e quindi eseguire uno dei comandi seguenti:
Per un computer a 64 bit, digitare: DpmAgentInstaller_x64.exe DPMServerName dove <DPMServerName>> è il nome di dominio completo (FQDN) del server DPM.< Ad esempio: DPMAgentInstaller_x64.exe DPMserver1.contoso.com
Per un computer a 32 bit, digitare: DpmAgentInstaller_x86.exe DPMServerName dove <DPMServerName>> è il nome di dominio completo (FQDN) del server DPM.<
Nota
- Per eseguire un'installazione invisibile all'utente, è possibile usare l'opzione /q dopo il comando DpmAgentInstaller_x64.exe . Ad esempio: DpmAgentInstaller_x64.exe /q <DPMServerName>
- Per accettare manualmente il contratto di licenza in un'installazione invisibile all'utente, usare DpmAgentInstaller_x64.exe /q <DPMServerName> /IAcceptEULA
- Se si specifica un nome del server DPM nella riga di comando, viene installato l'agente protezione e vengono configurati automaticamente gli account di sicurezza, le autorizzazioni e le eccezioni del firewall necessari per consentire all'agente di comunicare con il server DPM specificato. Se non è stato specificato un nome del server, aprire un prompt dei comandi con privilegi elevati nel computer di destinazione ed eseguire le operazioni seguenti:
- Per modificare il tipo di directory: cd /d <unità> di sistema:\Programmi\Microsoft Data Protection Manager\DPM\bin
- Tipo: SetDpmServer.exe -dpmServerName< DPMServerName>. In questo modo vengono configurati gli account di sicurezza, le autorizzazioni e le eccezioni del firewall per consentire all'agente di comunicare con il server.
Se il computer è stato aggiunto al server DPM prima di installare l'agente, il server inizia a creare backup per il computer protetto. Se l'agente è stato installato prima di aggiungere il computer al server DPM, è necessario collegare il computer prima che il server DPM inizi a creare i backup.
Installare l'agente protezione in un controller di dominio di sola lettura
Seguire questa procedura:
Disattivare il firewall nel controller di dominio di sola lettura o eseguire i comandi seguenti nel controller di dominio di sola lettura prima di installare l'agente:
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-29502" new enable=yes
netsh advfirewall firewall set rule group="@FirewallAPI.dll,-34251" new enable=yes
netsh advfirewall firewall add rule name=dpmra dir=in program="%PROGRAMFILES%\Microsoft Data Protection Manager\DPM\bin\DPMRA.exe" profile=Any action=allow
netsh advfirewall firewall add rule name=DPMRA_DCOM_135 dir=in action=allow protocol=TCP localport=135 profile=Any
Nel controller di dominio primario creare e popolare i gruppi di sicurezza seguenti (dove il nome del server protetto è il nome del controller di dominio di sola lettura in cui si prevede di installare l'agente protezione):
Creare un gruppo di sicurezza denominato DPMRADCOMTRUSTEDMACHINES$PSNAME e quindi aggiungere l'account computer del server DPM come membro.
Creare un gruppo di sicurezza denominato DPMRADMTRUSTEDMACHINES$PSNAME e quindi aggiungere l'account computer del server DPM come membro.
Creare un gruppo di sicurezza denominato DPMRATRUSTEDDPMRAS$PSNAME e quindi aggiungere l'account computer del server DPM come membro.
Aggiungere l'account del computer del server DPM come membro del gruppo di sicurezza Builtin\Distributed Com Users .
Assicurarsi che i gruppi di sicurezza creati in precedenza siano stati replicati nel RODC. Quindi, installare manualmente l'agente protezione nel controller di dominio di sola lettura.
Nel controller di dominio di sola lettura server eseguire questa procedura per concedere le autorizzazioni di avvio e di attivazione per il servizio DPMRA:
Aprire DPM Management Shell e quindi eseguire il comando dcomcnfg.exe.
Si apre la finestra Servizi componenti .
Nella finestra Servizi componenti espandere Computer, Computer, Configurazione DCOM, fare clic con il pulsante destro del mouse sulservizio ra DPM e quindi scegliere Proprietà.
Selezionare Generale e quindi impostare Il livello di autenticazione su Predefinito.
Selezionare Percorso e quindi assicurarsi che sia selezionata solo l'opzione Esegui applicazione in questo computer .
Selezionare Sicurezza, selezionare Personalizza in Autorizzazioni di avvio e attivazione, selezionare Personalizza e quindi selezionare Modifica per aprire la finestra di dialogo Autorizzazione di avvio .
Nella finestra di dialogo Autorizzazione di avvio assegnare le autorizzazioni per Avvio locale, Avvio remoto, Attivazione locale e Attivazione remota per l'account computer del server DPM.
Selezionare OK per chiudere la finestra di dialogo.
Passare a Programmi\Microsoft System Center\DPM\DPM\setup nel server DPM, copiare i file seguenti in una cartella nel server controller di dominio di sola lettura.
setagentcfg.exe
traceprovider.dll
LKRhDPM.dll
Da un prompt dei comandi con privilegi elevati nel controller di dominio di sola lettura eseguire il comando setagentcfg.exe a DPMRA domain\DPMserver dal percorso specificato nel passaggio precedente.
Nel server controller di dominio di sola lettura passare alla cartella C:\Programmi\Microsoft Data Protection Manager\DPM\bin ed eseguire il comando setdpmserver:
Setdpmserver -dpmservername DPMSERVER
Collegare l'agente protezione al server DPM come descritto nella sezione seguente.
Associare l'agente
Dopo aver installato manualmente l'agente DPM, è necessario collegare l'agente al server DPM.
Nella barra di spostamento della Console amministrazione DPM selezionare Agenti di gestione>. Nel riquadro Azioni selezionare Installa.
Nella pagina Selezione metodo di distribuzione agente selezionare Collega agenti>Computer in un dominio>attendibile Avanti. Verrà visualizzata la finestra Installazione guidata agenti protezione.
Nella pagina Seleziona computer DPM visualizza un elenco di computer disponibili nello stesso dominio del server DPM. Selezionare uno o più computer (massimo 50) dall'elenco Nome computer Aggiungi>successivo. >
Se è la prima volta che è stata usata la procedura guidata, DPM esegue una query su Active Directory per ottenere un elenco di potenziali computer. Dopo la prima installazione, DPM visualizzerà l'elenco dei computer del proprio database, che verrà aggiornato una volta al giorno dal processo di rilevamento automatico.
Per aggiungere più computer usando un file di testo, selezionare il pulsante Aggiungi da file e nella finestra di dialogo Aggiungi da file digitare il percorso del file di testo o selezionare Sfoglia per passare alla relativa posizione.
Nella pagina Immetti credenziali digitare il nome utente e la password per un account di dominio membro del gruppo Administrators locale in tutti i computer selezionati. Nella casella Dominio accettare o digitare il nome di dominio dell'account utente usato per installare l'agente protezione nel computer di destinazione. Questo account potrebbe appartenere al dominio in cui è contenuto il server DPM in un dominio attendibile. Se si installa un agente protezione in un computer in un dominio attendibile, immettere le credenziali utente del dominio corrente. L'utente può essere membro di qualsiasi dominio trusted e deve essere membro del gruppo locale Administrators di tutti i computer selezionati e da proteggere.
Nella pagina Riepilogo selezionare Connetti.